Publikacja normy ISO/IEC 27005:2011

Publikacja normy ISO/IEC 27005:2011

Opublikowana została międzynarodowa norma ISO/IEC 27005:2011, która dostarcza menedżerom i pracownikom działów IT strukturę dla wdrożenia podejścia do zarządzania ryzykiem. To podejście ma pomóc w zarządzaniu ryzykiem systemu zarządzania bezpieczeństwem informacji (ISMS).

 

Zagrożenia dla bezpieczeństwa informacji stanowią poważny problem dla firm ze względu na możliwość strat finansowych, utratę niezbędnych usług sieciowych czy reputacji i zaufania klientów. Zarządzanie ryzykiem jest jednym z kluczowych elementów w zapobieganiu oszustwom internetowym, kradzieżom tożsamości, uszkodzeniom witryn sieci Web, utratą danych osobowych i wielu innych incydentów związanych z bezpieczeństwem informacji. Bez solidnej struktury zarządzania ryzykiem, organizacje narażają się na wiele rodzajów zagrożeń cybernetycznych.

 

Nowa międzynarodowa norma ISO/IEC 27005:2011, Technologia informatyczna - Techniki bezpieczeństwa - zarządzanie bezpieczeństwem informacji ma na celu pomóc organizacjom wszelkich typów lepiej zarządzać bezpieczeństwem informacji.

 

Edward Humphreys, szef grupy roboczej ISO/IEC, która opracowała normę komentuje: "ISO/IEC 27005:2011 jest podstawową  normą dla tych organizacji, które chcą zarządzać swoim ryzykiem skutecznie, w szczególności, do wykazania zgodności z popularną normą zarządzania bezpieczeństwem informacji - ISO/IEC 27001. Zarządzanie ryzykiem ma kluczowe znaczenie dla dobrego zarządzania firmą i ta norma pomaga organizacjom przez wskazówki "co, jak i dlaczego" zarządzać ryzykiem bezpieczeństwa informacji w celu wsparcia celów biznesowych."

 

Obecna druga edycja normy, została poddana przeglądowi i aktualizacji między innymi w celu uwzględnienia treści następujących publikacji  dotyczących zarządzania ryzykiem:

  • ISO 31000:2009, Zarządzanie ryzykiem - Zasady i wytyczne
  • ISO/IEC 31010:2009, Zarządzanie ryzykiem - Techniki oceny ryzyka
  • ISO Guide73:2009, Zarządzanie ryzykiem - Słownictwo

 

Norma ISO/IEC 27005  jest przeznaczona do wspólnego stosowania z ISO 31000:2009 w celu pomocy organizacjom, które chcą zarządzać ryzykiem bezpieczeństwa informacji w podobny sposób jak zarządzają "innymi" zagrożeniami.

 

ISO/IEC 27005:2011 pomoże we wdrożeniu normy ISO/IEC 27001 (system zarządzania bezpieczeństwem informacji), która opiera się na podejściu do zarządzania ryzykiem. Znajomość pojęć, modeli, procesów i terminologii określonych w normie ISO/IEC 27001 oraz ISO/IEC 27002 jest istotna dla pełnego zrozumienia niniejszej normy międzynarodowej. Proces zarządzania ryzykiem bezpieczeństwem informacji składa się z następujących elementów:

  • Ustanowienia kontekstu
  • Oceny ryzyka
  • Postępowania z ryzykiem
  • Akceptacji ryzyka
  • Informowanie o ryzyku i
  • Monitorowanie oraz przegląd ryzyka.

 

Jednakże, ISO/IEC 27005:2011 nie zapewnia żadnych szczegółowych metod zarządzania ryzykiem bezpieczeństwa informacji, a jedynie podejście. Od organizacji zależy zdefiniowanie swojego stanowiska do zarządzania ryzykiem, w zależności od na przykład: zakresu systemu zarządzania bezpieczeństwem informacji, kontekstu zarządzania ryzykiem czy sektora przemysłu. 

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności