信息安全管理體系標準ISO/IEC 27007發(fā)布

譯 / 常儷

信息安全管理體系標準ISO/IEC 27007發(fā)布

譯 / 常儷

未來，企業(yè)要繼續(xù)為消費者提供其期望的產(chǎn)品和服務(wù)，就要處理日益增長的龐大數(shù)據(jù)。由于屢次發(fā)生嚴重的網(wǎng)絡(luò)攻擊事件，信息安全成為消費者和企業(yè)最關(guān)心的問題。

網(wǎng)絡(luò)攻擊造成巨大的破壞，從名人因粗心泄露照片造成的尷尬，到醫(yī)療記錄數(shù)據(jù)丟失帶來的損失，再到甚至連大公司都包括在內(nèi)的數(shù)以百萬計的公司遭遇的勒索威脅。

只要是與個人、財務(wù)或醫(yī)療信息相關(guān)的數(shù)據(jù)，企業(yè)在道德和法律層面都有義務(wù)保護其安全，以避免遭受網(wǎng)絡(luò)犯罪的侵害。這是諸如ISO/IEC 27000標準族等國際標準應(yīng)對的問題，這些標準有助于組織管理如財務(wù)信息、知識產(chǎn)權(quán)、雇員明細或第三方委托信息等資產(chǎn)的安全。

ISO/IEC 27001是提供信息安全管理體系（ISMS）相關(guān)要求的標準族中最著名的一項。這是一項國際標準，采用該項標準的組織可以取得認證，盡管這種認證是選擇性的。

對于負責(zé)公司信息安全管理體系審計工作的人員來講，這是復(fù)雜的，同樣地，要順利通過審計，企業(yè)需要按要求做準備和關(guān)注細節(jié)。這正是ISO/IEC 27007《信息技術(shù) 技術(shù)安全 信息安全管理體系審核指南》存在的確切原因。它能夠為雙方的準備工作提供明確的指導(dǎo)。ISO/IEC 27007的第1版于2011年發(fā)布，為了與ISO/IEC 27001：2013相匹配，現(xiàn)已更新。

ISO/IEC 27007為管理信息安全管理體系審計項目、按照ISO/IEC 27001的規(guī)定實施內(nèi)部和外部信息安全管理體系審計和評估ISMS審計員的能力提供指導(dǎo)。此外，它還為ISO/IEC 27001中規(guī)定的所有要求提供全面指導(dǎo)。為了與ISO 19011：2011配套使用，ISO/IEC 27007沿用了相同的國際標準結(jié)構(gòu)。

ISO/IEC 27007能夠使所有類型的企業(yè)獲益，其為所有用戶而設(shè)計，包括中小型組織。

（原文標題：Information Security Management System auditors welcome ISO/IEC 27007 publication，

作者：Barnaby Lewis，譯自ISO官網(wǎng)）