ISO veröffentlicht neuen Standard zum IT Risikomanagement.

Der neue ISO-Standard "Information Technology - Security Techniques - Information Security Risk Management" (ISO/IEC 27005:2008) beinhaltet Guidelines für das IT Informationssicherheitsmanagement (ISMS) bzw. das Security Risk Management und liefert entsprechende Handlungsempfehlungen für Unternehmen. Er basiert auf den bestehenden Standards

• ISO/IEC 27001:2005 ("Information Technology - Security Techniques - Information Security Management Systems - Requirements") und
• ISO/IEC 27002:2006 ("Leitfaden zum Thema Information Security Management").
  
  

Der Risikomanagement-Prozess gemäß ISO umfasst

• die Bestimmung von Zusammenhängen (context establishment),
• die Risikobewertung (risk assessment),
• die Risikobehandlung und -akzeptanz (risk treatment/risk acceptance)
• die Kommunikation von Risiken (risk communication) sowie
• die Risikoüberwachung und -überprüfung (risk monitoring and review).
  
  

Der aktuelle Standard liefert allerdings keine spezifische Methode für das Information-Security-Risk-Management, stellt die Organisation klar. Vielmehr müssten Unternehmen je nach den Gegebenheiten oder Branche zu ihrem eigenen Ansatz finden.