Hiện nay, tấn công phần mềm, trộm cắp, phá hoại tài sản trí tuệ chỉ là một số trong nhiều rủi ro bảo mật thông tin mà các tổ chức, doanh nghiệp đang phải đối mặt.
Trên thực tế, hầu hết các tổ chức, doanh nghiệp đều có các biện pháp kiểm soát để bảo vệ thông tin, nhưng không dễ dàng để các tổ chức này đảm bảo được rằng các biện pháp kiểm soát họ đang thực hiện có đủ để ngăn chặn các hành vi phá hoại, tấn công phần mềm. Chính vì vậy, các hướng dẫn tham khảo quốc tế để đánh giá kiểm soát an ninh thông tin vừa được cập nhật để hỗ trợ các tổ chức, doanh nghiệp.
Đối với bất kỳ tổ chức, công ty nào thì thông tin là một trong những tài sản có giá trị nhất và việc vi phạm, ăn cắp dữ liệu có thể gây tổn thất nặng nề về mặt kinh doanh và gây ra những hậu quả khôn lường khác. Do đó, cần các biện pháp kiểm soát tại chỗ đủ nghiêm ngặt để bảo vệ được phần mềm cũng như thông tin doanh nghiệp và được theo dõi một cách thường xuyên để theo kịp thời xử lý các rủi ro.
Được phát triển bởi Tổ chức Tiêu chuẩn hóa quốc tế ISO và Ủy ban kỹ thuật điện quốc tế (IEC), ISO / IEC TS 27008, Công nghệ thông tin – Kỹ thuật bảo mật – Hướng dẫn đánh giá kiểm soát an ninh thông tin, cung cấp hướng dẫn đánh giá các điều khiển tại chỗ để đảm bảo phù hợp với mục đích, hiệu quả và hiệu quả, và phù hợp với mục tiêu của công ty.
Thông số kỹ thuật (TS) gần đây đã được cập nhật để phù hợp với các phiên bản mới của các tiêu chuẩn bổ sung khác về quản lý bảo mật thông tin, cụ thể là ISO / IEC 27000 (tổng quan và từ vựng), ISO / IEC 27001 (các yêu cầu) và ISO / IEC 27002 (mã thực hành kiểm soát bảo mật thông tin), tất cả đều được tham chiếu trong bộ tiêu chuẩn này.
Tiêu chuẩn ISO / IEC TS 27008 sẽ giúp các tổ chức đánh giá và xem xét các biện pháp kiểm soát hiện tại của họ đang được quản lý thông qua việc áp dụng tiêu chuẩn ISO / IEC 27001. Tiêu chuẩn ISO / IEC TS 27008 có thể giúp các tổ chức, doanh nghiệp tin tưởng rằng các biện pháp kiểm soát của họ là hiệu quả, đầy đủ và phù hợp để giảm thiểu rủi ro bảo mật thông tin mà các tổ chức, doanh nghiệp này gặp phải. ISO / IEC TS 27008 có lợi cho các tổ chức, doanh nghiệp thuộc mọi loại hình và quy mô, có thể là công khai, riêng tư hoặc phi lợi nhuận và bổ sung cho hệ thống quản lý bảo mật thông tin được xác định trong ISO / IEC 27001.
Tiêu chuẩn được phát triển bởi ủy ban kỹ thuật ISO / IEC JTC 1, Bảo mật thông tin, Tiểu ban SC 27, Kỹ thuật bảo mật CNTT, ban thư ký do DIN, thành viên ISO của Đức điều hành.