Home > Noi STANDARDE ISO > ISO 27008 – Linii directoare pentru auditori

Liniile directoare ISO/IEC 27008 vor creste increderea in masurile de control aplicate in domeniul securitatii informatiei

8 noiembrie 2011. Un raport tehnic ISO/IEC care ofera linii directoare privind conformitatea masurilor tehnice de control pentru auditori poate ajuta eficacitatea sistemelor de securitate a informatiei in cadrul organizatiilor.

ISO/IEC TR 27008:2011, Tehnologia informatiei – Tehnici de securitate – Linii directoare pentru auditori privind masurile de control ale securitatii informatiei, urmareste sa insufle incredere in masurile de control care sustin sistemul de management al securitatii informatiei dintr-o organizatie. Analiza se aplica tuturor partilor care alcatuiesc organizatia, inclusiv proceselor de afaceri si mediului in care functioneaza sistemele informatice.

“Mediul de afaceri se afla constant in schimbare – si la fel de constant se schimba si amenintarile la adresa supravietuirii companiilor. Organizatiile trebuie sa se afle mereu cu un pas in fata, iar o aparare excelenta poate fi construita pe baza auditarii masurilor de control utilizate in sprijinul securitatii informatiei,” a spus Edward Humphreys, conducatorul grupului de lucru care a dezvoltat noul document.

“ISO/IEC TR 27008:2011 sprijina auditul riguros al securitatii organizatiei si programul de analiza al masurilor de control legate de securitatea informatiei, pentru a permite organizatiei sa aiba incredere ca respectivele masuri de control au fost implementate si functioneaza in mod adecvat si ca securitatea informatiei este cea corespunzatoare scopului urmarit.”

ISO 27008 pune la dispozitie indrumari privind analizarea implementarii si functionarii masurilor de control, incluzand verificarea conformitatii tehnice. Documentul vizeaza in special auditorii din domeniul securitatii informatiei care trebuie sa verifice conformitatea tehnica a masurilor de control aplicate de o organizatie la nivelul securitatii informatiei cu standardul ISO 27002 sau cu alte standarde asemanatoare utilizate de acea organizatie.

ISO 27008 ii va ajuta:
• Sa identifice si sa inteleaga dimensiunea potentialelor probleme si neajunsuri ale masurilor de control aplicate securitatii informatiei;
• Sa identifice si sa inteleaga potentialul impact asupra organizatiei al amenintarilor si vulnerabilitatilor inadecvat atenuate din domeniul securitatii informatiei;
• Sa dea prioritate activitatilor de atenuare a riscurilor legate de securitatea informatiei;
• Sa confirme ca slabiciunile sau deficientele identificate anterior sau pe cale de aparitie au fost rezolvate in mod corespunzator;
• Sa sprijine deciziile de buget din cadrul procesului de investitii si alte decizii manageriale legate de imbunatatirea managementului securitatii informatiei in organizatie.

ISO 27008 va aduce, astfel, beneficii tuturor tipurilor de organizatii, inclusiv companiilor publice si private, entitatilor guvernamentale si organizatiilor nonprofit. El reprezinta cel de-al optulea document disponibil in seria de stadarde ISO/IEC 27000 dedicate sistemelor de management al securitatii informatiei.

Edward Humphreys a adaugat: “Pentru fiecare model de afacere si fiecare structura organizatorica, pentru fiecare sector de afaceri si fiecare relatie dintre companii, informatia reprezinta un bun cheie, iar seria de standarde ISO/IEC 27000 poate fi folosita pentru a proteja acest bun important in afaceri.”

ISO/IEC TR 27008:2011, Tehnologia informatiei – Tehnici de securitate – Linii directoare pentru auditori privind masurile de control ale securitatii informatiei, costa 136 de franci elvetieni si este disponibil la institutele nationale membre ISO (ASRO in Romania) si la Secretariatul central ISO prin ISO Store sau contactand departamentul de marketing & comunicare. (sursa: ISO)

› ISO 27008 – Linii directoare pentru auditori