В новости отмечается, что Технический отчет ISO/IEC TR 27008:2011 «Информационные технологии - Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности» (ISO/IEC TR 27008:2011, Information technology – Security techniques – Guidelines for auditors on information security controls), нацелен на создание доверия к мерам и средствам контроля и управления, составляющим основу системы менеджмента информационной безопасности (СМИБ) организации. Аудит может охватывать все аспекты деятельности организации, включая бизнес-процессы и среду её информационных систем.
«Деловая среда постоянно меняется – равно как и угрозы для выживания компании. В этом противостоянии организации должны опережать противника, и на основе аудита мер и средств, поддерживающих информационную безопасность, можно выстроить отличную защиту», - говорит Эдвард Хамфри (Edward Humphreys), руководитель разработавшей документ рабочей группы. «ISO/IEC TR 27008:2011 способствует проведению строгого аудита безопасности в организации, и поддерживает программу анализа эффективности мер и средств обеспечения информационной безопасности, что придаёт организации уверенность в том, что эти меры и средства были внедрены и используются должным образом, и что система . информационной безопасности организации соответствует стоящим перед ней задачам».
Технический отчет содержит рекомендации по анализу внедрения и использования мер и средств информационной безопасности, включая проверку соответствия техническим требованиям. Документ принципиально адресован аудиторам информационной безопасности, которые должны проверить соответствие применяемых организацией мер и средств техническим требованиям стандарта ИСО/МЭК 27002, а также любых других стандартов, используемых организацией. Техотчёт ISO /IEC TR 27008 поможет организациям:
- Выявить и понять масштаб потенциальных проблем и недостатки, имеющиеся у мер и средств обеспечения информационной безопасности;
- Определить и понять потенциальное воздействие на организацию в недостаточной степени смягченных угроз и уязвимостей информационной безопасности;
- Установить приоритеты в деятельности по снижению рисков;
- Подтвердить, что ранее выявленные и появлявшиеся уязвимости и недостатки были надлежащим образом устранены;
- Обосновать бюджетные решения в рамках инвестиционного процесса, а также другие управленческие решения, связанные с улучшением менеджмента информационной безопасности в организации.
Таким образом, ISO/IEC 27008 будет полезен для организаций всех типов, включая государственные и частные компании, государственные учреждения и некоммерческие организации. Это восьмой документ, опубликованный в составе серии стандартов ISO /IEC 27000 по системам менеджмента информационной безопасности.
Эдвард Хамфри подчёркивает: «При любой бизнес-модели и организационной структуре, в любом секторе экономики и при любых деловых взаимоотношениях, информация является ключевым активом, и стандарты серии ISO/IEC 27000 могут быть использованы для защиты этого важного делового актива».
Источник: сайт ИСО
http://www.iso.org/iso/pressrelease.htm?refid=Ref1485
Эдвард Хамфри подчёркивает: «При любой бизнес-модели и организационной структуре, в любом секторе экономики и при любых деловых взаимоотношениях, информация является ключевым активом, и стандарты серии ISO/IEC 27000 могут быть использованы для защиты этого важного делового актива».
Источник: сайт ИСО
http://www.iso.org/iso/pressrelease.htm?refid=Ref1485
Комментариев нет:
Отправить комментарий