ISO 27005

Die ISO 27005 ist ebenfalls keine Zertifizierungsgrundlage, aber bietet einige nützliche Informationen. Ich muss sogar sagen, dass diese Norm (im Gegensatz zu einigen anderen) wirklich Hilfe bei der praktischen Anwendung bringt!

Was beeinhaltet die ISO 27005?

Die ISO 27005 trägt den Namen „Information technology — Security techniques — Information security risk management“ und behandelt dem Namen nach das Risikomanagement in der Informationssicherheit. Dabei sind die groben Überschriften der Norm:

• Kriterien, Umfang und Organisation des Risiko-Managements
• Risikobewertung
• Risikobehandlung
• Risikoakzeptanz
• Risikokommunikation
• Überwachung und Review

Dabei sind natürlich wieder die ‚klassischen‘ Norminhalte dabei, wie Management- und Organisationsaspekte, Kommunikation und natürlich kontinuierliche Verbesserung (Überwachung und Review).

Sehr interessant aus meiner Sicht sind die Abschnitt Risikobewertung, -behandlung und -aktzeptanz. Bei der Risikobewertung und -behandlung wird ein relativ praktischer Ansatz beschrieben, wie Risiken top-down also von den tatsächlich verarbeiteten Informationen und Geschäftsprozessen (primary assets) heruntergebrochen werden auf die abhängigen IT-Systeme, Anwendungen, Personen, Gebäude usw. (secondary assets).

Neben diesem Punkt war für auch der Abschnitt Risikoakzeptanz interessant, da dies ein Punkt ist mit dem sich wenig Organisationen ausreichend beschäftigen. Eine der vier Risikobehandlungsoptionen ist die Akzeptanz, wobei diese Option gut überlegt und begründet sein muss (besonders wenn man nach ISO 27001 zertifiziert sein will). Die Geschäftsführung einer Organisation muss hier klare Kriterien fertlegen, wann ein Risiko akzeptiert werden kann und wann es transferiert, vermieden oder reduziert werden muss. Diese Aufgabe kann nicht auf Untergebene (Informationssicherheitsbeuaftragter, IT-Leiter oder sonst wen) abgewälzt werden!