ISO / IEC 27005 - это набор стандартов Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC), который предоставляет руководящие принципы и методы управления рисками информационной безопасности. ISO / IEC 27005 разработан, чтобы помочь в реализации информационной безопасности на основе подхода к управлению рисками.
ISO / IEC 27005 является частью более широкого набора стандартов в системе менеджмента информационной безопасности (СМИБ), серии ISO / IEC 27000.
. 32>ISO / IEC 27000, он указан как ISO / IEC 27005 «Управление рисками информационной безопасности». Стандарты ISO / IEC 27001 и ISO / IEC 27002 служат основой для полного понимания ISO / IEC 27005.
Третья редакция ISO / IEC 27005 была опубликована в 2018 году, а четвертая редакция находится на стадии разработки.
ISO / IEC 27005 - это стандарт, который не указать или рекомендовать любые методы управления рисками. Это постоянный процесс, состоящий из структурированной последовательности действий. Некоторые из этих структурированных действий включают:
Его основная цель - улучшить управление рисками информационной безопасности (СМИБ) в любой компании или организации. Кроме того, это подразумевает определенную методологию для каждой проблемы информационной безопасности. Стандарт ISO / IEC 27005 в основном применяется к компаниям, хотя он полезен для организаций любого типа, которые хотят улучшить свою систему управления информационной безопасностью (СМИБ). Компании и организации с проблемами СМИБ могут сосредоточиться на отдельных факторах, таких как фактический объем СМИБ или коммерческий сектор самой отрасли, а не на применении всей методологии стандарта.
Для получения определенных преимуществ можно получить сертификат ISO / IEC 27005. Например, навыки, полученные в результате этой сертификации, могут быть использованы для поддержки эффективного внедрения процесса управления рисками информационной безопасности в организации. Кроме того, полученные знания можно использовать для ответственного управления процессом управления рисками информационной безопасности и обеспечения соблюдения законодательных и нормативных требований. Сертификат также может предоставить возможность управлять группой управления информационной безопасностью и рисками, а также возможность поддерживать организацию в согласовании ее целей СМИБ с целями процесса ISRM. Совет по личной оценке и сертификации (PECB) - это организация, которая проводит обучение в соответствии с ISO.
.