軟體攻擊、智財權遭竊或被破壞僅為公司組織所面臨眾多資安風險中之一部分。而所造成的後果可能巨以難估。大多數組織均有管控措施加以保護，但如何才能確保這些管控措施足以勝任？近期更新之國際資安管控評估參考指南可提供相關協助。

對於任何組織而言，資訊是其最有價值的資產之一，資料洩露能導致如業務損失和損失清理等帶來重大耗費。因此，現有的管控必須嚴格到足以提供保護，並定期監控以跟上不斷變化的風險。

由 ISO和國際電工委員會（IEC ）所發展，ISO/IEC TS 27008 資訊技術 –安全技巧 –資安管控評估指南，為評估現有管控措施提供指引，以確保該措施能卓有成效地適用其目的並符合公司目標。 

技術規範（TS ）近期已更新，以符合新版資安管理的其他補充標準，即 ISO / IEC 27000 (概述和詞彙)、ISO / IEC 27001(要求)和 ISO / IEC 27002(資安管控實務準則)，這些標準均於該技術規範中有所參引。

發展該標準的工作小組負責人Edward Humphreys教授表示，ISO / IEC TS 27008將幫助組織對經由實施 ISO/IEC 27001標準管理的現有管控方式進行評估與審查。

該教授說：「在這個世界裡，網路攻擊不僅更頻繁，而且越來越難以發現和預防，現有安管措施的評估與審查需要定期進行，且應作為組織業務程序的一個重要面向。」

「ISO / IEC TS 27008可以幫助組織確信他們的控制措施是有效、充分且適當的，以減輕組織所面臨的資訊風險。」

ISO / IEC TS 27008對所有類型和規模無論是公營、民營還是非營利性的組織均有助益，並且可對ISO / IEC 27001中所定義之資安管理系統予以補述。

【取材自ISO官方網站】網站