ISO/IEC TS 27008 信息技术-安全技术

ISO发布旨在加强数据保护的信息安全控制评估国际标准

软件攻击、知识产权窃取、信息破坏等诸多信息安全风险会带来严重后果，而这些风险只是许多组织所面临问题的冰山一隅。大多数组织都已经制定了控制措施来保护数据安全，但我们如何能够确保这些控制措施足够有效？ISO刚刚发布的关于安全控制措施评估国际标准可以提供帮助。

对于任何组织而言，信息都是其最为宝贵的资产之一，数据泄露可能会使公司蒙受巨大的业务损失，挽回损失也将付出巨大的代价。因此，必须加强现有的控制措施，以保护数据安全，同时定期进行数据监控，以应对不断变化的风险。

ISO/IEC TS 27008 信息技术-安全技术-信息安全控制评估指南是由ISO 和国际电工委员会（IEC）共同制定，旨在为现有控制措施提供了评估指南，以确保他们发挥应有作用、有力并高效，且契合公司目标。

这项新近修订的技术规范（TS），旨在与ISO/IEC 27000（概述和词汇）、ISO/IEC 27001（要求）和 ISO/IEC 27002（信息安全控制规程）等其他关于信息安全管理标准的新版本。这些补充标准均在更新的技术规范中得到引用。

制定这项标准的工作组负责人爱德华•汉弗莱斯（Edward Humphreys）表示，ISO/IEC 27001标准将帮助各组织评估和审查相应的控制措施， 通过实施ISO/IEC TS 27008 将有助于这些措施的评估与审核。