Die internationale Norm ISO/IEC 27005 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security risk management“.
Entsprechend der ISO 27001 ist es erforderlich, IT-Sicherheitsrisiken zu identifizieren, zu bewerten und adäquate Maßnahmen zu ergreifen. Mit der Anwendung der ISO 27005 kommen Sie dieser Forderung nach: Die Norm beinhaltet eine Beschreibung des kompletten Risikomanagementprozesses, der einzelnen Schritte der Risikoanalyse sowie Informationen zur Etablierung des Prozesses. Allerdings liefert die ISO 27005 keine spezifische Methodik für das Risiko-Management; diese muss von jeder Organisation selbst definiert werden und richtet sich u. a. nach dem Umfang des Information Security Management Systems (ISMS) sowie der Branche. Da es sich bei der ISO 27005 um einen ergänzenden Standard handelt, ist eine Zertifizierung nicht möglich.
ISO 27005: Themen und Inhalte
Die ISO 27005 behandelt die folgenden Themenbereiche:
Kriterien, Umfang und Organisation des Risiko-Managements
Risikobewertung
Risikobehandlung
Risikoakzeptanz
Risikokommunikation
Überwachung und Review
ISO 27005 in Ihrer Organisation
Die ISO 27005 dient als Leitfaden für die regelmäßige Überprüfung eines ISMS nach ISO 27001. In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt zeigt Ihnen unser Projektablauf zeigt Ihnen. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.
