Opublikowana została międzynarodowa norma ISO/IEC 27005:2011, która dostarcza menedżerom i pracownikom działów IT strukturę dla wdrożenia podejścia do zarządzania ryzykiem. To podejście ma pomóc w zarządzaniu ryzykiem systemu zarządzania bezpieczeństwem informacji (ISMS).
Zagrożenia dla bezpieczeństwa informacji stanowią poważny problem dla firm ze względu na możliwość strat finansowych, utratę niezbędnych usług sieciowych czy reputacji i zaufania klientów. Zarządzanie ryzykiem jest jednym z kluczowych elementów w zapobieganiu oszustwom internetowym, kradzieżom tożsamości, uszkodzeniom witryn sieci Web, utratą danych osobowych i wielu innych incydentów związanych z bezpieczeństwem informacji. Bez solidnej struktury zarządzania ryzykiem, organizacje narażają się na wiele rodzajów zagrożeń cybernetycznych.
Nowa międzynarodowa norma ISO/IEC 27005:2011, Technologia informatyczna - Techniki bezpieczeństwa - zarządzanie bezpieczeństwem informacji ma na celu pomóc organizacjom wszelkich typów lepiej zarządzać bezpieczeństwem informacji.
Edward Humphreys, szef grupy roboczej ISO/IEC, która opracowała normę komentuje: "ISO/IEC 27005:2011 jest podstawową normą dla tych organizacji, które chcą zarządzać swoim ryzykiem skutecznie, w szczególności, do wykazania zgodności z popularną normą zarządzania bezpieczeństwem informacji - ISO/IEC 27001. Zarządzanie ryzykiem ma kluczowe znaczenie dla dobrego zarządzania firmą i ta norma pomaga organizacjom przez wskazówki "co, jak i dlaczego" zarządzać ryzykiem bezpieczeństwa informacji w celu wsparcia celów biznesowych."
Obecna druga edycja normy, została poddana przeglądowi i aktualizacji między innymi w celu uwzględnienia treści następujących publikacji dotyczących zarządzania ryzykiem:
Norma ISO/IEC 27005 jest przeznaczona do wspólnego stosowania z ISO 31000:2009 w celu pomocy organizacjom, które chcą zarządzać ryzykiem bezpieczeństwa informacji w podobny sposób jak zarządzają "innymi" zagrożeniami.
ISO/IEC 27005:2011 pomoże we wdrożeniu normy ISO/IEC 27001 (system zarządzania bezpieczeństwem informacji), która opiera się na podejściu do zarządzania ryzykiem. Znajomość pojęć, modeli, procesów i terminologii określonych w normie ISO/IEC 27001 oraz ISO/IEC 27002 jest istotna dla pełnego zrozumienia niniejszej normy międzynarodowej. Proces zarządzania ryzykiem bezpieczeństwem informacji składa się z następujących elementów:
Jednakże, ISO/IEC 27005:2011 nie zapewnia żadnych szczegółowych metod zarządzania ryzykiem bezpieczeństwa informacji, a jedynie podejście. Od organizacji zależy zdefiniowanie swojego stanowiska do zarządzania ryzykiem, w zależności od na przykład: zakresu systemu zarządzania bezpieczeństwem informacji, kontekstu zarządzania ryzykiem czy sektora przemysłu.