对于信息安全越小心越好。保护个人记录和商业敏感信息是很关键的。但是你怎么知道ISO/IEC 27001信息安全管理系统(ISMS)能够发挥重要作用?一个新的ISO/IEC 国际标准可以帮你。
最近修订的ISO/IEC 27004:2016,信息技术——安全技术——信息安全管理——模拟、测量、分析和评估给评价ISO/IEC 27001绩效提供指导。这一标准解释了如何完善和运用评价体系;还解释了如何评价和报告一系列信息安全衡量标准。
爱德华·汉弗莱斯教授是制定标准的ISO/IEC JTC 1/SC 27工作组召集人,他说:“网络攻击是公司面临的最大风险之一。”这就是为什么更加完善的ISO/IEC 27004版本可以向很多公司提供基本的和实用的支持。这些公司实施了ISO/IEC 27001,来保护自己免受当今多样化的安全攻击。
安全指标针对ISMS的有效性提供见解,因此,吸引了公众的注意。不论你是工程师还是对安全或管理负责的咨询师,抑或是需要更好信息决策的执行者,安全指标是一个展现公司网络风险状态的重要沟通工具。
用汉弗莱斯教授的话来说:“公司需要帮助解决以下问题,公司在信息安全管理的投资是否有效,是否符合针对不断改变的网络风险环境而做出反应,防卫和相应改变的目的。ISO/IEC 27004 在这方面有诸多优势。”
ISO/IEC 27004:2016 展现了如何成立信息安全评估项目;如何选择测量的要素;如何操作必要的测量程序;如何评估测量的有效性。该标准包含了大量不同测量类型的实例。
利用ISO/IEC 27004对于公司的好处如下:
·增强责任制
·提高信息安全,优化信息安全管理体系的进程
·满足了ISO/IEC 27001的要求,同时还满足适用的法律法规和条例的要求
ISO/IEC 27004:2016取代了之前2009的版本,它是根据ISO/IEC 27001修订版更新和扩展的,目的是给公司提供更多附加值和信心。
ISO/IEC 27004:2016是由ISO/IEC JTC 1/SC 27,信息技术分技术委员会负责制定,其秘书处由德国工业标准协会(DIN)承担。
