軟件攻擊����、知識(shí)產(chǎn)權(quán)竊取���、信息破壞等諸多信息安全風(fēng)險(xiǎn)會(huì)帶來(lái)嚴(yán)重后果���,而這些風(fēng)險(xiǎn)只是許多組織所面臨問(wèn)題的冰山一隅�。大多數(shù)組織都已經(jīng)制定了控制措施來(lái)保護(hù)數(shù)據(jù)安全���,但我們?nèi)绾文軌虼_保這些控制措施足夠有效��?ISO剛剛發(fā)布的關(guān)于安全控制措施評(píng)估國(guó)際標(biāo)準(zhǔn)可以提供幫助�����。
對(duì)于任何組織而言�����,信息都是其最為寶貴的資產(chǎn)之一��,數(shù)據(jù)泄露可能會(huì)使公司蒙受巨大的業(yè)務(wù)損失�����,挽回?fù)p失也將付出巨大的代價(jià)��。因此�,必須加強(qiáng)現(xiàn)有的控制措施,以保護(hù)數(shù)據(jù)安全��,同時(shí)定期進(jìn)行數(shù)據(jù)監(jiān)控�����,以應(yīng)對(duì)不斷變化的風(fēng)險(xiǎn)��。
ISO/IEC TS 27008 信息技術(shù)-安全技術(shù)-信息安全控制評(píng)估指南是由ISO 和國(guó)際電工委員會(huì)(IEC)共同制定����,旨在為現(xiàn)有控制措施提供了評(píng)估指南,以確保他們發(fā)揮應(yīng)有作用�、有力并高效���,且契合公司目標(biāo)�����。
這項(xiàng)新近修訂的技術(shù)規(guī)范(TS)�����,旨在與ISO/IEC 27000(概述和詞匯)�����、ISO/IEC 27001(要求)和 ISO/IEC 27002(信息安全控制規(guī)程)等其他關(guān)于信息安全管理標(biāo)準(zhǔn)的新版本�。這些補(bǔ)充標(biāo)準(zhǔn)均在更新的技術(shù)規(guī)范中得到引用。
制定這項(xiàng)標(biāo)準(zhǔn)的工作組負(fù)責(zé)人愛(ài)德華·漢弗萊斯(Edward Humphreys)表示�,ISO/IEC 27001標(biāo)準(zhǔn)將幫助各組織評(píng)估和審查相應(yīng)的控制措施, 通過(guò)實(shí)施ISO/IEC TS 27008 將有助于這些措施的評(píng)估與審核�。
Edward Humphreys教授表示:“在當(dāng)今世界,網(wǎng)絡(luò)攻擊不僅更加頻繁����,而且越來(lái)越難以檢測(cè)和預(yù)防。應(yīng)該對(duì)現(xiàn)有安全控制措施進(jìn)行定期評(píng)估和審核���,使之成為組織業(yè)務(wù)流程的一個(gè)重要方面���。”
“ISO/IEC TS 27008 有助于增進(jìn)組織自信�,確保其控制措施的有效性、充分性和適當(dāng)性�����,降低組織面臨的信息風(fēng)險(xiǎn)���?�!?/p>
ISO/IEC TS 27008 有益于所有類型和規(guī)模的組織��,無(wú)論是公立組織����、私立組織亦或非營(yíng)利組織,皆可獲益�����。該項(xiàng)標(biāo)準(zhǔn)是對(duì)ISO/IEC 27001 中所定義的信息安全管理體系的補(bǔ)充���。
該項(xiàng)標(biāo)準(zhǔn)是由 ISO/IEC JTC 1 信息安全技術(shù)委員會(huì)的SC 27 IT安全技術(shù)分技術(shù)委員會(huì)制定����,其秘書處是由ISO的德國(guó)成員 DIN承擔(dān) �����。
