ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

Køb standarden i webhop Kursusoversigt

Hvad er ISO/IEC 27005?

Den nye udgave af ISO/IEC 27005 udkom i oktober 2022. Den nye udgave er blevet endnu mere tætkoblet med ledelsesstandarden ISO/IEC 27001 på den måde, at standarden indeholder konkret vejledning i og eksempler på hvordan kravene til risikostyring i 27001 kan opfyldes. En anden ny feature i den nye udgave af 27005 er, at den velkendte aktivbaserede tilgang til risikostyring suppleres med en hændelsesbaseret tilgang. Dansk Standard har udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden.

Hvem henvender standarden sig til?

Standarden henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige, der ønsker en systematisk tilgang til at arbejde med informationssikkerhedsrisici. Risikostyringsprocessen kan både anvendes på et strategisk og et driftsmæssigt niveau. Den er relevant for alle, der gerne vil arbejde med risikostyring uanset om man ’blot’ ønsker inspiration til sit arbejde med risikostyring eller om man ønsker at opbygge et helt system for processerne. ISO/IEC 27005 er blevet opdateret i 2022, og i den forbindelse har der netop været fokus på at gøre standarden så brugervenlig som muligt.

Hvad betyder det, at der nu er kommet en revideret version af standarden?

Den nye udgave af ISO/IEC 27005 udkom i oktober 2022. Den nye udgave er blevet endnu mere tætkoblet med ledelsesstandarden ISO/IEC 27001 på den måde, at standarden indeholder konkret vejledning i og eksempler på hvordan kravene til risikostyring i 27001 kan opfyldes. En anden ny feature i den nye udgave af 27005 er, at den velkendte aktivbaserede tilgang til risikostyring suppleres med en hændelsesbaseret tilgang. Dansk Standard har udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden.

Kommer der en dansk udgave af ISO/IEC 27005?

Ja, den nye version af ISO/IEC 27005 bliver oversat til dansk. Standarden har ikke tidligere været oversat til dansk, men der har været en stor interesse for at få den på dansk. Den danske version forventes at blive udgivet i løbet af 2023.

Hvordan kobler ISO/IEC 27005 sig til øvrige standarder?

ISO/IEC 27005 kan benyttes som inspirationskilde til at arbejde systematiseret med risikostyring for en organisation. Standarden kan med fordel anvendes i samspil med ISO/IEC 27002, der vejleder organisationer i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed (ISMS). ISO/IEC 27001 og ISO/IEC 27002 er begge blevet opdaterede i 2022.

Få et overblik over samspillet mellem krav- og vejledningsstandarder i ISO/IEC 27000-serien, samt koblingen til standarder for privatlivsbeskyttelse her: https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder

Ny guide for risikostyring ift. cyber- og informationssikkerhed 

Dansk Standard og Alexandra Instituttet har udarbejdet en guide, der skal hjælpe danske SMV’er med at sætte fokus på og komme i gang med risikostyring. Guiden tager udgangspunkt i ISO/IEC 27005, og præsenterer en systematisk tilgang til risikostyring.

Guiden kan hentes her:
https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder/guide-til-risikostyring

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96

Køb standarden

Kurser i ISO/IEC 27005

 

 

informationssikkerhedsrisici

Whitepaper ISO/IEC 27005

Få indblik i den nye version af ISO/IEC 27005, standarden for risikostyring i tilknytning til informationssikkerhed.

Mere viden om informationssikkerhed

ISO 27001 - Informationssikkerhed

ISO/IEC 27001

ISO/IEC 27001 - Informationssikkerhed

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.

SoA-dokument

Informationsikkerhed

SoA-dokument

Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.