公司新闻:
|
联系电话
首页 新闻中心 行业动态
新闻中心
 └ 公司新闻  └ 行业动态  └ 通知公告
热点文章推荐

标准更新 ISO/IEC 27008:2019 信息安全控制评估指南

添加时间:2020-02-11 16:06:02   浏览:

ISO/IEC 27008:2019 信息技术—安全技术—信息安全控制评估指南(第二版)

ISO/IEC 27008:2019介绍

关于“技术审核”的本标准(实际上是“技术报告”)是对ISO / IEC 27007的补充。 它着重于审核信息安全控制-或“技术控制”(如IT安全或网络安全控制),而'27007则着重于审核ISMS的管理体系元素。

ISO/IEC 27008:2019范围

ISO/IEC 27008:2019标准为所有审计师提供了有关指导方针的信息,这些指导方针是通过基于风险的方法( 例如,如适用性声明中所述)选择的信息安全管理的“信息安全管理体系控制”。 通过解释ISMS及其支持控制之间的关系,它支持ISMS的信息风险管理过程以及内部,外部和第三方审核。 它提供有关如何验证所需的“ ISMS控件”实施程度的指南。 此外,它支持使用ISO / IEC 27001和ISO / IEC 27002的任何组织来满足保证要求,并作为信息安全治理的战略平台。

ISO/IEC 27008:2019目的和理由

ISO/IEC 27008:2019标准:

适用于所有组织,包括上市公司和私有公司,政府实体以及非营利组织和各种规模的组织,无论其对信息的依赖程度如何;

支持ISMS审核和信息风险管理流程的计划和执行;

通过弥合理论上对ISMS的审查与在必要时验证已实施ISMS控件的证据( 例如 ,在ISO27k用户组织中,评估业务流程的安全要素, IT系统和IT操作环境);

根据ISO / IEC 27002中的控制指南提供审核信息安全控制的指南;

通过优化ISMS流程与所需控制之间的关系来改进ISMS审核( 例如 ,限制因信息保护失败而造成的损害的机制-错误的财务报表,组织发布的不正确的文件以及无形资产(例如组织的声誉和形象)以及人们的隐私权,技能和经验);

支持基于ISMS的保证和信息安全治理方法及其审核[? 这似乎会误入管理体系审计而不是信息安全控制或技术审计领域];

确保有效和高效地使用审计资源。

ISO / IEC 27007专注于审核ISO / IEC 27001中所述的ISMS 管理体系元素,而ISO / IEC TR 27008专注于检查某些信息安全控件本身,例如(例如) ISO中所述的那些控件 / IEC 27002,并在ISO / IEC 27001的附件A中进行了概述。

“ 27008”着重于根据组织制定的信息安全实施标准对信息安全控制进行审查,包括检查技术合规性。 它无意为分别在ISO / IEC 27004、27005或27007中指定的有关ISMS的度量,风险评估或审核的合规性检查提供任何具体指导。”

技术合规性检查/审核被解释为检查“技术”安全控件,采访与控件相关联的控件(经理,技术人员,用户等 )以及测试控件的过程。 这些方法应为经验丰富的IT审核员所熟悉。

“技术”控件虽然未在标准中明确定义,但似乎是众所周知的IT安全或网络安全控件,换句话说,是ISO / IEC 27001 (尤其是27002)中描述的信息安全控件的子集 。

ISO/IEC 27008:2019标准现状

第一版于2011年发布为ISO / IEC TR 27008:2011,即“第二类技术报告”。 该标准中存在少量但语法和技术上的错误,以及范围有限,可能会妨碍其采用。

第二版于2019年作为ISO / IEC TS 27008:2019发布,这是反映2013年版ISO / IEC 27001和27002的''技术规范''。

由于某种原因,现在的标题是指“评估”而不是“审计”。

2019年版仍包含“信息系统控件的技术合规性检查”一词,但未解释其含义:如上所述,它似乎暗示新版本仍将近视焦点集中在“技术控件”上。 除非组织出于业务原因而理解并接受保护其有价值的信息以免遭受各种各样的信息风险的威胁,否则ISMS以及具体的技术安全控制措施在很大程度上仍将是无关紧要的,但是该标准并未解决该问题的更广泛问题。

虽然该标准不打算由认可的ISMS认证机构使用,但SC 27的某些成员担心其对ISO / IEC 27001认证审核的潜在影响。 要通过ISO / IEC 27001认证,要求认证审核员评估组织的ISMS整体是否符合标准,但不一定要自己研究信息安全控制措施。 他们以与ISO 9000审核员为质量保证审核组织的管理体系相同的方式来审核管理体系 。 我们中的一些人认为这存在保证差距:可以想象的是,组织可以在纸上实施ISMS,但实际上忽略其安全策略,标准,程序和指南的重要元素,也许会随意声明狭窄的ISMS范围。以及最低限度的适用性声明,并声明不合理的高风险承受能力,只是为了避免做出任何理智的人认为适当的更改。 其他人则坚持认为,认证审核员通常至少在一定程度上证实了信息安全控制和管理体系控制的存在(多少是有争议的)。

分享到:
上一篇:标准更新 ISO/IEC 27007:2020 信息安全管理系体系审核指南
下一篇:

相关文章推荐

返回顶部
收缩

  • 付老师:业务咨询
  • 简老师:业务咨询
  • 金老师:业务咨询
  • 徐老师:业务咨询

  • 技术支持

  • 010-83607858
  • 010-83683376