ISO/IEC 27005 InfoSec Risk Management

Vad är ISO 27005?

ISO 27005 är en internationell standard som beskriver rutinerna för att genomföra en informationssäkerhetsriskbedömning i enlighet med ISO 27001. Som tidigare sagt är riskbedömningar en kritisk komponent i en organisations ISO 27001-efterlevnadsinitiativ. ISO 27001 låter dig visa bevis på riskbedömning för riskhantering för informationssäkerhet, vidtagna åtgärder och tillämpning av tillämpliga kontroller från bilaga A.

• ISO 27005-riktlinjer är en delmängd av ett bredare utbud av bästa praxis för att förhindra dataintrång i din organisation.
• Specifikationen ger vägledning om formell identifiering, bedömning, utvärdering och behandling av sårbarheter i informationssäkerhet – procedurer som är centrala för en ISO27k ledningssystem för informationssäkerhet (ISMS).
• Dess mål är att säkerställa att organisationer rationellt planerar, genomför, administrerar, övervakar och hantera sina kontroller av informationssäkerhet och andra arrangemang i samband med deras informationssäkerhetsrisker.
• Precis som med de andra standarderna i serien, definierar ISO 27005 ingen tydlig väg till efterlevnad. Den rekommenderar helt enkelt bästa praxis som passar in i alla standard ISMS.

Vad är informationssäkerhetsriskhantering?

ISRM, eller informationssäkerhetsrisk management, är praxis att identifiera och minska risker relaterade till användningen av informationsteknologi. Det innebär att identifiera, bedöma och mildra hot mot en organisations konfidentialitet, rykte och tillgångar. Detta slutresultat är att hantera risker i linje med en organisations övergripande risktolerans. Företag förväntar sig inte att utrota alla risker; snarare bör de sträva efter att definiera och upprätthålla en risknivå som är lämplig för deras företag.

ISO 27005 och Information Security Risk Management

Medan bästa praxis för riskhantering har utvecklats över tid för att tillgodose individuella behov inom en mängd olika områden och branscher genom användning av en mängd olika metoder, kan implementeringen av konsekventa processer inom ett övergripande ramverk bidra till att säkerställa att risker hanteras på ett tillförlitligt, korrekt sätt, och förståeligt inom organisationen. ISO 27005 specificerar dessa standardiserade ramverk. ISO 27005 definierar bästa praxis för riskhantering som i första hand är skräddarsydd för informationssäkerhetsriskhantering, med särskild tonvikt på att överensstämma med standarderna för en Information Security Management System (ISMS), som krävs enligt ISO/IEC 27001.

Den specificerar att bästa praxis för riskhantering bör fastställas i överensstämmelse med organisationens egenskaper, med hänsyn till komplexiteten i organisationens ledningssystem för informationssäkerhet, riskhanteringens omfattning och branschen. Även om ISO 27005 inte definierar en viss riskhanteringsmetod, stöder den en kontinuerlig riskhanteringsmetod baserad på sex kritiska komponenter:

Kontext Etablering

Smakämnen riskbedömning Context fastställer riktlinjerna för att identifiera risker, bestämma vem som är ansvarig för riskägandet, bestämma hur risker påverkar sekretessen, integriteten och tillgängligheten av information, samt beräkna riskeffekt och sannolikhet.

Informationssäkerhetsriskacceptans

Organisationer bör fastställa sina egna riskacceptanskrav som tar hänsyn till nuvarande strategier, prioriteringar, mål och aktieägarnas intressen. Det innebär att dokumentera allt. Inte bara för revisorerna utan för att man ska kunna hänvisa till dem i framtiden om det skulle behövas.

Informationssäkerhetsriskövervakning och granskning

Risker är dynamiska och kan förändras snabbt. Som ett resultat borde de vara det aktivt övervakas för att enkelt upptäcka förskjutningar och upprätthålla en fullständig bild av riskerna. Organisationer bör dessutom hålla noggrann koll på följande: Alla nya tillgångar som tas in i riskhanteringsområdet; Tillgångsvärden som behöver justeras för att återspegla förändrade affärskrav; Nya risker, externa eller interna, som ännu inte har utvärderats; och incidenter som rör informationssäkerhet.

Informationssäkerhetsriskkommunikation

Effektiv riskkommunikation och rådgivning är kritiska komponenter i riskhanteringsprocessen för informationssäkerhet. Det garanterar att personer som ansvarar för riskhantering förstår motiveringen för beslut och skälen till sådana åtgärder. Att dela och utbyta idéer om risker hjälper också beslutsfattare och andra intressenter att nå enighet om hur de ska hantera risker. Kontinuerlig riskkommunikation bör övas, och organisationer bör upprätta riskkommunikationsstrategier för både rutinprocedurer och nödsituationer.

Vad är omfattningen och syftet med ISO 27005?

Smakämnen ISO / IEC 27000 uppsättning riktlinjer gäller för alla typer och storlekar av organisationer – en mycket dynamisk kategori, varför det skulle vara olämpligt att kräva enhetliga tillvägagångssätt, processer, risker och kontroller.

Utöver det erbjuder principerna breda riktlinjer inom ramen för ett förvaltningsramverk. Chefer uppmanas att använda formella tillvägagångssätt som är tillämpliga på och lämpliga för deras organisations unika förutsättningar, rationellt och metodiskt hantera risker till information.

Genom att identifiera och lägga informationsrisker under ledningens tillsyn kan de hanteras effektivt, på ett sätt som anpassar sig till trender och drar nytta av tillväxtmöjligheter, vilket resulterar i att ISMS utvecklas och blir mer framgångsrikt med tiden.

ISO 27005 underlättar ytterligare överensstämmelse med ISO 27001, eftersom den senare specifikationen kräver att alla kontroller tillämpas som en del av ett ISMS (hanteringssystem för informationssäkerhet) vara riskbaserad. Detta villkor kan uppfyllas genom att implementera en ISO 27005-kompatibel riskhanteringsram för informationssäkerhet.

Varför är ISO 27005 viktigt för din organisation?

ISO/IEC 27005 tillåter dig att utveckla den kompetens och erfarenhet som krävs för att initiera utvecklingen av en riskhanteringsprocess för informationssäkerhet.

Som sådan visar det att du är kapabel att identifiera, bedöma, analysera, utvärdera och behandla en mängd olika informationssäkerhetshot som kan påverka din organisation. Dessutom låter det dig hjälpa organisationer att prioritera risker och vidta proaktiva åtgärder för att eliminera eller minimera dem.

ISO/IEC 27005 är en standard som uteslutande ägnar sig åt riskhantering för informationssäkerhet. Dokumentet är mycket användbart om du vill få en bättre förståelse för riskbedömning och behandling av informationssäkerhet – med andra ord om du vill fungera som konsult eller till och med som permanent informationssäkerhets-/riskhanterare.

ISO/IEC 27005-certifikatet bekräftar att du har följande:

• Skaffade erforderlig expertis för att hjälpa en organisation att effektivt implementera en riskhanteringsprocess för informationsteknologi.
• Förvärvade de färdigheter som krävs för att hantera en riskbedömningsprocess för informationssäkerhet på ett ansvarsfullt sätt och i enlighet med alla tillämpliga juridiska och regulatoriska kriterier.
• Förmåga att övervaka personal ansvarig för nätverkssäkerhet och riskkontroll.
• Förmågan att hjälpa en organisation att anpassa sin ISMS till ISRM-driftsmålen.

Hur kan ISMS.online hjälpa?

At ISMS.online, vår robusta molnbaserade lösning förenklar implementeringsprocessen för ISO 27005. Vi erbjuder lösningar som hjälper dig att dokumentera dina ISMS-processer och checklistor så att du kan visa efterlevnad av relevanta standarder.

Att använda vår molnbaserade plattform innebär att du kan hantera alla dina checklistor på ett ställe, samarbeta med ditt team och ha tillgång till en rik uppsättning verktyg som gör det enkelt för din organisation att designa och implementera ett ISMS som är i linje med globalt bästa praxis.

Vi har ett internt team av IT-proffs som kommer att ge råd och hjälpa dig hela vägen så att din ISMS-design och implementering går utan problem.

Kontakta ISMS.online på + 44 (0) 1273 041140 för att lära dig mer om hur vi kan hjälpa dig att nå dina ISO 2K7-mål.