ISO/IEC 27005 er en international standard med fokus på vejledning i styring af informationssikkerhedsrisici. Mens standarden ISO/IEC 27001 stiller de overordnede krav til et ledelsessystem for informationssikkerhed (ISMS), kan ISO/IEC 27005 hjælpe med at vejlede i, hvordan man kan lave en risikovurdering, og dermed få et overblik over organisationens trusler, sårbarheder og hvordan risici kan håndteres ud fra organisationens risikovillighed. Standarden kan dermed være med til at sikre det optimale niveau af foranstaltninger i en organisation ift. værdien af den information, som skal beskyttes.
Standarden indeholder en vejledning til implementering af krav til informationssikkerhedsrisici i ISO/IEC 27001. ISO/IEC 27005 deler risikostyring op i fem trin:
Risikostyring er en metode til at identificere, prioritere og håndtere sin virksomheds potentielle risici. Risici kan bestå af såvel interne som eksterne faktorer, som kan udgøre en trussel mod en virksomheds eksistens.
Et væsentligt element i risikostyring handler også om at finde et passende niveau af sikkerhed, således at man får adresseret de rigtige risici først. Et godt udgangspunkt for at højne sit sikkerhedsniveau er derfor at få kortlagt sin risikoprofil og begynde at arbejde konkret med håndteringen af disse risici.
Arbejdet med risikostyring er en løbende proces, som bør gentages regelmæssigt og efter behov, da risici ændrer sig i takt med, at virksomheden og omverdenen forandrer sig.
Standarden henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige, der ønsker en systematisk tilgang til at arbejde med informationssikkerhedsrisici. Risikostyringsprocessen kan både anvendes på et strategisk og et driftsmæssigt niveau. Den er relevant for alle, der gerne vil arbejde med risikostyring uanset om man ’blot’ ønsker inspiration til sit arbejde med risikostyring eller om man ønsker at opbygge et helt system for processerne. ISO/IEC 27005 er blevet opdateret i 2022, og i den forbindelse har der netop været fokus på at gøre standarden så brugervenlig som muligt.
Den nye udgave af ISO/IEC 27005 udkom i oktober 2022. Den nye udgave er blevet endnu mere tætkoblet med ledelsesstandarden ISO/IEC 27001 på den måde, at standarden indeholder konkret vejledning i og eksempler på hvordan kravene til risikostyring i 27001 kan opfyldes. En anden ny feature i den nye udgave af 27005 er, at den velkendte aktivbaserede tilgang til risikostyring suppleres med en hændelsesbaseret tilgang. Dansk Standard har udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden.
ISO/IEC 27005 kan benyttes som inspirationskilde til at arbejde systematiseret med risikostyring for en organisation. Standarden kan med fordel anvendes i samspil med ISO/IEC 27002, der vejleder organisationer i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed (ISMS). ISO/IEC 27001 og ISO/IEC 27002 er begge blevet opdaterede i 2022.
Dansk Standard og Alexandra Instituttet har udarbejdet en guide, der skal hjælpe danske SMV’er med at sætte fokus på og komme i gang med risikostyring. Guiden tager udgangspunkt i ISO/IEC 27005, og præsenterer en systematisk tilgang til risikostyring.
Guiden kan hentes her:
https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder/guide-til-risikostyring
Få indblik i den nye version af ISO/IEC 27005, standarden for risikostyring i tilknytning til informationssikkerhed.
Gennem Q&A's får du indblik i, hvordan fire helt forskellige virksomheder har implementeret cyber- og informationssikkerhedsstandarder, samt hvilken effekt det har haft.
Læs mere
ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.
Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.
