Стандарт ISO/IEC 27005:2022

27005 – 2022 Информационная безопасность, кибербезопасность и защита конфиденциальности.


ISO/IEC 27005:2022 содержит рекомендации по управлению рисками информационной безопасности. Знание концепций, моделей, процессов и терминологии, описанных в ISO 27001 и 
ISO 27002, важно для полного понимания этого стандарта.

Этот документ поддерживает основные концепции, указанные в ISO 27001, и предназначен для содействия внедрению информационной безопасности на основе подхода к управлению рисками.

Этот документ применяется ко всем типам организаций (например, коммерческим предприятиям, государственным учреждениям, некоммерческим организациям), которые намерены управлять рисками, которые могут поставить под угрозу их информационную безопасность.

ISO/IEC 27005:2022, Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководство по управлению рисками информационной безопасности.

Этот стандарт содержит признанные на международном уровне рекомендации по передовой практике управления рисками информационной безопасности.

Соответствует ISO 27001 и ISO 27002.

Применим ко всем типам и размерам организаций.

Новейший подход к передовой практике эффективного управления рисками информационной безопасности.

ISO 27005:2022 вводит несколько новых изменений для лучшего соответствия терминологии и структуры стандарта последним обновлениям ISO/IEC 27005:2022.

Ниже краткое изложение наиболее значительных изменений:

ISO 27005:2022 объединяет 12 пунктов и шесть приложений версии 2018 года в десять пунктов и одно приложение.

Он устанавливает новый процесс управления рисками с пятью шагами: установление контекста, идентификация риска, анализ риска, оценка риска и обработка риска. (Этап принятия риска был удален и введен новый пункт: 8.6.3. Принятие остаточного риска информационной безопасности. 
Принятие риска теперь принимается после обработки риска.)

Он вводит новый процесс выявления рисков информационной безопасности. Обновление 2022 года описывает два подхода:

Подход, основанный на событиях: включает выявление источников риска и сосредоточение внимания на общем ландшафте угроз для определения последствий и серьезности каждого заданного сценария риска.

Подход, основанный на активах: включает выявление угроз и уязвимостей, специфичных для активов, определение их вероятности и определение конкретных вариантов обработки риска.



Оставьте вашу заявку и мы свяжемся с вами*

*Мы не предоставляем услуги рф и рб
Оставить заявку