ISMS-Risikomanagement nach ISO/IEC 27005
Gefahr erkannt, Gefahr gebannt
Die Norm ISO/IEC 27005 beschreibt einen mit ISO/IEC 27001 kompatiblen Ansatz zum Risikomanagement. Was steht drin und was gilt es bei der Umsetzung zu beachten?
Mitte 2018 wurde die dritte Auflage der ISO/IEC 27005 Information Security Risk Management veröffentlicht, die bisher auf Englisch und Französisch verfügbar ist. Die Norm ist Teil der ISO-27000-Familie, einer Reihe von Standards für Informationssicherheit, und beschreibt Leitlinien für ein Informationssicherheitsrisikomanagement. Im Zuge des Aufbaus eines Informationssicherheitsmanagementsystems (ISMS) stellt die ältere Version des Standards ISO/IEC 27001:2013 Anforderungen an das Risikomanagement, die aktuelle ISO/IEC 27005:2018 wiederum erfüllt diese Anforderungen und beinhaltet außerdem ein Rahmenwerk für dessen Aufbau. Eine Organisation, die sich daran orientiert, kann ihre eigenen Methoden zur Ausgestaltung wählen.
Zwei Standards, ein Ziel
Änderungen in der neuen Auflage der ISO/IEC 27005 gibt es kaum. Neben redaktionellen Anpassungen wurden Verweise auf ältere Editionen der ISO-27000er-Reihe entfernt oder aktualisiert. Als einzige größere Änderung wurde eine Beschreibung des Zusammenspiels zwischen der Norm und der ISO/IEC 27001 ergänzt.