軟件攻擊、知識產(chǎn)權(quán)竊取、信息破壞等諸多信息安全風(fēng)險會帶來嚴(yán)重后果，而這些風(fēng)險只是許多組織所面臨問題的冰山一隅。大多數(shù)組織都已經(jīng)制定了控制措施來保護(hù)數(shù)據(jù)安全，但我們?nèi)绾文軌虼_保這些控制措施足夠有效？ISO剛剛發(fā)布的關(guān)于安全控制措施評估國際標(biāo)準(zhǔn)可以提供幫助。

　　對于任何組織而言，信息都是其最為寶貴的資產(chǎn)之一，數(shù)據(jù)泄露可能會使公司蒙受巨大的業(yè)務(wù)損失，挽回?fù)p失也將付出巨大的代價。因此，必須加強現(xiàn)有的控制措施，以保護(hù)數(shù)據(jù)安全，同時定期進(jìn)行數(shù)據(jù)監(jiān)控，以應(yīng)對不斷變化的風(fēng)險。

　　ISO/IEC TS 27008 信息技術(shù)-安全技術(shù)-信息安全控制評估指南是由ISO 和國際電工委員會（IEC）共同制定，旨在為現(xiàn)有控制措施提供了評估指南，以確保他們發(fā)揮應(yīng)有作用、有力并高效，且契合公司目標(biāo)。

　　這項新近修訂的技術(shù)規(guī)范（TS），旨在與ISO/IEC 27000（概述和詞匯）、ISO/IEC 27001（要求）和 ISO/IEC 27002（信息安全控制規(guī)程）等其他關(guān)于信息安全管理標(biāo)準(zhǔn)的新版本。這些補充標(biāo)準(zhǔn)均在更新的技術(shù)規(guī)范中得到引用。

　　制定這項標(biāo)準(zhǔn)的工作組負(fù)責(zé)人愛德華·漢弗萊斯（Edward Humphreys）表示，ISO/IEC 27001標(biāo)準(zhǔn)將幫助各組織評估和審查相應(yīng)的控制措施， 通過實施ISO/IEC TS 27008 將有助于這些措施的評估與審核。

　　Edward Humphreys教授表示：“在當(dāng)今世界，網(wǎng)絡(luò)攻擊不僅更加頻繁，而且越來越難以檢測和預(yù)防。應(yīng)該對現(xiàn)有安全控制措施進(jìn)行定期評估和審核，使之成為組織業(yè)務(wù)流程的一個重要方面?！?/p>

　　“ISO/IEC TS 27008 有助于增進(jìn)組織自信，確保其控制措施的有效性、充分性和適當(dāng)性，降低組織面臨的信息風(fēng)險?！?/p>

　　 ISO/IEC TS 27008 有益于所有類型和規(guī)模的組織，無論是公立組織、私立組織亦或非營利組織，皆可獲益。該項標(biāo)準(zhǔn)是對ISO/IEC 27001 中所定義的信息安全管理體系的補充。

　　 該項標(biāo)準(zhǔn)是由 ISO/IEC JTC 1 信息安全技術(shù)委員會的SC 27 IT安全技術(shù)分技術(shù)委員會制定，其秘書處是由ISO的德國成員 DIN承擔(dān) 。