|
Norma ISO/IEC 27005 Information Security Risk Management zastępuje TR 13335-3:1998 oraz TR 13335-4:2000. Międzynarodowa norma dostarcza wytyczne, schematy oraz przykłady zarządzania ryzykiem bezpieczeństwa informacji w organizacji, szczególnie w odniesieniu do wymagań normy ISO/IEC 27001.
Norma ma wspierać organizacje w przeprowadzeniu rzetelnej oceny ryzyka w ramach opracowywanego systemu zarządzania bezpieczeństwem informacji i polityki bezpieczeństwa informacji w oparciu o normy ISO/IEC 27001 oraz ISO/IEC 27002. Ma ułatwić osobom odpowiedzialnym w organizacji zdefiniowanie odpowiedniego podejścia do zarządzania ryzykiem, kontekstu zarządzania ryzykiem, a w szczególności:
• podstawowych kryteriów zarządzania ryzykiem oraz zakresu
• ustaleń organizacyjnych
• szacowania ryzyka tj. analizy i jego oceny
• postępowania z ryzykiem
• monitorowania i przeglądu ryzyka.
Norma ma wspierać firmy w przeprowadzeniu rzetelnej oceny ryzyka w ramach opracowywanego systemu zarządzania bezpieczeństwem informacji i polityki bezpieczeństwa informacji w oparciu o normy ISO/IEC 27001 oraz ISO/IEC 27002. Ma ułatwić osobom odpowiedzialnym w organizacji zdefiniowanie odpowiedniego podejścia do zarządzania ryzykiem, kontekstu zarządzania ryzykiem, a w szczególności:
- podstawowych kryteriów zarządzania ryzykiem oraz zakresu,
- ustaleń organizacyjnych,
- szacowania ryzyka tj. analizy i jego oceny,
- postępowania z ryzykiem,
- monitorowania i przeglądu ryzyka.
Norma nie przedstawia określonej metodyki dla zarządzania ryzykiem związanym z bezpieczeństwem informacji, to organizacja sama określa podejście do zarządzania ryzykiem w zależności między innymi od branży, zakresu Systemu Zarządzania Bezpieczeństwem Informacji itp.
Istotna dla zrozumienia tej normy jest znajomość koncepcji, terminologii, procesów opisanych w normie ISO/IEC 27001 oraz ISO/IEC 27002.
Norma ma zastosowanie do wszystkich typów organizacji, które planują zarządzać ryzykiem bezpieczeństwa informacji.
|
LOCOS RSS 
