Risikostyring av informasjonssikkerhet – ISO/IEC 27005
Standarden gir veiledning for etablering, implementering, vedlikehold og kontinuerlig forbedring av prosesser for risikostyring av informasjonssikkerhet. Den beskriver en strukturert tilnærming til å identifisere, analysere, evaluere og behandle risikoer knyttet til informasjon, med hensyn til organisasjonens kontekst, trusler, sårbarheter og konsekvenser.
ISO/IEC 27005 er utviklet for ledere, sikkerhetsansvarlige, risikostyrere, IT-sjefer og konsulenter som jobber med informasjonssikkerhet og cybersikkerhet. Den hjelper virksomheter med å strukturere og effektivisere risikostyringsarbeidet, oppfylle kravene i ISO/IEC 27001, ta datadrevne beslutninger om risikohåndtering og styrke sikkerhetsnivået for økt robusthet i organisasjonen.
Standarden tilbyr en praktisk og moderne metode for å identifisere, vurdere og håndtere risikoer effektivt. Den støtter virksomheter i å oppnå ISO/IEC 27001-sertifisering og bidrar til å minimere sjansen for sikkerhetsbrudd og tilhørende økonomiske tap. Gjennom robust sikkerhetspraksis bygger standarden tillit hos kunder, partnere og myndigheter.
Veiledningsteksten er tilpasset NS-ISO/IEC 27001:2022 og NS-ISO 31000:2018, med terminologi i tråd med NS-ISO 31000:2018. Strukturen følger oppbygningen i NS-ISO/IEC 27001:2022, og begreper for risikoscenario er innført. Risikoidentifisering kombinerer en hendelsesbasert og en verdibasert tilnærming. Tilleggene er revidert og samlet i ett oversiktlig tillegg.