Computerworld News Service: ISO / IEC 27005:2008, med den engelske undertitel 'Information technology - Security techniques - Information security risk management', beskriver risikostyrings-processer indenfor informationssikkerhed, samt andre relevante foranstaltninger på området for virksomheder og organisationer.
Ifølge vejledningens udvikler, 'International Organization for Standardization' (ISO), omfatter trusler blandt andet identitetstyveri, online transaktions-risici, 'denial of service' -angreb og spionage.
ISO definerer risiko som en 'kombination af konsekvenser' som for eksempel tab af finansielle aktiver, tab af essentielle netværkstjenester samt tab af kundernes tillid på grund af uønskede begivenheder.
Supplement til relaterede standarder
ISO / IEC 27005:2008 understøtter generelle begreber allerede specificeret i ISO / IEC 27001:2005 standarden, kaldet: 'Information technology - Security techniques - Information security management systems – Requirements'.
ISO fastslår at viden om begreber, modeller, processer og terminologier beskrevet i 'ISO / IEC 27001' samt 'ISO / IEC 27002: 2005', er afgørende for en fuldstændig forståelse af den nye standard. 'ISO / IEC 27002: 2005' dækker normer for forvaltning af informationssikkerhed.
Risikostyring
ISO udtaler at risikostyring indenfor informationssikkerhed indebærer evaluering og etablering af kontekster samt accept, kommunikation, overvågning og revurdering af risici.
ISO tilføjer, at den nye standard ikke giver nogen specifik metode til risikostyring af informationssikkerhed. Årsagen er, at en organisation kan definere sin tilgang til risikostyring ud fra mange forskellige angrebsvinkler, for eksempel ud fra miljø eller fra et industrielt perspektiv.
Edward Humphreys, leder af ISO / IEC-arbejdsgruppen der har udviklet den nye standard, siger at: "ISO / IEC 27005:2008 er relevant for ledere og medarbejdere, der arbejder med risikostyring og informationssikkerhed inden for en organisation. I visse tilfælde er standarden også relevant for eksterne parter der støtter sådanne aktiviteter."
Oversat af Jimmie Gustafsson
