信息安全管理體系標準ISO/IEC 27007發布

譯 / 常儷

信息安全管理體系標準ISO/IEC 27007發布

譯 / 常儷

未來，企業要繼續為消費者提供其期望的產品和服務，就要處理日益增長的龐大數據。由于屢次發生嚴重的網絡攻擊事件，信息安全成為消費者和企業最關心的問題。

網絡攻擊造成巨大的破壞，從名人因粗心泄露照片造成的尷尬，到醫療記錄數據丟失帶來的損失，再到甚至連大公司都包括在內的數以百萬計的公司遭遇的勒索威脅。

只要是與個人、財務或醫療信息相關的數據，企業在道德和法律層面都有義務保護其安全，以避免遭受網絡犯罪的侵害。這是諸如ISO/IEC 27000標準族等國際標準應對的問題，這些標準有助于組織管理如財務信息、知識產權、雇員明細或第三方委托信息等資產的安全。

ISO/IEC 27001是提供信息安全管理體系（ISMS）相關要求的標準族中最著名的一項。這是一項國際標準，采用該項標準的組織可以取得認證，盡管這種認證是選擇性的。

對于負責公司信息安全管理體系審計工作的人員來講，這是復雜的，同樣地，要順利通過審計，企業需要按要求做準備和關注細節。這正是ISO/IEC 27007《信息技術 技術安全 信息安全管理體系審核指南》存在的確切原因。它能夠為雙方的準備工作提供明確的指導。ISO/IEC 27007的第1版于2011年發布，為了與ISO/IEC 27001：2013相匹配，現已更新。

ISO/IEC 27007為管理信息安全管理體系審計項目、按照ISO/IEC 27001的規定實施內部和外部信息安全管理體系審計和評估ISMS審計員的能力提供指導。此外，它還為ISO/IEC 27001中規定的所有要求提供全面指導。為了與ISO 19011：2011配套使用，ISO/IEC 27007沿用了相同的國際標準結構。

ISO/IEC 27007能夠使所有類型的企業獲益，其為所有用戶而設計，包括中小型組織。

（原文標題：Information Security Management System auditors welcome ISO/IEC 27007 publication，

作者：Barnaby Lewis，譯自ISO官網）