Definition und Zweck

Der Zweck von ISO/IEC 27005 besteht darin, Organisationen dabei zu unterstützen, einen systematischen Ansatz zur Verwaltung und Behandlung von Informationssicherheitsrisiken zu etablieren. Der Standard gibt keinen einheitlichen Ansatz vor, sondern ermutigt Organisationen, die Richtlinien an ihre spezifischen Bedürfnisse anzupassen. Er hilft Organisationen, Risiken im Zusammenhang mit der Sicherheit ihrer Informationen zu identifizieren, zu analysieren, zu bewerten und zu behandeln.

Federführende Organisation

Der Standard wird von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht.

Letzte Aktualisierung

ISO/IEC 27005 wurde ursprünglich 2018 veröffentlicht. Der Standard wird alle fünf Jahre überprüft und 2022 überarbeitet. Lesen Sie mehr über die neuesten Updates und Überarbeitungen von ISO/IEC 27005 auf unserem Blog.

Zutreffend für

ISO/IEC 27005 gilt für alle Organisationen, unabhängig von Größe, Art oder Natur, die Risiken innerhalb des Rahmens eines ISMS systematisch managen möchten. Er ist relevant für Organisationen, die Informationssicherheitsrisiken managen, unabhängig davon, ob es sich um private, gemeinnützige oder staatliche Einrichtungen handelt.

Kontrollen und Anforderungen

ISO/IEC 27005 enthält keine vorschreibende Liste von Kontrollen; stattdessen konzentriert es sich auf den Risikomanagementprozess und bietet Leitlinien zu Aktivitäten, die Folgendes umfassen:

• Festlegung des Kontexts: Definition der Grenzen und des Umfangs des Risikomanagements sowie der Risikokriterien.
• Risikobewertung: Identifizierung, Analyse und Bewertung von Risiken.
• Risikobehandlung: Auswahl und Implementierung der geeigneten Risikobehandlungsoptionen.
• Risikobewertung: Akzeptanz der verbleibenden Risiken nach der Behandlung.
• Risikokommunikation und Konsultation: Sicherstellung, dass die Interessengruppen über die Risiken und Risikomanagementaktivitäten informiert sind.
• Risikomonitoring und -überprüfung: Fortlaufende Überwachung und Überprüfung der Risikoumgebung, der Behandlungspläne und der Wirksamkeit der Kontrollen.

Bitte beziehen Sie sich auf die offizielle ISO/IEC 27005:2022 Dokumentation für Details zu Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Der Audit-Prozess für ISO/IEC 27005 beinhaltet in der Regel die Überprüfung der Risikomanagementpraktiken und -verfahren innerhalb einer Organisation, um sicherzustellen, dass sie dem Standard entsprechen. Risikobewertungen werden oft jährlich oder immer dann durchgeführt, wenn wesentliche Änderungen innerhalb der Organisation oder ihrer Betriebsumgebung auftreten, die die Risikolandschaft beeinflussen könnten.

Die Dauer des Risikomanagement-Audit-Prozesses variiert je nach Größe und Komplexität der Organisation, dem Umfang der Risikomanagementaktivitäten und dem Reifegrad des bestehenden ISMS.