ISO/IEC 27005:2018 Upravljanje rizikom informacijske sigurnosti,

Prijetnje mogu biti namjerne ili slučajne, a mogu se odnositi na upotrebu i primjenu IT sustava ili na IT fizičke i ekološke aspekte. Te prijetnje mogu rezultirati u bilo kojem obliku krađe identiteta, rizika poslovanja on-line, napada uskraćivanja usluga (DoS), daljinskog špijuniranja, krađe opreme ili dokumenata do seizmičkih ili klimatskih pojava, požara, poplava ili pandemijskih problema. Te prijetnje mogu nadalje rezultirati raznim poslovnim utjecajima, na primjer, financijskim gubitkom ili oštećenjem, gubitkom bitnih mrežnih usluga, gubitkom povjerenja kupaca do gubitka napajanja ili neuspjehom telekomunikacijske opreme.

Rizik je kombinacija posljedica koje bi uslijedile od pojave neželjenog događaja i vjerojatnosti pojave događaja. Procjena rizika kvantificira ili kvalitativno opisuje rizik i omogućuje menadžerima da predaju rizike prema njihovoj percipiranoj ozbiljnosti ili drugim utvrđenim kriterijima.

ISO / IEC 27005:2018, Informacijska tehnologija – Sigurnosne tehnike – Upravljanje rizikom informacijske sigurnosti, daje smjernice za upravljanje rizikom informacijske sigurnosti i podržava opće koncepte navedene u ISO / IEC 27001: 2013, Informacijska tehnologija – Sigurnosne tehnike – Sustavi upravljanja informacijskom sigurnošću – zahtjevi.

Novi je standard osmišljen kako bi pomogao u implementaciji ISO / IEC 27001, standarda sustava upravljanja informacijskom sigurnošću, koji se temelji na pristupu upravljanja rizicima. Poznavanje pojmova, modela, procesa i terminologija opisanih u ISO / IEC 27001 i ISO / IEC 27002: 2013, Informacijska tehnologija – Sigurnosne tehnike – Kodeks prakse za upravljanje informacijskom sigurnošću važno je za cjelovito razumijevanje ovog Međunarodnog standarda.

Proces upravljanja sigurnošću informacijske sigurnosti sastoji se od:

• uspostavljanje konteksta
• procjena rizika
• tretman rizika
• prihvaćanje rizika
• komunikacije u vezi s rizikom i
• praćenje i pregled rizika.

Međutim, ISO / IEC 27005: 2018 pruža posebnu metodologiju za upravljanje rizikom informacijske sigurnosti. Na organizaciji je da  definira svoj pristup upravljanju rizicima, odabere  metodologiju, ovisno, na primjer, o opsegu sustava upravljanja informacijskom sigurnošću, temeljenim na kontekstu upravljanja rizicima ili industrijskom sektoru.

Voditelj radne skupine ISO / IEC koji je vodio projekt razvoja ovog standarda komentira: “Danas većina organizacija prepoznaje kritičnu ulogu koju informacijska tehnologija igra u podupiranju njihovih poslovnih ciljeva i pojavom Interneta i mogućnošću obavljanja poslovanja na mreži, IT sigurnost je u prvom planu. ISO / IEC 27005: 2018 je relevantan za rukovoditelje i osoblje koje se bave upravljanjem rizicima informacijske sigurnosti unutar organizacije i prema potrebi, vanjskim stranama koje podržavaju takve aktivnosti. “