ISO/IEC 27005:2008

ISO führt Security-Risk-Management-Standard ein

04.07.2008
Von Katharina Friedmann 
Ein von der International Organization for Standardization (ISO) veröffentlichter Leitfaden soll Unternehmen Hilfestellung im anhaltenden Kampf gegen Sicherheitsbedrohungen leisten.

Der neue Standard "Information Technology - Security Techniques - Information Security Risk Management", kurz: ISO/IEC 27005:2008, beschreibt den Prozess des Security-Risk-Managements und liefert entsprechende Handlungsempfehlungen für Unternehmen. Aus Sicht der ISO erstreckt sich das Spektrum der heutigen Sicherheitsbedrohungen von Identitätsdiebstahl und mit Online-Transaktionen verbundenen Gefahren über Denial-of-Service-Attacken (DoS) und Spionageaktivitäten bis hin zu Dokumentenklau sowie Bränden und Überflutungen. Je nach Geschäft können sich Bedrohungen unterschiedlich auswirken - etwa in Form von finanziellen Verlusten, dem Ausfall wesentlicher Netzdienste oder abwandernden Kunden. Als "Risiko" definiert die ISO eine Kombination von Konsequenzen, die unerwünschte Vorfälle nach sich ziehen können. Ein Risiko-Assessment wiederum soll Managern ermöglichen, Risiken zu quantifizieren und nach etablierten Kriterien zu priorisieren.

Ergänzt anhängige Standards

Der neue ISO-Standard ist als Ergänzung der Spezifikation ISO/IEC 27001:2005 ("Information Technology - Security Techniques - Information Security Management Systems - Requirements") ausgelegt. Um den jüngsten ISO-Guide wirklich zu durchdringen, sollten Unternehmen allerdings mit den in den beiden Standards ISO/IEC 27001 und 27002:2006 (Leitfaden zum Thema Information Security Management) beschriebenen Konzepten, Modellen, Prozessen und Begriffen vertraut sein, so eine Anmerkung des Standardisierungsgremiums.

Der Prozess des Information-Security-Risk-Management gemäß ISO umfasst die Bestimmung von Zusammenhängen, Risikobewertung, -behandlung und -akzeptanz, die Kommunikation von Risiken sowie Risikoüberwachung und -überprüfung.

Der aktuelle Standard liefere allerdings keine spezifische Methode für das Information-Security-Risk-Management, stellt die Organisation klar. Vielmehr müssten Unternehmen je nach den Gegebenheiten oder Branche zu ihrem eigenen Ansatz finden. "ISO 27005:2008 ist für Manager und Mitarbeiter gedacht, die in ihrem Unternehmen für das Information Security Risk Management zuständig sind, und gegebenenfalls auch für externe Parteien, die diese Aktivitäten unterstützen, " klärt Edward Humphreys, Leiter der ISO/IEC-Arbeitsgruppe, auf.