ISO/IEC 27005

ISO/IEC 27005:2018 – standard pro analýzu informačních rizik

ISO/IEC 27005:2018 Information technology – Security techniques – Information security risk management poskytuje doporučení a techniky pro analýzy informačních rizik. Jejím základem jsou revize dříve vydaných norem ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000 a využití některých pasáží BS 7799-3.

Norma obsahuje doporučení pro řízení rizik bezpečnosti informací s ohledem na požadavky ISMS dle ISO/IEC 27001.

Mezi činnosti řízení rizik, které jsou definovány normou, patří:

• Stanovení kontextu – vymezení základních kritérií pro řízení bezpečnosti informací, definice rozsahu a hranic, a stanovení organizační struktury pro řízení rizik.
• Hodnocení rizik – identifikace rizik, kvantifikace nebo kvalitativní popis rizik a prioritizace rizik v souladu s kritérii a cíli hodnocení rizik.
• Zvládání rizik – výběr protiopatření k redukci, podstoupení, vyvarování se nebo přenosu rizik a definice plánu zvládání rizik.
• Akceptace rizik – učinění a formální zaznamenání rozhodnutí akceptace rizika a odpovědností za tato rozhodnutí.
• Seznámení s riziky – výměna a/nebo sdílení informací o rizicích.
• Monitorování a přezkoumávání rizik – monitorování a přezkoumávání rizik a jejich faktorů.

První verze normy vyšla v roce 2008, druhá v červnu 2011, třetí v červenci 2018.
Společnost RAC provedla překlad a lokalizaci normy pro Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (verze normy z roku 2008 a 2011).