Опублікована нова версія стандарту ISO/IEC 27005:2018 "Information technology — Security techniques — Information security risk management"
Стандарт містить рекомендації з управління ризиками інформаційної безпеки в організації. У ньому немає будь-якого конкретного методу управління ризиками інформаційної безпеки. Організація сама повинна визначити свій підхід до управління ризиками, в залежності, наприклад, від сфери дії системи управління інформаційною безпекою (ISMS), контексту управління ризиками або сектору промисловості. Ряд існуючих методологій може використовуватися в рамках, описаних в цьому стандарті, для реалізації вимог ISMS. Стандарт заснований на методі ідентифікації ризику, загрози і вразливості, який більше не вимагається в ISO/IEC 27001. Існують і інші підходи, які можуть бути використані. Він не містить прямих вказівок щодо виконання вимог ISMS, наведених в ISO/IEC 27001. Стандарт має відношення до керівників і співробітників, які займаються управлінням ризиками інформаційної безпеки в рамках організації і, при необхідності, сторонніми сторонами, що підтримують таку діяльність

Опубликована новая версия стандарта ISO/IEC 27005:2018 "Information technology — Security techniques — Information security risk management"
Стандарт содержит рекомендации по управлению рисками информационной безопасности в организации. В нем нет какого либо конкретного метода управления рисками информационной безопасности. Организация сама должна определить свой подход к управлению рисками, в зависимости, например, от сферы действия системы управления информационной безопасностью (ISMS), контекста управления рисками или сектора промышленности. Ряд существующих методологий может использоваться в рамках, описанных в этом стандарте, для реализации требований ISMS. Стандарт основан на методе идентификации риска, угрозы и уязвимости, который больше не требуется в ИСО/МЭК 27001. Существуют и другие подходы, которые могут быть использованы. Он не содержит прямых указаний по выполнению требований ISMS, приведенных в ИСО/МЭК 27001. Стандарт имеет отношение к руководителям и сотрудникам, занимающимся управлением рисками информационной безопасности в рамках организации и, при необходимости, сторонними сторонами, поддерживающими такую деятельность