Norma NTC-ISO 27005

Gestión de riesgos de la Seguridad la Información, es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el  ISO 2700 series  (para más información consultar ISO/IEC 2700). La norma ISO/IEC 27005 suministra las directrices para gestionar los riesgos que puede sufrir la información de una empresa, principalmente se apoya en el ISO/IEC 2700, centrándose principalmente en los requisitos de seguridad de la información.

Estructura

Los términos y definiciones dados en esta norma están definidos dentro de la norma ISO/IEC 2700.↵El estándar ISO/IEC 27005 consta de 24 páginas donde se incluyen ejemplos e incluso información adicional de interés para el lector. El estándar ISO/IEC 27005 tiene las siguientes secciones:
Prefacio.
Introducción.
Referencias normativas.
Términos y definiciones.
Estructura.
Fondo.
Descripción del proceso de ISRM.
Establecimiento Contexto.
Información sobre la evaluación de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información.
Comunicación de riesgos de seguridad de información.
Información de seguridad Seguimiento de Riesgos y Revisión.
Anexos
Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto.
Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.
Anexo E: Enfoques ISRA.

Cabe destacar que en los anexos se nos informa de impactos, amenazas y vulnerabilidades que nos pueden servir para ver como afrontar riesgos del mismo tipo con los activos de la información en evaluación.