IEC修订信息安全治理标准

员工对其组织而言构成了最大的网络安全威胁。Ponemon Institute最近的一项调查显示，所谓的内部威胁的成本增加了31％，从2018年的876万美元增加到2020年的1,145万美元。

该报告指出，缺乏培训是造成安全漏洞的主要原因，培训可以确保员工更好地了解与其工作相关的规制要求。

培训可以帮助员工保证他们使用的设备时刻受到保护。报告指出，工作场所的其他不良作法包括将机密文件发送到不安全的云地址，以及为了简化任务而打破安全策略。

COVID-19大流行使得远程办公大大增加，更是加剧了这种情况。许多家庭网络缺乏安全措施，例如防病毒软件、定制的防火墙和在线备份工具。

这增加了疏忽大意人员无意间帮助恶意软件感染设备并访问公司网络的风险。一项著名国际标准的新版本旨在应对以上诸多挑战。

ISO / IEC 27014《信息安全、网络安全和隐私保护–信息安全治理》

ISO / IEC 27014概述了一种有效的治理模型，旨在确保坚持正确的实践和程序。它包含了一些最新信息，并在提高清晰度和结构方面进行了修订。

ISO/IEC 27014这项标准的2020版与ISO/IEC 27001更加紧密地结合在一起，将网络安全治理定义为“一个组织的治理机构对影响其信息安全的活动提供综合指南和控制手段”。

ISO/IEC 27014建议开展培训和安全意识项目，以建立积极的信息安全文化。该标准还提出了各种类型和规模的组织中行政管理和董事会的作用和职责。

该标准的目标是“使安全计划与业务目标及战略保持一致，为利益相关者和董事会创造价值，并确保信息风险得到充分管理”。

该标准定义了六个重要治理原则，这些原则被定义为“作为治理实施指南的治理措施或行为的可接受的规则”：

1.建立覆盖整个组织的信息安全系统

2.采用基于风险的方法制定决策

3.设定投资决策方向

4.确保符合内部和外部的要求

5.发展强调安全的文化

6.确保安全性能满足当前和将来的要求