新的ISO框架解决IT系统安全风险和漏洞

6月，国际标准化组织(ISO)和国际工程联合会(IEC)发布了ISO/IEC 17799:2005，这是他们信息系统实践规范的最新更新。与之前的版本相比，新版本包含了更多关于信息安全和事件管理的指南，并解决了风险评估、业务伙伴关系规定以及与其他ISO标准集成的指南。

ISO表示，该标准“为启动、实施、维护和改进信息安全管理建立了指导方针和一般原则。”

Willibert Fabritius是北美莱茵TUV公司该公司将17799:2005描述为“确定您的数据安全可靠级别的标准”。

马萨诸塞州剑桥公司副总裁迈克尔·拉斯穆森表示福雷斯特研究公司“这是一个非常高级的观点——一个为定义安全程序提供结构的架构标准，”他补充说，公司“应该使用该标准来构建信息安全程序，因为它提供了一个普遍接受的框架。”

Fabritius建议公司同时采用17799:2005和BS7799-2(英国标准协会发布的信息安全管理系统规范)。

17799:2005认证可以向客户和合作伙伴保证，公司正在很好地保护其数据，对于公司自己的管理来说，其系统是合格的。然而，改进后的标准是否会被制造商采用，就像他们处理iso9000认证一样，还有待观察。

法布里提乌斯说，制造商在获得ISO 17799认证或合规方面滞后。此外，合规成本并不低。改变公司的做法以达到标准可能会花费数千美元。但法布里提乌斯表示，监管压力和能够让客户放心安全问题的竞争优势将吸引制造商加入。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。