Noua ediţie a standardului ISO/CEI 27005 vă oferă o protecţie sporită
A fost publicat standardul internaţional ISO/CEI 27005:2011, care oferă managerilor şi personalului din departamentele IT un cadru pentru implementarea unei abordări a managementului riscului, menit să-i ajute în gestionarea riscurilor asociate sistemului de management al securităţii informaţiei.
Riscurile privind securitatea informaţiei reprezintă o ameninţare considerabilă pentru afaceri, datorită posibilităţii de a produce: pierderi financiare sau pagube, pierderea unor servicii esenţiale ale reţelei sau pierderea reputaţiei sau a încrederii clienţilor.
Managementul riscului este unul din elementele cheie în prevenirea fraudei online, furtului de identitate, distrugerilor site-urilor web, pierderilor de date personale şi a altor alte incidente legate de securitatea informaţiei. Fără un cadru solid al management al riscului, organizaţiile se expun la multe tipuri de ameninţări cibernetice.
Noul standard internaţional ISO/CEI 27005:2011 ,,Tehnologia informaţiei – Metode de securitate – Managementul riscului in securitatea informaţiei” va ajuta organizaţiile de toate tipurile să gestioneze mai bine riscurile privind securitatea informaţiei.
Standardul descrie procesul de management al riscului în securitatea informaţiei şi acţiunile asociate acestuia şi susţine conceptele generale specificate in ISO/CEI 27001:2005, ,,Tehnologia informaţiei – Tehnici de securitate – Sisteme de management al securităţii informaţiei – Cerinţe.”
Edward Humphreys, preşedinte al grupului de lucru ISO/CEI, grup care a elaborat standardul, spune: ,,ISO/CEI 27005:2011 este un standard esenţial pentru cei ce doresc să aibă un management eficient al riscurilor lor şi, în special, să se conformeze cu standardul privind sistemul de management al securităţii informaţiei ISO/CEI 27001. Managementul riscului este esenţial pentru buna conducere a afacerilor şi acest standard ajută organizaţiile cu îndrumări privind de ce, ce si cum pot fi gestionate riscurile în domeniul securităţii informaţiei pentru a îndeplini obiectivele conducerii.”
În a doua sa ediţie, cadrul prezentat in ISO/CEI 27005 a fost revăzut şi actualizat pentru a ţine cont de conţinutul documentelor de management al riscului:
- ISO 31000:2009, Managementul riscului – Principii si linii directoare
- ISO/CEI 31010:2009, Managementul riscului – Tehnici de evaluare a riscurilor
- Ghidul ISO 73:2009, Managementul riscului – Vocabular
Standardul este destinat să se alinieze standardului ISO 31000:2009 pentru a ajuta organizaţiile să gestioneze riscurile privind securitatea informaţiei în mod similar cu gestionarea altor riscuri.
ISO/CEI 27005:2011 va ajuta utilizatorii să implementeze standardul ISO/CEI 27001 pentru sistemul de management al securităţii informaţiei, care este bazat pe abordarea managementului riscului. Cunoaşterea conceptelor, modelelor, proceselor şi terminologiei descrise în ISO/CEI 27001 şi ISO/CEI 27002:2005, ,,Tehnologia informaţiei – Tehnici de securitate –Cod de practică pentru managementul securităţii informaţiei” este importantă pentru o înţelegere completă a acestui standard internaţional. Procesele managementului riscului în securitatea informaţiei constau în:
- Stabilirea contextului
- Evaluarea riscurilor
- Tratarea riscurilor
- Acceptarea riscurilor
- Comunicarea riscurilor si
- Supravegherea şi controlul riscurilor
Totuşi, standardul ISO/IEC 27005:2011 nu furnizează o metodologie specifică pentru managementul riscului in securitatea informaţiei, ci o abordare generală. Este de competenţa organizaţiei să definească abordarea sa pentru managementul riscului, care depinde, de exemplu, de domeniul de aplicare al sistemului de management al securităţii informaţiei, în funcţie de contextul managementului riscului sau de sectorul industrial.
Comunicat de presă ISO
Traducere de Diana Cosmin, redactor
