ISO / IEC 27005:2008

ISO27005

---

Apibrėžimas

ISO / IEC 27005:2008 pateikia gaires dėl informacijos saugumo rizikos valdymo. Ji palaiko bendraja sąvoka apibrėžta ISO / IEC 27001, ir yra skirta padėti tinkamai įgyvendinti informacijos saugumo, pagrįsto rizikos valdymo požiūriu. Žinios apie sąvokas, modelius, procesus ir terminai aprašyti ISO / IEC 27001 ir ISO / IEC 27002 standartuose, taigi jie yra svarbūs ISO / IEC 27005:2008 supratimui. ISO / IEC 27005:2008 yra taikomas visų rūšių organizacijų tipams (pvz., komercinės įmonės, vyriausybinės agentūros, ne pelno organizacijos), kurie ketina valdyti riziką, kuri gali pakenkti organizacijos informacijos saugumui.

ISO / IEC 27005:2008 apima:

• Informacijos technologijas;
• Saugumo metodus;
• Informacijos saugumo rizikos valdymą.

---

Paaiškinimai

ISO / IEC 27000 serija - tai informacijos saugumo standartas skelbiamas Tarptautinės standartizacijos organizacijos (ang. International Organization for Standardization (ISO)) ir Tarptautinės elektrotechnikos komisijos (ang. International Electrotechnical Commission (IEC)).

ISO 27005 yra svarbiausias ISO / IEC 27000 serijos standartas, apimantis gaires Informacijos Saugumo Rizikos Valdymui (ISRV, angl. Information Security Risk Management (ISRM)), pateikiamas rekomendacijas dėl ISRV organizacijoje, konkrečiai remiantis informacijos saugumo valdymo sistema, apibrėžta ISO 27001 reikalavimais.

1 pav. ISO 27005 struktūra.

ISO 27005 standartas apima 55 puslapius ir yra taikomos visų tipų organizacijoms. Jame nėra pateikiama arba rekomenduojama konkreti metodika, nes tai priklauso nuo daugelio veiksnių, tokių kaip faktinės taikymo srities Informacijos Saugumo Valdymo Sistemose (ISVS), pramonės ar komerciniame sektoriuose.

ISO 27005 turinio dalys (2 pav.):

1. Pratarmė.
2. Įvadas.
3. Normatyvinės nuorodos.
4. Terminai ir apibrėžimai.
5. Struktūra.
6. Fonas.
7. ISRV proceso apžvalga.
8. Konteksto kūrimas.
9. Informacijos saugumo rizikos vertinimas (ang. Information Security Risk Assessment (ISRA)).
10. Informacijos saugumo rizikos apdorojimas.
11. Informacijos saugumo rizikos priimtinumas.
12. Informacijos saugumo rizikos perdavimas.
13. Informacijos saugumo rizikos stebėsena ir peržiūra.
14. A priede: apibrėžiamas taikymo srities procesas.
15. B priede: vertingumo bei poveikio vertinimas.
16. C priede: tipiškų grėsmių pavyzdžiai.
17. D priede: pažeidžiamumai ir pažeidžiamumo vertinimo metodai.
18. E priede: ISRA metodai.

2 pav. ISO 27005 turinys.

Standartas buvo paskelbtas 2008 m. birželio mėn.

Naudota literatūra

1. http://en.wikipedia.org/wiki/ISO/IEC_27005

2. http://www.standards.bz/iso-27005.html

3. http://en.wikipedia.org/wiki/ISO/IEC_27000-series

4. http://www.modulo.com/images/iso31000-iso27005/iso31000-iso270005.gif (1 pav.)

5. http://www.securityrisk.co.uk/bs7799/risk.htm (2 pav.)

6. ir kita.

---

• CategoryŽodis CategoryRaidė .

---

• CategoryŽodis