译 / 常俪

信息安全管理体系标准ISO/IEC 27007发布

译 / 常俪

未来，企业要继续为消费者提供其期望的产品和服务，就要处理日益增长的庞大数据。由于屡次发生严重的网络攻击事件，信息安全成为消费者和企业最关心的问题。

网络攻击造成巨大的破坏，从名人因粗心泄露照片造成的尴尬，到医疗记录数据丢失带来的损失，再到甚至连大公司都包括在内的数以百万计的公司遭遇的勒索威胁。

只要是与个人、财务或医疗信息相关的数据，企业在道德和法律层面都有义务保护其安全，以避免遭受网络犯罪的侵害。这是诸如ISO/IEC 27000标准族等国际标准应对的问题，这些标准有助于组织管理如财务信息、知识产权、雇员明细或第三方委托信息等资产的安全。

ISO/IEC 27001是提供信息安全管理体系（ISMS）相关要求的标准族中最著名的一项。这是一项国际标准，采用该项标准的组织可以取得认证，尽管这种认证是选择性的。

对于负责公司信息安全管理体系审计工作的人员来讲，这是复杂的，同样地，要顺利通过审计，企业需要按要求做准备和关注细节。这正是ISO/IEC 27007《信息技术 技术安全 信息安全管理体系审核指南》存在的确切原因。它能够为双方的准备工作提供明确的指导。ISO/IEC 27007的第1版于2011年发布，为了与ISO/IEC 27001：2013相匹配，现已更新。

ISO/IEC 27007为管理信息安全管理体系审计项目、按照ISO/IEC 27001的规定实施内部和外部信息安全管理体系审计和评估ISMS审计员的能力提供指导。此外，它还为ISO/IEC 27001中规定的所有要求提供全面指导。为了与ISO 19011：2011配套使用，ISO/IEC 27007沿用了相同的国际标准结构。

ISO/IEC 27007能够使所有类型的企业获益，其为所有用户而设计，包括中小型组织。

（原文标题：Information Security Management System auditors welcome ISO/IEC 27007 publication，

作者：Barnaby Lewis，译自ISO官网）