ISO 27005 – czym jest i jaką rolę odgrywa w zarządzaniu ryzykiem bezpieczeństwa informacji?

calendar 20 stycznia 2022
clock 4m 55s

Zapewnienie bezpieczeństwa informacji stanowi wyzwanie dla każdej firmy. Incydenty naruszenia danych mogą być przyczyną poważnych konsekwencji, takich jak straty finansowe, utrata wizerunku czy przerwanie ciągłości działania. Istotną rolę w zarządzaniu ryzykiem bezpieczeństwa informacji odgrywa norma ISO 27005.

Zarządzanie ryzykiem w bezpieczeństwie informacji jest procesem dość złożonym. Zależne jest od wielu różnych czynników, między innymi: specyfiki działalności, branży i środowiska, w którym organizacja funkcjonuje. Wdrożenie odpowiednich strategii jest jednak konieczne, aby bezpieczeństwo to zapewnić i zagwarantować nieprzerwane działanie wszystkich elementów organizacji. Dbanie o bezpieczeństwo informacji powinno stanowić kwestię integralną z całościowym zarządzaniem przedsiębiorstwem.

Zarządzane bezpieczeństwem informacji na podstawie sprawdzonych standardów

Procedury związane z Systemem Zarządzania Bezpieczeństwem Informacji najlepiej wprowadzać w oparciu o sprawdzone metodyki i standardy. Nie tylko zwiększają one poziom bezpieczeństwa, ale również – w momencie pozyskania certyfikacji na zgodność z daną normą – podnoszą prestiż i zwiększają przewagę konkurencyjną.

Przykładem tego typu standardów są normy ISO opracowywane przez Międzynarodową Organizację Normalizacyjną. Organizacja ta jest jedną z największych i najbardziej uznawanych wydawców norm na świecie.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

Rodzina norm ISO 27000 – seria najlepszych praktyk w procesach bezpieczeństwa informacji

W zarządzaniu bezpieczeństwem informacji popularną normą jest ISO 27001 (cześć serii norm ISO 27000). Standard określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI. Norma ISO 27005 jest ze standardem tym ściśle powiązana.

Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna dla organizacji?

Przewodniczący grupy ekspertów opracowujących normę ISO 27005 – Edward Humphreys komentuje, iż dokument ten

jest podstawową normą dla tych organizacji, które chcą zarządzać ryzykiem skutecznie, w szczególności, do wykazania zgodności z popularną normą zarządzania bezpieczeństwem informacji – ISO/IEC 27001. Zarządzanie ryzykiem ma kluczowe znaczenie dla dobrego zarządzania firmą i norma ta dzięki wskazówkom „co, jak i dlaczego” pomaga organizacjom zarządzać ryzykiem bezpieczeństwa informacji w celu wsparcia ich planów biznesowych.

Dla prawidłowego zrozumienia ISO 27005 istotna jest nie tylko znajomość ISO 27001, ale również koncepcji i terminologii zawartych w ISO 27000 oraz ISO 27002.

Norma ISO 27005 – definicja

ISO 27005 (lub ISO/IEC 27005) to międzynarodowa norma zawierająca najlepsze praktyki i wytyczne w zakresie zarządzania ryzykiem bezpieczeństwa informacji. Norma wspiera wymagania dotyczące Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001.

ISO/IEC 27005 „Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji” nie przedstawia konkretnych metod zarządzania ryzykiem, prezentuje tylko ogólne podejście. W zależności np. od zakresu SZBI oraz kontekstu zarządzania ryzykiem, organizacje same muszą wybrać odpowiednią metodologię.

Norma ISO 27005

Norma ISO 27005 – aktualna wersja

Międzynarodowa Organizacja Normalizacyjna aktualizuje wszystkie standardy co kilka lat. Obecnie jest w trakcie opracowywania nowej, czwartej wersji normy ISO 27005. Jej publikację zapowiedziano na koniec 2022 roku. Do momentu pojawienia się aktualizacji, posługujemy się trzecią wersją normy ISO 27005 z 2018 roku.

Co zawiera ISO 27005?

Chociaż standard ISO 27005 nie podaje konkretnego, uniwersalnego podejścia, to przedstawia szczegółową i elastyczną strukturę ułatwiającą organizacjom stosowanie różnych istniejących metodyk. W ISO 27005 opisane zostały kolejno działania wpisujące się w proces zarządzania ryzykiem w bezpieczeństwie informacji. Składa się on z następujących etapów:

  1. Ustanawianie kontekstu
  2. Szacowanie ryzyka
  3. Postępowanie z ryzykiem
  4. Akceptowanie ryzyka
  5. Informowanie o ryzyku
  6. Monitorowanie i przegląd ryzyka

Gdzie sprawdzi się ISO 27005?

Norma ISO 27005 sprawdzi się we wszystkich organizacjach, które chcą skutecznie zarządzać ryzykiem związanym z bezpieczeństwem informacji. Standard ma zastosowanie zarówno w wielkich korporacjach, jak i w mniejszych przedsiębiorstwach, instytucjach rządowych oraz w organizacjach non-profit.

Normę można wdrażać nie tylko w organizacji jako w całości, ale także w poszczególnych działach i usługach.

Norma ISO 27005 gdzie się sprawdzi

Do kogo kierowany jest standard ISO 27005?

Norma ISO/IEC 27005 adresowana jest do kierownictwa i osób zajmujących się zarządzaniem ryzykiem w bezpieczeństwie informacji, stron zewnętrznych wspierających tego typu proces oraz specjalistów i konsultantów IT.

Znajomość normy dostarcza niezbędnej wiedzy do wykonywania oceny ryzyka oraz skutecznego zarządzania ryzykiem. Wiedzę z zakresu normy ISO 27005 najlepiej zdobywać podczas specjalistycznych certyfikowanych szkoleń (np. uznanych szkoleń PECB). Uzyskane w wyniku kursów certyfikaty znacznie podnoszą kompetencje zawodowe oraz potwierdzają, że dana osoba posiada m.in.:

  • niezbędne umiejętności wspierające efektywne wdrożenie i utrzymanie procesu zarządzania ryzykiem bezpieczeństwa informacji,
  • wiedzę ekspercką z zakresu zarządzania ryzykiem bezpieczeństwa informacji i zapewnienia zgodności z wymogami prawnymi oraz regulacyjnymi,
  • umiejętność kierowania zespołem ds. bezpieczeństwa informacji i zarządzania ryzykiem,
  • umiejętności skutecznego doradzania organizacjom na temat najlepszych praktyk w zakresie zarządzania ryzykiem w bezpieczeństwie informacji.

Przeczytaj również: Co daje certyfikat PECB i jak go zdobyć? Wszystko o certyfikacji i szkoleniach PECB

ISO 27005 ważne w organizacji i w rozwoju zawodowym

Prowadzenie działalności biznesowej wymaga odpowiedniego podejścia do zarządzania ryzykiem bezpieczeństwa informacji. Organizacje, aby skutecznie zapobiegać naruszeniom danych, powinny stosować się do wytycznych normy ISO 27005. Standard ten jest również niezwykle istotny w kontekście rozwijania kompetencji zawodowych osób chcących specjalizować się w zarządzaniu bezpieczeństwem informacji, zgodnością i ryzykiem.

Jesteś zainteresowana/-y szkoleniem z zakresu zarządzania ryzykiem bezpieczeństwa informacji na podstawie normy ISO/EIC 27005? Wybierz opcję, która najbardziej odpowiada Twoim potrzebom i zapisz się na:

    • Certyfikowane szkolenie w wersji stacjonarnej, online lub self-study

PECB ISO 27005 Risk Manager

PECB ISO 27005 Lead Risk Manager

    • Szkolenie autorskie

Zarządzanie ryzykiem wg ISO 27005

Jeśli chcesz, abyśmy zorganizowali szkolenie indywidualnie dla Twojej organizacji, napisz do nas: [email protected].

Podobne wpisy
Przegląd tygodnia: sezon huraganów, atak na RSA i bezpieczeństwo na Facebooku
calendar 4 września 2011
clock 3m 13s

W pierwszym przeglądzie tygodnia: sezon huraganów w pełni, kolejne szczegóły ataku na firmę RSA oraz bezpieczeństwo na Facebooku.   Huragan Irene. Jak często może występować […]
Audyt czy audit? O co chodzi w sporze językoznawców i Polskiego Komitetu Normalizacyjnego?
calendar 23 lutego 2021
clock 5m 53s

Która forma jest poprawna: audyt czy audit? Audytor czy auditor? To częsta rozterka osób mających do czynienia z normami ISO. Czy obie wersje są zgodne z zasadami poprawnej polszczyzny? […]
Światowy Dzień Backupu – co warto wiedzieć o tworzeniu kopii zapasowych?
calendar 31 marca 2022
clock 4m 25s

W środowisku informatycznym mówi się, że ludzie dzielą się na tych, którzy robią backupy i na tych, którzy dopiero zaczną je robić. Niezależnie od tego, do której grupy należysz, dzisiejszy dzień […]

webinar DORA i NIS2

ZAPISZ SIĘ TERAZ

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!