Giới thiệu tiêu chuẩn ISO/IEC 27005:2022 ( idas-ISO/IEC 27005)

Giới thiệu
Các tiêu chuẩn ISO27k rõ ràng là phù hợp với rủi ro, nghĩa là các tổ chức phải xác định và đánh giá rủi ro đối với thông tin của họ (được gọi là “rủi ro bảo mật thông tin” trong các tiêu chuẩn ISO27k) như một bước khởi đầu để xử lý (“xử lý”) chúng theo nhiều cách khác nhau.

Xử lý các rủi ro thông tin quan trọng nhất như các ưu tiên có ý nghĩa từ quan điểm quản lý và triển khai thực tế. Ngược lại, việc không ưu tiên giải quyết các rủi ro quan trọng nhất thể hiện sự thất bại trong quản trị, được cho là sơ suất hoặc quản lý yếu kém.

Phạm vi của tiêu chuẩn
Tiêu chuẩn hướng dẫn các tổ chức diễn giải và đáp ứng các yêu cầu của ISO/IEC 27001:2022 để giải quyết (đánh giá và xử lý) các rủi ro [bảo mật] thông tin của họ. Nó cũng có thể được sử dụng độc lập với ISO/IEC 27001: đây là một cách tiếp cận có giá trị để quản lý rủi ro thông tin bất kể khuôn khổ nào.

Nội dung của tiêu chuẩn
Đây là một tiêu chuẩn đáng kể, có trọng lượng cung cấp ~ 70 trang lời khuyên chi tiết, phong phú về:

Quản lý rủi ro bảo mật thông tin - mô tả quy trình lặp đi lặp lại (đang diễn ra, 'whack-a-mole') để xác định, đánh giá và xử lý rủi ro [an ninh] thông tin, bao gồm cả chu kỳ chiến lược/dài hạn và hoạt động/trung hạn-ngắn hạn.
Thiết lập bối cảnh - mặc dù có tiêu đề, điều khoản 6 chủ yếu liên quan đến các phương pháp xác định tiêu chí rủi ro. Bối cảnh kinh doanh của tổ chức đối với quản lý rủi ro và bảo mật thông tin được đề cập trong điều 10.
Quy trình đánh giá rủi ro bảo mật thông tin - một điều khoản dài khác đưa ra quy trình xác định, phân tích, đánh giá và ưu tiên các rủi ro [bảo mật] thông tin một cách có hệ thống.
Quy trình xử lý rủi ro bảo mật thông tin - được mô tả chủ yếu dưới dạng sử dụng các biện pháp kiểm soát bảo mật thông tin để 'sửa đổi' (giảm thiểu hoặc duy trì) rủi ro [bảo mật] thông tin, hầu như không đề cập đến các tùy chọn xử lý rủi ro khác (tránh, chia sẻ và chấp nhận).
Hoạt động - một điều khoản ngắn đề cập rằng các rủi ro [bảo mật] thông tin và các biện pháp xử lý nên được xem xét thường xuyên hoặc khi có thay đổi.
Tận dụng các quy trình ISMS có liên quan - về cơ bản, đây là quá trình băm lại và khuếch đại ISO/IEC 27001, đưa ra lời khuyên triển khai theo phong cách tương tự như ISO/IEC 27003.
Phụ lục - thông tin bổ sung về tiêu chí rủi ro và lời khuyên thực tế, chẳng hạn như ví dụ về các mối đe dọa và lỗ hổng.

Tình trạng tiêu chuẩn
Phiên bản đầu tiên (2008) và thứ hai (2011) là lịch sử cổ đại.

Phiên bản thứ ba (2018) được cho là một biện pháp ngăn chặn tạm thời với những thay đổi rất hạn chế ... điều đó tỏ ra khó cập nhật cho đến khi ...

Phiên bản thứ tư, được xuất bản vào năm 2022, có tiêu đề và phạm vi mới, đồng thời sửa đổi kỹ lưỡng nội dung thành:

Điều chỉnh tiêu chuẩn với và hỗ trợ ISO/IEC 27001:2022 (đặc biệt là trong điều khoản 10) và ISO 31000:2018 (ví dụ: áp dụng thuật ngữ chung);
Giới thiệu đánh giá rủi ro dựa trên kịch bản;
Đối chiếu các cách tiếp cận dựa trên sự kiện và dựa trên tài sản để xác định rủi ro;
Hợp nhất các phụ lục của ấn bản thứ ba thành một.

< Tiêu chuẩn trước đó ^ Lên một cấp độ ^ Tiêu chuẩn tiếp theo >

Nội dung hấp dẫn ISO/IEC 27005:2022 < Nhấp vào liên kết để mua tiêu chuẩn — Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư — Hướng dẫn quản lý rủi ro bảo mật thông tin (tái bản lần thứ tư)
 
Trừu tượng
“Tài liệu này cung cấp hướng dẫn để hỗ trợ các tổ chức: thực hiện các yêu cầu của ISO/IEC 27001 liên quan đến các hành động giải quyết rủi ro bảo mật thông tin; [và] thực hiện các hoạt động quản lý rủi ro an toàn thông tin, cụ thể là đánh giá và xử lý rủi ro an toàn thông tin…”
[Nguồn: ISO/IEC 27005:2022]
 
Giới thiệu
Các tiêu chuẩn ISO27k rõ ràng là phù hợp với rủi ro, nghĩa là các tổ chức phải xác định và đánh giá rủi ro đối với thông tin của họ (được gọi là “rủi ro bảo mật thông tin” trong các tiêu chuẩn ISO27k) như một bước khởi đầu để xử lý (“xử lý”) chúng theo nhiều cách khác nhau.

Xử lý các rủi ro thông tin quan trọng nhất như các ưu tiên có ý nghĩa từ quan điểm quản lý và triển khai thực tế. Ngược lại, việc không ưu tiên giải quyết các rủi ro quan trọng nhất thể hiện sự thất bại trong quản trị, được cho là sơ suất hoặc quản lý yếu kém.

Phạm vi của tiêu chuẩn
Tiêu chuẩn hướng dẫn các tổ chức diễn giải và đáp ứng các yêu cầu của ISO/IEC 27001:2022 để giải quyết (đánh giá và xử lý) các rủi ro [bảo mật] thông tin của họ. Nó cũng có thể được sử dụng độc lập với ISO/IEC 27001: đây là một cách tiếp cận có giá trị để quản lý rủi ro thông tin bất kể khuôn khổ nào.

Nội dung của tiêu chuẩn
Đây là một tiêu chuẩn đáng kể, có trọng lượng cung cấp ~ 70 trang lời khuyên chi tiết, phong phú về:

Quản lý rủi ro bảo mật thông tin - mô tả quy trình lặp đi lặp lại (đang diễn ra, 'whack-a-mole') để xác định, đánh giá và xử lý rủi ro [an ninh] thông tin, bao gồm cả chu kỳ chiến lược/dài hạn và hoạt động/trung hạn-ngắn hạn.
Thiết lập bối cảnh - mặc dù có tiêu đề, điều khoản 6 chủ yếu liên quan đến các phương pháp xác định tiêu chí rủi ro. Bối cảnh kinh doanh của tổ chức đối với quản lý rủi ro và bảo mật thông tin được đề cập trong điều 10.
Quy trình đánh giá rủi ro bảo mật thông tin - một điều khoản dài khác đưa ra quy trình xác định, phân tích, đánh giá và ưu tiên các rủi ro [bảo mật] thông tin một cách có hệ thống.
Quy trình xử lý rủi ro bảo mật thông tin - được mô tả chủ yếu dưới dạng sử dụng các biện pháp kiểm soát bảo mật thông tin để 'sửa đổi' (giảm thiểu hoặc duy trì) rủi ro [bảo mật] thông tin, hầu như không đề cập đến các tùy chọn xử lý rủi ro khác (tránh, chia sẻ và chấp nhận).
Hoạt động - một điều khoản ngắn đề cập rằng các rủi ro [bảo mật] thông tin và các biện pháp xử lý nên được xem xét thường xuyên hoặc khi có thay đổi.
Tận dụng các quy trình ISMS có liên quan - về cơ bản, đây là quá trình băm lại và khuếch đại ISO/IEC 27001, đưa ra lời khuyên triển khai theo phong cách tương tự như ISO/IEC 27003.
Phụ lục - thông tin bổ sung về tiêu chí rủi ro và lời khuyên thực tế, chẳng hạn như ví dụ về các mối đe dọa và lỗ hổng.

Tình trạng tiêu chuẩn
Phiên bản đầu tiên (2008) và thứ hai (2011) là lịch sử cổ đại.

Phiên bản thứ ba (2018) được cho là một biện pháp ngăn chặn tạm thời với những thay đổi rất hạn chế ... điều đó tỏ ra khó cập nhật cho đến khi ...

Phiên bản thứ tư, được xuất bản vào năm 2022, có tiêu đề và phạm vi mới, đồng thời sửa đổi kỹ lưỡng nội dung thành:

Điều chỉnh tiêu chuẩn với và hỗ trợ ISO/IEC 27001:2022 (đặc biệt là trong điều khoản 10) và ISO 31000:2018 (ví dụ: áp dụng thuật ngữ chung);
Giới thiệu đánh giá rủi ro dựa trên kịch bản;
Đối chiếu các cách tiếp cận dựa trên sự kiện và dựa trên tài sản để xác định rủi ro;
Hợp nhất các phụ lục của ấn bản thứ ba thành một.

Đọc thêm
Đọc thêm về cách chọn phương pháp phân tích rủi ro thông tin phù hợp và công cụ quản lý trong Câu hỏi thường gặp về ISO27k.

ISO 31000 Quản lý rủi ro - Nguyên tắc (miễn phí!) là một tiêu chuẩn phổ biến và được tôn trọng, mô tả phương pháp quản lý rủi ro có hệ thống phù hợp với nhiều loại rủi ro. Bạn cũng có thể đánh giá cao ISO/TR 31004 Quản lý rủi ro - Hướng dẫn triển khai ISO 31000 và ISO/IEC 31010 Quản lý rủi ro - Kỹ thuật đánh giá rủi ro.

Nhận xét idas
Cho rằng toàn bộ phương pháp tiếp cận ISO27k là phù hợp với rủi ro, việc xác định, đánh giá và xử lý rủi ro thông tin là điều cơ bản.

Tiêu chuẩn giải quyết vấn đề gai góc về cách sử dụng Phụ lục A của ISO/IEC 27001. Mô tả việc sử dụng nó như một bộ kiểm soát không hoàn chỉnh có thể được kiểm tra về mức độ phù hợp để giảm thiểu rủi ro [bảo mật] thông tin đã xác định của tổ chức - nói cách khác, một tiêu chuẩn dựa trên kiểm soát cách tiếp cận quản lý rủi ro thông tin, bổ sung cho cách tiếp cận dựa trên kịch bản, sự kiện và tài sản được đề cập ở nơi khác. Việc áp dụng cả bốn cách tiếp cận có thể tốn kém nhưng có lợi thế trong việc khám phá các rủi ro thông tin từ nhiều góc độ khác nhau.