ISO 27005

ISO 27005 stellt eine Ergänzung zum ISO 27001 Standard dar und dient ebenfalls der Erläuterung von Strategien und Leitfäden und soll bei der erfolgreichen Umsetzung dieser unterstützen. Dieser Standard ist insbesondere für Unternehmen im Bereich der Informations Technologie bzw. für Unternehmen mit relevanten Prozessen im IT Beriech relevant. ISO 27005 bedient sich dabei des in ISO 31000 definierten Risikomanagement Prozesses und erweitert diesen. Dieser Prozess kann iterativ durchgeführt werden um sich verändernde Parameter zu berücksichtigen. ISO 27005 stellt keine spezifischen Methoden zum IT Risikomangement bereit sondern überlässt die Findung dieser bewusst der Organisation da diese den Umfang der potentiell Gefährdeten IT Systeme selbst am besten Einschätzen können. Für eine umfassende Erläuterung von verschiedenen Methoden, nutzen sie bitte unsere "Methoden und Leitfäden" sowie ISO 31010. Wie in allen Risikomangementprozessen ist auch im Rahmen der ISO 27005 Kommunikation und Kooperation zwischen allen Stakeholdern von hoher Wichtigkeit. ³⁵

Der Prozess der ISO 27005 Norm ist unten dargestellt und enhält zwei Entscheidungspunkte. Zunächst gilt es, den Kontext eines potentiellen Risikos zu erfassen und und zu bewerten. Am ersten Entscheidungspunkt muss entschieden werden ob genug Information über ein Risko vorliegt oder ob die Riskoerfassungs und -bewertugnsphase wiederholt werden muss. Liegt genug Information vor, kann zur Risikobehandlung übergegangen werden, nach dessen Ende am zweiten Entscheidungspunkt, das Risiko als Minimiert anzusehen ist bzw. eine weitere Iteration des Prozesses durchlaufen werden muss. Abschließend ist die Riskoakzeptanz ein wesentlicher Bestandteil des Prozesses, da stets mit verbleibendem Restrisiko bzw. einer Bewussten Nicht-Behandlung eines Risikos (bspw. aus Kostengründen) zu rechnen ist. ³⁵
  Eigene Darstellung von Figure 2 in [35]