ISO 27005 – czym jest i jaką rolę odgrywa w zarządzaniu ryzykiem bezpieczeństwa informacji?

clock 4m 55s

Zapewnienie bezpieczeństwa informacji stanowi wyzwanie dla każdej firmy. Incydenty naruszenia danych mogą być przyczyną poważnych konsekwencji, takich jak straty finansowe, utrata wizerunku czy przerwanie ciągłości działania. Istotną rolę w zarządzaniu ryzykiem bezpieczeństwa informacji odgrywa norma ISO 27005.

Zarządzanie ryzykiem w bezpieczeństwie informacji jest procesem dość złożonym. Zależne jest od wielu różnych czynników, między innymi: specyfiki działalności, branży i środowiska, w którym organizacja funkcjonuje. Wdrożenie odpowiednich strategii jest jednak konieczne, aby bezpieczeństwo to zapewnić i zagwarantować nieprzerwane działanie wszystkich elementów organizacji. Dbanie o bezpieczeństwo informacji powinno stanowić kwestię integralną z całościowym zarządzaniem przedsiębiorstwem.

Zarządzane bezpieczeństwem informacji na podstawie sprawdzonych standardów

Procedury związane z Systemem Zarządzania Bezpieczeństwem Informacji najlepiej wprowadzać w oparciu o sprawdzone metodyki i standardy. Nie tylko zwiększają one poziom bezpieczeństwa, ale również – w momencie pozyskania certyfikacji na zgodność z daną normą – podnoszą prestiż i zwiększają przewagę konkurencyjną.

Przykładem tego typu standardów są normy ISO opracowywane przez Międzynarodową Organizację Normalizacyjną. Organizacja ta jest jedną z największych i najbardziej uznawanych wydawców norm na świecie.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

Rodzina norm ISO 27000 – seria najlepszych praktyk w procesach bezpieczeństwa informacji

W zarządzaniu bezpieczeństwem informacji popularną normą jest ISO 27001 (cześć serii norm ISO 27000). Standard określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI. Norma ISO 27005 jest ze standardem tym ściśle powiązana.

Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna dla organizacji?

Przewodniczący grupy ekspertów opracowujących normę ISO 27005 – Edward Humphreys komentuje, iż dokument ten

jest podstawową normą dla tych organizacji, które chcą zarządzać ryzykiem skutecznie, w szczególności, do wykazania zgodności z popularną normą zarządzania bezpieczeństwem informacji – ISO/IEC 27001. Zarządzanie ryzykiem ma kluczowe znaczenie dla dobrego zarządzania firmą i norma ta dzięki wskazówkom „co, jak i dlaczego” pomaga organizacjom zarządzać ryzykiem bezpieczeństwa informacji w celu wsparcia ich planów biznesowych.

Dla prawidłowego zrozumienia ISO 27005 istotna jest nie tylko znajomość ISO 27001, ale również koncepcji i terminologii zawartych w ISO 27000 oraz ISO 27002.

Norma ISO 27005 – definicja

ISO 27005 (lub ISO/IEC 27005) to międzynarodowa norma zawierająca najlepsze praktyki i wytyczne w zakresie zarządzania ryzykiem bezpieczeństwa informacji. Norma wspiera wymagania dotyczące Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001.

ISO/IEC 27005 „Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji” nie przedstawia konkretnych metod zarządzania ryzykiem, prezentuje tylko ogólne podejście. W zależności np. od zakresu SZBI oraz kontekstu zarządzania ryzykiem, organizacje same muszą wybrać odpowiednią metodologię.

Norma ISO 27005

Norma ISO 27005 – aktualna wersja

Międzynarodowa Organizacja Normalizacyjna aktualizuje wszystkie standardy co kilka lat. Obecnie jest w trakcie opracowywania nowej, czwartej wersji normy ISO 27005. Jej publikację zapowiedziano na koniec 2022 roku. Do momentu pojawienia się aktualizacji, posługujemy się trzecią wersją normy ISO 27005 z 2018 roku.

Co zawiera ISO 27005?

Chociaż standard ISO 27005 nie podaje konkretnego, uniwersalnego podejścia, to przedstawia szczegółową i elastyczną strukturę ułatwiającą organizacjom stosowanie różnych istniejących metodyk. W ISO 27005 opisane zostały kolejno działania wpisujące się w proces zarządzania ryzykiem w bezpieczeństwie informacji. Składa się on z następujących etapów:

  1. Ustanawianie kontekstu
  2. Szacowanie ryzyka
  3. Postępowanie z ryzykiem
  4. Akceptowanie ryzyka
  5. Informowanie o ryzyku
  6. Monitorowanie i przegląd ryzyka

Gdzie sprawdzi się ISO 27005?

Norma ISO 27005 sprawdzi się we wszystkich organizacjach, które chcą skutecznie zarządzać ryzykiem związanym z bezpieczeństwem informacji. Standard ma zastosowanie zarówno w wielkich korporacjach, jak i w mniejszych przedsiębiorstwach, instytucjach rządowych oraz w organizacjach non-profit.

Normę można wdrażać nie tylko w organizacji jako w całości, ale także w poszczególnych działach i usługach.

Norma ISO 27005 gdzie się sprawdzi

Do kogo kierowany jest standard ISO 27005?

Norma ISO/IEC 27005 adresowana jest do kierownictwa i osób zajmujących się zarządzaniem ryzykiem w bezpieczeństwie informacji, stron zewnętrznych wspierających tego typu proces oraz specjalistów i konsultantów IT.

Znajomość normy dostarcza niezbędnej wiedzy do wykonywania oceny ryzyka oraz skutecznego zarządzania ryzykiem. Wiedzę z zakresu normy ISO 27005 najlepiej zdobywać podczas specjalistycznych certyfikowanych szkoleń (np. uznanych szkoleń PECB). Uzyskane w wyniku kursów certyfikaty znacznie podnoszą kompetencje zawodowe oraz potwierdzają, że dana osoba posiada m.in.:

  • niezbędne umiejętności wspierające efektywne wdrożenie i utrzymanie procesu zarządzania ryzykiem bezpieczeństwa informacji,
  • wiedzę ekspercką z zakresu zarządzania ryzykiem bezpieczeństwa informacji i zapewnienia zgodności z wymogami prawnymi oraz regulacyjnymi,
  • umiejętność kierowania zespołem ds. bezpieczeństwa informacji i zarządzania ryzykiem,
  • umiejętności skutecznego doradzania organizacjom na temat najlepszych praktyk w zakresie zarządzania ryzykiem w bezpieczeństwie informacji.

Przeczytaj również: Co daje certyfikat PECB i jak go zdobyć? Wszystko o certyfikacji i szkoleniach PECB

ISO 27005 ważne w organizacji i w rozwoju zawodowym

Prowadzenie działalności biznesowej wymaga odpowiedniego podejścia do zarządzania ryzykiem bezpieczeństwa informacji. Organizacje, aby skutecznie zapobiegać naruszeniom danych, powinny stosować się do wytycznych normy ISO 27005. Standard ten jest również niezwykle istotny w kontekście rozwijania kompetencji zawodowych osób chcących specjalizować się w zarządzaniu bezpieczeństwem informacji, zgodnością i ryzykiem.


Jesteś zainteresowana/-y szkoleniem z zakresu zarządzania ryzykiem bezpieczeństwa informacji na podstawie normy ISO/EIC 27005? Wybierz opcję, która najbardziej odpowiada Twoim potrzebom i zapisz się na:

    • Certyfikowane szkolenie w wersji stacjonarnej, online lub self-study

PECB ISO 27005 Risk Manager

PECB ISO 27005 Lead Risk Manager

    • Szkolenie autorskie

Zarządzanie ryzykiem wg ISO 27005

Jeśli chcesz, abyśmy zorganizowali szkolenie indywidualnie dla Twojej organizacji, napisz do nas: kontakt@resilia.pl.

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.