軟體攻擊、智慧財產權竊取、資訊破壞等諸多資訊保安風險會帶來嚴重後果,而這些風險只是許多組織所面臨問題的冰山一隅。大多陣列織都已經制定了控制措施來保護資料安全,但我們如何能夠確保這些控制措施足夠有效?ISO剛剛釋出的關於安全控制措施評估國際標準可以提供幫助。
對於任何組織而言,資訊都是其最為寶貴的資產之一,資料洩露可能會使公司蒙受巨大的業務損失,挽回損失也將付出巨大的代價。因此,必須加強現有的控制措施,以保護資料安全,同時定期進行資料監控,以應對不斷變化的風險。
ISO/IEC TS 27008 資訊科技-安全技術-資訊保安控制評估指南是由ISO 和國際電工委員會(IEC)共同制定,旨在為現有控制措施提供了評估指南,以確保他們發揮應有作用、有力並高效,且契合公司目標。
這項新近修訂的技術規範(TS),旨在與ISO/IEC 27000(概述和詞彙)、ISO/IEC 27001(要求)和 ISO/IEC 27002(資訊保安控制規程)等其他關於資訊保安管理標準的新版本。這些補充標準均在更新的技術規範中得到引用。
制定這項標準的工作組負責人愛德華·漢弗萊斯(Edward Humphreys)表示,ISO/IEC 27001標準將幫助各組織評估和審查相應的控制措施, 通過實施ISO/IEC TS 27008 將有助於這些措施的評估與稽核。
Edward Humphreys教授表示:“在當今世界,網路攻擊不僅更加頻繁,而且越來越難以檢測和預防。應該對現有安全控制措施進行定期評估和稽核,使之成為組織業務流程的一個重要方面。”
“ISO/IEC TS 27008 有助於增進組織自信,確保其控制措施的有效性、充分性和適當性,降低組織面臨的資訊風險。”
ISO/IEC TS 27008 有益於所有型別和規模的組織,無論是公立組織、私立組織亦或非營利組織,皆可獲益。該項標準是對ISO/IEC 27001 中所定義的資訊保安管理體系的補充。
該項標準是由 ISO/IEC JTC 1 資訊保安技術委員會的SC 27 IT安全技術分技術委員會制定,其祕書處是由ISO的德國成員 DIN承擔 。
來源:國家認監委網站
更多資訊: