ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

Hvad er ISO/IEC 27005?

ISO/IEC 27005 er en vejledning i risikostyring, der tager udgangspunkt i kravene fra standarden ISO/IEC 27001. Standarden giver inspiration til, hvordan man som organisation kan vurdere og håndtere risici vedrørende organisationens informationer ud fra en vurdering af sandsynligheden for at en hændelse sker sammenstillet med den konsekvens, som hændelsen har for organisationen.

ISO/IEC 27005 indeholder en vejledning i, hvordan man kan udarbejde en risikovurdering, og dermed få et overblik over organisationens trusler og sårbarheder og hvordan risici kan håndteres ud fra organisationens risikovillighed. Standarden giver nogle redskaber til at prioritere risici, og kan dermed bidrage til at sikre det optimale niveau af foranstaltninger i en organisation ift. værdien af den information, som skal beskyttes.

ISO/IEC 27005 er opbygget over samme skabelon som den generiske risikovejledningsstandard, ISO 31000, hvor risikostyringsprocessen er opdelt i en række forskellige faser; etablering af kontekst, identifikation af risici, risikoanalyse, risikoevaluering og risikohåndtering. Standarden giver dermed sit bud på en proces, der kan hjælpe organisationen med at opbygge en mere systematiseret tilgang til risikostyring.

Som ISO/IEC 27005 lægger op til, er det vigtigt at risikostyringsprocessen er adaptiv og fleksibel da risikobilledet ændrer sig i takt med at organisationen og omverden forandrer sig. Risikostyring er ikke en opgave, men en løbende proces, der hele tiden skal vedligeholdes.

Hvem henvender standarden sig til?

Standarden henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige, der ønsker en systematisk tilgang til at arbejde med informationssikkerhedsrisici. Risikostyringsprocessen kan både anvendes på et strategisk og et driftsmæssigt niveau. Den er relevant for alle, der gerne vil arbejde med risikostyring uanset om man ’blot’ ønsker inspiration til sit arbejde med risikostyring eller om man ønsker at opbygge et helt system for processerne. ISO/IEC 27005 er blevet opdateret i 2022, og i den forbindelse har der netop været fokus på at gøre standarden så brugervenlig som muligt.

Hvad betyder det, at der nu kommer en revideret version af standarden?

Den nye udgave af ISO/IEC 27005 forventes at blive publiceret i slutningen af 2022 eller starten af 2023. Den nye udgave er blevet endnu mere tætkoblet med ledelsesstandarden ISO/IEC 27001 på den måde, at standarden indeholder konkret vejledning i og eksempler på hvordan kravene til risikostyring i 27001 kan opfyldes. En anden ny feature i den nye udgave af 27005 er, at den velkendte aktivbaserede tilgang til risikostyring suppleres med en hændelsesbaseret tilgang. Dansk Standard har udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden.

Kommer der en dansk udgave af ISO/IEC 27005?

Ja, den nye version af ISO/IEC 27005 bliver oversat til dansk. Standarden har ikke tidligere været oversat til dansk, men der har været en stor interesse for at få den på dansk. Den danske version forventes at blive udgivet i løbet af 2023. Den proces starter så snart den internationale version er publiceret.

Hvordan kobler ISO/IEC 27005 sig til øvrige standarder?

ISO/IEC 27005 kan benyttes som inspirationskilde til at arbejde systematiseret med risikostyring for en organisation. Standarden kan med fordel anvendes i samspil med ISO/IEC 27002, der vejleder organisationer i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed (ISMS). ISO/IEC 27002 blev opdateret i 2022 og også en ny version af ISO/IEC 27001 er på vej i 2022.

Få et overblik over samspillet mellem krav- og vejledningsstandarder i ISO/IEC 27000-serien, samt koblingen til standarder for privatlivsbeskyttelse her: https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder

Ny guide for risikostyring ift. cyber- og informationssikkerhed på vej

Dansk Standard og Alexandra Instituttet er i gang med at udarbejde en anvendelsesguide, der skal hjælpe danske SMV’er med at sætte fokus på og komme i gang med risikostyring. Guiden tager udgangspunkt i ISO/IEC 27005, men henter også inspiration fra andre værktøjer og rammeværk, der tager udgangspunkt i risici. Guiden forventes at være klar i starten af 2023, og vil kunne hentes på Dansk Standards hjemmeside.

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39 96 62 96
Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39 96 62 06

Kurser i ISO/IEC 27005

 

 

informationssikkerhedsrisici

Whitepaper ISO/IEC 27005

Få indblik i den nye version af ISO/IEC 27005, standarden for risikostyring i tilknytning til informationssikkerhed.

Mere viden om informationssikkerhed

ISO 27001 - Informationssikkerhed

ISO/IEC 27001

ISO/IEC 27001 - Informationssikkerhed

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.

SoA-dokument

Informationsikkerhed

SoA-dokument

Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.