Gestion des parties intéressées et leurs besoins et attentes

[Alssi-consulting]

Bonjour,

La norme ISO27001 impose de gérer les parties intéressées et leurs besoins.

Il me semble intéressant de gérer 3 notions dans le cadre gouvernance :

• Catégories de parties intéressées (e.g. Clients, fournisseurs, collaborateurs, actionnaires, état)
• Partie intéressée (e.g. Mon client A, mon fournisseur B)
• Les attentes et besoins

Une catégorie de PI peut avoir des besoins et attentes (e.g. mes clients attendent que leurs données que j'héberge soient intègres). Ce sont des besoins de haut niveau
Partie intéressée appartient à une catégorie et a une ou plusieurs attentes (e.g. Mon client A a besoin que je sois conforme à NIS2). Ce sont des besoins plus précis sur lesquels je dois me prononcer

Le besoin/attente peut avoir une date où il a été exprimé par une partie prenante. Il a un flag permettant de dire s'il est retenu dans le SMSI ou non.

Quand le besoin est exprimé et pris en compte il va donner lieu à : un projet ou des mesures. Il peut aussi être en lien avec des objectifs de sécurité

[ab-smith]

Bonjour,
Avec les attributs récents possibles sur les entités, ça va pouvoir couvrir ce besoin, en particulier grâce au fait que cette liste de catégorie des entités est extensible via les terminologies.