We hadden het in een eerdere blog al over het gestructureerd aanpakken van informatieveiligheid door het invoeren van een beheersysteem dat is opgezet conform de eisen van ISO 27001 (NBN EN ISO/IEC 27001:2017).
Om het in ISO 27001 naar voor geschoven risicomanagementproces beter te ondersteunen, hebben we de ISO 27005 (NBN ISO/IEC 27005:2018). Edward Humphreys, de voorzitter van de werkgroep die zowel de ISO 27001 als de ISO 27005 heeft ontwikkeld, zei in een persbericht dat de ISO 27005 “het 'waarom, wat en hoe' biedt voor organisaties om hun informatieveiligheidsrisico's effectief te kunnen beheren in overeenstemming met de ISO 27001".
Verband met ISO 31000
De ISO 31000 (NBN ISO 31000:2018) omvat richtlijnen voor risicomanagement en werd zo geschreven dat het gemakkelijk zou kunnen worden begrepen.
De ISO 27005 gaat echter veel dieper en is gericht op specialisten op het vlak van informatieveiligheid. De norm onderstreept het belang van een systematische aanpak voor het ontwikkelen en onderhouden van een risicomanagementproces m.b.t. informatiebeveiliging (Information Security Risk Management - ISRM) en de noodzaak om risico’s voortdurend en regelmatig te herzien om de doeltreffendheid van de genomen maatregelen te kunnen blijven garanderen.
Structuur van de risicomanagementactiviteiten
De norm identificeert 6 risicomanagementactiviteiten (bepalen van de context, risicobeoordeling, risicobehandeling, risicoaanvaarding, risicocommunicatie en -consultatie, en risicobewaking en -herziening) en houdt bij de uitwerking een consistente structuur aan:
- een ‘input’-sectie die de vereiste informatie identificeert die nodig is om een activiteit uit te voeren
- een ‘actie’-sectie die de activiteit zelf beschrijft
- een ‘leidraad voor de uitvoering’ waarin begeleiding wordt aangeboden om de activiteit uit te voeren en
- een ‘output’-sectie waarin de informatie die wordt verkregen na het uitvoeren van de activiteit, wordt geïdentificeerd
Deze eenvoudige en herhaalbare structuur maakt het mogelijk om snel de gewenste informatie te vinden ter ondersteuning van het ISRM.
In een volgende blog gaan we dieper in op de risicomanagementactiviteiten in ISO 27005:2018.