ISO 27005 nýr staðall um áhættustjórnun

Birt á Moggablogginu 28.7.2008 - Efnisflokkur: Áhættustjórnun

Nýlega kom út nýr staðall um áhættustjórnun sem snýr að upplýsingaöryggi, ISO/IEC 27005:2008 Information technology - Security techniques - Information Security risk management.  Hægt er að nálgast staðalinn hjá Staðlaráði og á www.iso.org.  Staðallinn er í bland alþjóðleg útgáfa breska staðalsins BS 7799-3, uppfærsla á stöðlunum ISO/IEC TR 13335-3:1998 og ISO/IEC TR 13335-4:2000, sem jafnframt falla úr gildi, og ritinu Guide to BS 7799 Risk Assessment frá BSI.

Staðallinn ISO/IEC 27005 er fjórði staðallinn í 2700x röð staðla um upplýsingaöryggi sem komið hefur út.  Áður eru út komnir:

  • ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.  Er til sem íslenskur staðall ÍST ISO/IEC 27001:2005 Upplýsingatækni - Öryggistækni - Stjórnkerfi upplýsinga[öryggis] - Kröfur

  • ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management.  ER til sem íslenskur staðall ÍST ISO/IEC 27002:2005 Upplýsingatækni - Öryggistækni - Starfsvenjur fyrir stjórnun upplýsingaöryggis

  • ISO/IEC 27006:2007  Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

Þá eru tveir á leiðinni:

  • ISO/IEC 27000  Information technology - Security techniques - Information security management systems - Overview and Vocabulary

  • ISO/IEC 27004  Information technology - Security techniques - Information security management measurements

Innihald staðalsins

Staðallinn inniheldur lýsingu á áhættustjórnunarferlinu fyrir upplýsingaöryggi og aðgerðum tengdu því. Skynsamlegt er að beita kerfisbundinni nálgun við alla áhættustjórnun, hvort heldur vegna upplýsingaöryggis eða annarra þátta, svo hægt sé að bera kennsl á þarfir fyrirtækja fyrir öryggisstjórnun.  Auk þess er áhættustjórnun einatt grundvöllur þessa að hægt sé að koma upp skilvirku öryggisstjórnkerfi. Þannig gera staðlarnir ISO 27001 og ISO 27002 ráð fyrir að framkvæmt sé áhættumat og beitt sé áhættumeðferð við val á ráðstöfunum og við innleiðingu staðlanna.

Í grófum dráttum ætti áhættustjórnun hafa áhrif á eftirfarandi þætti:

  • Að borin séu kennsl á áhættu/ógnir

  • Að áhætta sé metin með hliðsjón af afleiðingum þess fyrir reksturinn/aðstæður og líkunum á því að áhættan/ógnirnar raungerist

  • Að höfð séu samskipti um líkurnar og afleiðingarnar og allir viðkomandi skilji hvað átt er við

  • Að skilgreind sé forgangsröðun vegna áhættumeðferðar

  • Að skilgreind sé forgangsröðun til að draga úr áhættu

  • Að hagsmunaaðilar taki þátt í ákvörðunum varðandi áhættustjórnun og séu upplýstir um gang mála

  • Að eftirlit með áhættumeðferð sé árangursríkt

  • Að áhætta/ógnir og áhættustjórnunarferlið sé yfirfarið og endurskoðað reglulega

  • Að upplýsingum sé safnað til að bæta aðferðir við áhættustjórnun

  • Að stjórnendur og starfsfólk auki þekkingu sína um áhættu/ógnir og ráðstafanir til að draga úr áhrifum.

Segja má að áhættustjórnunarferlið skiptist í fimm þætti:

  1. Áhættumat, sem felst í að greina áhættu/ógnir og meta áhrif þeirra

  2. Áhættumeðferð, sem getur falist í því að draga úr áhættu, að viðhalda áhættu, forðast hana eða flytja hana til.

  3. Samþykja eða viðurkenna áhættu

  4. Gera hagsmunaaðilum grein fyrir áhættunni (láta vita af henni)

  5. Hafa eftirlit með og endurskoða áhættu

Staðallinn fjallar um þessa fimm þætti, auk þess sem honum fylgja nokkrir viðaukar þar sem m.a. er lýst vhernig gott er að standa að afmörkun (viðauki A), hvaða eignir/verðmæti er dæmigert að taka með og hvernig þetta er metið (viðauki B), dæmi um dæmigerðar ógnir (viðauki C), veilur og hvernig er hægt að meta þær (viðauki D), aðferðir við áhættumat (viðauki E) og loks atriði sem geta takmarkað möguleika til að draga úr áhættu (viðauki F).

Nánari upplýsingar um þetta er að finna í staðlinum, en hann er hægt að nálgast á rafrænu formi með því að smella hér - rafræn útgáfa.  Vilji fólk frekar prentaða útgáfu, þá má smella hér-prentuð útgáfa.

Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar veitir ráðgjöf um notkun staðalsins og hefur margra ára reynslu af notkun þeirra aðferða sem þar er lýst.  Nánari upplýsingar veittir Marinó í síma 898-6019, en einnig er hægt að senda tölvupóst á oryggi@internet.is.