Risikostyring av informasjonssikkerhet – ISO/IEC 27005
Standarden gir veiledning for etablering, implementering, vedlikehold og kontinuerlig forbedring av prosesser for risikostyring av informasjonssikkerhet. Den beskriver en strukturert tilnærming til å identifisere, analysere, evaluere og behandle risikoer knyttet til informasjon, med hensyn til organisasjonens kontekst, trusler, sårbarheter og konsekvenser.
ISO/IEC 27005 er utviklet for ledere, sikkerhetsansvarlige, risikostyrere, IT-sjefer og konsulenter som jobber med informasjonssikkerhet og cybersikkerhet. Den hjelper virksomheter med å strukturere og effektivisere risikostyringsarbeidet, oppfylle kravene i ISO/IEC 27001, ta datadrevne beslutninger om risikohåndtering og styrke sikkerhetsnivået for økt robusthet i organisasjonen.
Standarden tilbyr en praktisk og moderne metode for å identifisere, vurdere og håndtere risikoer effektivt. Den støtter virksomheter i å oppnå ISO/IEC 27001-sertifisering og bidrar til å minimere sjansen for sikkerhetsbrudd og tilhørende økonomiske tap. Gjennom robust sikkerhetspraksis bygger standarden tillit hos kunder, partnere og myndigheter.
Veiledningsteksten er tilpasset ISO/IEC 27001 og ISO 31000, med terminologi i tråd med ISO 31000. Strukturen følger oppbygningen i ISO/IEC 27001, og begreper for risikoscenario er innført. Risikoidentifisering kombinerer en hendelsesbasert og en verdibasert tilnærming. Tilleggene er revidert og samlet i ett oversiktlig tillegg.