SIST ISO/IEC 27005:2011

SLOVENSKI STANDARD
01-september-2011
Informacijska tehnologija - Varnostne tehnike- Obvladovanje informacijskih
varnostnih tveganj
Information technology - Security techniques - Information security risk management
Technologies de l'information - Techniques de sécurité - Management du risque de la
sécurité de l'information
Ta slovenski standard je istoveten z: ISO/IEC 27005:2011
ICS:
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ISO/IEC
STANDARD 27005
Second edition
2011-06-01
Information technology — Security
techniques — Information security risk
management
Technologies de l'information — Techniques de sécurité — Gestion des
risques liés à la sécurité de l'information

Reference number
©
ISO/IEC 2011
©  ISO/IEC 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2011 – All rights reserved

Contents Page
Foreword .v
Introduction.vi
1 Scope.1
2 Normative references.1
3 Terms and definitions .1
4 Structure of this International Standard .5
5 Background.6
6 Overview of the information security risk management process .7
7 Context establishment.10
7.1 General considerations.10
7.2 Basic Criteria .10
7.2.1 Risk management approach .10
7.2.2 Risk evaluation criteria .10
7.2.3 Impact criteria .11
7.2.4 Risk acceptance criteria .11
7.3 Scope and boundaries.12
7.4 Organization for information security risk management .12
8 Information security risk assessment.13
8.1 General description of information security risk assessment .13
8.2 Risk identification.13
8.2.1 Introduction to risk identification .13
8.2.2 Identification of assets.14
8.2.3 Identification of threats.14
8.2.4 Identification of existing controls.15
8.2.5 Identification of vulnerabilities .15
8.2.6 Identification of consequences.16
8.3 Risk analysis.17
8.3.1 Risk analysis methodologies .17
8.3.2 Assessment of consequences.18
8.3.3 Assessment of incident likelihood .18
8.3.4 Level of risk determination.19
8.4 Risk evaluation .19
9 Information security risk treatment .20
9.1 General description of risk treatment .20
© ISO/IEC 2011 – All rights reserved iii

9.2 Risk modification.22
9.3 Risk retention.23
9.4 Risk avoidance.23
9.5 Risk sharing .23
10 Information security risk acceptance .24
11 Information security risk communication and consultation .24
12 Information security risk monitoring and review .25
12.1 Monitoring and review of risk factors.25
12.2 Risk management monitoring, review and improvement.26
Annex A (informative) Defining the scope and boundaries of the information security risk
management process.28
A.1 Study of the organization.28
A.2 List of the constraints affecting the organization .29
A.3 List of the legislative and regulatory references applicable to the organization.31
A.4 List of the constraints affecting the scope .31
Annex B (informative) Identification and valuation of assets and impact assessment.33
B.1 Examples of asset identification.33
B.1.1 The identification of primary assets .33
B.1.2 List and description of supporting assets .34
B.2 Asset valuation .38
B.3 Impact assessment.41
Annex C (informative) Examples of typical threats .42
Annex D (informative) Vulnerabilities and methods for vulnerability assessment .45
D.1 Examples of vulnerabilities .45
D.2 Methods for assessment of technical vulnerabilities .48
Annex E (informative) Information security risk assessment approaches .50
E.1 High-level information security risk assessment.50
E.2 Detailed information security risk assessment.51
E.2.1 Example 1 Matrix with predefined values .52
E.2.2 Example 2 Ranking of Threats by Measures of Risk .54
E.2.3 Example 3 Assessing a value for the likelihood and the possible consequences of risks.54
Annex F (informative) Constraints for risk modification.56
Annex G (informative) Differences in definitions between ISO/IEC 27005:2008 and ISO/IEC
27005:2011.58
Bibliography .68

iv © ISO/IEC 2011 – All rights reserved

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27005 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This second edition cancels and replaces the first edition (ISO/IEC 27005:2008) which has been technically
revised.
© ISO/IEC 2011 – All rights reserved v

Introduction
This International Standard provides guidelines for information security risk management in an organization,
supporting in particular the requirements of an information security management (ISMS) according to
ISO/IEC 27001. However, this International Standard does not provide any specific method for information
security risk management. It is up to the organization to define their approach to risk management, depending
for example on the scope of the ISMS, context of risk management, or industry sector. A number of existing
methodologies can be used under the framework described in this International Standard to implement the
requirements of an ISMS.
This International Standard is relevant to managers and staff concerned with information security risk
management within an organization and, where appropriate, external parties supporting such activities.
vi © ISO/IEC 2011 – All rights reserved

INTERNATIONAL STANDARD ISO/IEC 27005:2011(E)

Information technology — Security techniques — Information
security risk management
1 Scope
This In
...

NORME ISO/CEI
INTERNATIONALE 27005
Deuxième édition
2011-06-01
Technologies de l'information —
Techniques de sécurité —Gestion des
risques liés à la sécurité de l'information
Information technology — Security techniques — Information security
risk management
Numéro de référence
ISO/CEI 27005:2011(F)
©
ISO/CEI 2011
ISO/CEI 27005:2011(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO/CEI 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2013
Publié en Suisse
ii © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27005:2011(F)
Sommaire Page
1  Domaine d'application . 1
2  Références normatives . 1
3  Termes et définitions . 1
4  Structure de la présente Norme internationale . 6
5  Contexte . 6
6  Présentation générale du processus de gestion des risques en sécurité de l'information . 7
7  Établissement du contexte . 11
7.1  Considérations générales . 11
7.2  Critères de base . 12
7.2.1  Approche de gestion des risques . 12
7.2.2  Critères d'évaluation du risque . 12
7.2.3  Critères d'impact . 12
7.2.4  Critères d'acceptation des risques . 13
7.3  Domaine d'application et limites . 13
7.4  Organisation de la gestion des risques en sécurité de l'information . 14
8  Appréciation des risques en sécurité de l'information . 15
8.1  Description générale de l'appréciation des risques en sécurité de l'information . 15
8.2  Identification des risques . 16
8.2.1  Introduction à l'identification des risques . 16
8.2.2  Identification des actifs . 16
8.2.3  Identification des menaces . 17
8.2.4  Identification des mesures de sécurité existantes . 17
8.2.5  Identification des vulnérabilités . 18
8.2.6  Identification des conséquences . 19
8.3  Analyse des risques . 20
8.3.1  Méthodologies d'analyse des risques . 20
8.3.2  Appréciation des conséquences . 21
8.3.3  Appréciation de la vraisemblance d'un incident . 22
8.3.4  Estimation du niveau des risques . 23
8.4  Évaluation des risques . 23
9  Traitement des risques en sécurité de l'information . 24
9.1  Description générale du traitement des risques . 24
9.2  Réduction du risque . 26
9.3  Maintien des risques . 28
9.4  Refus des risques . 28
9.5  Partage des risques . 28
10  Acceptation des risques en sécurité de l'information . 28
11  Communication et concertation relatives aux risques en sécurité de l'information . 29
12  Surveillance et revue du risque en sécurité de l'information . 30
12.1  Surveillance et revue des facteurs de risque . 30
12.2  Surveillance, revue et amélioration de la gestion des risques . 31
Annexe A (informative) Définition du domaine d'application et des limites du processus de
gestion des risques en sécurité de l'information . 33
A.1  Étude de l'organisation . 33
A.2  Liste des contraintes affectant l'organisation . 34
A.3  Liste des références législatives et réglementaires applicables à l'organisation . 36
© ISO/CEI 2011 – Tous droits réservés iii

ISO/CEI 27005:2011(F)
A.4  Liste des contraintes affectant le domaine d'application .36
Annexe B (informative) Identification et valorisation des actifs et appréciation des impacts .39
B.1  Exemples d'identification des actifs .39
B.1.1  Identification des actifs primordiaux .39
B.1.2  Liste et description des actifs en support .40
B.2  Valorisation des actifs .45
B.3  Appréciation des impacts .48
Annexe C (informative) Exemples de menaces types .50
Annexe D (informative) Vulnérabilités et méthodes d'appréciation des vulnérabilités .52
D.1  Exemples de vulnérabilités .52
D.2  Méthodes d'appréciation des vulnérabilités techniques .55
Annexe E (informative) Approches d'appréciation des risques en sécurité de l'information .57
E.1  Appréciation des risques de haut niveau en sécurité de l'information .57
E.2  Appréciation détaillée des risques en sécurité de l'information .58
E.2.1  Exemple 1 — Matrice avec valeurs prédéfinies .59
E.2.2  Exemple 2 — Classement des menaces par mesures des risques .61
E.2.3  Exemple 3 — Appréciation d'une valeur relative à la vraisemblance et aux conséquences
possibles des risques .62
Annexe F (informative) Contraintes liées à la réduction du risque .64
Annexe G (informative) Différences de définitions entre l’ISO/CEI 27005:2008 et
l’ISO/CEI 27005:2011 .66
Bibliographie .77

iv © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27005:2011(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27005 a été élaborée par le comité technique ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 27005:2008), qui a fait l'objet d'une
révision technique.
© ISO/CEI 2011 – Tous droits réservés v

ISO/CEI 27005:2011(F)
Introduction
La présente Norme internationale contient des lignes directrices relatives à la gestion des risques en sécurité
de l'information dans une organisation, qui viennent notamment en appui des exigences d'un SMSI (système
de management de la sécurité de l'information) tel que défini dans l'ISO/CEI 27001. Cependant, la présente
Norme internationale ne fournit aucune méthodologie spécifique à la gestion des risques en sécurité de
l'information. Il est du ressort de chaque organisation de définir son approche de la gestion des risques, en
fonction, par exemple, du périmètre du SMSI, de ce qui existe dans l'organisation dans le domaine de la
gestion des risques, ou encore de son secteur industriel. Plusieurs méthodologies existantes peuvent être
utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les
exigences du SMSI.
La présente Norme internationale s'adresse aux responsables et aux personnels concernés par la gestion des
risques en sécurité de l'information au sein d'une organisation et, le cas échéant, aux tiers prenant part à ces
activités.
vi © ISO/CEI 2011 – Tous droits réservés

NORME INTERNATIONALE ISO/CEI 27005:2011(F)

Technologies de l'information — Techniques de sécurité —
Gestion des risques en sécurité de l'information
1 Domaine d'application
La présente Norme internationale contient des lignes directrices relatives à la gestion des risques en sécurité
de l'information.
La présente Norme internationale vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001; elle
est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion
des risques.
Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans
l'ISO/CEI 27001 et l'ISO/CEI 27002 afin de bien comprendre la présente Norme internationale.
La présente Norme internationale est applicable à tous types d'organisations (par exemple les entreprises
commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer
des risques susceptibles de compromettre la sécurité des informations de l'organisation.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du pré
...

S L O V E N S K I SIST ISO/IEC 27005

STANDARD
september 2011
Informacijska tehnologija – Varnostne tehnike – Obvladovanje
informacijskih varnostnih tveganj

Information technology – Security techniques – Information security risk
management
Technologies de l'information – Techniques de sécurité – Management du
risque de la sécurité de l'information

Referenčna oznaka
ICS 35.040 SIST ISO/IEC 27005:2011 (sl)

Nadaljevanje na straneh 2 do 73

© 2015-06: Slovenski inštitut za standardizacijo. Razmnoževanje ali kopiranje celote ali delov tega standarda ni dovoljeno.

SIST ISO/IEC 27005 : 2011
NACIONALNI UVOD
Standard SIST ISO/IEC 27005 (sl), Informacijska tehnologija – Varnostne tehnike – Obvladovanje
informacijskih varnostnih tveganj, 2011, ima status slovenskega standarda in je istoveten
mednarodnemu standardu ISO/IEC 27005 (en), Information technology – Security techniques –
Information security risk, 2011-06.

NACIONALNI PREDGOVOR
Mednarodni standard ISO/IEC 27005:2011 je pripravil pododbor združenega tehničnega odbora
Mednarodne organizacije za standardizacijo in Mednarodne elektrotehniške komisije ISO/IEC JTC
1/SC 27 Varnostne tehnike v informacijski tehnologiji.

Slovenski standard SIST ISO/IEC 27005:2011 je prevod mednarodnega standarda ISO/IEC
27005:2011. Slovenski standard SIST ISO/IEC 27005:2011 je pripravil tehnični odbor SIST/TC ITC
Informacijska tehnologija. V primeru spora glede besedila slovenskega prevoda je odločilen izvirni
mednarodni standard v angleškem jeziku.

Odločitev za izdajo tega standarda je dne 2. junija 2011 sprejel SIST/TC ITC Informacijska
tehnologija.
ZVEZA Z NACIONALNIMI STANDARDI

S privzemom tega evropskega standarda veljajo za omejeni namen referenčnih standardov vsi
standardi, navedeni v izvirniku, razen tistih, ki so že sprejeti v nacionalno standardizacijo:

SIST ISO/IEC 27000:2011 Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja
informacijske varnosti – Pregled in izrazoslovje

SIST ISO/IEC 27001:2005 Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja
informacijske varnosti – Zahteve (zamenjan s SIST ISO/IEC 27001:2013)

OSNOVA ZA IZDAJO STANDARDA
– privzem standarda ISO/IEC 27005:2011

OPOMBI
– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

– Povsod, kjer se v besedilu standarda uporablja izraz “mednarodni standard”, v SIST ISO/IEC
27005:2011 to pomeni “slovenski standard”.

SIST ISO/IEC 27005 : 2011
Vsebina Stran
Predgovor . 5
Uvod . 6
1 Področje uporabe . 7
2 Zveza s standardi . 7
3 Izrazi in definicije . 7
4 Struktura tega mednarodnega standarda . 11
5 Ozadje . 12
6 Pregled procesa obvladovanja informacijskih varnostnih tveganj . 13
7 Vzpostavljanje konteksta . 16
7.1 Splošni opis . 16
7.2 Osnovni kriteriji . 16
7.2.1 Pristop k obvladovanju tveganja . 16
7.2.2 Kriteriji za vrednotenje tveganja . 16
7.2.3 Kriteriji vpliva . 17
7.2.4 Kriteriji za sprejetje tveganja . 17
7.3 Obseg in meje . 18
7.4 Organiziranost za obvladovanje informacijskih varnostnih tveganj . 18
8 Ocenjevanje informacijskih varnostnih tveganj . 19
8.1 Splošni opis ocenjevanja informacijskih varnostnih tveganj . 19
8.2 Prepoznavanje tveganja . 20
8.2.1 Uvod v prepoznavanje tveganja . 20
8.2.2 Prepoznavanje dobrin . 20
8.2.3 Prepoznavanje groženj . 20
8.2.4 Prepoznavanje obstoječih kontrol . 21
8.2.5 Prepoznavanje ranljivosti . 22
8.2.6 Prepoznavanje posledic . 22
8.3 Analiza tveganja . 23
8.3.1 Metodologije analize tveganja . 23
8.3.2 Ocenjevanje posledic . 24
8.3.3 Ocenjevanje verjetnosti incidenta . 25
8.3.4 Raven določanja tveganja . 25
8.4 Vrednotenje tveganja. 26
9 Obravnavanje informacijskega varnostnega tveganja . 27
9.1 Splošni opis obravnavanja tveganja . 27
9.2 Spreminjanje tveganja . 29
9.3 Zadrževanje tveganja . 30
9.4 Izogibanje tveganju . 30
9.5 Porazdelitev tveganja . 30
10 Sprejetje informacijskega varnostnega tveganja . 31
SIST ISO/IEC 27005 : 2011
11 Obveščanje o informacijskem varnostnem tveganju in posvetovanje . 31
12 Spremljanje in pregled informacijskega varnostnega tveganja . 32
12.1 Spremljanje in pregled dejavnikov tveganja . 32
12.2 Spremljanje, pregled in izboljševanje obvladovanja tveganja . 33
Dodatek A (informativni): Opredelitev obsega in meja procesa obvladovanja informacijskih
varnostnih tveganj . 35
A.1 Študija organizacije . 35
A.2 Seznam omejitev, ki vplivajo na organizacijo. 36
A.3 Seznam zakonodajnih in regulativnih referenc, ki se uporabljajo za organizacijo . 37
A.4 Seznam omejitev, ki vplivajo na obseg . 38
Dodatek B (informativni): Prepoznavanje in vrednotenje dobrin ter ocenjevanje vplivov . 40
B.1 Primeri prepoznavanja dobrin . 40
B.1.1 Prepoznavanje osnovnih dobrin . 40
B.1.2 Seznam in opis podpornih dobrin . 41
B.2 Vrednotenje dobrin . 45
B.3 Ocenjevanje vpliva . 48
Dodatek C (informativni): Primeri tipičnih groženj . 50
Dodatek D (informativni): Ranljivosti in metode za ocenjevanje ranljivosti . 53
D.1 Primeri ranljivosti . 53
D.2 Metode za presojo tehnične ranljivosti . 56
Dodatek E (informativni): Pristopi ocenjevanja informacijskega varnostnega tveganja . 58
E.1 Ocenjevanje informacijskega varnostnega tveganja na visoki ravni . 58
E.2 Podrobnejše ocenjevanje informacijskega varnostnega tveganja . 59
E.2.1 1. primer: Matrika z vnaprej določenimi vrednostmi . 60
E.2.2 2. primer: Razvrstitev groženj z meritvami tveganja . 62
E.2.3 3. primer: Ocenjevanje vrednosti verjetnosti in možnih posledic tveganja . 62
Dodatek F (informativni): Omejitve pri spreminjanju tveganja . 64
Dodatek G (informativni): Razlike v definicijah med ISO/IEC 27005:2008 in ISO/IEC 27005:2011 . 66
Literatura. 73
SIST ISO/IEC 27005 : 2011
Predgovor
ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC. Na področju informacijske tehnologije sta ISO in IEC vzpostavila
združeni tehnični odbor ISO/IEC JTC 1.
Mednarodni standardi so pripravljeni v skladu s pravili iz 2. dela Direktiv ISO/IEC.
Glavna naloga združenega tehničnega odbora je priprava mednarodnih standardov. Osnutki
mednarodnih standardov, ki jih sprejme združeni tehnični odbor, se pošljejo nacionalnim organom v
glasovanje. Za objavo kot mednarodni standard je treba pridobiti soglasje najmanj 75 % glasov
glasujočih nacionalnih organov.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega dokumenta predmet patentnih pravic.
ISO in IEC ne prevzemata odgovornosti za prepoznavanje katerih koli ali vseh takih patentnih pravic.
ISO/IEC 27005 je pripravil združeni tehnični odbor JTC ISO/IEC 1 Informacijska tehnologija, pododbor
SC 27 Varnostne tehnike IT.
Ta druga izdaja razveljavlja in nadomešča prvo izdajo (ISO/IEC 27005:2008), ki je bila tehnično
revidirana.
SIST ISO/IEC 27005 : 2011
Uvod
Ta mednarodni standard zagotavlja smernice za obvladovanje informacijskih varnostnih tveganj v
organizaciji, pri čemer še zlasti podpira zahteve za upravljanje informacijske varnosti (SUIV) glede na
ISO/IEC 27001. Vendar pa ta mednarodni standard ne daje nobene posebne metode za obvladovanje
informacijskih varnostnih tveganj. Organizacija sama mora opredeliti svoj pristop k obvladovanju
tveganj, odvisno, na primer, od obsega SUIV, konteksta obvladovanja tveganja ali industrijske panoge.
V okviru, ki je opisan v tem mednarodnem standardu za izvedbo zahtev SUIV, je mogoče uporabiti
številne obstoječe metodologije.

Ta mednarodni standard je pomemben za vodje in zaposlene, ki delujejo na področju obvladovanja
informacijskih varnostnih tveganj v organizaciji, in kadar je to primerno, tudi za zunanje stranke, ki
podpirajo takšne dejavnosti.
SIST ISO/IEC 27005 :
...