2017年ISO/IEC 27000標準族的進展1）

謝宗曉（中國金融認證中心）

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

2017年無改版，目前最新版本為2016年的第4版。

2 ISO/IEC 27001 信息安全管理體系 要求

3 ISO/IEC 27002 信息安全控制實踐指南2）

ISO/IEC 27001與ISO/IEC 27002是ISO/IEC 27000標準族中最基礎的2個標準，在2013年改版之后，估計在很長時間內都會保持穩定。

4 ISO/IEC 27003 信息安全管理體系 指南

2017年3月公布了第2版，目前最新版本為：

ISO/IEC 27003：2017 Information technology—Security techniques—Information security management systems—Guidance（《信息技術 安全技術 信息安全管理體系 指南》）

新版本標題有變化，范圍較2010年版的實施指南擴大了，新版的描述與ISO/IEC 27001的章節基本保持了一致。事實上，這樣的方式相當于對ISO/IEC 27001進行了補充和解釋，在實踐中更有指導性。

5 ISO/IEC 27004 信息安全管理 監視、測量、分析和評價

目前最新版本為2016年12月發布的第2版3）：

ISO/IEC 27004：2016 Information technology—Security techniques—Information security management—Monitoring, measurement, analysis and evaluation（《信息技術 安全技術 信息安全管理 監視、測量、分析和評價》）

新版本標題有變化，從原來的“測量”修改為“監視、測量、分析和評價”，這種新的描述方式出現在ISO/IEC 27001：2013中，與ISO/IEC 27003類似，新版有了較大的提升。

6 ISO/IEC 27005 信息安全風險管理

現在的版本是第2版，發布于2011年，2017年無變化。

7 ISO/IEC 27006 信息安全管理體系審核和認證機構要求

最新為2015版（第3版），在2017年無變化。

8 ISO/IEC 27007 信息安全管理體系審核指南

這個標準的最新版本為2011年版，在2017年無變化。

9 ISO/IEC TR 27008 信息安全控制審核指南

這個標準的最新版本為2011年版，在2017年無變化。

10 ISO/IEC 27009 特定行業應用ISO/IEC 27001要求

目前最新版本為2016版，在2017年無變化。

11 ISO/IEC 27010 信息安全管理跨行業和跨組織的通信

目前最新版本為2015年發布的第2版，在2017年無變化。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規則

目前最新版本為2016版，在2017年無變化。

13 ISO/IEC 27013 信息安全管理體系與服務管理整合

目前最新版本為2015版，在2017年無變化。

14 ISO/IEC 27014 信息安全治理

目前最新版本為2013版，在2017年無變化。

15 ISO/IEC TR 27015 金融服務信息安全管理指南

ISO/IEC TR 27015在2017年被廢止，并取消了改版計劃。

16 ISO/IEC TR 27016 信息安全管理 組織經濟學

目前最新版本為2014版，在2017年無變化。

17 ISO/IEC 27017 基于ISO/IEC 27002的云服務信息安全控制實用規則

目前最新版本為2015版，在2017年無變化。

18 ISO/IEC 27018 公有云中作為個人身份信息處理者保護個人身份信息的實用規則

目前最新版本為2014版，在2017年無變化。

19 SO/IEC TR 27019 基于ISO/IEC 27002用于能源公共事業行業過程控制的信息安全管理指南

目前最新版本為2013版，在2017年無變化。

20 ISO/IEC 27021 信息安全管理體系專業人員能力要求

該標準在2017年10月公布，為新增標準，具體信息為：

ISO/IEC 27021：2017 Information technology—Security techniques—Competence requirements for information security management systems professionals（《信息技術 安全技術 信息安全管理體系專業人員能力要求》）

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

3）由于2017年我們更新信息的時間為2016年12月9日，因此漏過了該版本。編輯老師對此進行了提醒，但是為了保持與其他標準的時間一致性，在最終刊出時未作修改。在此，對讀者表示歉意，對編輯老師表示感謝。

該標準發布于2015年7月，在之前的介紹中遺漏掉了，具體信息為：

ISO/IEC TR 27023：2015 Information technology—Security techniques—Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002（《信息技術 安全技術 ISO/IEC 27001與ISO/IEC 27002版本映射》）

22 ISO/IEC 27031 ICT業務連續性指南

ISO/IEC 27031最新版本發布于2011年，在2017年無變化。

23 ISO/IEC 27032 網絡空間安全

ISO/IEC 27032最新版本發布于2012年，在2017年無變化。

24 ISO/IEC 27033 網絡安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028，在2017年，其中的6個部分，均沒有改變。

25 ISO/IEC 27034 應用安全

ISO/IEC 27034有7部分，其中：

·ISO/IEC 27034-1和ISO/IEC 27034-2無變化；

·ISO/IEC 27034-3依然在開發中；

·ISO/IEC 27034-4，可能會被取消，目前在官方網站已經不再更新；

·2017年10月發布了ISO/IEC 27034-5：2017 Information technology—Security techniques—Application security—Part 5：Protocols and application security controls data structure（《信息技術 安全技術 應用安全 第5部分：安全控制數據結構協議與應用》），這個標準還會繼續細分，例如ISO/IEC PDTS 27034-5-1；

·ISO/IEC 27034-6最新版本為2016年，目前無變化；

·ISO/IEC 27034-7依然在開發中，目前狀態為FDIS。

26 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前兩部分，最新版本都為2016年版本，但在2017年又增加了ISO/IEC 27035-3：Information technology—Security techniques—Information security incident management—Part 3：guidelines for incident response operations（《信息技術安全技術 信息安全事件管理 第3部分：事件響應操作指南》），目前為草案階段。

27 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036一共有4部分，在2017年均無變化。

28 ISO/IEC 27037 數字證據識別、收集、獲取與保護指南

ISO/IEC 27037版本依然為2012版，在2017年無變化。

29 ISO/IEC 27038 數字編校規范

ISO/IEC 27038最新版本為2014版，在2017年無變化。

30 ISO/IEC 27039 入侵檢測系統的選擇、部署和操作

ISO/IEC 27039最新版本為2015版，在2017年無變化。

31 ISO/IEC 27040 存儲安全

ISO/IEC 27040最新版本為2015版，在2017年無變化。

32 ISO/IEC 27041 事件調查方法的適宜性與充分性保證指南

ISO/IEC 27041最新版本為2015版，在2017年無變化。

33 ISO/IEC 27042 數字證據分析與解釋指南

ISO/IEC 27042最新版本為2015版，在2017年無變化。

34 ISO/IEC 27043 事件調查原則與過程

ISO/IEC 27043最新版本為2015版，在2017年無變化。

35 ISO/IEC 27050 電子舉證

ISO/IEC 27050分為4部分，其中：

·ISO/IEC 27050-1最新版本為2016版；

·ISO/IEC 27050-2依然在開發中；

·2017年10月發布了ISO/IEC 27050-3：2017 Information technology—Security techniques—Electronic discovery—Part 3：Code of practice for electronic discovery（《信息技術 安全技術 電子舉證 第3部分：電子舉證實用規則》）；

·ISO/IEC 27050-4可能會被取消掉。

36 ISO/IEC 27102 網絡保險信息安全管理指南

ISO/IEC AWI 27102是2017年新批準的項目，目前尚在開發中，標題為：Information technology—Security techniques—Information security management guidelines for cyber insurance（《信息技術 安全技術 網絡保險信息安全管理指南》）。

37 ISO/IEC 27103 網絡安全與ISO及IEC標準

ISO/IEC PDTR 27103是2017年新批準的項目，目前尚在開發中，標題為：Information technology—Security techniques—Cybersecurity and ISO and IEC Standards（《信息安全 安全技術 網絡安全與ISO及IEC標準》）。

38 ISO 27799 應用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發布的第2版，在2017年無變化。

綜上所述，2017年ISO/IEC 27000標準族的主要狀態如下表所示。

4）、5）格式為：版本號/發布時間。

續表

[1]謝宗曉，董坤祥. 截至2016年底ISO/IEC 27000標準族的進展(上)[J]. 中國標準導報，2017（01）：36-40.

[2]謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標準族的進展(下)[J]. 中國標準導報，2017（02）：34-38，41.