ISO組織發布旨在加強數據保護的信息安全控制評估國際標準
軟件攻擊��、知識產權竊取�、信息破壞等諸多信息安全風險會帶來嚴重后果�,而這些風險只是許多組織所面臨問題的冰山一隅���。大多數組織都已經制定了控制措施來保護數據安全�����,但我們如何能夠確保這些控制措施足夠有效���?ISO剛剛發布的關于安全控制措施評估國際標準可以提供幫助�。
對于任何組織而言��,信息都是其最為寶貴的資產之一���,數據泄露可能會使公司蒙受巨大的業務損失���,挽回損失也將付出巨大的代價���。因此�����,必須加強現有的控制措施���,以保護數據安全�,同時定期進行數據監控�,以應對不斷變化的風險�。
ISO/IEC TS 27008 信息技術-安全技術-信息安全控制評估指南是由ISO 和國際電工委員會(IEC)共同制定�,旨在為現有控制措施提供了評估指南�,以確保他們發揮應有作用�、有力并高效��,且契合公司目標���。
這項新近修訂的技術規范(TS)��,旨在與ISO/IEC 27000(概述和詞匯)��、ISO/IEC 27001(要求)和 ISO/IEC 27002(信息安全控制規程)等其他關于信息安全管理標準的新版本���。這些補充標準均在更新的技術規范中得到引用���。
制定這項標準的工作組負責人愛德華·漢弗萊斯(Edward Humphreys)表示�,ISO/IEC 27001標準將幫助各組織評估和審查相應的控制措施���, 通過實施ISO/IEC TS 27008 將有助于這些措施的評估與審核��。
Edward Humphreys教授表示:“在當今世界���,網絡攻擊不僅更加頻繁�����,而且越來越難以檢測和預防�。應該對現有安全控制措施進行定期評估和審核�����,使之成為組織業務流程的一個重要方面�。”
“ISO/IEC TS 27008 有助于增進組織自信���,確保其控制措施的有效性��、充分性和適當性���,降低組織面臨的信息風險�����。”
ISO/IEC TS 27008 有益于所有類型和規模的組織��,無論是公立組織�、私立組織亦或非營利組織���,皆可獲益�����。該項標準是對ISO/IEC 27001 中所定義的信息安全管理體系的補充��。
該項標準是由 ISO/IEC JTC 1 信息安全技術委員會的SC 27 IT安全技術分技術委員會制定�,其秘書處是由ISO的德國成員 DIN承擔 ��。
