Международная организация по стандартизации (ISO) опубликовала документ, описывающий механизм внедрения и применения рискоцентрического подхода к обеспечению информационной безопасности на предприятиях. По убеждению экспертов, данный стандарт будет полезен на всех предприятиях, руководство которых заинтересовано в грамотном управлении ИТ-рисками.
Идентификатор документа – «ISO/IEC 27005:2011, Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности». Его можно рассматривать, как дополнение к базовому стандарту по защите информации ISO/IEC 27001. В новом стандарте также учтены сущность и содержание ряда дополнительных документов сходной направленности. Специалисты ISO подчеркивают, что новый стандарт не предполагает применения специфической методологии, позволяющей организовать процесс управления рисками. Вместо этого описываются общие подходы, руководствуясь которыми компания может выработать собственные принципы и методы защиты корпоративной информации.