Опублікована
нова версія стандарту ISO/IEC 27005:2018 "Information technology — Security
techniques — Information security risk management"
Стандарт містить рекомендації з управління ризиками інформаційної безпеки в організації.
У ньому немає будь-якого конкретного методу управління ризиками інформаційної
безпеки. Організація сама повинна визначити свій підхід до управління ризиками,
в залежності, наприклад, від сфери дії системи управління інформаційною безпекою
(ISMS), контексту управління ризиками або сектору промисловості. Ряд існуючих
методологій може використовуватися в рамках, описаних в цьому стандарті, для реалізації
вимог ISMS. Стандарт заснований на методі ідентифікації ризику, загрози і вразливості,
який більше не вимагається в ISO/IEC 27001. Існують і інші підходи, які можуть
бути використані. Він не містить прямих вказівок щодо виконання вимог ISMS, наведених
в ISO/IEC 27001. Стандарт має відношення до керівників і співробітників, які займаються
управлінням ризиками інформаційної безпеки в рамках організації і, при необхідності,
сторонніми сторонами, що підтримують таку діяльність
Опубликована
новая версия стандарта ISO/IEC 27005:2018 "Information technology — Security
techniques — Information security risk management"
Стандарт
содержит рекомендации по управлению рисками информационной безопасности в организации.
В нем нет какого либо конкретного метода управления рисками информационной безопасности.
Организация сама должна определить свой подход к управлению рисками, в зависимости,
например, от сферы действия системы управления информационной безопасностью (ISMS),
контекста управления рисками или сектора промышленности. Ряд существующих методологий
может использоваться в рамках, описанных в этом стандарте, для реализации требований
ISMS. Стандарт основан на методе идентификации риска, угрозы и уязвимости, который
больше не требуется в ИСО/МЭК 27001. Существуют и другие подходы, которые могут
быть использованы. Он не содержит прямых указаний по выполнению требований ISMS,
приведенных в ИСО/МЭК 27001. Стандарт имеет отношение к руководителям и сотрудникам,
занимающимся управлением рисками информационной безопасности в рамках организации
и, при необходимости, сторонними сторонами, поддерживающими такую деятельность