Im Zusammenhang mit der neuen ISO 27001 ist auch die neue ISO/IEC 27005:2022 Informationssicherheit, Cybersicherheit und Datenschutz veröffentlicht worden. Der Leitfaden zur Handhabung von Informationssicherheitsrisiken liefert Richtlinien für die Etablierung eines systematischen Ansatzes für das Risikomanagement der Informationssicherheit. Dieser ist nützlich, um organisatorische Anforderungen bezüglich der Informationssicherheits-Anforderungen zu identifizieren und ein effektives Informationssicherheitsmanagementsystem zu schaffen.
Die ISO/IEC 27005:2022 „Information technology — Security techniques — Information security risk management” beschreibt einen Risikomanagementprozess für den Bereich Informationssicherheit – von der Erarbeitung des Kontextes der Organisation über die Risikoanalyse und -bewertung bis hin zur Risikobehandlung und -überwachung. Diese internationale Norm unterstützt damit die ISO/IEC-27001-Konzepte und fördert eine effiziente Implementierung der Informationssicherheit basierend auf einem Risikomanagement-Ansatz.
Die grundsätzlichen Anforderungen an das Risikomanagement sind überall dort bekannt, wo mit der ISO 27001 gearbeitet wird. Doch die ISO 27005 liefert zusätzlich eine detaillierte Darstellung des Risikomanagementprozesses und eine genaue Beschreibung der einzelnen Schritte des Risikomanagements. Diese Ausführungen, kombiniert mit dem Annex der ISO 27005, in dem sich unter anderem ein beispielhafter Bedrohungskatalog findet, bilden einen nützlichen Leitfaden zur korrekten Etablierung eines Informationssicherheitsrisikomanagements und eine tragfähige Basis zur Umsetzung der Forderungen der ISO 27001.