Nowy i udoskonalony standard z zakresu oceny ryzyka w bezpieczeństwie informacji: ISO /IEC 27005:2011

Nowy i udoskonalony standard z zakresu zarządzania bezpieczeństwem informacji:
ISO 27005:2011 (ISO /IEC 27005) Ocena Ryzyka W Bezpieczeństwie Informacji (2011-08-29)


Ryzyka związane z bezpieczeństwem informacji stwarzają ogromne zagrożenie dla biznesu w postaci możliwości strat finansowych, zniszczeń, utraty reputacji i zaufania klientów. Zarządzanie ryzykiem jest więc jednym z kluczowych elementów w zapobieganiu oszustwom online, kradzieżom tożsamości, zniszczeniom stron internetowych, utratom danych osobowych oraz wielu innym zdarzeniom związanym z bezpieczeństwem informacji. Innymi słowy – bez solidnych ram zarządzania ryzykiem organizacje narażone są na wiele rodzajów cyber zagrożeń.


Nowe wydanie standardu międzynarodowego ISO /IEC 27005:2011, Information technology – Security techniques – Information security risk management ma pomóc organizacjom lepiej zarządzać swoimi ryzykami związanymi z bezpieczeństwem informacji.


Standard opisuje proces zarządzania ryzykiem związanym z bezpieczeństwem informacji oraz działania powiązane, jak również wspiera ogólne założenia przedstawione w normie ISO /IEC 27001:2005, Technika informatyczna – Systemy zarządzania bezpieczeństwem informacji – Wymagania.


ISO /IEC 27005:2011 jest również ważnym standardem dla tych, którzy chcą skuteczniej zarządzać swoimi ryzykami oraz jednocześnie działać zgodnie z wymaganiami zawartymi w popularnym standardzie zarządzania bezpieczeństwem informacji – ISO /IEC 27001.


W obecnym, drugim wydaniu standardu poddano przeglądowi oraz zaktualizowano założenia przedstawione we wcześniejszej wersji ISO /IEC 27005, aby nowa treść normy odzwierciedlała zawartość następujących dokumentów dotyczących zarządzania ryzykiem:

  • ISO 31000:2009, Risk management – Principles and guidelines (Zarządzanie ryzykiem – Zasady i wytyczne),

  • ISO /IEC 31010:2009, Risk management – Risk assessment techniques (Zarządzanie ryzykiem – Techniki oceny ryzyka),

  • ISO Guide 73:2009, Risk management – Vocabulary (Zarządzanie ryzykiem – Słownictwo).

Dla całkowitego zrozumienia standardu ISO 27005 potrzebna jest wiedza na temat założeń, modeli, procesów i terminologii opisanej w ISO /IEC 27001 oraz ISO /IEC 27002:2005, Information technology – Security techniques – Code of practice for information security management (Technologie informacyjne – Techniki bezpieczeństwa – Kodeks postępowania dla zarządzania bezpieczeństwem informacji). Proces zarządzania ryzykiem bezpieczeństwa informacji składa się z:

  • Ustalenia kontekstu,

  • Oceny ryzyka,

  • Postępowania z ryzykiem,

  • Akceptacji ryzyka,

  • Komunikowania o ryzyku oraz,

  • Monitorowania i przeglądu ryzyka.

Warto jednak dodać, iż standard ISO /IEC 27005:2011 nie zawiera żadnej szczególnej metodologii zarządzania ryzykiem dla bezpieczeństwa informacji, ale jedynie podejście ogólne. To od organizacji zależy bowiem zdefiniowanie swojego podejścia do systemu zarządzania bezpieczeństwem informacji, stworzonego na bazie kontekstu zarządzania ryzykiem lub danej branży.

Zapraszamy do skorzystania z naszych usług z zakresu systemów zarządzania bezpieczeństwem informacji zgodnego z ISO 27001 w obszarach:

Źródło:

  1. Opracowano na podstawie: “Are information security risks threatening your business? New and improved ISO/IEC 27005 standard beefs up protection.” www.iso.org

UWAGA:
Niniejszy tekst jest tłumaczeniem tekstu dostępnego na oficjalnej stronie Międzynarodowego Komitetu Normalizacyjnego (ISO) pod adresem: www.iso.org. Zgodnie z art. 2 Ustawy o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. (Dz.U. 1994 Nr 24 poz.83) niniejsze tłumaczenie jest przedmiotem prawa autorskiego bez uszczerbku dla prawa do utworu pierwotnego. Dlatego wszelkie jego rozpowszechnianie we fragmentach lub całości bez podania źródła i autora jest niezgodne z prawem.




Back to Top