La norma ISO/IEC 27005 trata sobre la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información para apoyar el proceso de gestión de riesgos definido en la norma ISO/IEC 27001. La norma es aplicable a cualquier organización que desee gestionar los riesgos que puedan afectar la seguridad de la información.

2. ISO/IEC 27005
La norma fue publicada por primera vez en junio
de 2008
trata la gestión de riesgos en seguridad de la
información.
Es la que proporciona recomendaciones y
lineamientos de métodos y técnicas de evaluación
de riesgos de Seguridad en la Información, en
soporte del proceso de gestión de riesgos de la
norma ISO/IEC 27001.

3. ISO-27005
Es aplicable a todo tipo de organizaciones que
tengan la intención de gestionar los riesgos
que puedan complicar la seguridad de la
información de su organización.

4. Gestión de Riesgos en Tecnologías de la
Información
Es una actividad recurrente que se
refiere al análisis, planificación,
ejecución, control y seguimiento de
las medidas implementadas y la
política de seguridad impuesta.

5. ISO/IEC 27005:2008
• Ciclo de Deming aplicado a la gestión de riesgos de seguridad
de la información:
Ciclo de Deming Proceso de gestión de riesgos de seguridad de
la información
Planificar Establecimiento del contexto
Valoración de riesgos
Desarrollo del plan de tratamiento de riesgos
Aceptación de riesgos
Hacer Implantación del plan de tratamiento de riesgos
Verificar Monitorización y revisión continua de riesgos
Actuar Mantenimiento y mejora del proceso de gestión
de riesgos de seguridad de la información