Стандарты ISO/IEC 27001 получили широкое распространение в связи с необходимостью защиты информации клиентов от кибератак. Новый опубликованный стандарт ISO/IEC 27005 позволил сделать еще один шаг к улучшению кибербезопасности и обещает стать помощником в адаптации требований стандарта ISO/IEC 27001 к конкретным отраслям производства. Нарушения целостности данных и кибератаки остаются серьезной угрозой для организаций, которые зачастую недостаточно осведомлены о возможных рисках. Недавно пересмотренный стандарт ISO / IEC 27005: 2018 «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности.», который создает основу для эффективного управления рисками, призван повысить кибербезопасность.
Стандарт ISO/IEC 27001 был разработан для защиты информации, который содержит лучшие мировые практики и может применяться компаниями любого вида деятельности и размера. При правильном использовании система обеспечивает эффективное управление и защиту ценных данных, активов и информации компании, позволяет минимизировать подверженность рискам (например, нарушения безопасности платежей и попытки взлома) и предоставляет клиентам и заинтересованным сторонам уверенность в том, что компания управляет этими рисками.
Обеспечение информационной безопасности компании, будь то коммерческая информация или персональные данные клиентов, никогда ранее не было в центре внимания. Внедрение нового законодательства, такого как Европейский GDPR (General data protection regulation / Общий регламент по защите данных), означает, что организации находятся под еще большим давлением, в процессе обеспечения своей информационной безопасности. Однако, наличие наиболее подходящих технологий и процессов может быть минным полем. Недавно пересмотренный ISO / IEC 27005: 2018 «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности.», предоставляет организациям рекомендации, как преодолевать все это, создавая основу для эффективного управления рисками.
В дополнение к ISO / IEC 27001: 2013, в котором изложены требования к системе управления информационной безопасностью (ISMS — Information Security Management System), недавно был обновлен стандарт ISO / IEC 27005, чтобы отразить новую версию ISO / IEC 27001 и, таким образом, удовлетворить сегодняшние потребности организаций в сфере информационной безопасности.
Документ содержит подробные рекомендации по управлению рисками, позволяющие выполнить соответствующие требования, изложенные в ISO/IEC 27001.
ISO / IEC 27005 является одним из более чем дюжины стандартов в серии ISO / IEC 27000, которые составляют набор инструментов для управления киберрисками, возглавляемой флагманом ISO / IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.». Другие стандарты из данной серии включают в себя те, которые защищают информацию в облаке, обеспечивают безопасность информации в телекоммуникационных системах, кибербезопасность, аудит ISMS и многое другое.
ISO / IEC 27005 был разработан рабочей группой комитета ISO / IEC JTC 1 «Информационные технологии», секретариат которых принадлежит Немецкому институту по стандартизации (DIN) , члену ISO в Германии.
Сертификация по стандарту ISO 27001 будет актуальна для компаний любой сферы деятельности, так как основная их масса работает с персональными данными и соответствие требованиям стандарта повышает лояльность клиентов к организации.