0 نظر

حفاظت قوی تر از اطلاعات با به روز رسانی اخیر ISO یعنی ایزو 27008 در زمینه ی استانداردهای حاکم بر ارزیابی کنترل های امنیتی اطلاعات ایجاد شده است.

حملات نرم افزاری، سرقت مالکیت معنوی و خرابکاری فقط بعضی از خطرات امنیت اطلاعاتی هستند که سازمان ها با آن مواجه می شوند. در نظر داشته باشید که عواقب چنین حملاتی می تواند بسیار بزرگ تر از وقوع اولیه ی آن ها باشد. اکثر سازمان ها برای حفاظت از داده ها و اطلاعات خود سیستم های کنترلی به خصوصی دارند، اما چگونه می توانیم اطمینان حاصل کنیم که این کنترل ها کافی هستند؟ دستورالعمل های مرجع بین المللی از جمله استانداردهای ایزو در این حوزه برای ارزیابی کنترل های امنیتی اطلاعات به روز شده و به حرفه ای تر شدن آن ها کمک می کنند.

برای هر سازمان، اطلاعات یکی از ارزشمندترین دارایی ها و نقض داده ها می تواند به شدت از نظر کسب و کار به ضرردهی سنگین منجر شود، همین طور تمیز کردن آثار حملات سایبری بسیار هزینه بردار می گردد. بنابراین، کنترل در محل باید به اندازه کافی دقیق به منظور محافظت در سطح بالا بوده، و به طور منظم با سیر امکان حملات سایبری به روز رسانی شود. به این معنا که نباید توقع داشته باشیم فرمول های حفاظتی 10 سال قبل، امروز در مقابل ریسک حملات سایبری دوام بیاورد.

استاندارد ایزو 27008

استاندارد ایزو 27008 توسط ایزو و کمیسیون بین المللی الکتروشویی (IEC)، ISO / IEC TS 27008 طراحی شده است. این استاندارد فن آوری اطلاعات – تکنیک های امنیتی – دستورالعمل های ارزیابی کنترل های امنیتی اطلاعات را ارائه می دهد. همین طور چیزی که در دستور العمل این ایزو نهفته است؛ ارائه راهنمایی در مورد ارزیابی کنترل ها در محل برای اطمینان از آنها مناسب برای هدف، موثر و کارآمد و مطابق با اهداف شرکت است.

 

استاندارد ایزو 27008 حفاظت از داده ها

استاندارد ایزو 27008 حفاظت از داده ها

 

مشخصات فنی (TS) به تازگی به روز شده است با نسخه های جدید دیگر استانداردهای تکمیلی در مدیریت امنیت اطلاعات، یعنی ISO / IEC 27000 مرور و واژگان، ISO / IEC 27001 الزامات و ISO / IEC 27002 کد تمرین برای کنترل های امنیتی اطلاعات، همخوانی و سازگاری دارد.

پروفسور ادوارد هافریز، رهبر گروه کاری که استاندارد را توسعه داد، گفته است: ISO / IEC TS 27008 به سازمان ها کمک می کند تا ارزیابی و بررسی کنترل های فعلی خود را که از طریق اجرای ISO / IEC 27001 مدیریت می شوند، بررسی کنند.

“در یک جهان که حملات سایبری نه تنها مکرر است، بلکه به طور فزاینده ای رخ می دهد؛ برای شناسایی و جلوگیری از آن، ارزیابی و بازنگری کنترل های امنیتی به طور منظم ضروری می نماید. این فرایند باید در شمار ساختارهای ضروری و غیرقابل چشم پوشی هر سازمان جای بگیرد”
ISO / IEC TS 27008 “می تواند به سازمان ها اطمینان بخشد که کنترل آن ها موثر و مناسب برای کاهش خطرات اطلاعاتی است که سازمان می تواند با آن مواجه شود.”

ISO / IEC TS 27008 برای سازمان هایی از انواع و اندازه ها، به صورت عمومی، خصوصی، سودآور مستقیم یا غیره تعریف شده است و مکمل سیستم مدیریت امنیت اطلاعات تعریف شده در ISO / IEC 27001 می باشد.

منبع: www.iso.org

به اشتراک گذاشتن این مطلب
منبع: