信息安全管理体系标准ISO/IEC 27007发布
2017-01-25常俪
译 / 常俪
信息安全管理体系标准ISO/IEC 27007发布
译 / 常俪
未来,企业要继续为消费者提供其期望的产品和服务,就要处理日益增长的庞大数据。由于屡次发生严重的网络攻击事件,信息安全成为消费者和企业最关心的问题。
网络攻击造成巨大的破坏,从名人因粗心泄露照片造成的尴尬,到医疗记录数据丢失带来的损失,再到甚至连大公司都包括在内的数以百万计的公司遭遇的勒索威胁。
只要是与个人、财务或医疗信息相关的数据,企业在道德和法律层面都有义务保护其安全,以避免遭受网络犯罪的侵害。这是诸如ISO/IEC 27000标准族等国际标准应对的问题,这些标准有助于组织管理如财务信息、知识产权、雇员明细或第三方委托信息等资产的安全。
ISO/IEC 27001是提供信息安全管理体系(ISMS)相关要求的标准族中最著名的一项。这是一项国际标准,采用该项标准的组织可以取得认证,尽管这种认证是选择性的。
对于负责公司信息安全管理体系审计工作的人员来讲,这是复杂的,同样地,要顺利通过审计,企业需要按要求做准备和关注细节。这正是ISO/IEC 27007《信息技术 技术安全 信息安全管理体系审核指南》存在的确切原因。它能够为双方的准备工作提供明确的指导。ISO/IEC 27007的第1版于2011年发布,为了与ISO/IEC 27001:2013相匹配,现已更新。
ISO/IEC 27007为管理信息安全管理体系审计项目、按照ISO/IEC 27001的规定实施内部和外部信息安全管理体系审计和评估ISMS审计员的能力提供指导。此外,它还为ISO/IEC 27001中规定的所有要求提供全面指导。为了与ISO 19011:2011配套使用,ISO/IEC 27007沿用了相同的国际标准结构。
ISO/IEC 27007能够使所有类型的企业获益,其为所有用户而设计,包括中小型组织。
(原文标题:Information Security Management System auditors welcome ISO/IEC 27007 publication,
作者:Barnaby Lewis,译自ISO官网)