Rechercher les vulnérabilités par actif qui sont identifiées (par exemple: connues par identification à partir du référentiel CVE, par évaluation des menaces et des risques des act...
Rechercher dans les journaux d’audit concernant les analyses de vulnérabilité (par exemple: les mesures proactives) effectuées sur les actifs de l’organisation et sur l...
Organisation, planification et suivi des programmes de formation relatifs aux activités de sécurité et aux comportements attendus des membres de l’organisation et des parties...
Rechercher des menaces (par exemple: des agents de menace) qui sont identifiées (par exemple: à partir d’évaluations et d’analyses de risques effectuées; à partir de so...
Rechercher les impacts potentiels identifiés (ex : impact business identifié lors d’une évaluation des risques, d’une analyse d’impact business ou issus d’i...
Rechercher les risques de cybersécurité qui sont évalués (par exemple: en cours, finalisés et cohérents, revus) en tenant compte des menaces, des vulnérabilités, des probabilités e...
Rechercher des processus de gestion des risques de cybersécurité définis par l’organisation avec un niveau de qualité sous contrôle (par exemple: documentés, finalisés, revus...
Rechercher la tolérance au risque qui est clairement exprimée (par exemple identifiée, sélectionnée, alignée sur les buts et objectifs de l’organisation) et déterminée (par e...
Rechercher les preuves de bonne compréhension (exemple: attestation de formation par les personnels; résultats de campagnes de sensibilisation et/ou d’entretiens qui ont conf...
Rechercher les processus de gestion des risques de cybersécurité concernant la chaîne d’approvisionnement définis par l’organisation avec un niveau de qualité sous cont...