軟體攻擊,智慧財產權遭到盜用或破壞,僅僅是組織會面臨的部分資安風險,卻因此需要承擔龐大的後果。大多數的組織都會採取管制措施,以進行防護,但究竟要如何才能確保這些措施足夠、適當?近日,評估資訊安全管制的國際參考指南已釋出,以提供更多的幫助。
對於任何組織來說,資訊都是其最寶貴的資產之一,資料外洩可能會導致業務損失,並在處理損失方面付出巨大的代價。因此,現有的管制措施需要足夠嚴謹,以保護組織資訊,並定期進行監測,才能跟得上千變萬化的風險。
由ISO組織及國際電工委員會(IEC)共同開發的ISO/IEC TS 27008資訊安全管制評估指南,旨在為評估現有控制措施提供指導,以確保其有效,且符合組織的目標。
為符合資安管理其他補充標準的新版本,技術規範(TS)最近也已進行更新,即為ISO/IEC 27000(概述和詞彙),內容並引用了ISO/IEC 27001(要求)和ISO/IEC 27002(資訊安全控制行為準則)。
開發該標準的工作組負責人表示,ISO/IEC TS 27008將幫助組織評估和審查目前透過ISO / IEC 27001來實施的管制。
「在這個網路攻擊不僅更加頻繁,還愈來愈難以發現及預防的世界上,必須定期評估和審查現有的安全控制措施,並且是組織業務流程的一個重要方面。」他說。
工作組負責人也表示:「ISO / IEC TS 27008可協助組織確保控制措施的有效、充分及適宜,以減輕組織面臨的資安風險。」
ISO / IEC TS 27008對所有類型和規模的組織都有益,無論是公共的,私人的還是非營利性的,並且是對ISO / IEC 27001中定義的資訊安全管理系統的補充。
如您有其他的疑問,可加入LINE好友@why4800g或撥打專線由專人為您服務:北部(02)2243-1201,中部(04)2473-9012,南部(07)380-3113。
Views: 335