ISO 27004 就是Information technology -- Security techniques -- Information security management -- Measurement,主要是針對資訊安全管理系統本文提到的量測,進行補充說明。
以往此份文件還沒有出來時,遇到不同驗證機構,對於ISO 27001所提到的Measure,有不同的見解,造成各說各話,現在,ISO/IEC 27004:2009在今年12月7日發布,讓日後資訊安全管理系統的量測,有一個一致性的指引,以減少要導入ISO 27001的機構,遇到不同稽核員,面臨不同量測要求情形。以下是ISO對於此標準的簡介:
ISO/IEC 27004:2009 provides guidance on the development and use of measures and measurement in order to assess the effectiveness of an implemented information security management system (ISMS) and controls or groups of controls, as specified in ISO/IEC 27001.
ISO/IEC 27004:2009 is applicable to all types and sizes of organization.
沒有留言:
張貼留言