11-1-3. ISO/IEC 27001におけるリスクマネジメント手順
ISO/IEC 27005は、情報セキュリティリスクマネジメントの手法を提供する規格であり、ISO/IEC 27001(ISMS)は情報セキュリティマネジメントシステムの設計と実装に関する規格です。つまり、ISO/IEC 27001は情報セキュリティマネジメントシステムの枠組みを提供し、その中で必要となるリスクマネジメントの具体的な手法やプロセスの詳細を提供しているのが、ISO/IEC 27005になります。
ISO/IEC 27001(ISMS)の活動は、ISO/IEC 27005におけるリスクマネジメントプロセスと関連付けて整理することが可能です。
図49. ISMSにおけるリスクアセスメントおよびリスク対応に関する作業の概要