Міжнародний стандарт ISO / IEC 27005: 2011 описує принципи управління ризиками, що дозволяють керівникам і персоналу департаментів ІТ управляти ризиками в системах менеджменту інформаційної безпеки (ISMS). 
ISO, Alexane Rosa
Ризики інформаційної безпеки є серйозною загрозою для бізнесу внаслідок виникнення потенційної можливості фінансових збитків або шкоди, виходу з ладу ключових мережевих служб, втрати репутації та довіри клієнтів. Управління ризиками є одним з ключових елементів, що дозволяють запобігати інтернет-шахрайство, перехоплення ідентифікаторів, пошкодження Веб-сайтів, крадіжку персональних даних та інші комп'ютерні інциденти. Без солідної основи організації піддають себе численним типам кібер-ризиків.
У ньому описана процедура і супутні заходи на основі загальних принципів, описаних в ISO / IEC 27001: 2005 «Інформаційні технології. Методи забезпечення безпеки. Системи управління інформаційною безпекою. вимоги »
Голова спільної ISO / IEC робочої групи, яка розробила стандарт Едвард Хамфрі коментує: «ISO / IEC 27005: 2011 - найважливіший стандарт для тих, хто хоче ефективно управляти ризиками, особливо, відповідно до популярним стандартом на системи менеджменту інформаційної безпеки ISO / IEC 27001. управління ризиками відіграє ключову роль в належному управлінні бізнесом, і цей стандарт допоможе організаціям рекомендаціями з питань навіщо, чому і як управляти в інформаційній безпеці для підтримки бізнес-цілей ».
В даному виданні були переглянуті і обно2лени відповідно до вимог наступних документів принципи, викладені в ISO / IEC 27005:
- ISO 31000: 2009 «Менеджмент ризиків. Принципи та керівництва »
- ISO / IEC 31010: 2009 «Менеджмент ризиків. Методики оцінки ризиків »
- ISO Guide73: 2009 «Менеджмент ризику. словник »
Даний стандарт призначений для забезпечення повної відповідності зі стандартом ISO 31000: 2009 із тим, щоб допомогти організаціям, які хочуть керувати ризиками інформаційної безпеки аналогічно управлінню іншими ризиками.
ISO / IEC 27005: 2011 допоможе користувачам при впровадженні ISO / IEC 27001, який базується на підході управління ризиками. Знання принципів, моделей, процедур і термінології ISO / IEC 27001 та ISO / IEC 27002: 2005 «Інформаційні технології. Методи забезпечення безпеки. Звід правил по менеджменту інформаційної безпеки »грає важливу роль для повного розуміння даного міжнародного стандарту. Процедура менеджменту ризиків інформаційної безпеки включає в себе:
- визначення контексту;
- оцінка ризиків;
- розгляд ризиків;
- визначення ступеня допустимого ризику;
- інформування про ризики;
- моніторинг ризиків і звітність про ризики.
Однак ISO / IEC 27005: 2011 встановлює не конкретні методи управління ризиками інформаційної безпеки, а тільки загальний підхід. Організація визначає свій власний підхід до управління ризиками, в залежності, наприклад, від області застосування системи менеджменту інформаційної безпеки в залежності від контексту або галузі промисловості.
Стандарт ISO / IEC 27005: 2011 «Інформаційні технології. Методи забезпечення безпеки. Менеджмент ризиків інформаційної безпеки »розроблений підкомітетом SC 27« Методи забезпечення захисту ІТ »спільного технічного комітету ISO / IEC JTC 1« Інформаційні технології ». Його можна замовити в національних організаціях-членах ІСО (див. Повний список з контактною інформацією). Його також можна замовити безпосередньо в Центральному секретаріаті ІСО, через магазин ІСО або Департамент маркетингу, комунікацій та інформації (див. праву колонку). Його ціна становить 168 швейцарських франків.
