ISO/IEC 27005 InfoSec Risk Management

Hva er ISO 27005?

ISO 27005 er en internasjonal standard som skisserer prosedyrene for å gjennomføre en informasjonssikkerhetsrisikovurdering i samsvar med ISO 27001. Som tidligere sagt er risikovurderinger en kritisk komponent i en organisasjons ISO 27001 compliance initiativ. ISO 27001 lar deg vise bevis på risikovurdering for informasjonssikkerhetsrisikostyring, tiltak som er tatt og anvendelse av gjeldende kontroller fra vedlegg A.

• ISO 27005-retningslinjer er en undergruppe av et bredere spekter av beste praksis for å forhindre datainnbrudd i organisasjonen din.
• Spesifikasjonen gir veiledning om formell identifisering, vurdering, evaluering og behandling av informasjonssikkerhetssårbarheter – prosedyrer som er sentrale for en ISO27k styringssystem for informasjonssikkerhet (ISMS).
• Målet er å sikre at organisasjoner rasjonelt planlegger, utfører, administrerer, overvåker og administrere informasjonssikkerhetskontrollene deres og andre ordninger i forhold til deres informasjonssikkerhetsrisikoer.
• Som med de andre standardene i serien, definerer ikke ISO 27005 en klar vei til samsvar. Den anbefaler ganske enkelt beste praksis som passer inn i alle standard ISMS.

Hva er risikostyring for informasjonssikkerhet?

ISRM, eller informasjonssikkerhetsrisiko ledelse, er praksisen med å identifisere og redusere risikoer knyttet til bruk av informasjonsteknologi. Det innebærer å identifisere, vurdere og redusere trusler mot en organisasjons konfidensialitet, omdømme og tilgjengelighet av eiendeler. Dette sluttresultatet er å håndtere risikoer i tråd med en organisasjons samlede risikotoleranse. Bedrifter forventer ikke å utrydde alle risikoer; snarere bør de strebe etter å definere og opprettholde et risikonivå som er passende for deres selskap.

ISO 27005 og informasjonssikkerhetsrisikostyring

Mens beste praksis for risikostyring har utviklet seg over tid for å møte individuelle behov i en rekke områder og bransjer gjennom bruk av en rekke forskjellige metoder, kan implementering av konsistente prosesser innenfor et overordnet rammeverk bidra til å sikre at risikoer håndteres pålitelig, nøyaktig, og forståelig i organisasjonen. ISO 27005 spesifiserer disse standardiserte rammeverkene. ISO 27005 definerer beste praksis for risikostyring som er skreddersydd primært for informasjonssikkerhetsrisikostyring, med spesiell vekt på å overholde standardene til en Informasjonssikkerhetsstyringssystem (ISMS), som kreves av ISO/IEC 27001.

Den spesifiserer at beste praksis for risikostyring bør etableres i samsvar med organisasjonens egenskaper, og tar hensyn til kompleksiteten til organisasjonens styringssystem for informasjonssikkerhet, omfanget av risikostyring og industrien. Selv om ISO 27005 ikke definerer en bestemt risikostyringstilnærming, støtter den en kontinuerlig risikostyringstilnærming basert på seks kritiske komponenter:

Kontekst Etablering

De risikovurdering kontekst etablerer retningslinjene for å identifisere risikoer, bestemme hvem som er ansvarlig for risikoeierskap, bestemme hvordan risikoer påvirker konfidensialitet, integritet og tilgjengelighet av informasjon, og beregne risikoeffekt og sannsynlighet.

Aksept for informasjonssikkerhetsrisiko

Organisasjoner bør etablere sine egne risikoakseptkrav som tar hensyn til gjeldende strategier, prioriteringer, mål og aksjonærinteresser. Det betyr å dokumentere alt. Ikke bare for revisorene, men slik at du kan henvise til dem i fremtiden om nødvendig.

Informasjonssikkerhetsrisikoovervåking og gjennomgang

Risikoer er dynamiske og kan endre seg raskt. Som et resultat bør de være det aktivt overvåket for å oppdage skift lett og opprettholde et fullstendig bilde av risikoene. I tillegg bør organisasjoner følge nøye med på følgende: Eventuelle nye eiendeler som bringes inn i domenet for risikostyring; Eiendelsverdier som må justeres for å reflektere endrede forretningskrav; Nye risikoer, eksterne eller interne, som ennå ikke er evaluert; og hendelser som involverer informasjonssikkerhet.

Informasjonssikkerhet Risikokommunikasjon

Effektiv risikokommunikasjon og rådgivning er kritiske komponenter i risikostyringsprosessen for informasjonssikkerhet. Den garanterer at personer som er ansvarlige for risikostyring forstår begrunnelsen for beslutninger og årsakene til slike handlinger. Å dele og utveksle ideer om risiko hjelper også beslutningstakere og andre interessenter til å oppnå enighet om hvordan de skal håndtere risiko. Kontinuerlig risikokommunikasjon bør praktiseres, og organisasjoner bør etablere risikokommunikasjonsstrategier for både rutineprosedyrer og nødsituasjoner.

Hva er omfanget og formålet med ISO 27005?

De ISO / IEC 27000 sett med retningslinjer gjelder for alle typer og størrelser av organisasjoner – en svært dynamisk kategori, som er grunnen til at det ville være upassende å kreve enhetlige tilnærminger, prosesser, risikoer og kontroller.

Ut over det gir prinsippene brede retningslinjer innenfor rammen av et styringsrammeverk. Ledere oppfordres til å bruke formelle tilnærminger som er anvendelige for og egnet for deres organisasjons unike omstendigheter, rasjonelt og metodisk takle risikoer til informasjon.

Å identifisere og sette informasjonsrisikoer under ledelsesovervåking gjør at de kan administreres effektivt, på en måte som tilpasser seg trender og utnytter vekstmuligheter, noe som resulterer i at ISMS utvikler seg og blir mer vellykket over tid.

ISO 27005 forenkler videre samsvar med ISO 27001, siden sistnevnte spesifikasjon krever at alle kontroller brukes som en del av et ISMS (Administrasjonssystem for informasjonssikkerhet) være risikobasert. Denne betingelsen kan oppfylles ved å implementere et ISO 27005-kompatibelt risikostyringsrammeverk for informasjonssikkerhet.

Hvorfor er ISO 27005 viktig for organisasjonen din?

ISO/IEC 27005 lar deg utvikle den nødvendige kompetansen og erfaringen for å sette i gang utviklingen av en risikostyringsprosess for informasjonssikkerhet.

Som sådan viser det at du er i stand til å identifisere, vurdere, analysere, evaluere og behandle en rekke informasjonssikkerhetstrusler som kan påvirke organisasjonen din. I tillegg lar det deg hjelpe organisasjoner med å prioritere risikoer og ta proaktive tiltak for å eliminere eller minimere dem.

ISO/IEC 27005 er en standard viet utelukkende til informasjonssikkerhetsrisikostyring. Dokumentet er svært nyttig hvis du ønsker å få en bedre forståelse av risikovurdering og behandling av informasjonssikkerhet – med andre ord, hvis du ønsker å fungere som konsulent eller til og med som permanent informasjonssikkerhets-/risikoansvarlig.

ISO/IEC 27005-sertifikatet bekrefter at du har følgende:

• Anskaffet den nødvendige ekspertisen for å hjelpe en organisasjon med å effektivt implementere en risikostyringsprosess for informasjonsteknologi.
• Tilegnet seg ferdighetene som er nødvendige for å håndtere en risikovurderingsprosess for informasjonssikkerhet på en ansvarlig måte og i samsvar med alle gjeldende juridiske og regulatoriske kriterier.
• Kapasitet til å føre tilsyn med ansatte ansvarlig for nettverkssikkerhet og risikokontroll.
• Kapasiteten til å hjelpe en organisasjon med å tilpasse ISMS-en deres til ISRM-driftsmålene.

Hvordan kan ISMS.online hjelpe?

At ISMS.online, vår robuste skybaserte løsning forenkler implementeringsprosessen for ISO 27005. Vi tilbyr løsninger som hjelper deg med å dokumentere dine ISMS-prosesser og sjekklister slik at du kan demonstrere samsvar med de relevante standardene.

Å bruke vår skybaserte plattform betyr at du kan administrere alle sjekklistene dine på ett sted, samarbeide med teamet ditt og ha tilgang til en rik pakke med verktøy som gjør det enkelt for organisasjonen din å designe og implementere et ISMS som er i tråd med globale beste praksis.

Vi har et internt team av IT-eksperter som vil gi råd og hjelpe deg hele veien slik at din ISMS-design og implementering går uten problemer.

Kontakt ISMS.online på + 44 (0) 1273 041140 for å lære mer om hvordan vi kan hjelpe deg med å nå dine ISO 2K7-mål.