Iso/iec 27005: 2022 Axborot xavfsizligi, kiberxavfsizlik va maxfiylikni himoya qilish Axborot xavfsizligi xavflarini boshqarish bo'yicha qo'llanma

ISO/IEC 27005:2022 - Axborot xavfsizligi, kiberxavfsizlik va maxfiylikni himoya qilish - Axborot xavfsizligi xavflarini boshqarish bo'yicha qo'llanma ( to'rtinchi nashr )

Reja: 1. Kirish 2. Standartning amal qilish doirasi 3. Standartning mazmuni 4. Standartning holati

Abstrakt “Ushbu hujjat tashkilotlarga quyidagilarga yordam berish bo'yicha ko'rsatmalar beradi: ISO/IEC 27001 axborot xavfsizligi xavflarini bartaraf etish bo'yicha harakatlarga oid talablarini bajarish; [va] axborot xavfsizligi risklarini boshqarish bo'yicha faoliyatni amalga oshirish, xususan, axborot xavfsizligi xavfini baholash va davolash ...“ [Manba: ISO/IEC 27005:2022]

Kirish ISO27k standartlari ochiqdan-ochiq xavf-xatarlarga moslashtirilgan, ya'ni tashkilotlar o'z ma'lumotlariga oid xavflarni (ISO27k standartlarida "axborot xavfsizligi xatarlari" deb ataladi) aniqlashi va baholashi kerak, ular bilan turli yo'llar bilan kurashishga ("davolash") kirishadi. Ustuvorlik sifatida eng muhim axborot xatarlari bilan shug'ullanish amaliy amalga oshirish va boshqarish nuqtai nazaridan mantiqiydir. Buni boshdan kechirish, eng muhim xavflarni hal qilishga ustuvor ahamiyat bermaslik boshqaruvdagi muvaffaqiyatsizlikni, beparvolik yoki noto'g'ri boshqaruvni anglatadi.

Standartning amal qilish doirasi Standart ISO/IEC 27001:2022 talablarini talqin qiluvchi va bajaradigan tashkilotlarga ularning axborot [xavfsizlik] xavflarini hal qilish (baholash va davolash) bo‘yicha yo‘l-yo‘riq ko‘rsatadi. U ISO/IEC 27001 dan mustaqil ravishda ham foydalanish mumkin.

Standartning mazmuni Bu ~ 70 sahifadan iborat ko'p, batafsil maslahatlarni taqdim etadigan muhim, jiddiy standart: Axborot xavfsizligi risklarini boshqarish - strategik/uzoq muddatli va operativ/o'rta-qisqa muddatli davrlarni o'z ichiga olgan axborot [xavfsizlik] risklarini aniqlash, baholash va davolashning iterativ (davom etuvchi, "mo'l-ko'l") jarayonini tavsiflaydi. Kontekstni o'rnatish - sarlavhaga qaramay, 6-band asosan xavf mezonlarini aniqlash usullariga tegishli. Tashkilotning axborot tavakkalchiligi va xavfsizligini boshqarish bo'yicha biznes konteksti 10-bandda yoritilgan. Axborot xavfsizligi xavfini baholash jarayoni - yana bir uzun bo'lim axborot [xavfsizlik] risklarini tizimli ravishda aniqlash, tahlil qilish, baholash va ustuvorlik qilish jarayonini belgilaydi. Axborot xavfsizligi xavfini davolash jarayoni - asosan axborot [xavfsizlik] risklarini "o'zgartirish" (yumshatish yoki saqlash) uchun axborot xavfsizligini boshqarish vositalaridan foydalanish nuqtai nazaridan tavsiflanadi, xavfni davolashning boshqa variantlari (qochish, almashish va qabul qilish) haqida deyarli eslatib o'tmasdan. Operatsion - qisqa bandda axborot [xavfsizlik] xavflari va davolash muntazam ravishda yoki o'zgarishlar yuz berganda ko'rib chiqilishi kerakligi aytiladi. Tegishli AXBT jarayonlaridan foydalanish - bu asosan ISO/IEC 27001 standartini qaytadan xeshlash va kuchaytirish boʻlib, ISO/IEC 27003 ga oʻxshash uslubda amalga oshirish boʻyicha maslahatlar beradi . Ilova - xavf mezonlari bo'yicha qo'shimcha ma'lumot va tahdidlar va zaifliklar misollari kabi amaliy maslahatlar.

• Standartni ISO/IEC 27001:2022 (ayniqsa, 10-bandda) va ISO 31000:2018 ( masalan , umumiy terminologiyani qabul qilish) bilan muvofiqlashtirish va qo‘llab-quvvatlash;
• Stsenariy asosidagi xavflarni baholashni joriy etish;
• Xatarlarni identifikatsiyalashda hodisalarga asoslangan va aktivlarga asoslangan yondashuvlarni taqqoslang;
• Uchinchi nashrning ilovalarini bittaga birlashtiring .