Norma Iso 27005

0 views
Skip to first unread message

Wynellewe Gr

unread,
Aug 3, 2024, 12:10:33 PM8/3/24
to destmikoho

The standard offers advice on systematically identifying, assessing, evaluating and treating information security risks - processes at the very heart of an ISO27k Information Security Management System (ISMS). It aims to ensure that organizations design, implement, manage, monitor and maintain their information security controls and other arrangements rationally, according to their information security risks.

ISO/IEC 27005 does not specify or recommend specific risk management methods in detail. Instead it discusses the process in more general/overall terms, drawing on the generic risk management method described by ISO 31000[3] i.e.:

Within that broad framework, organizations are encouraged to select/develop and use whichever information risk management methods, strategies and/or approaches best suit their particular needs - for example:[4]

The ISO/IEC 27000-series of standards are applicable to all types and sizes of organization - a very diverse group, hence it would not be appropriate to mandate specific approaches, methods, risks or controls for them all. Instead, the standards provide general guidance under the umbrella of a management system. Managers are encouraged to follow structured methods that are relevant to and appropriate for their organization's particular situation, rationally and systematically dealing with their information risks.

Identifying and bringing information risks under management control helps ensure that they are treated appropriately, in a way that responds to changes and takes advantage of improvement opportunities leading over time to greater maturity and effectiveness of the ISMS.

La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestin de riesgo en Sistemas de Gestin de Seguridad de la Informacin. Puedes conocer ms sobre la norma ISO 27005 en el siguiente post ISO/IEC 27005. Gestin de riesgos de la Seguridad la Informacin.

La gestin del riesgo es una actividad recurrente que se refiere al anlisis, a la planificacin, la ejecucin, el control y el seguimiento de todas las medidas implantadas y la poltica de seguridad que ha sido impuesta.

La actualizacin del establecimiento, mantenimiento y mejora continua de un SGSI ofrecen una clara indicacin de que una organizacin est utilizando un enfoque sistemtico para la identificacin, evaluacin y gestin de riesgos de seguridad de la informacin.

Un evento solo es un riesgo si existe un grado de incertidumbre. El valor de un activo puede cambiar su valor durante la ejecucin de un proyecto, por experiencia esto es cierto pero Cunto puede cambiar? No lo sabemos. Por lo tanto es un riesgo que debemos evitar en un proyecto pequeo. Debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada aplicacin de software en varias sucursales de una organizacin, pero no todas las oficinas poseen la misma capacidad de almacenamiento o de las ltimas actualizaciones de sistemas operativos.

Es necesario establecer un vnculo entre los escenarios de riesgos IT y el impacto empresarial que estaos generaran, para as comprender el efecto de los eventos adversos que se pueden desencadenar.

La evaluacin de riesgos se ejecuta en los puntos discretos de tiempo y hasta que el rendimiento de la prxima evaluacin proporciona una visin temporal de los riesgos evaluados.
La evaluacin de riesgos se realiza a menudo en ms de una interacin, la primera es una evaluacin de alto nivel para identificar los riesgos altos, mientras que las interacciones posteriores detallan el anlisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo:

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la informacin gracias a las aplicaciones que contiene y que son totalmente configurables segn los requerimientos de cada organizacin. Adems, este software permite la automatizacin del Sistema de Gestin de Seguridad de la Informacin.

En el mundo actual, donde la seguridad de la informacin es crucial para las organizaciones, contar con una gua confiable y efectiva para la gestin de riesgos es fundamental. En este sentido, la norma ISO 27005 se presenta como una herramienta indispensable para identificar, evaluar y tratar los riesgos de seguridad de la informacin.

La norma ISO 27005 es parte de la familia de estndares ISO/IEC 27000 para la gestin de seguridad de la informacin. Especficamente, se enfoca en el proceso de gestin de riesgos de seguridad de la informacin, proporcionando directrices claras y detalladas para implementar un sistema efectivo.

La norma ISO 27005 es de vital importancia para las organizaciones, ya que les permite identificar y evaluar los riesgos asociados a la seguridad de la informacin de manera sistemtica y eficiente. Adems, brinda una metodologa confiable para tratar los riesgos identificados y establecer controles adecuados.

La norma ISO 27005 es una gua esencial para la gestin de riesgos de seguridad de la informacin. Su implementacin permite a las organizaciones identificar, evaluar y tratar los riesgos de manera efectiva, mejorando as la seguridad y confiabilidad de la informacin.

La norma ISO 27005 puede ser implementada por cualquier organizacin que desee gestionar de manera eficiente los riesgos de seguridad de la informacin. No importa el tamao o sector de la organizacin, esta norma es aplicable a todos.

Los pasos para implementar la norma ISO 27005 incluyen: identificar los activos de informacin, evaluar los riesgos, seleccionar controles adecuados, implementar los controles seleccionados y monitorear y revisar continuamente el sistema de gestin de riesgos.

La evaluacin y tratamiento de riesgos segn la norma ISO 27005 se realiza a travs de un proceso sistemtico que incluye la identificacin de los activos de informacin, la identificacin de amenazas y vulnerabilidades, la evaluacin de la probabilidad y el impacto de los riesgos, y la seleccin y aplicacin de controles adecuados para reducir los riesgos a un nivel aceptable.

Zarządzanie ryzykiem w bezpieczeństwie informacji jest procesem dość złożonym. Zależne jest od wielu rżnych czynnikw, między innymi: specyfiki działalności, branży i środowiska, w ktrym organizacja funkcjonuje. Wdrożenie odpowiednich strategii jest jednak konieczne, aby bezpieczeństwo to zapewnić i zagwarantować nieprzerwane działanie wszystkich elementw organizacji. Dbanie o bezpieczeństwo informacji powinno stanowić kwestię integralną z całościowym zarządzaniem przedsiębiorstwem.

Przykładem tego typu standardw są normy ISO opracowywane przez Międzynarodową Organizację Normalizacyjną. Organizacja ta jest jedną z największych i najbardziej uznawanych wydawcw norm na świecie.

W zarządzaniu bezpieczeństwem informacji popularną normą jest ISO 27001 (cześć serii norm ISO 27000). Standard określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI. Norma ISO 27005 jest ze standardem tym ściśle powiązana.

ISO 27005 (lub ISO/IEC 27005) to międzynarodowa norma zawierająca najlepsze praktyki i wytyczne w zakresie zarządzania ryzykiem bezpieczeństwa informacji. Norma wspiera wymagania dotyczące Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001.

Międzynarodowa Organizacja Normalizacyjna aktualizuje wszystkie standardy co kilka lat. Obecnie jest w trakcie opracowywania nowej, czwartej wersji normy ISO 27005. Jej publikację zapowiedziano na koniec 2022 roku. Do momentu pojawienia się aktualizacji, posługujemy się trzecią wersją normy ISO 27005 z 2018 roku.

Chociaż standard ISO 27005 nie podaje konkretnego, uniwersalnego podejścia, to przedstawia szczegłową i elastyczną strukturę ułatwiającą organizacjom stosowanie rżnych istniejących metodyk. W ISO 27005 opisane zostały kolejno działania wpisujące się w proces zarządzania ryzykiem w bezpieczeństwie informacji. Składa się on z następujących etapw:

Norma ISO 27005 sprawdzi się we wszystkich organizacjach, ktre chcą skutecznie zarządzać ryzykiem związanym z bezpieczeństwem informacji. Standard ma zastosowanie zarwno w wielkich korporacjach, jak i w mniejszych przedsiębiorstwach, instytucjach rządowych oraz w organizacjach non-profit.

Norma ISO/IEC 27005 adresowana jest do kierownictwa i osb zajmujących się zarządzaniem ryzykiem w bezpieczeństwie informacji, stron zewnętrznych wspierających tego typu proces oraz specjalistw i konsultantw IT.

Znajomość normy dostarcza niezbędnej wiedzy do wykonywania oceny ryzyka oraz skutecznego zarządzania ryzykiem. Wiedzę z zakresu normy ISO 27005 najlepiej zdobywać podczas specjalistycznych certyfikowanych szkoleń (np. uznanych szkoleń PECB). Uzyskane w wyniku kursw certyfikaty znacznie podnoszą kompetencje zawodowe oraz potwierdzają, że dana osoba posiada m.in.:

Prowadzenie działalności biznesowej wymaga odpowiedniego podejścia do zarządzania ryzykiem bezpieczeństwa informacji. Organizacje, aby skutecznie zapobiegać naruszeniom danych, powinny stosować się do wytycznych normy ISO 27005. Standard ten jest rwnież niezwykle istotny w kontekście rozwijania kompetencji zawodowych osb chcących specjalizować się w zarządzaniu bezpieczeństwem informacji, zgodnością i ryzykiem.

ISO/IEC 27005:2011 is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization's information security.

c80f0f1006
Reply all
Reply to author
Forward
0 new messages