Il punto di vista di Cyber Academy
ISO 27005 è la metodologia per la gestione del rischio di sicurezza delle informazioni che si integra con ISO 27001. Identificazione, analisi, valutazione, trattamento, accettazione. La revisione del 2022 si allinea ai principi di ISO 31000 e chiarisce il rapporto con il Clause 6 di ISO 27001. Meno prescrittivo di EBIOS RM, ma la lingua franca canonica con gli auditor.
A cosa serve la ISO/IEC 27005
La ISO/IEC 27005 è la norma di orientamento per gestire il rischio relativo alla sicurezza delle informazioni. Non certifica nulla e non sostituisce la ISO/IEC 27001. Vi fornisce invece un metodo per svolgere la valutazione e il trattamento del rischio che il punto 6 della ISO 27001 richiede ma lascia deliberatamente aperti. La ISO 27001 vi dice che dovete identificare, analizzare, ponderare e trattare i rischi per la sicurezza delle informazioni ; la ISO 27005 vi mostra un modo difendibile per farlo. Questa ripartizione dei compiti è la cosa più importante da comprendere riguardo alla norma.
Il metodo segue un percorso riconoscibile : stabilire il contesto, identificare i rischi, analizzarli, ponderarli rispetto ai vostri criteri e infine trattarli. Il trattamento si conclude con una decisione e una registrazione, non con un semplice elenco di controlli. Due output contano per gli auditor più di ogni altro. Il primo è il vostro insieme di criteri di accettazione del rischio, concordati prima di iniziare la valutazione affinché i risultati non possano essere ricondotti a posteriori a una risposta conveniente. Il secondo è l'approvazione documentata quando un rischio residuo viene accettato dal responsabile corretto. Sono questi artefatti a trasformare un foglio di calcolo di punteggi in un processo gestito.
La revisione del 2022 e il legame con la ISO 31000
La revisione attuale allinea il vocabolario e la struttura alla ISO 31000, la norma di gestione del rischio a livello dell'intera organizzazione, affinché il rischio per la sicurezza delle informazioni parli la stessa lingua del rischio aziendale. Precisa inoltre il rapporto con la ISO 27001 mappando le sue attività sui punti della ISO 27001 anziché descrivere un universo parallelo. Laddove l'impostazione più datata si basava fortemente sull'enumerazione di asset, minacce e vulnerabilità, la revisione accoglie sia quella visione basata sugli eventi sia una visione basata sugli scenari, dando ai team lo spazio per valutare il rischio nel modo che si adatta davvero al loro ambiente.
La ISO 27005 a confronto con EBIOS RM
I professionisti in Francia confrontano costantemente la ISO 27005 con EBIOS Risk Manager, il metodo mantenuto dall'ANSSI. Non sono tanto rivali quanto strumenti diversi. La ISO 27005 è meno prescrittiva, riconosciuta a livello internazionale e costituisce la lingua comune con gli auditor di certificazione, il che la rende la scelta naturale quando il vostro obiettivo è un certificato ISO 27001 valido ovunque. EBIOS RM è più strutturata e orientata agli scenari, costruita attorno a scenari di attacco strategici e operativi e a origini di rischio esplicite, il che si adatta ai contesti francesi ad alto rischio o regolamentati. Molte organizzazioni applicano EBIOS RM per l'analisi e poi esprimono i risultati in termini ISO 27005 per il SGSI.
| Dimensione | ISO/IEC 27005 | EBIOS Risk Manager |
|---|---|---|
| Natura | Norma di orientamento internazionale | Metodo nazionale mantenuto dall'ANSSI |
| Stile | Meno prescrittiva, flessibile | Strutturata, orientata a scenari e minacce |
| Adattamento migliore | Certificazione ISO 27001, riconoscimento globale | Contesti francesi ad alto rischio e regolamentati |
| Pubblico | Auditor di certificazione in tutto il mondo | Settore pubblico francese e operatori critici |
Cosa fanno davvero i professionisti
Usare bene la ISO 27005, anziché produrre un documento una tantum, nella pratica assomiglia a questo :
- Stabilire prima il contesto : l'ambito, i criteri di impatto e probabilità e le soglie di accettazione del rischio, tutti concordati prima che inizi qualsiasi valutazione.
- Identificare i rischi nel modo adatto all'ambiente, che si tratti di catene asset-minaccia-vulnerabilità o di scenari end-to-end, ed evitare di mescolare i metodi in modo incoerente all'interno della stessa valutazione.
- Analizzare e ponderare rispetto ai criteri concordati in anticipo affinché l'elenco delle priorità sia riproducibile, quindi scegliere un'opzione di trattamento : modificare, mantenere, evitare o condividere.
- Registrare il rischio residuo e ottenere un'accettazione esplicita dal responsabile del rischio designato, perché è questa approvazione a collegare la valutazione alla responsabilità della direzione ai sensi della ISO 27001.
- Riesaminare la valutazione secondo una cadenza definita e dopo un cambiamento significativo, affinché il quadro del rischio resti aggiornato anziché invecchiare silenziosamente tra un ciclo di certificazione e l'altro.
Frequently asked questions
01Posso ottenere la certificazione rispetto alla ISO 27005 ?
No. La ISO 27005 è orientamento, non una norma di requisiti, quindi non esiste un certificato per essa. Vi certificate rispetto alla ISO 27001 e usate la ISO 27005 come metodo dietro la valutazione del rischio che la ISO 27001 richiede.
02Qual è la differenza tra la ISO 27001 e la ISO 27005 ?
La ISO 27001 stabilisce il requisito di valutare e trattare il rischio per la sicurezza delle informazioni ma lascia il metodo aperto. La ISO 27005 fornisce un metodo riconosciuto per svolgere tale lavoro. Una è certificabile, l'altra è il kit di strumenti che vi aiuta a soddisfarla.
03Dovrei usare la ISO 27005 o EBIOS Risk Manager ?
Usate la ISO 27005 quando volete la norma internazionale che gli auditor si aspettano per la ISO 27001. Scegliete EBIOS RM quando vi serve la sua analisi strutturata e orientata agli scenari, comune nei contesti francesi regolamentati e ad alto rischio. I due possono essere combinati.
04Come si rapporta la ISO 27005 alla ISO 31000 ?
La ISO 31000 è la norma generica di gestione del rischio aziendale. La revisione attuale della ISO 27005 allinea i suoi principi e il suo vocabolario alla ISO 31000, così che il rischio per la sicurezza delle informazioni si collochi all'interno del più ampio quadro di gestione del rischio anziché restarne separato.
05La ISO 27005 mi dice quali controlli implementare ?
No. Vi aiuta a decidere quali rischi trattare e come, ma il riferimento per i controlli è la ISO 27002 e l'insieme dell'Allegato A nella ISO 27001. La ISO 27005 guida la logica di selezione, non il catalogo dei controlli in sé.