信息安全管理系列之四十八：2018年ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展

崔達(dá)菲 謝宗曉

摘要：論文介紹了ISO/IEC 27000標(biāo)準(zhǔn)族的最新開發(fā)進(jìn)展，尤其是2018年改版和新增的標(biāo)準(zhǔn)。

關(guān)鍵詞：ISO/IEC 27000標(biāo)準(zhǔn)族 ISO/IEC 27001 ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

2018年進(jìn)行了改版，目前最新版本為第5版。目前在用的國家標(biāo)準(zhǔn)對應(yīng)版本為2016年的第4版，即GB/T 29246—2017/ISO/IEC 27000：2016。國家標(biāo)準(zhǔn)開發(fā)進(jìn)展請參考文獻(xiàn)[4]。

2 ISO/IEC 27001 信息安全管理體系 要求

3 ISO/IEC 27002 信息安全控制實(shí)踐指南2）

ISO/IEC 27001與ISO/IEC 27002目前為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015，目前有正在開發(fā)中的第3版，最新狀態(tài)為ISO/IEC NP 27002。ISO/IEC 27001：2013與ISO/IEC 27002：2013都已經(jīng)被等同采用為國家標(biāo)準(zhǔn)，分別為GB/T 22080—2016和GB/T 22081—2016。

4 ISO/IEC 27003 信息安全管理體系 指南

目前最新版本依然為2017年3月發(fā)布的第2版，在2018年無變化。該標(biāo)準(zhǔn)的在用國家標(biāo)準(zhǔn)版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 監(jiān)視、測量、分析和評價

目前最新版本為2016年12月發(fā)布的第2版，在2018年無變化。該標(biāo)準(zhǔn)的在用國家標(biāo)準(zhǔn)版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全風(fēng)險管理

該標(biāo)準(zhǔn)在2018年7月發(fā)布了第3版，具體的分析請參考文獻(xiàn)[5]。

7 ISO/IEC 27006 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

最新為2015年版，第3版，在2018年無變化。目前在用的國家標(biāo)準(zhǔn)為GB/T 25067—2016/ISO/IEC 27006：2011。

8 ISO/IEC 27007信息安全管理體系審核指南

該標(biāo)準(zhǔn)在2017年10月發(fā)布第2版，代替之前的2011版本。國家標(biāo)準(zhǔn)為GB/T 28450—2012。

9 ISO/IEC TR 27008 信息安全控制審核指南

這個標(biāo)準(zhǔn)的最新版本為2011年版，2018年最新狀態(tài)更新為ISO/IEC PRF TS 27008。

10 ISO/IEC 27009 特定行業(yè)應(yīng)用ISO/IEC 27001 要求

最新版本為2016年版，目前最新狀態(tài)為ISO/IEC CD 27009。

11 ISO/IEC 27010 信息安全管理跨行業(yè)和跨組織的通信

目前最新版本為2015年發(fā)布的第2版，在2018年無變化。該標(biāo)準(zhǔn)對應(yīng)的國家標(biāo)準(zhǔn)為GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實(shí)用規(guī)則

目前最新版本為2016年版，2018年發(fā)布了ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系與服務(wù)管理整合

目前最新版本為2016年發(fā)布的第2版，在2018年無變化。

14 ISO/IEC 27014 信息安全治理

目前最新版本為2013年發(fā)布的第1版，2018年最新狀態(tài)為ISO/IEC NP 27014。該標(biāo)準(zhǔn)對應(yīng)的國家標(biāo)準(zhǔn)為GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27015 金融服務(wù)信息安全管理指南

ISO/IEC TR 27015在2017年被廢止，并取消了改版計劃。

16 ISO/IEC TR 27016 信息安全管理 組織經(jīng)濟(jì)學(xué)

目前最新版本為2014年發(fā)布的第1版，在2018年無變化。

17 ISO/IEC 27017 基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)用規(guī)則

目前最新版本為2015年發(fā)布的第1版，在2018年無變化。

18 ISO/IEC 27018 公有云中作為個人身份信息處理者保護(hù)個人身份信息的實(shí)用規(guī)則

目前最新版本為2014年發(fā)布的第1版，在2018年最新狀態(tài)為ISO/IEC FDIS 27018。

19 ISO/IEC 27019 能源公共事業(yè)行業(yè)的信息安全控制

該標(biāo)準(zhǔn)在2017年10月發(fā)布為ISO/IEC 27019：2017，之前的版本為ISO/IEC TR 27019：2013。

20 ISO/IEC 27021 信息安全管理體系專業(yè)人員能力要求

該標(biāo)準(zhǔn)最新版本為2017年10月發(fā)布的第1版。

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

該標(biāo)準(zhǔn)的最新版本是發(fā)布于2015年7月的第1版。

22 ISO/IEC AWI 27030 物聯(lián)網(wǎng)安全與隱私指南

該標(biāo)準(zhǔn)為新增標(biāo)準(zhǔn)，標(biāo)題為Guidelines for security and privacy in Internet of Things （IoT）（物聯(lián)網(wǎng)安全與隱私指南）。

23 ISO/IEC 27031 ICT業(yè)務(wù)連續(xù)性指南

ISO/IEC 27031最新版為本發(fā)布于2011年的第1版，在2018年無變化。

24 ISO/IEC 27032 網(wǎng)絡(luò)空間安全

ISO/IEC 27032最新版本為發(fā)布于2012年的第1版，在2018年經(jīng)過評審后，版本依然有效。

25 ISO/IEC 27033 網(wǎng)絡(luò)安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028，在2018年，其中的6個部分，均沒有大的變化。

26 ISO/IEC 27034 應(yīng)用安全

ISO/IEC 27034有7部分，其中：

·ISO/IEC 27034-1和ISO/IEC 27034-2無變化;

·新發(fā)布ISO/IEC 27034-3：2018 應(yīng)用安全管理過程;

·即將發(fā)布ISO/IEC CD 27034-4;

·ISO/IEC 27034-5：2017 在2018年沒有變化;

·? ISO/IEC 27034-6最新版本為2016年的第1版，目前無變化;

·新發(fā)布ISO/IEC 27034-7：2018 保證預(yù)測框架。

27 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都為2016年版本，在2017年增加了ISO/IEC 27035-3，目前最新狀態(tài)為ISO/IEC NP 27035-3。

28 ISO/IEC 27036 供應(yīng)商關(guān)系中的信息安全

ISO/IEC 27036一共有4部分，在2018年均無變化。

29 ISO/IEC 27037 數(shù)字證據(jù)識別、收集、獲取與保護(hù)指南

ISO/IEC 27037版本為2012年版，在2018年版本經(jīng)過評審后依然有效。

30 ISO/IEC 27038 數(shù)字編校指南

ISO/IEC 27038最新版本為2014年版，在2018年無變化。

31 ISO/IEC 27039 入侵檢測系統(tǒng)的選擇、部署和操作

ISO/IEC 27039最新版本為2015年版，在2018年無變化。

32 ISO/IEC 27040 存儲安全

ISO/IEC 27040最新版本為2015年版，在2018年無變化。

33 ISO/IEC 27041 事件調(diào)查方法的適宜性與充分性保證指南

ISO/IEC 27041最新版本為2015年版，在2018年無變化。

34 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋指南

ISO/IEC 27042最新版本為2015年版，在2018年無變化。

35 ISO/IEC 27043 事件調(diào)查原則與過程

ISO/IEC 27043最新版本為2015年版，在2018年無變化。

36 ISO/IEC 27050 電子舉證

ISO/IEC 27050分為4部分，其中：

·ISO/IEC 27050-1最新版本為2016年版;

· 新發(fā)布了ISO/IEC 27050-2：2018 電子舉證治理與管理指南;

· ISO/IEC 27050-3：2017為最新版本;

· ISO/IEC 27050-4依然在開發(fā)中，最新狀態(tài)為ISO/IEC NP 27050-4。

37 ISO/IEC 27070 建立虛擬信任根的安全要求

該標(biāo)準(zhǔn)在開發(fā)中，最新狀態(tài)為ISO/IEC NP 27070。

38 ISO/IEC 27101 框架開發(fā)指南

該標(biāo)準(zhǔn)尚在開發(fā)中，最新狀態(tài)為ISO/IEC AWI TS 27101。

39 ISO/IEC 27102 網(wǎng)絡(luò)保險信息安全管理指南

該標(biāo)準(zhǔn)的最新狀態(tài)為ISO/IEC DIS 27102。

40 ISO/IEC TR 27103 網(wǎng)絡(luò)安全與ISO及IEC標(biāo)準(zhǔn)

該標(biāo)準(zhǔn)在2018年2月發(fā)布第1版。

41 ISO/IEC 27550 隱私工程

該標(biāo)準(zhǔn)尚在開發(fā)中，最新狀態(tài)為ISO/IEC PDTR 27550 Privacy engineering（隱私工程）。

42 ISO/IEC 27551 基于屬性的非連接實(shí)體授權(quán)要求

該標(biāo)準(zhǔn)尚在開發(fā)中，最新狀態(tài)為ISO/IEC AWI 27551 Requirements for attribute-based unlinkable entity authentication（基于屬性的非連接實(shí)體授權(quán)要求）。

43 ISO/IEC 27552 隱私信息管理的擴(kuò)展要求與指南

該標(biāo)準(zhǔn)尚在開發(fā)中，最新狀態(tài)為ISO/IEC DIS 27552 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines（基于ISO/IEC 27001和ISO/IEC 27002擴(kuò)展的隱私信息管理 要求與指南）。

44 ISO/IEC 27570 智慧城市隱私指南

該標(biāo)準(zhǔn)尚在開發(fā)中，最新狀態(tài)為ISO/IEC WD TS 27570 Information Technology — Security Techniques —Privacy guidelines for Smart Cities（智慧城市隱私指南）。

45 ISO 27799 應(yīng)用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發(fā)布的第2版，在2018年無變化。

46 ISO/TR 13569 金融服務(wù)信息安全指南

ISO/TR 13569最新版本為2005年發(fā)布的第3版，在2013年經(jīng)過評審后依然有效。該標(biāo)準(zhǔn)和ISO 27799類似，也沿用了ISO/IEC 27002的大致框架。

綜上所述，2018年ISO/IEC 27000標(biāo)準(zhǔn)族中，在用標(biāo)準(zhǔn)及其版本3）如下表所示。

參考文獻(xiàn)

[1]? 謝宗曉， 甄杰. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展（下）[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（2）： 34-38，41.

[2]? 謝宗曉， 董坤祥. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展（上）[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（1）： 36-40.

[3]? 謝宗曉.2017年ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2018（1）：42-46.

[4]? 陳磊，謝宗曉.信息安全管理體系（ISMS）相關(guān)標(biāo)準(zhǔn)介紹[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2018（10）：16-18

[5]? 謝宗曉，許定航. ISO/IEC 27005：2018解讀及其三次版本演化[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報， 2018（9）：16-18.