|
2018年7月13日,国际标准化组织(ISO)发布了一则有关降低信息安全漏洞的新闻,指出在我们的超连接,技术驱动的世界中,数据泄露和网络攻击是目前社会组织面临的重大威胁,而且社会组织往往缺乏对风险的认识。新修订的ISO/IEC 27005标准将有助于改善目前信息安全漏洞风险。 对于保护公司信息的安全,无论是商业敏感还是客户的个人信息,都从未如此受到关注。目前一些有关信息安全的新立法陆续出台,例如欧盟通用数据保护条例,这意味着当前社会组织面临更大的安全压力,确保其信息安全,已迫在眉睫。但如何拥有最合适的技术和流程还是目前所面临的难点。 作为ISO/IEC 27001:2013的补充,新修订的ISO/IEC 27005:2018,信息技术-安全技术-信息安全风险管理,提供了信息安全管理系统(ISMS)的要求,通过提供有效管理风险的框架,为组织提供指导,帮助他们解决有关信息安全方面的问题,从而确保它最适合满足当今组织的需求。 专家意见 Edward Humphreys,ISO/IEC工作组的召集人,同时也是ISO/IEC 27001和ISO/IEC 27005标准的制定者,他说更新后的ISO/IEC 27005:2018标准是ISO/IEC“网络风险工具箱”中的重要工具。他同时指出“ISO/IEC 27005为组织提供'风险的原因,内容和方式',以便能够有效地管理其信息安全风险”,“此修订的ISO/IEC 27005新标准还有助于向各社会组织的客户或利益相关者证明组织已经具备强大的风险处理能力,让他们相信此风险管理能力,将有利于事业更好的发展。” 标准简介 ISO/IEC 27005是ISO/IEC 27000系列中十多个标准之一,构成了网络风险工具包,由ISO/IEC 27001引领,信息技术-安全技术-信息安全管理系统。该系列中的其他人包括用于保护云信息,电信和公用事业部门的信息安全,网络安全,ISMS审计等。 ISO/IEC 27005由信息安全管理系统ISO/IEC JTC 1/SC 27,“信息安全技术”,负责制定开发,其秘书处由DIN(ISO,德国成员)负责。该分委员会主席由Mr Dr Andreas Wolf担任,任期到2018年。ISO/IEC JTC 1/SC 27共有52个P成员,25个O成员,已制定了179项国际标准,在研的国际标准有74项。 总结与建议 信息技术安全收到越来越多国家的重视,我国也在积极参与全球网络空间安全治理。努力完善网络空间安全顶层设计,加强网络作战能力部署,构建网络治理技术标准体系,实施网络安全人才发展计划。 中国是ISO/IEC JTC 1/SC 27的P成员,在技术标准方面,要积极参与国际标准的制修订,争取更多国际话语权,同时也要积极争取该分委员会的秘书处工作以及主席等职位。 来源:浙江省TBT中心 |
|
|
