Serangan perangkat lunak, pencurian kekayaan intelektual, dan sabotase hanyalah beberapa dari banyak risiko keamanan informasi yang dihadapi berbagai organisasi. Konsekuensi dari risiko-risiko tersebut bisa sangat besar. Sebagian besar organisasi memiliki kontrol untuk melindungi data keamanan informasi mereka, tetapi bagaimana kita dapat memastikan kontrol tersebut sudah cukup? Pedoman referensi internasional untuk menilai kontrol keamanan informasi baru saja diperbarui.
ISO/IEC TS 27008, dikembangkan oleh ISO dan International Electrotechnical Commission (IEC), Teknologi informasi – Teknik keamanan – Pedoman untuk penilaian kontrol keamanan informasi, memberikan panduan untuk menilai kontrol di tempat untuk memastikan mereka cocok untuk tujuan, efektif dan efisien, serta sejalan dengan tujuan perusahaan.
Spesifikasi teknis ini baru diperbarui untuk selaras dengan edisi baru dari standar pelengkap lainnya dalam hal manajemen keamanan informasi, yaitu ISO / IEC 27000 (tinjauan umum dan kosa kata), ISO / IEC 27001 (persyaratan) dan ISO / IEC 27002 (kode praktek untuk kontrol keamanan informasi).
Edward Humphreys, pemimpin kelompok kerja yang mengembangkan standar ini, mengatakan ISO / IEC TS 27008 akan membantu organisasi untuk menilai dan meninjau kontrol mereka saat ini yang dikelola melalui penerapan ISO / IEC 27001.
“Di dunia saat ini serangan cyber tidak hanya terjadi lebih sering, tapi juga semakin susah dideteksi dan dicegah. Penilaian dan peninjauan kontrol keamanan yang ada perlu dilakukan, untuk menilai dan meninjau kontrol keamanan yang ada perlu dilakukan secara teratur dan menjadi aspek penting dari proses bisnis organisasi,” katanya.
“ISO / IEC TS 27008 dapat membantu dalam memberikan kepercayaan kepada organisasi bahwa kontrol mereka efektif, memadai dan sesuai untuk memitigasi risiko informasi yang dihadapi organisasi.”
ISO / IEC TS 27008 bermanfaat bagi organisasi dari semua jenis dan ukuran, baik itu publik, swasta atau nirlaba, dan melengkapi sistem manajemen keamanan informasi yang didefinisikan dalam ISO / IEC 27001.
Sumber : https://www.iso.org/news/ref2367.html