ISO/IEC 27005.

ISO 27005 ist die Informationssicherheits-Risikomanagementmethodik, die auf ISO 27001 aufsetzt. Identifikation, Analyse, Bewertung, Behandlung, Akzeptanz. Die Revision von 2022 orientiert sich an den Grundsätzen der ISO 31000 und klärt die Beziehung zur Klausel 6 der ISO 27001. Weniger präskriptiv als EBIOS RM, jedoch die anerkannte gemeinsame Sprache im Umgang mit Auditoren.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Die Einschätzung der Cyber Academy

ISO 27005 ist die Informationssicherheits-Risikomanagementmethodik, die auf ISO 27001 aufsetzt. Identifikation, Analyse, Bewertung, Behandlung, Akzeptanz. Die Revision von 2022 orientiert sich an den Grundsätzen der ISO 31000 und klärt die Beziehung zur Klausel 6 der ISO 27001. Weniger präskriptiv als EBIOS RM, jedoch die anerkannte gemeinsame Sprache im Umgang mit Auditoren.

Wofür die ISO/IEC 27005 da ist

Die ISO/IEC 27005 ist die Leitliniennorm für das Management von Informationssicherheitsrisiken. Sie zertifiziert nichts und ersetzt nicht die ISO/IEC 27001. Stattdessen liefert sie Ihnen eine Methode, um die Risikobeurteilung und Risikobehandlung durchzuführen, die Abschnitt 6 der ISO 27001 verlangt, aber bewusst offen lässt. Die ISO 27001 sagt Ihnen, dass Sie Informationssicherheitsrisiken identifizieren, analysieren, bewerten und behandeln müssen ; die ISO 27005 zeigt Ihnen einen vertretbaren Weg, dies zu tun. Diese Aufgabenteilung ist das Wichtigste, was man über die Norm verstehen muss.

Die Methode folgt einem erkennbaren Bogen : den Kontext festlegen, die Risiken identifizieren, sie analysieren, sie anhand Ihrer Kriterien bewerten und sie dann behandeln. Die Behandlung endet mit einer Entscheidung und einem Nachweis, nicht nur mit einer Liste von Maßnahmen. Zwei Ergebnisse zählen für Auditoren mehr als alle anderen. Das erste ist Ihr Satz von Risikoakzeptanzkriterien, die vereinbart werden, bevor Sie mit der Bewertung beginnen, damit die Ergebnisse nicht nachträglich auf eine bequeme Antwort zurückgerechnet werden können. Das zweite ist die dokumentierte Freigabe, wenn ein Restrisiko vom richtigen Verantwortlichen akzeptiert wird. Es sind diese Artefakte, die eine Tabelle voller Bewertungen in einen gesteuerten Prozess verwandeln.

Die Revision 2022 und die Verbindung zur ISO 31000

Die aktuelle Revision richtet Vokabular und Struktur an der ISO 31000 aus, der organisationsweiten Norm für das Risikomanagement, damit das Informationssicherheitsrisiko dieselbe Sprache spricht wie das Unternehmensrisiko. Sie schärft außerdem die Beziehung zur ISO 27001, indem sie deren Aktivitäten den Abschnitten der ISO 27001 zuordnet, anstatt ein Paralleluniversum zu beschreiben. Wo sich ältere Ansätze stark auf das Aufzählen von Werten, Bedrohungen und Schwachstellen stützten, lässt die Revision sowohl diese ereignisbasierte Sicht als auch eine szenariobasierte Sicht zu und gibt den Teams Raum, das Risiko auf die Weise zu beurteilen, die tatsächlich zu ihrem Umfeld passt.

Die ISO 27005 neben EBIOS RM

Praktiker in Frankreich wägen die ISO 27005 ständig gegen EBIOS Risk Manager ab, die von der ANSSI gepflegte Methode. Sie sind weniger Rivalen als vielmehr unterschiedliche Instrumente. Die ISO 27005 ist weniger vorschreibend, international anerkannt und die gemeinsame Sprache mit Zertifizierungsauditoren, was sie zur natürlichen Wahl macht, wenn Ihr Ziel ein überall gültiges ISO-27001-Zertifikat ist. EBIOS RM ist stärker strukturiert und szenariengetrieben, aufgebaut um strategische und operative Angriffsszenarien und ausdrückliche Risikoursprünge, was zu französischen Kontexten mit hohem Einsatz oder mit Regulierung passt. Viele Organisationen führen EBIOS RM für die Analyse durch und drücken die Ergebnisse dann für das ISMS in ISO-27005-Begriffen aus.

Die ISO/IEC 27005 im Vergleich mit EBIOS Risk Manager
DimensionISO/IEC 27005EBIOS Risk Manager
WesenInternationale LeitliniennormNationale Methode, gepflegt von der ANSSI
StilWeniger vorschreibend, flexibelStrukturiert, szenarien- und bedrohungsgetrieben
Beste EignungISO-27001-Zertifizierung, weltweite AnerkennungFranzösische Kontexte mit hohem Einsatz und Regulierung
ZielgruppeZertifizierungsauditoren weltweitFranzösischer öffentlicher Sektor und kritische Betreiber

Was Praktiker tatsächlich tun

Die ISO 27005 gut zu nutzen, statt ein einmaliges Dokument zu erstellen, sieht in der Praxis so aus :

  1. Zuerst den Kontext festlegen : den Geltungsbereich, die Kriterien für Auswirkung und Eintrittswahrscheinlichkeit sowie die Schwellen für die Risikoakzeptanz, alle vereinbart, bevor irgendeine Bewertung beginnt.
  2. Die Risiken auf die zum Umfeld passende Weise identifizieren, ob als Wert-Bedrohung-Schwachstelle-Ketten oder als durchgängige Szenarien, und vermeiden, Methoden innerhalb derselben Beurteilung uneinheitlich zu vermischen.
  3. Anhand der vorab vereinbarten Kriterien analysieren und bewerten, damit die Prioritätenliste reproduzierbar ist, dann eine Behandlungsoption wählen : verändern, beibehalten, vermeiden oder teilen.
  4. Das Restrisiko erfassen und eine ausdrückliche Akzeptanz vom benannten Risikoeigner einholen, denn diese Freigabe verbindet die Beurteilung mit der Rechenschaftspflicht der obersten Leitung nach ISO 27001.
  5. Die Beurteilung in einem festgelegten Takt und nach wesentlichen Änderungen erneut durchgehen, damit das Risikobild aktuell bleibt, statt zwischen den Zertifizierungszyklen still zu altern.

Frequently asked questions

01Kann ich mich gegen die ISO 27005 zertifizieren lassen ?

Nein. Die ISO 27005 ist eine Leitlinie, keine Anforderungsnorm, daher gibt es kein Zertifikat dafür. Sie zertifizieren sich gegen die ISO 27001 und nutzen die ISO 27005 als Methode hinter der Risikobeurteilung, die die ISO 27001 verlangt.

02Was ist der Unterschied zwischen der ISO 27001 und der ISO 27005 ?

Die ISO 27001 stellt die Anforderung, Informationssicherheitsrisiken zu beurteilen und zu behandeln, lässt aber die Methode offen. Die ISO 27005 liefert eine anerkannte Methode für diese Arbeit. Die eine ist zertifizierbar, die andere ist der Werkzeugkasten, der Ihnen hilft, sie zu erfüllen.

03Sollte ich die ISO 27005 oder EBIOS Risk Manager verwenden ?

Verwenden Sie die ISO 27005, wenn Sie die internationale Norm wollen, die Auditoren für die ISO 27001 erwarten. Wählen Sie EBIOS RM, wenn Sie deren strukturierte, szenariengetriebene Analyse benötigen, die in französischen regulierten Kontexten mit hohem Einsatz üblich ist. Beide lassen sich kombinieren.

04Wie verhält sich die ISO 27005 zur ISO 31000 ?

Die ISO 31000 ist die generische Norm für das unternehmensweite Risikomanagement. Die aktuelle Revision der ISO 27005 richtet ihre Grundsätze und ihr Vokabular an der ISO 31000 aus, sodass sich das Informationssicherheitsrisiko in den umfassenderen Rahmen des Risikomanagements einfügt, statt davon getrennt zu stehen.

05Sagt mir die ISO 27005, welche Maßnahmen ich umsetzen soll ?

Nein. Sie hilft Ihnen zu entscheiden, welche Risiken behandelt werden und wie, aber die Referenz für die Maßnahmen ist die ISO 27002 und der Satz aus Anhang A in der ISO 27001. Die ISO 27005 steuert die Auswahllogik, nicht den Katalog der Maßnahmen selbst.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.