News von ACG

ISO/IEC 27005:2018 erschienen
Datum: 30.07.2018| Kategorien: Cybersecurity, Business Continuity Management, IT-Security, Unternehmensseite

ISO/IEC 27005:2018 erschienen


Das Informationssicherheitsrisikomanagement ist ein wesentliches Element im Kontext der Informationssicherheit. Zudem verlangen die BAIT (Rundschreiben 10/2017) und die VAIT (Rundschreiben 10/2018) ein Informationsrisikomanagement, das – wie auch das Informationssicherheitsmanagement – „quantitativ und qualitativ angemessen mit Personal auszustatten“ ist. Die dritte Auflage der ISO/IEC 27005, Informationssicherheitsrisikomanagement, ist Im Juli 2018 erschienen. Ihre Gliederungsstruktur ist weitgehend unverändert.

Als Ausgangspunkt visualisiert der Standard in Kapitel 6 den Informationssicherheitsrisikomanagementprozess im Überblick. Der Bestimmung des Kontextes widmet sich das folgende Kapitel 7. Die Bewertung des Informationssicherheitsrisikos besteht aus der Risikoidentifikation, der Risikoanalyse und der Risikobeurteilung. Letztere liefert als Ergebnis eine Risikoliste, deren Risiken entsprechend den Risikobeurteilungskriterien priorisiert sind. Daran schließen sich die Schritte der Risikobehandlung und der Risikoakzeptanz an. Flankiert werden die Elemente bis zur Risikobehandlung von der Risikokommunikation und -beratung auf der einen Seite und der Überwachung und Überprüfung auf der anderen Seite.

Die Anhänge A bis F des Standards bieten ergänzende Informationen. Anhang B geht auf die Identifikation und Bewertung von Assets und Auswirkungen (impact) ein. Der Standard unterscheidet – wie bisher - zwischen primären und unterstützenden Assets. Anhang C  nennt typische Bedrohungen, Anhang D Schwachstellen und Methoden zu deren Bewertung. Anhang E geht auf Ansätze zur Bewertung des Informationssicherheitsrisikos ein.

Wenn Sie Beratungsbedarf im Informationsrisiko-, Informationssicherheits-, IT-Service-Continuity oder Business Continuity Management haben, dann sprechen Sie uns gerne an.

Haben Sie Fragen zu diesem Newsbeitrag?

Email senden