国际标准化组织（ISO）发布最新修订的ISO/IEC 27005标准

　　2018 年 7月 13日，国际标准化组织（ ISO）发布了一则有关降低信息安全漏洞的新闻，指出在我们的超连接，技术驱动的世界中，数据泄露和网络攻击是目前社会组织面临的重大威胁，而且社会组织往往缺乏对风险的认识。新修订的 ISO/IEC 27005标准将有助于改善目前信息安全漏洞风险。
对于保护公司信息的安全，无论是商业敏感还是客户的个人信息，都从未如此受到关注。目前一些有关信息安全的新立法陆续出台，例如欧盟通用数据保护条例，这意味着当前社会组织面临更大的安全压力，确保其信息安全，已迫在眉睫。但如何拥有最合适的技术和流程还是目前所面临的难点。
作为 ISO/IEC 27001： 2013的补充，新修订的 ISO/IEC 27005： 2018，信息技术 -安全技术 -信息安全风险管理，提供了信息安全管理系统（ ISMS）的要求，通过提供有效管理风险的框架，为组织提供指导，帮助他们解决有关信息安全方面的问题，从而确保它最适合满足当今组织的需求。
专家意见
Edward Humphreys ， ISO/IEC工作组的召集人，同时也是 ISO/IEC 27001和 ISO/IEC 27005标准的制定者，他说更新后的 ISO/IEC 27005： 2018标准是 ISO/IEC“网络风险工具箱”中的重要工具。 他同时指出“ ISO/IEC 27005为组织提供‘风险的原因，内容和方式 '，以便能够有效地管理其信息安全风险”，“此修订的 ISO/IEC 27005新标准还有助于向各社会组织的客户或利益相关者证明组织已经具备强大的风险处理能力，让他们相信此风险管理能力，将有利于事业更好的发展。”
标准简介
ISO/IEC 27005 是 ISO/IEC 27000系列中十多个标准之一，构成了网络风险工具包，由 ISO/IEC27001引领，信息技术 -安全技术 -信息安全管理系统。该系列中的其他人包括用于保护云信息，电信和公用事业部门的信息安全，网络安全， ISMS审计等。
ISO/IEC 27005 由信息安全管理系统 ISO/IEC JTC 1/SC 27，“信息安全技术”，负责制定开发，其秘书处由 DIN（ ISO，德国成员）负责。该分委员会主席由 Mr Dr Andreas Wolf担任，任期到 2018年。 ISO/IEC JTC 1/SC 27共有 52个 P成员， 25个 O成员，已制定了 179项国际标准，在研的国际标准有 74项。
总结与建议
信息技术安全收到越来越多国家的重视，我国也在积极参与全球网络空间安全治理。努力完善网络空间安全顶层设计，加强网络作战能力部署，构建网络治理技术标准体系，实施网络安全人才发展计划。
中国是 ISO/IEC JTC 1/SC 27的 P成员，在技术标准方面，要积极参与国际标准的制修订，争取更多国际话语权，同时也要积极争取该分委员会的秘书处工作以及主席等职位。
来源：浙江省 TBT中心