ISO/IEC 27005

ISO/IEC 27005:2018 – standard pro analýzu informačních rizik


ISO/IEC 27005:2018 Information technology – Security techniques – Information security risk management
 poskytuje doporučení a techniky pro analýzy informačních rizik. Jejím základem jsou revize dříve vydaných norem ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000 a využití některých pasáží BS 7799-3.

Norma obsahuje doporučení pro řízení rizik bezpečnosti informací s ohledem na požadavky ISMS dle ISO/IEC 27001.

Mezi činnosti řízení rizik, které jsou definovány normou, patří:

  • Stanovení kontextu vymezení základních kritérií pro řízení bezpečnosti informací, definice rozsahu a hranic, a stanovení organizační struktury pro řízení rizik.
  • Hodnocení rizik  identifikace rizik, kvantifikace nebo kvalitativní popis rizik a prioritizace rizik v souladu s kritérii a cíli hodnocení rizik.
  • Zvládání rizik  výběr protiopatření k redukci, podstoupení, vyvarování se nebo přenosu rizik a definice plánu zvládání rizik.
  • Akceptace rizik  učinění a formální zaznamenání rozhodnutí akceptace rizika a odpovědností za tato rozhodnutí.
  • Seznámení s riziky  výměna a/nebo sdílení informací o rizicích.
  • Monitorování a přezkoumávání rizik  monitorování a přezkoumávání rizik a jejich faktorů.

První verze normy vyšla v roce 2008, druhá v červnu 2011, třetí v červenci 2018.
Společnost RAC provedla překlad a lokalizaci normy pro Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (verze normy z roku 2008 a 2011).

Menu
WordPress Appliance - Powered by TurnKey Linux