La méthode harmonisée d'analyse des risques (MEHARI) est une méthode de gestion de risque associée à la sécurité de l'information d'une entreprise ou d'un organisme. Elle a été développée initialement par le CLUSIF en France puis le CLUSIQ au Canada.
MEHARI répond aux lignes directrices édictées par la norme ISO 27002[1] et ISO 27005[2].
Déclinaisons
- MEHARI STANDARD (2017) est orienté vers l'emploi de la gestion de risque à l'occasion d'un SMSI selon ISO 27001:2013, utilisé pour des structures moyennes dans lesquelles les responsabilités opérationnelles peuvent être concentrées et la charge d'audit est intermédiaire entre PRO et EXPERT..
- MEHARI EXPERT (2010) s'applique à tout type d'organisme et dans sa révision de 2016 s'intègre et facilite évidemment la réalisation d'un SMSI (Système de Management de la Sécurité de l'Information) aligné sur ISO 27001 et 27002:2013. Cette instance est aussi traduite en Anglais et permet de gérer le risque dans des organismes multilingues.
- MEHARI PRO dont la base de connaissance simplifie et facilite l'évaluation et le traitement des risques pour les petites et moyennes entités. Cette instance est diffusée depuis 2014.
- MEHARI Manager permet de comprendre rapidement les principes de la méthode pour tout responsable métier ou opérationnel mais aussi de préparer la réalisation de la gestion de risque pour de nouveaux projets ou nouveaux clients.
Notes et références
Liens externes