【英语版】国际标准 ISO/IEC TR 27008:2011 EN 信息技术 安全技术 信息安全控制审计员指南 Information technology — Security techniques — Guidelines for auditors on information security controls.pdf

ISO/IECTR27008:2011是国际标准化组织/国际电工委员会发布的技术报告（TechnicalReport）。它被设计用于为信息安全审计员提供信息安全控制方面的指导原则。以下是关于此标准详细内容的解释：

1.ISO和IEC这两个国际标准化组织的组成部分，主要致力于推进技术标准的发展和实施。TR是TechnicalReport的缩写，代表着这个技术报告是对特定主题的非强制性指南或建议。

2.27008标准的内容主要关注信息安全控制。这些控制措施是组织为保护其信息资产的安全而实施的各种措施。

3.此标准旨在为信息安全审计员提供一套原则和最佳实践，帮助他们评估和确定组织的信息安全控制是否符合标准，并为其提供有效的审计工具和方法。

4.这些原则包括但不限于对物理和环境安全、人员管理、访问控制、安全政策和培训、通信和操作、安全技术和实施、备份和恢复策略等方面的考虑。

5.标准还强调了信息安全控制的重要性，并提供了评估这些控制的有效性的方法。这包括识别控制的有效性，确定需要改进的领域，以及制定和实施改进计划。

6.此标准并不强制执行，而是为审计员提供了一种评估和报告信息安全控制的方法，帮助他们提供客观、可靠和有效的建议。

总结来说，ISO/IECTR27008:2011是一个为信息安全审计员提供信息安全控制方面指导原则的技术报告，旨在帮助他们评估和报告组织的控制措施的有效性。