ISO/IEC 27005 InfoSec Risk Management

Hvad er ISO 27005?

ISO 27005 er en international standard, der skitserer procedurerne for at udføre en informationssikkerhedsrisikovurdering i overensstemmelse med ISO 27001. Som tidligere nævnt er risikovurderinger en kritisk komponent i en organisations ISO 27001 compliance initiativ. ISO 27001 giver dig mulighed for at vise bevis for risikovurdering for informationssikkerhedsrisikostyring, truffet foranstaltninger og anvendelse af gældende kontrol fra bilag A.

• ISO 27005-retningslinjer er en delmængde af en bredere vifte af bedste praksis til at forhindre databrud i din organisation.
• Specifikationen giver vejledning om den formelle identifikation, vurdering, evaluering og behandling af informationssikkerhedssårbarheder – procedurer, der er centrale for en ISO27k informationssikkerhedsstyringssystem (ISMS).
• Dens mål er at sikre, at organisationer rationelt planlægger, udfører, administrerer, overvåger og administrere deres informationssikkerhedskontrol og andre arrangementer i forhold til deres informationssikkerhedsrisici.
• Som med de andre standarder i serien, definerer ISO 27005 ikke en klar vej til overholdelse. Den anbefaler simpelthen bedste praksis, der passer ind i enhver standard ISMS.

Hvad er informationssikkerhedsrisikostyring?

ISRM, eller informationssikkerhedsrisiko ledelse, er praksis med at identificere og afbøde risici forbundet med brugen af ​​informationsteknologi. Det indebærer at identificere, vurdere og afbøde trusler mod en organisations fortrolighed, omdømme og tilgængelighed af aktiver. Dette slutresultat er at styre risici i overensstemmelse med en organisations overordnede risikotolerance. Virksomheder forventer ikke at udrydde alle risici; snarere bør de stræbe efter at definere og opretholde et risikoniveau, der er passende for deres virksomhed.

ISO 27005 og Information Security Risk Management

Mens bedste praksis for risikostyring har udviklet sig over tid for at imødekomme individuelle behov inden for en række forskellige områder og brancher gennem brug af en række forskellige metoder, kan implementering af konsistente processer inden for en overordnet ramme hjælpe med at sikre, at risici håndteres pålideligt, præcist, og forståeligt i organisationen. ISO 27005 specificerer disse standardiserede rammer. ISO 27005 definerer bedste praksis for risikostyring, der primært er skræddersyet til informationssikkerhedsrisikostyring, med særlig vægt på at overholde standarderne i en Information Security Management System (ISMS), som krævet af ISO/IEC 27001.

Det specificerer, at bedste praksis for risikostyring skal etableres i overensstemmelse med organisationens karakteristika under hensyntagen til kompleksiteten af ​​organisationens informationssikkerhedsstyringssystem, risikostyringsomfanget og industrien. Selvom ISO 27005 ikke definerer en bestemt risikostyringstilgang, understøtter den en kontinuerlig risikostyringstilgang baseret på seks kritiske komponenter:

Kontekst Etablering

risikovurdering kontekst fastlægger retningslinjerne for identifikation af risici, bestemmelse af, hvem der er ansvarlig for risikoejerskab, bestemmelse af, hvordan risici påvirker fortroligheden, integriteten og tilgængeligheden af ​​information, og beregning af risikoeffekt og sandsynlighed.

Accept af informationssikkerhedsrisiko

Organisationer bør etablere deres egne risikoacceptkrav, der tager højde for aktuelle strategier, prioriteter, mål og aktionærinteresser. Det betyder at dokumentere alt. Ikke kun for revisorerne, men for at man i fremtiden kan henvise til dem, hvis det bliver nødvendigt.

Informationssikkerhedsrisikoovervågning og -gennemgang

Risici er dynamiske og kan ændre sig hurtigt. Som et resultat burde de være det aktivt overvåget for let at opdage forskydninger og bevare et fuldstændigt billede af risiciene. Derudover bør organisationer holde nøje øje med følgende: Eventuelle nye aktiver, der bringes ind i risikostyringsdomænet; Aktivværdier, der skal justeres for at afspejle skiftende forretningskrav; Nye risici, eksterne eller interne, som endnu ikke er blevet evalueret; og hændelser, der involverer informationssikkerhed.

Informationssikkerhed Risikokommunikation

Effektiv risikokommunikation og rådgivning er kritiske komponenter i informationssikkerhedsrisikostyringsprocessen. Det garanterer, at personer, der er ansvarlige for risikostyring, forstår begrundelsen for beslutninger og årsagerne til sådanne handlinger. Deling og udveksling af ideer om risiko hjælper også politiske beslutningstagere og andre interessenter med at nå en konsensus om, hvordan de skal håndtere risici. Kontinuerlig risikokommunikation bør praktiseres, og organisationer bør etablere risikokommunikationsstrategier for både rutineprocedurer og nødsituationer.

Hvad er omfanget og formålet med ISO 27005?

ISO / IEC 27000 sæt retningslinjer gælder for alle typer og størrelser af organisationer - en meget dynamisk kategori, hvorfor det ville være uhensigtsmæssigt at kræve ensartede tilgange, processer, risici og kontroller.

Ud over det giver principperne brede retningslinjer inden for rammerne af en ledelsesramme. Ledere opfordres til at bruge formelle tilgange, der er anvendelige og egnede til deres organisations unikke forhold, rationelt og metodisk håndtering af risici til information.

At identificere og lægge informationsrisici under ledelsestilsyn gør det muligt at styre dem effektivt på en måde, der tilpasser sig trends og udnytter vækstmuligheder, hvilket resulterer i, at ISMS udvikler sig og bliver mere succesfuldt over tid.

ISO 27005 letter yderligere overholdelse af ISO 27001, da sidstnævnte specifikation kræver, at alle kontroller anvendes som en del af et ISMS (Informationssikkerhedsstyringssystem) være risikobaseret. Denne betingelse kan opfyldes ved at implementere en ISO 27005-kompatibel risikostyringsramme for informationssikkerhed.

Hvorfor er ISO 27005 vigtigt for din organisation?

ISO/IEC 27005 giver dig mulighed for at udvikle den nødvendige ekspertise og erfaring til at igangsætte udviklingen af ​​en risikostyringsproces for informationssikkerhed.

Som sådan viser det, at du er i stand til at identificere, vurdere, analysere, evaluere og behandle en række informationssikkerhedstrusler, der kan påvirke din organisation. Derudover giver det dig mulighed for at hjælpe organisationer med at prioritere risici og tage proaktive foranstaltninger for at eliminere eller minimere dem.

ISO/IEC 27005 er en standard, der udelukkende er dedikeret til risikostyring af informationssikkerhed. Dokumentet er yderst nyttigt, hvis du ønsker at få en bedre forståelse af risikovurdering og behandling af informationssikkerhed – med andre ord, hvis du vil fungere som konsulent eller endda som fast informationssikkerheds-/risikoansvarlig.

ISO/IEC 27005-certifikatet bekræfter, at du har følgende:

• Har erhvervet den nødvendige ekspertise til at hjælpe en organisation med effektivt at implementere en informationsteknologisk risikostyringsproces.
• Tilegnet sig de nødvendige færdigheder til at håndtere en informationssikkerhedsrisikovurderingsproces ansvarligt og i overensstemmelse med alle gældende juridiske og regulatoriske kriterier.
• Evne til at overvåge personalet ansvarlig for netværkssikkerhed og risikokontrol.
• Evnen til at hjælpe en organisation med at tilpasse deres ISMS til ISRM-driftsmålene.

Hvordan kan ISMS.online hjælpe?

At ISMS.online, vores robuste cloud-baserede løsning forenkler ISO 27005 implementeringsprocessen. Vi tilbyder løsninger, der hjælper dig med at dokumentere dine ISMS-processer og tjeklister, så du kan demonstrere overholdelse af de relevante standarder.

Brug af vores cloud-baserede platform betyder, at du kan administrere alle dine tjeklister ét sted, samarbejde med dit team og have adgang til en rig suite af værktøjer, der gør det nemt for din organisation at designe og implementere et ISMS, der er på linje med globalt bedste praksis.

Vi har et internt team af IT-professionelle, som vil rådgive og hjælpe dig hele vejen, så dit ISMS-design og -implementering forløber uden problemer.

Kontakt ISMS.online på + 44 (0) 1273 041140 for at lære mere om, hvordan vi kan hjælpe dig med at nå dine ISO 2K7-mål.