ISO/IEC 27005
ISO/IEC 27005 היא קבוצת תקנים של ארגון התקינה הבינלאומי (ISO) והנציבות הבינלאומית לאלקטרוטכניקה (IEC) המספקת הנחיות וטכניקות לניהול סיכוני אבטחת מידע. ISO/IEC 27005 נועד לסייע ביישום אבטחת מידע, בהתבסס על גישה לניהול סיכונים.
ISO/IEC 27005 הוא חלק ממערך תקנים גדול יותר במערכת ניהול אבטחת מידע (ISMS), סדרת ISO/IEC 27000.
במשפחת התקנים ISO/IEC 27000 הוא מופיע בתור ISO/IEC 27005 - ניהול סיכוני אבטחת מידע. תקני ISO/IEC 27001 ו-ISO/IEC 27002 משמשים כבסיס להבנה מלאה של ISO/IEC 27005.
המהדורה השלישית של ISO/IEC 27005 פורסמה בשנת 2018 והמהדורה הרביעית נמצאת ב-Draft Stage.
סקירה כללית
ISO/IEC 27005 הוא תקן שאינו מציין או ממליץ על שיטות ספציפיות לניהול סיכונים. הוא מכיל תהליך יציב המורכב מרצף פעילויות מובנה. חלק מהפעילויות המובנות הללו כוללות:
- קביעת הקשר לניהול סיכונים
- הערכת מידע רלוונטי כמותית או איכותית
- טיפול בכל הסיכונים כראוי
- עדכון בעלי העניין לאורך כל התהליך
- אספקת מוצרים ושירותים בצורה מסודרת ועקבית
- מעקב ובדיקת: סיכונים, טיפול באי וודאויות, מחויבויות וקריטריונים; תגובה מתאימה לשינויים משמעותיים.
- איפשור סחר תוך עמידה בתקנות ובחקיקה מקומית.
מטרות
מטרת התקן העיקרית היא לשפר את תהליך ניהול סיכוני אבטחת המידע (ISMS) בחברה או הארגון. נוסף על כך, הוא מרמז על מתודולוגיה ספציפית לכל בעיה באבטחת מידע. תקן ISO/IEC 27005 חל בעיקר על חברות, אם כי הוא שימושי לכל סוג של ארגון שרוצה לשפר את מערכת ניהול אבטחת המידע שלו (ISMS). חברות וארגונים עם בעיות ISMS עשויים להתמקד בגורמים בודדים, כגון היקף ה-ISMS בפועל או המגזר המסחרי של התעשייה עצמה, במקום ליישם את כל המתודולוגיה של התקן.
