Aller au contenu principal

Niveau 1 - Vue d'organisation

Vue d'ensemble

Le niveau 1 aborde le risque d'un point de vue organisationnel, en se concentrant sur l'établissement et la mise en œuvre de structures de gouvernance alignées sur les objectifs stratégiques, les buts et les exigences définis par les lois, directives, politiques, règlements, normes et fonctions de mission/d'affaires.

Les structures de gouvernance offrent une supervision des activités de gestion des risques et incluent :

  • L'établissement et la mise en œuvre d'une fonction exécutive du risque pour faciliter l'application cohérente, à l'échelle de l'organisation, de la stratégie de gestion des risques ;
  • Le développement de la stratégie de gestion des risques de l'organisation ;
  • La création et l'exécution de stratégies d'investissement à l'échelle de l'organisation pour les ressources d'information et la sécurité de l'information.

La stratégie de gestion des risques comprend également toute décision et considération stratégique au niveau de la manière dont les dirigeants/seniors doivent gérer le risque de la sécurité de l'information pour les opérations et les actifs de l'organisation, les individus, d'autres organisations et la Nation, en fonction de la taille et de l'impact de l'organisation.

Gestion des risques

À partir de là, en tant que l'un des résultats clés du cadrage des risques, la stratégie de gestion des risques organisationnels explicite les hypothèses spécifiques, contraintes, détermination des tolérances au risque et stratégies de réponse aux risques.

De plus, le niveau un inclut un processus pour évaluer de manière cohérente le risque à travers l'organisation en relation avec la tolérance au risque de l'organisation, ainsi que les priorités, arbitrages, et approches pour surveiller le risque au fil du temps et pour prendre des décisions d'investissement et opérationnelles.

Au niveau 1, les évaluations des risques soutiennent les stratégies organisationnelles, politiques, orientations et processus de gestion des risques, en mettant l'accent sur les opérations organisationnelles, les actifs et les individus.

Par exemple, les évaluations des risques de niveau 1 peuvent aborder :

  1. Les types spécifiques de menaces dirigées contre les organisations qui peuvent être différentes d'autres organisations et comment ces menaces affectent les décisions politiques ;
  2. Les faiblesses ou déficiences systémiques découvertes dans plusieurs systèmes d'information organisationnels qui peuvent être exploitées par des adversaires ;
  3. L'impact potentiel négatif sur les organisations de la perte ou de la compromission d'informations organisationnelles (intentionnellement ou non) ;
  4. L'utilisation de nouvelles technologies de l'information et de l'informatique telles que les mobiles et le cloud et l'effet potentiel sur la capacité des organisations à mener à bien leurs missions/opérations d'affaires tout en utilisant ces technologies.

Intégration et Communication de Niveau

Les évaluations des risques à l'échelle de l'organisation peuvent être basées uniquement sur les hypothèses, contraintes, tolérances au risque, priorités et arbitrages établis lors de l'étape de cadrage des risques (c'est-à-dire dérivé principalement des activités du niveau 1). Cependant, des évaluations des risques plus réalistes et significatives sont basées sur des évaluations réalisées à travers plusieurs lignes de mission/d'affaires (c'est-à-dire dérivées principalement des activités du niveau 2).

La capacité des organisations à utiliser efficacement les évaluations des risques de niveau 2 comme intrants des évaluations des risques de niveau 1 est façonnée par des considérations telles que :

  1. La similarité des missions/fonctions d'affaires organisationnelles et des processus de mission/d'affaires ;
  2. Le degré d'autonomie que les entités ou sous-composants organisationnels ont par rapport aux organisations mères. Dans les organisations décentralisées ou les organisations avec différentes missions/fonctions d'affaires et/ou environnements d'opération, une analyse experte peut être nécessaire pour normaliser les résultats des évaluations des risques du niveau 2.

Enfin, les évaluations des risques au niveau 1 prennent en compte l'identification des fonctions essentielles à la mission à partir des Plans de Continuité des Opérations (COOP) préparés par les organisations lors de la détermination de la contribution des risques de niveau 2.

Les résultats des évaluations des risques au niveau 1 sont communiqués aux entités organisationnelles aux niveaux 2 et 3.

(Sources : NIST SP 800-30, NIST SP 800-39)