ISO/IEC 27005

Zertifizierung:

ISO 9001 ISO/IEC 42001 ISO/IEC 27001 Ein um 25 % günstigeres Angebot EU-AI-Act Zertifikat ISO/IEC 20000-1 ISO 22301 ISO 56001 ESG ISO/IEC 23894 ISO/IEC 27005 Die aktuelle und die nächste ISO 9001 ISO/IEC 29134 ISO 37001 ISO/IEC 23053 ISO/IEC 27701 ISO 45001 ISO 41001 ISO 50001 ISO 14001

Haben Sie eine Frage?

office@ai-cert-eu.de

ISO/IEC 27005

Das Anfrageformular für die Auditierung zertifizierbarer Normen kann der Auftraggeber hier herunterladen:
https://ai-cert-eu.de/site/index#contact

ISO/IEC 27005 ist keine zertifizierbare Norm; für sich allein kann dafür kein Zertifikat erworben werden, sie unterstützt typischerweise die Zertifizierung nach ISO/IEC 27001 durch Leitlinien zum Management von Informationssicherheitsrisiken.

Das Anfrageformular für die Auditierung zertifizierbarer Normen kann der Auftraggeber hier herunterladen:
https://ai-cert-eu.de/site/index#contact

Welche Rolle hat ISO/IEC 27005?

  • Sie ist eine Leitliniennorm für das Management von Informationssicherheitsrisiken, Teil der ISO-27000-Familie, mit Fokus speziell auf die Risikomanagementprozesse eines ISMS.
  • Sie dient der Ausdetaillierung des in ISO/IEC 27001 geforderten risikobasierten Ansatzes und hilft dabei, Informationssicherheitsrisiken zu identifizieren, zu bewerten und zu behandeln.

Hier finden Sie die zugehörigen Dokumente (Handbuch, Formulare, Verfahren usw.):
https://notion4qm.gumroad.com/l/dok_de

Frage der Zertifizierbarkeit

  • Die Norm liefert Leitlinien und „Good Practices“ (Guidance); sie ist nicht als Zertifizierungs-Anforderungskatalog formuliert – ähnlich wie ISO 31000, die ebenfalls nicht zertifizierbar ist.
  • In der Praxis liegt der Zertifizierungsfokus auf ISO/IEC 27001; Auditoren prüfen, ob die Risikomanagementpraxis der Organisation (häufig auf Basis von ISO/IEC 27005 aufgebaut) die Anforderungen der 27001 erfüllt.

Die Norm ISO/IEC 27005 bietet umfassende Leitlinien für das Management von Informationsisikomanagement im Bereich Informationssicherheit, Cybersicherheit und Datenschutz/Privatsphäre. Ziel der Norm ist es, Organisationen bei der Identifizierung, Analyse, Bewertung, Behandlung und kontinuierlichen Überwachung von Informationssicherheitsrisiken zu unterstützen – im Einklang mit ISO/IEC 27001 sowie der Risikomanagement-Leitlinie ISO 31000.

ISO/IEC 27005 behandelt den Risikomanagementprozess detailliert, einschließlich der Festlegung des Kontexts, der Schritte der Risikobewertung (Identifizierung, Analyse, Bewertung/Risikoeinstufung) und der Risikobehandlung sowie deren kontinuierlicher Überwachung, Überprüfung und Verbesserung. Ein besonderer Schwerpunkt liegt auf der Definition von Risikokriterien, Risikobereitschaft bzw. Risikoakzeptanzniveaus sowie verschiedenen Strategien zur Risikobehandlung (Vermeidung, Modifikation/Reduktion, Teilung/Übertragung, Beibehaltung). Die Norm geht auf zwei Hauptansätze der Risikobewertung ein – ereignisbasiert und vermögenswertbasiert – und erläutert deren Zusammenhang anhand der Analyse von Risikoszenarien.

Bei der Identifikation und Analyse von Informationssicherheitsrisiken definiert sie zahlreiche Begriffe wie Risiko, Bedrohung, Schwachstelle, Risikoquelle, Risikoeigner, Risikoakzeptanz, Kontrollen sowie Restrisiko. Das Dokument betont die Bedeutung des Management-Commitments und der Kommunikation mit interessierten Parteien, des Umgangs mit dokumentierten Informationen, der kontinuierlichen Risikoüberwachung sowie der regelmäßigen Überprüfung und Verbesserung des Risikomanagementprozesses.

Im Anhang gibt sie Beispiele für Techniken, die Risikobewertungsprozesse unterstützen, z. B. die Festlegung von Risikokriterien mithilfe qualitativer und quantitativer Skalen, die Kategorisierung von Risikoquellen, Bedrohungen, Schwachstellen und Risikoszenarien sowie Modelle zur Überwachung risiko-bezogener Ereignisse.

Hauptpunkte

Iterativer Charakter des Risikomanagements: Die Norm hebt hervor, dass Risikobewertung und Risikobehandlung iterative Prozesse sind, die ein tieferes Verständnis der Risiken und eine kontinuierliche Verbesserung der Wirksamkeit von Kontrollen ermöglichen. Diese Flexibilität hilft Organisationen, schnell auf ein sich wandelndes Bedrohungsumfeld und veränderte Geschäftsanforderungen zu reagieren und so die Wirksamkeit des ISMS aufrechtzuerhalten.

Zwei Ansätze der Risikoanalyse: Die kombinierte Nutzung ereignisbasierter und vermögenswertbasierter Methoden gewährleistet eine umfassende Ermittlung von Risiken. Der ereignisbasierte Ansatz fokussiert auf Szenarien auf strategischer Ebene, während der vermögenswertbasierte Ansatz die betroffenen Assets und deren Schwachstellen detailliert analysiert und so eine zielgerichtete Risikobehandlung unterstützt.

Die Vielfalt der Risikobehandlungsstrategien ermöglicht es Organisationen, Maßnahmen an die Art der Risiken und das Akzeptanzniveau anzupassen. Die Norm definiert klar die Optionen Risikovermeidung, Modifikation/Reduktion, Teilung/Übertragung und Beibehaltung und betont zugleich die Bedeutung der Festlegung und Bewertung von Kontrollen, um wirksamen Schutz sicherzustellen.

Die Festlegung von Risikokriterien und Akzeptanzniveaus ist entscheidend für eine objektive Risikobewertung und Priorisierung. Die Norm gibt detaillierte Hinweise zur Anwendung qualitativer und quantitativer Skalen und betont, dass die Kriterien der Risikoakzeptanz an die Geschäftsziele und den Risikoappetit der Organisation anzupassen sind.

Kontinuierliche, bidirektionale Kommunikation mit interessierten Parteien stärkt die Wirksamkeit des Risikomanagements und die Verpflichtung der Entscheidungsträger. Die Norm hebt hervor, dass geeignete Kommunikation Unterschiede in der Risikowahrnehmung reduziert, die Unterstützung für Maßnahmen erhöht und das Bewusstsein in der Organisation verbessert.

Dokumentation und kontinuierliche Verbesserung: Die Norm fordert die Dokumentation der Prozesse zur Risikobewertung und -behandlung sowie ihrer Ergebnisse, wodurch eine Grundlage für regelmäßige Überprüfungen und kontinuierliche Verbesserung geschaffen wird. Dokumentierte Informationen sorgen für Transparenz, erleichtern die Zertifizierung und helfen Organisationen, ihre Risikomanagementpraxis als Reaktion auf Veränderungen im Zeitverlauf zu verbessern.

Ein tiefes Verständnis der Beziehung zwischen Risiken und Kontrollen – einschließlich Abhängigkeiten zwischen unterstützenden und primären Vermögenswerten – ist für ein wirksames Risikomanagement unerlässlich. Dies stellt sicher, dass Behandlungspläne nicht nur auf oberflächliche Probleme fokussieren, sondern auch die Ursachen der Risiken adressieren und eine Mehrfacherfassung oder das Übersehen von Risiken vermeiden.

Das Anfrageformular für die Auditierung zertifizierbarer Normen kann der Auftraggeber hier herunterladen:
https://ai-cert-eu.de/site/index#contact