軟體攻擊、智財權遭竊或被破壞僅為公司組織所面臨眾多資安風險中之一部分。而所造成的後果可能巨以難估。大多數組織均有管控措施加以保護,但如何才能確保這些管控措施足以勝任?近期更新之國際資安管控評估參考指南可提供相關協助。
對於任何組織而言,資訊是其最有價值的資產之一,資料洩露能導致如業務損失和損失清理等帶來重大耗費。因此,現有的管控必須嚴格到足以提供保護,並定期監控以跟上不斷變化的風險。
由 ISO和國際電工委員會(IEC )所發展,ISO/IEC TS 27008 資訊技術 –安全技巧 –資安管控評估指南,為評估現有管控措施提供指引,以確保該措施能卓有成效地適用其目的並符合公司目標。
技術規範(TS )近期已更新,以符合新版資安管理的其他補充標準,即 ISO / IEC 27000 (概述和詞彙)、ISO / IEC 27001(要求)和 ISO / IEC 27002(資安管控實務準則),這些標準均於該技術規範中有所參引。
發展該標準的工作小組負責人Edward Humphreys教授表示,ISO / IEC TS 27008將幫助組織對經由實施 ISO/IEC 27001標準管理的現有管控方式進行評估與審查。
該教授說:「在這個世界裡,網路攻擊不僅更頻繁,而且越來越難以發現和預防,現有安管措施的評估與審查需要定期進行,且應作為組織業務程序的一個重要面向。」
「ISO / IEC TS 27008可以幫助組織確信他們的控制措施是有效、充分且適當的,以減輕組織所面臨的資訊風險。」
ISO / IEC TS 27008對所有類型和規模無論是公營、民營還是非營利性的組織均有助益,並且可對ISO / IEC 27001中所定義之資安管理系統予以補述。
【取材自ISO官方網站】網站