ISO/IEC 27005
ISO/IEC 27005 ist ein internationaler Standard für das Management von Informationssicherheitsrisiken. Er bietet Richtlinien für das Management von Informationssicherheitsrisiken in einer Organisation und unterstützt die Anforderungen eines Informationssicherheits-Managementsystems (ISMS), wie es in ISO/IEC 27001 definiert ist.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Der Zweck von ISO/IEC 27005 besteht darin, Organisationen dabei zu unterstützen, einen systematischen Ansatz zur Verwaltung und Behandlung von Informationssicherheitsrisiken zu etablieren. Der Standard gibt keinen einheitlichen Ansatz vor, sondern ermutigt Organisationen, die Richtlinien an ihre spezifischen Bedürfnisse anzupassen. Er hilft Organisationen, Risiken im Zusammenhang mit der Sicherheit ihrer Informationen zu identifizieren, zu analysieren, zu bewerten und zu behandeln.
Federführende Organisation
Der Standard wird von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht.
Letzte Aktualisierung
ISO/IEC 27005 wurde ursprünglich 2018 veröffentlicht. Der Standard wird alle fünf Jahre überprüft und 2022 überarbeitet. Lesen Sie mehr über die neuesten Updates und Überarbeitungen von ISO/IEC 27005 auf unserem Blog.
Zutreffend für
ISO/IEC 27005 gilt für alle Organisationen, unabhängig von Größe, Art oder Natur, die Risiken innerhalb des Rahmens eines ISMS systematisch managen möchten. Er ist relevant für Organisationen, die Informationssicherheitsrisiken managen, unabhängig davon, ob es sich um private, gemeinnützige oder staatliche Einrichtungen handelt.
Kontrollen und Anforderungen
ISO/IEC 27005 enthält keine vorschreibende Liste von Kontrollen; stattdessen konzentriert es sich auf den Risikomanagementprozess und bietet Leitlinien zu Aktivitäten, die Folgendes umfassen:
- Festlegung des Kontexts: Definition der Grenzen und des Umfangs des Risikomanagements sowie der Risikokriterien.
- Risikobewertung: Identifizierung, Analyse und Bewertung von Risiken.
- Risikobehandlung: Auswahl und Implementierung der geeigneten Risikobehandlungsoptionen.
- Risikobewertung: Akzeptanz der verbleibenden Risiken nach der Behandlung.
- Risikokommunikation und Konsultation: Sicherstellung, dass die Interessengruppen über die Risiken und Risikomanagementaktivitäten informiert sind.
- Risikomonitoring und -überprüfung: Fortlaufende Überwachung und Überprüfung der Risikoumgebung, der Behandlungspläne und der Wirksamkeit der Kontrollen.
Bitte beziehen Sie sich auf die offizielle ISO/IEC 27005:2022 Dokumentation für Details zu Kontrollen und Anforderungen.
Audittyp, Häufigkeit und Dauer
Der Audit-Prozess für ISO/IEC 27005 beinhaltet in der Regel die Überprüfung der Risikomanagementpraktiken und -verfahren innerhalb einer Organisation, um sicherzustellen, dass sie dem Standard entsprechen. Risikobewertungen werden oft jährlich oder immer dann durchgeführt, wenn wesentliche Änderungen innerhalb der Organisation oder ihrer Betriebsumgebung auftreten, die die Risikolandschaft beeinflussen könnten.
Die Dauer des Risikomanagement-Audit-Prozesses variiert je nach Größe und Komplexität der Organisation, dem Umfang der Risikomanagementaktivitäten und dem Reifegrad des bestehenden ISMS.