) هدف و دامنه کاربرد
هدف از تدوین استاندارد ISO/IEC 27005:2011، تعیین راهنمایی برای مدیریت مخاطرات امنیت اطلاعات است.
این استاندارد مفاهیم کلی مشخص شده در استاندارد ISO/IEC 27001 را پوشش میدهد و برای کمک به پیادهسازی مطلوب امنیت اطلاعات براساس رویکرد مدیریت مخاطرات طراحی شده است.
مدیریت مخاطرات امنیت اطلاعات، شامل مراحل زیر است:
- زمینهسازی
- شناسایی مخاطره
- تحلیل مخاطره
- ارزیابی مخاطره
- مقابله با مخاطره
- پذیرش مخاطره
- تبادل اطلاعات و رایزنی مخاطره
- پایش و بازنگری مخاطره
