ISO/IEC 27005

ISO/IEC 27005 "Informationstechnologie - Sicherheitstechniken - Informationssicherheitsrisikomanagement" ist ein internationaler Standard, der von der veröffentlicht wurde Internationale Standardisierungsorganisation (ISO) und die Internationale Elektrotechnische Kommission (IEC) Bereitstellung guter Praxisleitlinien zum Verwalten von Risiken für Informationen.[1] Es ist ein zentraler Teil der ISO/IEC 27000-Serie von Standards, allgemein bekannt als ISO27K.

Der Standard bietet Ratschläge zur systematischen Identifizierung, Bewertung, Bewertung und Behandlung von Informationssicherheitsrisiken - Prozesse im Mittelpunkt eines ISO27K -Informationssicherheitsmanagementsystems (ISMS). Ziel ist sicherzustellen, dass Unternehmen ihre Informationssicherheitskontrollen und andere Vereinbarungen entsprechend ihren Informationssicherheitsrisiken entwerfen, implementieren, verwalten, überwachen und verwalten.

Die aktuelle dritte Ausgabe von ISO/IEC 27005 wurde 2018 veröffentlicht. Eine vierte Ausgabe wird eingezogen[2] und soll Ende 2022 veröffentlicht werden.[3]

Überblick

ISO/IEC 27005 gibt keine spezifischen Risikomanagementmethoden im Detail an oder empfiehlt sie nicht. Stattdessen wird der Prozess allgemeiner/insgesamt erörtert und auf die von ISO 31000 beschriebene generische Risikomanagementmethode zurückgegriffen[4] d.h.:

  • Die Risiken identifizieren und bewerten;
  • Entscheiden Sie, was Sie mit den Risiken tun sollen (wie Sie sie "behandeln") ... und tun Sie es;
  • Überwachen Sie die Risiken, Risikobehandlungen usw., identifizieren und reagieren Sie angemessen auf erhebliche Änderungen, Probleme/Bedenken oder Verbesserungsmöglichkeiten;
  • Halten Sie die Interessengruppen (hauptsächlich über das Management der Organisation) informiert während des gesamten Prozesses.

Innerhalb dieses breiten Rahmens werden Organisationen ermutigt, die Methoden, Strategien und/oder Ansätze für Informationsrisikomanagement zu entwickeln/zu entwickeln und zu verwenden, die am besten zu ihren jeweiligen Bedürfnissen entsprechen - zum Beispiel:[5]

  • Ermittlung der Möglichkeit verschiedener Vorfälle, Situationen oder Szenarien, die die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Informationen beeinträchtigen oder schädigen;
  • Bewertung der Bedrohungen an Schwachstellen innerhalb und der geschäftlichen Auswirkungen, die möglicherweise aus Vorfällen mit IT -Systemen und -Netzwerken sowie manueller Informationsverarbeitung, Informationen auf Papier oder in Wörtern und Bildern sowie immateriellen Informationen wie Wissen, geistiges Eigentum usw. auswirken;
  • Berücksichtigung von Faktoren, die vollständig unter der Kontrolle der Organisation liegen, vollständig außerhalb ihrer Kontrolle oder teilweise kontrollierbar;
  • Ermittlung der absoluten oder relativen Werte verschiedener Formen, Typen oder Informationskategorien für die Organisation, in der bestimmten Informations- und Informationsverarbeitung, die für die Erreichung wichtiger Geschäftsziele von entscheidender Bedeutung sind;
  • Dimensionierungsinformationsrisiken unter Verwendung quantitativer oder qualitativer/vergleichender Methoden zur Schätzung/Bestimmung der Wahrscheinlichkeit/Wahrscheinlichkeit verschiedener Arten von Vorfällen und der organisatorischen Auswirkungen, wenn sie auftreten;
  • Berücksichtigung und Verwaltung von Informationsrisiken in Bezug auf andere Arten (z. B. strategische, gewerbliche/Markt, Produkt, IT, Gesundheit und Sicherheit sowie legale/regulatorische Einhaltung von Risiken);
  • Anwendung/Anpassung von Risikomanagementmethoden und -ansätzen, die bereits von der Organisation verwendet werden, gute Praktiken anwenden oder neue/hybride Ansätze entwickeln;
  • Entscheidung, ob Sie die Risiken vermeiden möchten (normalerweise durch Starten oder Ausziehen von riskanten Aktivitäten), diese mit Dritten (z. Appetit/Toleranzkriterien;
  • Priorisierung entsprechend der Bedeutung oder Art der Risiken sowie der Kosteneffizienz oder anderen Auswirkungen der betrachteten Risikobehandlungen, Planung, sie entsprechend zu behandeln, Ressourcen usw. zuzuweisen;
  • Minderung von Informationsrisiken durch Reduzierung ihrer Wahrscheinlichkeit und/oder Auswirkungen auf verschiedene Weise, z. Auswahl automatisierter, manueller, physischer oder administrativer Steuerelemente, die vorbeugend, detektiv oder korrigierend sind;
  • Umgang mit Unsicherheiten, einschließlich solcher innerhalb des Risikomanagementprozesses selbst (z. B. das Auftreten von unerwarteten Vorfällen, unglücklichen Zufällen, Urteilsfehlern und teilweise oder vollständiges Versagen von Kontrollen);
  • Gewissheit durch Tests, Bewertung, Bewertung, Überprüfungen, Audits usw., dass die gewählten Risikobehandlungen angemessen sind und in der Praxis ausreichend wirksam bleiben;
  • Einhaltung der relevanten Anforderungen oder Verpflichtungen, die durch die Organisation durch verschiedene Gesetze, Vorschriften, Verträge, Vereinbarungen, Standards, Codes usw. auferlegt oder freiwillig akzeptiert werden (z. B. Datenschutzgesetze, PCI-DSS, ethische und ökologische Überlegungen);
  • Lernen aus Erfahrung (einschließlich Vorfällen der Organisation sowie Nahmis und jenen, die vergleichbare Organisationen betreffen) und sich kontinuierlich verbessern.

Ziele

Das ISO/IEC 27000-Serie Standards gelten für alle Arten und Organisationsgrößen - eine sehr vielfältige Gruppe. Daher wäre es nicht angemessen, bestimmte Ansätze, Methoden, Risiken oder Kontrollen für alle zu erzwingen. Stattdessen bieten die Standards allgemeine Leitlinien unter dem Dach eines Managementsystems. Manager werden ermutigt, strukturierte Methoden zu befolgen, die für relevant sind und für angemessen sind die besondere Situation ihrer Organisationrational und systematisch mit ihren Informationsrisiken.

Das Identifizieren und Einbringen von Informationsrisiken zur Kontrolle des Managements trägt dazu bei, dass sie angemessen behandelt werden, so dass sie auf Veränderungen reagiert und die Verbesserungsmöglichkeiten nutzt, die im Laufe der Zeit zu einer größeren Reife und Wirksamkeit der ISMS führen.

Struktur und Inhalt des Standards

ISO/IEC 27005: 2018 hat die konventionelle Struktur, die anderen ISO/IEC -Standards gemeinsam ist, mit den folgenden Hauptabschnitten:[6]

  1. Hintergrund
  2. Überblick über den Prozess des Risikomanagements des Informationssicherheitsrisikos
  3. Kontextaufbau
  4. Bewertung der Risikobewertung des Informationssicherheitsrisikos
  5. Behandlung von Informationssicherheitsrisiken
  6. Akzeptanz des Informationssicherheitsrisikos
  7. Informationssicherheit Risikokommunikation und Beratung
  8. Überwachung und Überprüfung des Informationssicherheitsrisikos

Und sechs Anhänge:

  1. Definieren des Umfangs und der Grenzen des Risikomanagementprozesses des Informationssicherheitsrisikos
  2. Identifizierung und Bewertung von Vermögenswerten und Folgenabschätzung
  3. Beispiele für typische Bedrohungen
  4. Schwachstellen und Methoden für die Bewertung der Verwundbarkeit
  5. Ansätze zur Bewertung des Informationssicherheitsrisikobewertungsansatzes
  6. Einschränkungen für die Risikoänderung

Verweise

  1. ^ "ISO/IEC 27005: 2018". ISO.org. Abgerufen 17. April 2021.
  2. ^ "ISO/IEC 27005 in Kürze". ISO.org. Abgerufen 17. April 2021.
  3. ^ "ISO/IEC 27005". ISO27001security.com. Abgerufen 17. April 2021.
  4. ^ "ISO 31000 Risikomanagement". ISO.org. Abgerufen 17. April 2021.
  5. ^ "ISO27K FAQ". ISO27001security.com. Abgerufen 17. April 2021.
  6. ^ "ISO -Vorschau von 27005: 2018". ISO.org. Abgerufen 17. April 2021.