ISO/IEC 27001與ISO/IEC 27002標準的演變

謝宗曉（南開大學 商學院） 王靜漪（天津移動通信公司）

ISO/IEC 27001與ISO/IEC 27002標準的演變

謝宗曉（南開大學 商學院） 王靜漪（天津移動通信公司）

本文按照時間順序梳理了ISO/IEC 27001和ISO/IEC 27002的發展過程，其中包括這兩個標準成為國際標準的開發過程以及被等同采用為我國國家標準的過程。

ISO/IEC 27001 ISO/IEC 27002 信息安全

專欄

信息安全管理系列之六

ISO/IEC 27000 族標準成為信息安全業界最重要的標準之一，在全世界范圍內得到了廣泛應用，其中諸多標準也已經被等同或修改采用為我國國家標準。了解ISO/IEC 27000族標準的開發與推廣過程有助于組織更高效地部署信息安全管理體系。本文重點介紹了ISO/IEC 27000族標準中最重要的兩個標準ISO/IEC 27001 和ISO/IEC 27002 的版本演變過程。

謝宗曉（特約編輯）

ISO/IEC 27000族標準目前已經發展成為一個很龐大的體系，包括從ISO/IEC 27000開始至ISO/IEC 27059的60個標準，或者說，ISO/IEC JCT1 SC271）ISO（International Organization for Standardization，國際標準化組織）是全世界最大的推薦性國際標準開發組織（world’s largest developer of voluntary international standards）；IEC（International Electrotechnical Commission，國際電工委員會）是制定和發布國際電工電子標準的非政府國際組織。ISO/IEC JCT1成立于1987年，是ISO與IEC的聯合技術委員會，即信息技術（information technology）標準委員會，SC27是其中一個分技術委員會（subcommittee），信息技術安全技術標準委員會（IT Security Techniques）。）發布的絕大部分關于信息安全的標準都被統一編號了。ISO/IEC 27000族標準經歷了一個漫長的演變過程，其中最具代表性的就是ISO/IEC 27001和ISO/IEC 27002。有些標準，例如，ISO/IEC 27006和ISO/IEC 27007等以此為標準新制定;還有一部分標準，例如，ISO/IEC 27005等則是由本已現存的標準據此修訂并重新編號而來。本文按照時間順序梳理了ISO/IEC 27001 和ISO/IEC 27002 的發展過程，其中包括這兩個標準成為國際標準的開發過程以及等同采用為我國國家標準的過程。

1 需要說明的兩個問題

ISO/IEC 27001：2005在引言中指出：本標準為OECD 指南中規定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強健的模型2）注意，這段話在2013版本中刪除了。）。第一個問題，為什么這么多信息安全文獻，單單強調了OECD3）經濟合作與發展組織（Organization for Economic Cooperation and Development，OECD）。）指南，還在標準的附錄中專門給出了兩者之間的映射？

在1990 年， OECD 就公布了《信息系統安全指南》4）2002 年改版為《信息系統與網絡安全指南》（Guidelines for the security of information systems and networks）。），標準的前身BS 7799于1993年公布，在當時強調OECD指南可能是為了獲取“合法性”。OECD的《信息系統安全指南》提出了9條原則，這些原則基本是期望性質的，不具備可操作性。因此，該標準對其中的某些原則即“風險評估、安全設計和實施、安全管理和再評估的原則”提供了“（其中）一個”“強健的”模型。對于其他原則，例如民主（Democracy, The security of information systems and networks should be compatible with essential values of a democratic society），顯然不是標準討論的重點。

第二個問題，注意ISO/IEC 27001和ISO/IEC 27002的關系。

在業界討論信息安全管理體系（Information System Management System，ISMS），涉及最多的是ISO/IEC 27001，而且ISO/IEC 27001的規范性附錄A，從A.5 編號，與ISO/IEC 27002的正文第5 章開始一一對應。但是，這兩個標準的產生順序卻是先有ISO/IEC 27002，后有ISO/IEC 27001。實際上從邏輯上講，后公布的標準會覆蓋或兼容先公布的標準，而不是相反的順序。

其中，ISO/IEC 27001的前身是BS 7799-2，ISO/ IEC 27002 的前身是BS 7799-1。從本文的表1也可以看出，ISO/IEC 27002起源于一個技術報告，在推廣過程中才加入的認證框架BS 7799-2。加入第三方認證是這個標準能夠被成功接受的因素之一。

2 成為國際標準前的主要開發過程

Backhouse等描述了1989年開始的英國工業與貿易部（Department of Trade and Industry，DTI）信息安全意識提高項目，DTI 下屬的商業計算機安全中 心（Commercial Computer Security Centre，CCSC）產生ISO/IEC 27002（當時還是BS 7799）的過程，如表1 所示。

表1 成為國際標準前的主要過程

續表

3 成為國際標準后的版本演化及國標化

2005年，在BS 7799-2 成為國際標準之后，ISO/IEC JCT1 對標準進行了重新編號，并且2013年對ISO/IEC 27001 和ISO/IEC 27002 進行了一次大規模的改版。具體過程如表2 所示。

表2 成為國際標準后的主要過程

4 結語

目前在用的等同采用ISO/IEC 27001和ISO/IEC 27002的國家標準版本為：

· GB/T 22080—2008/ISO/IEC 27001：2005《信息技術 安全技術 信息安全管理體系 要求》（Information technology—Security techniques—Information security management systems—Requirements）；

· GB/T 22081—2008/ISO/IEC 27002：2005《信息技術 安全技術 信息安全管理 實用規則》（Information technology—Security techniques—Code of practice for information security management）。

2015 年2 月24 日，根據2013 版的國家標準升級版本已經發布了征求意見稿，征求意見在2015年3 月30 日前結束。其中，ISO/IEC 27002：2013的標題修改為：《信息技術 安全技術 信息安全控制 實用規則》 （Information technology—Security techniques—Code of practice for information security controls）。

綜上所述，ISO/IEC 27001和ISO/IEC 27002標準的主要版本演變與事件如圖1 所示。

圖1 ISO/IEC 27001與ISO/IEC 27002主要版本演變與事件

[1] James Backhouse, Carol W. Hsu, Leiser Silva: Circuits of Power in Creating de jure Standards: Shaping an International Information Systems Security Standard. MIS Quarterly 2006（30）: 143-438.

[2] 謝宗曉. 信息安全管理體系實施指南[M]. 北京: 中國質檢出版社，中國標準出版社，2012.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理 理論與實踐[M]. 北京: 中國質檢出版社，中國標準出版社，2015.

Introduction of ISO/IEC 27001 and ISO/IEC 27002

Xie Zongxiao ( Business School, Nankai University ) Wang Jingyi ( China Mobile Tianjin)

We reorganized history of ISO/IEC 27001 and ISO/IEC 27002 in chronological order, includingdevelopment process before becoming international standard and the process of adoption as Chinese standards.

ISO/IEC 27001, ISO/IEC 27002, information security