Главная

Статьи

Чи загрожують вашому бізнесу інформаційні ризики? Стандарт ISO / IEC 27005 дозволить підвищити захищеність

Міжнародний стандарт ISO / IEC 27005: 2011 описує принципи управління ризиками, що дозволяють керівникам і персоналу департаментів ІТ управляти ризиками в системах менеджменту інформаційної безпеки (ISMS). Міжнародний стандарт ISO / IEC 27005: 2011 описує принципи управління ризиками, що дозволяють керівникам і персоналу департаментів ІТ управляти ризиками в системах менеджменту інформаційної безпеки (ISMS)©

ISO, Alexane Rosa

Ризики інформаційної безпеки є серйозною загрозою для бізнесу внаслідок виникнення потенційної можливості фінансових збитків або шкоди, виходу з ладу ключових мережевих служб, втрати репутації та довіри клієнтів. Управління ризиками є одним з ключових елементів, що дозволяють запобігати інтернет-шахрайство, перехоплення ідентифікаторів, пошкодження Веб-сайтів, крадіжку персональних даних та інші комп'ютерні інциденти. Без солідної основи організації піддають себе численним типам кібер-ризиків.

Новий міжнародний стандарт ISO / IEC 27005: 2011 «Інформаційні технології. Методи забезпечення безпеки. Менеджмент ризиків інформаційної безпеки »допоможе організаціям усіх типів краще управляти інформаційними ризиками.

У ньому описана процедура і супутні заходи на основі загальних принципів, описаних в ISO / IEC 27001: 2005 «Інформаційні технології. Методи забезпечення безпеки. Системи управління інформаційною безпекою. вимоги »

Голова спільної ISO / IEC робочої групи, яка розробила стандарт Едвард Хамфрі коментує: «ISO / IEC 27005: 2011 - найважливіший стандарт для тих, хто хоче ефективно управляти ризиками, особливо, відповідно до популярним стандартом на системи менеджменту інформаційної безпеки ISO / IEC 27001. управління ризиками відіграє ключову роль в належному управлінні бізнесом, і цей стандарт допоможе організаціям рекомендаціями з питань навіщо, чому і як управляти в інформаційній безпеці для підтримки бізнес-цілей ».

В даному виданні були переглянуті і обно2лени відповідно до вимог наступних документів принципи, викладені в ISO / IEC 27005:

  • ISO 31000: 2009 «Менеджмент ризиків. Принципи та керівництва »
  • ISO / IEC 31010: 2009 «Менеджмент ризиків. Методики оцінки ризиків »
  • ISO Guide73: 2009 «Менеджмент ризику. словник »

Даний стандарт призначений для забезпечення повної відповідності зі стандартом ISO 31000: 2009 із тим, щоб допомогти організаціям, які хочуть керувати ризиками інформаційної безпеки аналогічно управлінню іншими ризиками.

ISO / IEC 27005: 2011 допоможе користувачам при впровадженні ISO / IEC 27001, який базується на підході управління ризиками. Знання принципів, моделей, процедур і термінології ISO / IEC 27001 та ISO / IEC 27002: 2005 «Інформаційні технології. Методи забезпечення безпеки. Звід правил по менеджменту інформаційної безпеки »грає важливу роль для повного розуміння даного міжнародного стандарту. Процедура менеджменту ризиків інформаційної безпеки включає в себе:

  • визначення контексту;
  • оцінка ризиків;
  • розгляд ризиків;
  • визначення ступеня допустимого ризику;
  • інформування про ризики;
  • моніторинг ризиків і звітність про ризики.

Однак ISO / IEC 27005: 2011 встановлює не конкретні методи управління ризиками інформаційної безпеки, а тільки загальний підхід. Організація визначає свій власний підхід до управління ризиками, в залежності, наприклад, від області застосування системи менеджменту інформаційної безпеки в залежності від контексту або галузі промисловості.

Стандарт ISO / IEC 27005: 2011 «Інформаційні технології. Методи забезпечення безпеки. Менеджмент ризиків інформаційної безпеки »розроблений підкомітетом SC 27« Методи забезпечення захисту ІТ »спільного технічного комітету ISO / IEC JTC 1« Інформаційні технології ». Його можна замовити в національних організаціях-членах ІСО (див. Повний список з контактною інформацією). Його також можна замовити безпосередньо в Центральному секретаріаті ІСО, через магазин ІСО або Департамент маркетингу, комунікацій та інформації (див. праву колонку). Його ціна становить 168 швейцарських франків.