​Zarządzanie ryzykiem w bezpieczeństwie informacji wg ISO/IEC 27005:2018

W ostatnim czasie zmiany są codziennością naszego życia i nie zawsze za nimi nadążamy.  Po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych albo po prostu RODO, przejściem na nowe wersje norm ISO 9001 i ISO 14001 mogła pozostać bez uwagi zmiana i wprowadzenie do obiegu nowej wersji normy ISO/IEC 27005:2018 – Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji (Information technology – Security techniques – Information security risk management).

Jakie zmiany wprowadziła norma ISO/IEC 27005:2018?

Mamy dobrą wiadomość, istotnych rewolucyjnych zmian norma ISO/IEC 27005:2018 w zarządzaniu ryzykiem w bezpieczeństwie informacji nie wprowadza. Struktura normy nadał składa się z 12 rozdziałów oraz 4 załączników.
Zaktualizowano odniesienia do najnowszej wersji ISO/IEC 27001, czyli międzynarodowego wydania roku 2013 (norma PN-EN 27001:2017), bo poprzednie wydanie normy ISO 27005 było w dalekim roku 2011. Warto zaznaczyć, że wytyczne, które zawiera ISO/IEC 27005:2018 nie mają charakteru wymagań, które należy bezwzględnie spełnić, nie określono również w normie szczególnych metod szacowania ryzyka. Organizacje mają dowolność i możliwość wypracowania własnego podejścia do zarządzania ryzykiem w oparciu o normę ISO 27005:2018.
Główne założenie normy ISO/IEC 27005 polega na realizacji cyklicznych działań w zarządzaniu ryzykiem w bezpieczeństwie informacji. Służy ku temu podejście procesowe, które możecie zobaczyć na rysunku niżej.

Zobacz podobne  Bezpieczeństwo informacji w organizacjach telekomunikacyjnych, norma ISO/IEC 27011

Czyli zarządzanie ryzykiem możemy przełożyć na konkretne działania:

  • określenie kontekstu zarządzania ryzykiem (zakres, wymogi prawne, zastosowane metody i podejścia, gotowość na ryzyko i poziom akceptowalnego ryzyka);
  • analiza odpowiednich danych o ryzyku i ocena aktywów informacyjnych organizacji, zagrożeń bezpieczeństwa, luk w zabezpieczeniach w celu określenia prawdopodobieństwa wystąpienia zdarzenia, incydentu lub jego scenariusza oraz określenia poziomu ryzyka;
  • wpływ na ryzyko, biorąc pod uwagę poziomy ryzyka i priorytetyzacje;
  • świadomość ryzyka ze strony interesariuszy;
  • ciągłe monitorowanie i ponowna ocena ryzyka, a także metod oddziaływania na ryzyko w celu zidentyfikowania istotnych zmian i odpowiedniego reagowania na nie.

Obowiązkiem każdej organizacji, która deklaruje zgodność z wymaganiami ISO/IEC 27001 jest ustanowienie, wdrożenie i utrzymywanie procesu zarządzania ryzykami i szansami w odniesieniu do systemu zarządzania bezpieczeństwem informacji.
Jeśli macie pytania w zakresie zarządzania ryzykiem w bezpieczeństwie informacji, potrzebę wdrożenia norm ISO lub innych z zakresu bezpieczeństwa informacji i danych osobowych, koniecznie skontaktujcie się z naszymi specjalistami!
Przeprowadzimy dla Państwa szkolenie z zarządzania ryzykiem w bezpieczeństwie informacji wg normy ISO/IEC 27005:2018.

Zobacz podobne  Nowa norma ISO/IEC 27001:2022

Autor: Maryna Kuczyńska (2595)

 


 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

 

 

 

(2595)

Scroll to Top