An assurance-based model to holistically assess the information security posture
Détails
ID Serval
serval:BIB_E85BB259B581
Type
Thèse: thèse de doctorat.
Collection
Publications
Institution
Titre
An assurance-based model to holistically assess the information security posture
Directeur⸱rice⸱s
Ghernaouti-Hélie S.
Détails de l'institution
Université de Lausanne, Faculté des hautes études commerciales
Adresse
HEC Lausanne Quartier UNIL-Dorigny Bâtiment Internef CH - 1015 Lausanne
Statut éditorial
Acceptée
Date de publication
2010
Langue
anglais
Nombre de pages
301
Notes
REROID:R005424170
Résumé
EXECUTIVE SUMMARY :
Evaluating Information Security Posture within an organization is becoming a very
complex task. Currently, the evaluation and assessment of Information Security are commonly
performed using frameworks, methodologies and standards which often consider the
various aspects of security independently. Unfortunately this is ineffective because it does not
take into consideration the necessity of having a global and systemic multidimensional
approach to Information Security evaluation. At the same time the overall security level is
globally considered to be only as strong as its weakest link.
This thesis proposes a model aiming to holistically assess all dimensions of security in
order to minimize the likelihood that a given threat will exploit the weakest link. A formalized
structure taking into account all security elements is presented; this is based on a methodological
evaluation framework in which Information Security is evaluated from a global
perspective.
This dissertation is divided into three parts.
Part One: Information Security Evaluation issues consists of four chapters.
Chapter 1 is an introduction to the purpose of this research purpose and the Model that will
be proposed. In this chapter we raise some questions with respect to "traditional evaluation
methods" as well as identifying the principal elements to be addressed in this direction. Then
we introduce the baseline attributes of our model and set out the expected result of evaluations
according to our model. Chapter 2 is focused on the definition of Information
Security to be used as a reference point for our evaluation model. The inherent concepts of
the contents of a holistic and baseline Information Security Program are defined. Based on
this, the most common roots-of-trust in Information Security are identified. Chapter 3
focuses on an analysis of the difference and the relationship between the concepts of Information
Risk and Security Management. Comparing these two concepts allows us to identify
the most relevant elements to be included within our evaluation model, while clearing
situating these two notions within a defined framework is of the utmost importance for the
results that will be obtained from the evaluation process. Chapter 4 sets out our evaluation
model and the way it addresses issues relating to the evaluation of Information Security.
Within this Chapter the underlying concepts of assurance and trust are discussed. Based on
these two concepts, the structure of the model is developed in order to provide an assurance
related platform as well as three evaluation attributes: "assurance structure", "quality issues",
and "requirements achievement". Issues relating to each of these evaluation attributes are
analysed with reference to sources such as methodologies, standards and published research papers. Then the operation of the model is discussed. Assurance levels, quality levels and
maturity levels are defined in order to perform the evaluation according to the model.
Part Two: Implementation of the Information Security Assurance Assessment
Model (ISAAM) according to the Information Security Domains
consists of four chapters. This is the section where our evaluation model is put into a welldefined
context with respect to the four pre-defined Information Security dimensions: the
Organizational dimension, Functional dimension, Human dimension, and Legal dimension.
Each Information Security dimension is discussed in a separate chapter. For each dimension,
the following two-phase evaluation path is followed.
The first phase concerns the identification of the elements which will constitute the
basis of the evaluation:
? Identification of the key elements within the dimension;
? Identification of the Focus Areas for each dimension, consisting of the security
issues identified for each dimension;
? Identification of the Specific Factors for each dimension, consisting of the security
measures or control addressing the security issues identified for each
dimension.
The second phase concerns the evaluation of each Information Security dimension by:
? The implementation of the evaluation model, based on the elements identified
for each dimension within the first phase, by identifying the security tasks,
processes, procedures, and actions that should have been performed by the
organization to reach the desired level of protection;
? The maturity model for each dimension as a basis for reliance on security. For
each dimension we propose a generic maturity model that could be used by
every organization in order to define its own security requirements.
Part three of this dissertation contains the Final Remarks, Supporting Resources
and Annexes. With reference to the objectives of our thesis, the Final Remarks briefly
analyse whether these objectives were achieved and suggest directions for future related
research. Supporting resources comprise the bibliographic resources that were used to
elaborate and justify our approach. Annexes include all the relevant topics identified within
the literature to illustrate certain aspects of our approach.
Our Information Security evaluation model is based on and integrates different Information
Security best practices, standards, methodologies and research expertise which
can be combined in order to define an reliable categorization of Information Security. After the definition of terms and requirements, an evaluation process should be performed in
order to obtain evidence that the Information Security within the organization in question is
adequately managed. We have specifically integrated into our model the most useful elements
of these sources of information in order to provide a generic model able to be
implemented in all kinds of organizations.
The value added by our evaluation model is that it is easy to implement and operate and
answers concrete needs in terms of reliance upon an efficient and dynamic evaluation tool
through a coherent evaluation system. On that basis, our model could be implemented
internally within organizations, allowing them to govern better their Information Security.
RÉSUMÉ :
Contexte général de la thèse
L'évaluation de la sécurité en général, et plus particulièrement, celle de la sécurité de
l'information, est devenue pour les organisations non seulement une mission cruciale à
réaliser, mais aussi de plus en plus complexe. A l'heure actuelle, cette évaluation se base
principalement sur des méthodologies, des bonnes pratiques, des normes ou des standards
qui appréhendent séparément les différents aspects qui composent la sécurité de
l'information. Nous pensons que cette manière d'évaluer la sécurité est inefficiente, car elle
ne tient pas compte de l'interaction des différentes dimensions et composantes de la sécurité
entre elles, bien qu'il soit admis depuis longtemps que le niveau de sécurité globale d'une
organisation est toujours celui du maillon le plus faible de la chaîne sécuritaire.
Nous avons identifié le besoin d'une approche globale, intégrée, systémique et multidimensionnelle
de l'évaluation de la sécurité de l'information. En effet, et c'est le point de
départ de notre thèse, nous démontrons que seule une prise en compte globale de la sécurité
permettra de répondre aux exigences de sécurité optimale ainsi qu'aux besoins de protection
spécifiques d'une organisation. Ainsi, notre thèse propose un nouveau paradigme
d'évaluation de la sécurité afin de satisfaire aux besoins d'efficacité et d'efficience d'une
organisation donnée. Nous proposons alors un modèle qui vise à évaluer d'une manière
holistique toutes les dimensions de la sécurité, afin de minimiser la probabilité qu'une
menace potentielle puisse exploiter des vulnérabilités et engendrer des dommages directs ou
indirects. Ce modèle se base sur une structure formalisée qui prend en compte tous les
éléments d'un système ou programme de sécurité. Ainsi, nous proposons un cadre méthodologique
d'évaluation qui considère la sécurité de l'information à partir d'une perspective
globale.
Structure de la thèse et thèmes abordés
Notre document est structuré en trois parties. La première intitulée : « La problématique
de l'évaluation de la sécurité de l'information » est composée de quatre
chapitres. Le chapitre 1 introduit l'objet de la recherche ainsi que les concepts de base du
modèle d'évaluation proposé. La maniéré traditionnelle de l'évaluation de la sécurité fait
l'objet d'une analyse critique pour identifier les éléments principaux et invariants à prendre
en compte dans notre approche holistique. Les éléments de base de notre modèle
d'évaluation ainsi que son fonctionnement attendu sont ensuite présentés pour pouvoir tracer les résultats attendus de ce modèle. Le chapitre 2 se focalise sur la définition de la
notion de Sécurité de l'Information. Il ne s'agit pas d'une redéfinition de la notion de la
sécurité, mais d'une mise en perspectives des dimensions, critères, indicateurs à utiliser
comme base de référence, afin de déterminer l'objet de l'évaluation qui sera utilisé tout au
long de notre travail. Les concepts inhérents de ce qui constitue le caractère holistique de la
sécurité ainsi que les éléments constitutifs d'un niveau de référence de sécurité sont définis
en conséquence. Ceci permet d'identifier ceux que nous avons dénommés « les racines de
confiance ». Le chapitre 3 présente et analyse la différence et les relations qui existent entre
les processus de la Gestion des Risques et de la Gestion de la Sécurité, afin d'identifier les
éléments constitutifs du cadre de protection à inclure dans notre modèle d'évaluation.
Le chapitre 4 est consacré à la présentation de notre modèle d'évaluation Information
Security Assurance Assessment Model (ISAAM) et la manière dont il répond aux
exigences de l'évaluation telle que nous les avons préalablement présentées. Dans ce chapitre
les concepts sous-jacents relatifs aux notions d'assurance et de confiance sont analysés. En se
basant sur ces deux concepts, la structure du modèle d'évaluation est développée pour
obtenir une plateforme qui offre un certain niveau de garantie en s'appuyant sur trois attributs
d'évaluation, à savoir : « la structure de confiance », « la qualité du processus », et « la
réalisation des exigences et des objectifs ». Les problématiques liées à chacun de ces attributs
d'évaluation sont analysées en se basant sur l'état de l'art de la recherche et de la littérature,
sur les différentes méthodes existantes ainsi que sur les normes et les standards les plus
courants dans le domaine de la sécurité. Sur cette base, trois différents niveaux d'évaluation
sont construits, à savoir : le niveau d'assurance, le niveau de qualité et le niveau de maturité
qui constituent la base de l'évaluation de l'état global de la sécurité d'une organisation.
La deuxième partie: « L'application du Modèle d'évaluation de
l'assurance de la sécurité de l'information par domaine de sécurité » est elle aussi
composée de quatre chapitres. Le modèle d'évaluation déjà construit et analysé est, dans
cette partie, mis dans un contexte spécifique selon les quatre dimensions prédéfinies de
sécurité qui sont: la dimension Organisationnelle, la dimension Fonctionnelle, la
dimension Humaine, et la dimension Légale. Chacune de ces dimensions et son évaluation
spécifique fait l'objet d'un chapitre distinct. Pour chacune des dimensions, une évaluation en
deux phases est construite comme suit.
La première phase concerne l'identification des éléments qui constituent la base de
l'évaluation:
? Identification des éléments clés de l'évaluation ;
? Identification des « Focus Area » pour chaque dimension qui représentent les
problématiques se trouvant dans la dimension ;
? Identification des « Specific Factors » pour chaque Focus Area qui représentent
les mesures de sécurité et de contrôle qui contribuent à résoudre ou à
diminuer les impacts des risques.
La deuxième phase concerne l'évaluation de chaque dimension précédemment présentées.
Elle est constituée d'une part, de l'implémentation du modèle général d'évaluation à
la dimension concernée en :
? Se basant sur les éléments spécifiés lors de la première phase ;
? Identifiant les taches sécuritaires spécifiques, les processus, les procédures qui
auraient dû être effectués pour atteindre le niveau de protection souhaité.
D'autre part, l'évaluation de chaque dimension est complétée par la proposition d'un
modèle de maturité spécifique à chaque dimension, qui est à considérer comme une base de
référence pour le niveau global de sécurité.
Pour chaque dimension nous proposons un modèle de maturité générique qui peut
être utilisé par chaque organisation, afin de spécifier ses propres exigences en matière de
sécurité.
Cela constitue une innovation dans le domaine de l'évaluation, que nous justifions
pour chaque dimension et dont nous mettons systématiquement en avant la plus value
apportée.
La troisième partie de notre document est relative à la validation globale de notre
proposition et contient en guise de conclusion, une mise en perspective critique de notre
travail et des remarques finales. Cette dernière partie est complétée par une bibliographie et
des annexes.
Notre modèle d'évaluation de la sécurité intègre et se base sur de nombreuses sources
d'expertise, telles que les bonnes pratiques, les normes, les standards, les méthodes et
l'expertise de la recherche scientifique du domaine. Notre proposition constructive répond à
un véritable problème non encore résolu, auquel doivent faire face toutes les organisations,
indépendamment de la taille et du profil. Cela permettrait à ces dernières de spécifier leurs
exigences particulières en matière du niveau de sécurité à satisfaire, d'instancier un processus
d'évaluation spécifique à leurs besoins afin qu'elles puissent s'assurer que leur sécurité de
l'information soit gérée d'une manière appropriée, offrant ainsi un certain niveau de confiance
dans le degré de protection fourni. Nous avons intégré dans notre modèle le meilleur du
savoir faire, de l'expérience et de l'expertise disponible actuellement au niveau international,
dans le but de fournir un modèle d'évaluation simple, générique et applicable à un grand
nombre d'organisations publiques ou privées.
La valeur ajoutée de notre modèle d'évaluation réside précisément dans le fait qu'il
est suffisamment générique et facile à implémenter tout en apportant des réponses sur les
besoins concrets des organisations. Ainsi notre proposition constitue un outil d'évaluation
fiable, efficient et dynamique découlant d'une approche d'évaluation cohérente. De ce fait,
notre système d'évaluation peut être implémenté à l'interne par l'entreprise elle-même, sans
recourir à des ressources supplémentaires et lui donne également ainsi la possibilité de
mieux gouverner sa sécurité de l'information.
Evaluating Information Security Posture within an organization is becoming a very
complex task. Currently, the evaluation and assessment of Information Security are commonly
performed using frameworks, methodologies and standards which often consider the
various aspects of security independently. Unfortunately this is ineffective because it does not
take into consideration the necessity of having a global and systemic multidimensional
approach to Information Security evaluation. At the same time the overall security level is
globally considered to be only as strong as its weakest link.
This thesis proposes a model aiming to holistically assess all dimensions of security in
order to minimize the likelihood that a given threat will exploit the weakest link. A formalized
structure taking into account all security elements is presented; this is based on a methodological
evaluation framework in which Information Security is evaluated from a global
perspective.
This dissertation is divided into three parts.
Part One: Information Security Evaluation issues consists of four chapters.
Chapter 1 is an introduction to the purpose of this research purpose and the Model that will
be proposed. In this chapter we raise some questions with respect to "traditional evaluation
methods" as well as identifying the principal elements to be addressed in this direction. Then
we introduce the baseline attributes of our model and set out the expected result of evaluations
according to our model. Chapter 2 is focused on the definition of Information
Security to be used as a reference point for our evaluation model. The inherent concepts of
the contents of a holistic and baseline Information Security Program are defined. Based on
this, the most common roots-of-trust in Information Security are identified. Chapter 3
focuses on an analysis of the difference and the relationship between the concepts of Information
Risk and Security Management. Comparing these two concepts allows us to identify
the most relevant elements to be included within our evaluation model, while clearing
situating these two notions within a defined framework is of the utmost importance for the
results that will be obtained from the evaluation process. Chapter 4 sets out our evaluation
model and the way it addresses issues relating to the evaluation of Information Security.
Within this Chapter the underlying concepts of assurance and trust are discussed. Based on
these two concepts, the structure of the model is developed in order to provide an assurance
related platform as well as three evaluation attributes: "assurance structure", "quality issues",
and "requirements achievement". Issues relating to each of these evaluation attributes are
analysed with reference to sources such as methodologies, standards and published research papers. Then the operation of the model is discussed. Assurance levels, quality levels and
maturity levels are defined in order to perform the evaluation according to the model.
Part Two: Implementation of the Information Security Assurance Assessment
Model (ISAAM) according to the Information Security Domains
consists of four chapters. This is the section where our evaluation model is put into a welldefined
context with respect to the four pre-defined Information Security dimensions: the
Organizational dimension, Functional dimension, Human dimension, and Legal dimension.
Each Information Security dimension is discussed in a separate chapter. For each dimension,
the following two-phase evaluation path is followed.
The first phase concerns the identification of the elements which will constitute the
basis of the evaluation:
? Identification of the key elements within the dimension;
? Identification of the Focus Areas for each dimension, consisting of the security
issues identified for each dimension;
? Identification of the Specific Factors for each dimension, consisting of the security
measures or control addressing the security issues identified for each
dimension.
The second phase concerns the evaluation of each Information Security dimension by:
? The implementation of the evaluation model, based on the elements identified
for each dimension within the first phase, by identifying the security tasks,
processes, procedures, and actions that should have been performed by the
organization to reach the desired level of protection;
? The maturity model for each dimension as a basis for reliance on security. For
each dimension we propose a generic maturity model that could be used by
every organization in order to define its own security requirements.
Part three of this dissertation contains the Final Remarks, Supporting Resources
and Annexes. With reference to the objectives of our thesis, the Final Remarks briefly
analyse whether these objectives were achieved and suggest directions for future related
research. Supporting resources comprise the bibliographic resources that were used to
elaborate and justify our approach. Annexes include all the relevant topics identified within
the literature to illustrate certain aspects of our approach.
Our Information Security evaluation model is based on and integrates different Information
Security best practices, standards, methodologies and research expertise which
can be combined in order to define an reliable categorization of Information Security. After the definition of terms and requirements, an evaluation process should be performed in
order to obtain evidence that the Information Security within the organization in question is
adequately managed. We have specifically integrated into our model the most useful elements
of these sources of information in order to provide a generic model able to be
implemented in all kinds of organizations.
The value added by our evaluation model is that it is easy to implement and operate and
answers concrete needs in terms of reliance upon an efficient and dynamic evaluation tool
through a coherent evaluation system. On that basis, our model could be implemented
internally within organizations, allowing them to govern better their Information Security.
RÉSUMÉ :
Contexte général de la thèse
L'évaluation de la sécurité en général, et plus particulièrement, celle de la sécurité de
l'information, est devenue pour les organisations non seulement une mission cruciale à
réaliser, mais aussi de plus en plus complexe. A l'heure actuelle, cette évaluation se base
principalement sur des méthodologies, des bonnes pratiques, des normes ou des standards
qui appréhendent séparément les différents aspects qui composent la sécurité de
l'information. Nous pensons que cette manière d'évaluer la sécurité est inefficiente, car elle
ne tient pas compte de l'interaction des différentes dimensions et composantes de la sécurité
entre elles, bien qu'il soit admis depuis longtemps que le niveau de sécurité globale d'une
organisation est toujours celui du maillon le plus faible de la chaîne sécuritaire.
Nous avons identifié le besoin d'une approche globale, intégrée, systémique et multidimensionnelle
de l'évaluation de la sécurité de l'information. En effet, et c'est le point de
départ de notre thèse, nous démontrons que seule une prise en compte globale de la sécurité
permettra de répondre aux exigences de sécurité optimale ainsi qu'aux besoins de protection
spécifiques d'une organisation. Ainsi, notre thèse propose un nouveau paradigme
d'évaluation de la sécurité afin de satisfaire aux besoins d'efficacité et d'efficience d'une
organisation donnée. Nous proposons alors un modèle qui vise à évaluer d'une manière
holistique toutes les dimensions de la sécurité, afin de minimiser la probabilité qu'une
menace potentielle puisse exploiter des vulnérabilités et engendrer des dommages directs ou
indirects. Ce modèle se base sur une structure formalisée qui prend en compte tous les
éléments d'un système ou programme de sécurité. Ainsi, nous proposons un cadre méthodologique
d'évaluation qui considère la sécurité de l'information à partir d'une perspective
globale.
Structure de la thèse et thèmes abordés
Notre document est structuré en trois parties. La première intitulée : « La problématique
de l'évaluation de la sécurité de l'information » est composée de quatre
chapitres. Le chapitre 1 introduit l'objet de la recherche ainsi que les concepts de base du
modèle d'évaluation proposé. La maniéré traditionnelle de l'évaluation de la sécurité fait
l'objet d'une analyse critique pour identifier les éléments principaux et invariants à prendre
en compte dans notre approche holistique. Les éléments de base de notre modèle
d'évaluation ainsi que son fonctionnement attendu sont ensuite présentés pour pouvoir tracer les résultats attendus de ce modèle. Le chapitre 2 se focalise sur la définition de la
notion de Sécurité de l'Information. Il ne s'agit pas d'une redéfinition de la notion de la
sécurité, mais d'une mise en perspectives des dimensions, critères, indicateurs à utiliser
comme base de référence, afin de déterminer l'objet de l'évaluation qui sera utilisé tout au
long de notre travail. Les concepts inhérents de ce qui constitue le caractère holistique de la
sécurité ainsi que les éléments constitutifs d'un niveau de référence de sécurité sont définis
en conséquence. Ceci permet d'identifier ceux que nous avons dénommés « les racines de
confiance ». Le chapitre 3 présente et analyse la différence et les relations qui existent entre
les processus de la Gestion des Risques et de la Gestion de la Sécurité, afin d'identifier les
éléments constitutifs du cadre de protection à inclure dans notre modèle d'évaluation.
Le chapitre 4 est consacré à la présentation de notre modèle d'évaluation Information
Security Assurance Assessment Model (ISAAM) et la manière dont il répond aux
exigences de l'évaluation telle que nous les avons préalablement présentées. Dans ce chapitre
les concepts sous-jacents relatifs aux notions d'assurance et de confiance sont analysés. En se
basant sur ces deux concepts, la structure du modèle d'évaluation est développée pour
obtenir une plateforme qui offre un certain niveau de garantie en s'appuyant sur trois attributs
d'évaluation, à savoir : « la structure de confiance », « la qualité du processus », et « la
réalisation des exigences et des objectifs ». Les problématiques liées à chacun de ces attributs
d'évaluation sont analysées en se basant sur l'état de l'art de la recherche et de la littérature,
sur les différentes méthodes existantes ainsi que sur les normes et les standards les plus
courants dans le domaine de la sécurité. Sur cette base, trois différents niveaux d'évaluation
sont construits, à savoir : le niveau d'assurance, le niveau de qualité et le niveau de maturité
qui constituent la base de l'évaluation de l'état global de la sécurité d'une organisation.
La deuxième partie: « L'application du Modèle d'évaluation de
l'assurance de la sécurité de l'information par domaine de sécurité » est elle aussi
composée de quatre chapitres. Le modèle d'évaluation déjà construit et analysé est, dans
cette partie, mis dans un contexte spécifique selon les quatre dimensions prédéfinies de
sécurité qui sont: la dimension Organisationnelle, la dimension Fonctionnelle, la
dimension Humaine, et la dimension Légale. Chacune de ces dimensions et son évaluation
spécifique fait l'objet d'un chapitre distinct. Pour chacune des dimensions, une évaluation en
deux phases est construite comme suit.
La première phase concerne l'identification des éléments qui constituent la base de
l'évaluation:
? Identification des éléments clés de l'évaluation ;
? Identification des « Focus Area » pour chaque dimension qui représentent les
problématiques se trouvant dans la dimension ;
? Identification des « Specific Factors » pour chaque Focus Area qui représentent
les mesures de sécurité et de contrôle qui contribuent à résoudre ou à
diminuer les impacts des risques.
La deuxième phase concerne l'évaluation de chaque dimension précédemment présentées.
Elle est constituée d'une part, de l'implémentation du modèle général d'évaluation à
la dimension concernée en :
? Se basant sur les éléments spécifiés lors de la première phase ;
? Identifiant les taches sécuritaires spécifiques, les processus, les procédures qui
auraient dû être effectués pour atteindre le niveau de protection souhaité.
D'autre part, l'évaluation de chaque dimension est complétée par la proposition d'un
modèle de maturité spécifique à chaque dimension, qui est à considérer comme une base de
référence pour le niveau global de sécurité.
Pour chaque dimension nous proposons un modèle de maturité générique qui peut
être utilisé par chaque organisation, afin de spécifier ses propres exigences en matière de
sécurité.
Cela constitue une innovation dans le domaine de l'évaluation, que nous justifions
pour chaque dimension et dont nous mettons systématiquement en avant la plus value
apportée.
La troisième partie de notre document est relative à la validation globale de notre
proposition et contient en guise de conclusion, une mise en perspective critique de notre
travail et des remarques finales. Cette dernière partie est complétée par une bibliographie et
des annexes.
Notre modèle d'évaluation de la sécurité intègre et se base sur de nombreuses sources
d'expertise, telles que les bonnes pratiques, les normes, les standards, les méthodes et
l'expertise de la recherche scientifique du domaine. Notre proposition constructive répond à
un véritable problème non encore résolu, auquel doivent faire face toutes les organisations,
indépendamment de la taille et du profil. Cela permettrait à ces dernières de spécifier leurs
exigences particulières en matière du niveau de sécurité à satisfaire, d'instancier un processus
d'évaluation spécifique à leurs besoins afin qu'elles puissent s'assurer que leur sécurité de
l'information soit gérée d'une manière appropriée, offrant ainsi un certain niveau de confiance
dans le degré de protection fourni. Nous avons intégré dans notre modèle le meilleur du
savoir faire, de l'expérience et de l'expertise disponible actuellement au niveau international,
dans le but de fournir un modèle d'évaluation simple, générique et applicable à un grand
nombre d'organisations publiques ou privées.
La valeur ajoutée de notre modèle d'évaluation réside précisément dans le fait qu'il
est suffisamment générique et facile à implémenter tout en apportant des réponses sur les
besoins concrets des organisations. Ainsi notre proposition constitue un outil d'évaluation
fiable, efficient et dynamique découlant d'une approche d'évaluation cohérente. De ce fait,
notre système d'évaluation peut être implémenté à l'interne par l'entreprise elle-même, sans
recourir à des ressources supplémentaires et lui donne également ainsi la possibilité de
mieux gouverner sa sécurité de l'information.
Création de la notice
16/08/2010 16:59
Dernière modification de la notice
20/08/2019 17:11
Données d'usage
