W ostatnim czasie zmiany są codziennością naszego życia i nie zawsze za nimi nadążamy. Po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych albo po prostu RODO, przejściem na nowe wersje norm ISO 9001 i ISO 14001 mogła pozostać bez uwagi zmiana i wprowadzenie do obiegu nowej wersji normy ISO/IEC 27005:2018 – Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji (Information technology – Security techniques – Information security risk management).
Jakie zmiany wprowadziła norma ISO/IEC 27005:2018?
Mamy dobrą wiadomość, istotnych rewolucyjnych zmian norma ISO/IEC 27005:2018 w zarządzaniu ryzykiem w bezpieczeństwie informacji nie wprowadza. Struktura normy nadał składa się z 12 rozdziałów oraz 4 załączników.
Zaktualizowano odniesienia do najnowszej wersji ISO/IEC 27001, czyli międzynarodowego wydania roku 2013 (norma PN-EN 27001:2017), bo poprzednie wydanie normy ISO 27005 było w dalekim roku 2011. Warto zaznaczyć, że wytyczne, które zawiera ISO/IEC 27005:2018 nie mają charakteru wymagań, które należy bezwzględnie spełnić, nie określono również w normie szczególnych metod szacowania ryzyka. Organizacje mają dowolność i możliwość wypracowania własnego podejścia do zarządzania ryzykiem w oparciu o normę ISO 27005:2018.
Główne założenie normy ISO/IEC 27005 polega na realizacji cyklicznych działań w zarządzaniu ryzykiem w bezpieczeństwie informacji. Służy ku temu podejście procesowe, które możecie zobaczyć na rysunku niżej.
Czyli zarządzanie ryzykiem możemy przełożyć na konkretne działania:
- określenie kontekstu zarządzania ryzykiem (zakres, wymogi prawne, zastosowane metody i podejścia, gotowość na ryzyko i poziom akceptowalnego ryzyka);
- analiza odpowiednich danych o ryzyku i ocena aktywów informacyjnych organizacji, zagrożeń bezpieczeństwa, luk w zabezpieczeniach w celu określenia prawdopodobieństwa wystąpienia zdarzenia, incydentu lub jego scenariusza oraz określenia poziomu ryzyka;
- wpływ na ryzyko, biorąc pod uwagę poziomy ryzyka i priorytetyzacje;
- świadomość ryzyka ze strony interesariuszy;
- ciągłe monitorowanie i ponowna ocena ryzyka, a także metod oddziaływania na ryzyko w celu zidentyfikowania istotnych zmian i odpowiedniego reagowania na nie.
Obowiązkiem każdej organizacji, która deklaruje zgodność z wymaganiami ISO/IEC 27001 jest ustanowienie, wdrożenie i utrzymywanie procesu zarządzania ryzykami i szansami w odniesieniu do systemu zarządzania bezpieczeństwem informacji.
Jeśli macie pytania w zakresie zarządzania ryzykiem w bezpieczeństwie informacji, potrzebę wdrożenia norm ISO lub innych z zakresu bezpieczeństwa informacji i danych osobowych, koniecznie skontaktujcie się z naszymi specjalistami!
Przeprowadzimy dla Państwa szkolenie z zarządzania ryzykiem w bezpieczeństwie informacji wg normy ISO/IEC 27005:2018.
Autor: Maryna Kuczyńska (2595)
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.
(2595)