Бесплатные консультации
+7 (495) 640-41-21
Вход для членов ICO
Открыть меню

Утвержден стандарт на менеджмент рисков в области информационной безопасности ISO/IEC 27005:2011

Международный стандарт ISO/IEC 27005:2011 описывает принципы управления рисками, позволяющие руководителям и персоналу департаментов ИТ управлять рисками в системах менеджмента информационной безопасности (ISMS).

Риски информационной безопасности представляют собой серьезную угрозу для бизнеса вследствие возникновения потенциальной возможности финансовых убытков или ущерба, выхода из строя ключевых сетевых служб, потери репутации и доверия клиентов. Управление рисками является одним из ключевых элементов, позволяющих предотвращать интернет-мошенничество, перехват идентификаторов, повреждение Веб-сайтов, кражу персональных данных и другие компьютерные инциденты. Без солидной основы организации подвергают себя многочисленным типам кибер-рисков.

Новый международный стандарт ISO/IEC 27005:2011 «Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности» поможет организациям всех типов лучше управлять информационными рисками.

В нем описана процедура и сопутствующие мероприятия на основе общих принципов, описанных в ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»

Председатель совместной ISO/IEC рабочей группы, разработавшей стандарт Эдвард Хамфри комментирует: «ISO/IEC 27005:2011 – важнейший стандарт для тех, кто хочет эффективно управлять рисками, особенно, в соответствии с популярным стандартом на системы менеджмента информационной безопасности ISO/IEC 27001. Управление рисками играет ключевую роль в надлежащем управлении бизнесом, и данный стандарт поможет организациям рекомендациями по вопросам зачем, чем и как управлять в информационной безопасности для поддержки бизнес-целей».

Данный стандарт предназначен для обеспечения полного соответствия со стандартом ISO 31000:2009 с тем, чтобы помочь организациям, которые хотят управлять рисками информационной безопасности аналогично управлению другими рисками.

Однако ISO/IEC 27005:2011 устанавливает не конкретные методы управления рисками информационной безопасности, а только общий подход. Организация определяет свой собственный подход к управлению рисками, в зависимости, например, от области применения системы менеджмента информационной безопасности в зависимости от контекста или отрасли промышленности.  

Следующая

23.08.2011
Органы госстройэкспертизы внесут свои предложения по изменению Градкодекса
Предыдущая

19.08.2011
Новый стандарт ИСО улучшит защитную одежду для сельскохозяйственных рабочих, работающих с пестицидами
Комментировать (2)

Введите код Если вы не можете прочесть код, кликните на него чтобы создать новый.
1
Pavel (OOO "Shtorm tele") 23.08.2011 (10:52)
ISO/IEC 27005:2011 - международный стандарт, в России какой ГОСТ Р ему соответствует?

Компании, которые хранят базы данных с личной информацией об абонентах (физических лицах), обязаны приводить свои внутренние процессы в соответствие с ISO/IEC 27005:2011 или подобными стандартами?

Ico может провести сертификацию по данному стандарту?
2
Эксперт ICO 23.08.2011 (18:16)
В РФ действует ГОСТ Р ИСО/МЭК 27005-2010, который соответствует предыдущей версии международного стандарта ISO/IEC 27005:2008

Стандарты ISO на системы менеджмента не являются обязательными для предприятий. Только лучшие из них, которые заботятся о своей репутации на рынке и приходят в бизнес всерьез и надолго, занимаются внедрением требований этих стандартов и в добровольном порядке подтверждают соответствие в органах по сертификации СМ.

К сожалению, стандарты менеджмента в области IT технологий не входят в область аккредитации ICO.