SECURING YOUR BUSINESS ASSETS

ISO 27005

Risikomanagement

Was ist die ISO 27005?

Die internationale Norm ISO/IEC 27005 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security risk management“.

Entsprechend der ISO 27001 ist es erforderlich, IT-Sicherheitsrisiken zu identifizieren, zu bewerten und adäquate Maßnahmen zu ergreifen. Mit der Anwendung der ISO 27005 kommen Sie dieser Forderung nach: Die Norm beinhaltet eine Beschreibung des kompletten Risikomanagementprozesses, der einzelnen Schritte der Risikoanalyse sowie Informationen zur Etablierung des Prozesses. Allerdings liefert die ISO 27005 keine spezifische Methodik für das Risiko-Management; diese muss von jeder Organisation selbst definiert werden und richtet sich u. a. nach dem Umfang des Information Security Management Systems (ISMS) sowie der Branche. Da es sich bei der ISO 27005 um einen ergänzenden Standard handelt, ist eine Zertifizierung nicht möglich.

ISO 27005: Themen und Inhalte

Die ISO 27005 behandelt die folgenden Themenbereiche:

  • Kriterien, Umfang und Organisation des Risiko-Managements
  • Risikobewertung
  • Risikobehandlung
  • Risikoakzeptanz
  • Risikokommunikation
  • Überwachung und Review

ISO 27005 in Ihrer Organisation

Die ISO 27005 dient als Leitfaden für die regelmäßige Überprüfung eines ISMS nach ISO 27001. In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt, zeigt Ihnen unser Projektablauf. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.