2019年ISO/IEC 27000標準族的進展

謝宗曉 甄杰 董坤祥

摘要：介紹了ISO/IEC 27000標準族的最新開發(fā)進展，尤其是2019年改版和新增的標準。

關鍵詞：ISO/IEC 27000標準族 ISO/IEC 27001 ISO/IEC 27002

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2019.

Key words： ISO/IEC 27000 standards family， ISO/IEC 27001， ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

最新版本為ISO/IEC 27000：2018，第5版。目前在用的國家標準對應版本為2016年的第4版，即GB/T 29246—2017 / ISO/IEC 27000： 2016。在2019年無變化。

2 ISO/IEC 27001 信息安全管理體系 要求

最新版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015，該標準被等同采用為GB/T 22080—2016。在2019年無變化。

3 ISO/IEC 27002 信息安全控制實踐指南

最新版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015，目前有正在開發(fā)中的第3版，最新狀態(tài)為ISO/IEC WD 27002。ISO/IEC 27002： 2013被等同采用為國家標準GB/T 22081—2016。在2019年無變化。

值得注意是，ISO/IEC 27002：2005標題為Code of practice for information security management（信息安全管理? ? 實用規(guī)則），ISO/IEC 27002：2013標題為Code of practice for information security controls（信息安全控制實踐指南），兩者翻譯區(qū)別較大，但是英文標題區(qū)別不大。

4 ISO/IEC 27003 信息安全管理體系 指南

最新版本依然為2017年3月發(fā)布的第2版，在2019年無變化。該標準的在用國家標準版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 監(jiān)視、測量、分析和評價

最新版本為2016年12月發(fā)布的第2版，在2019年無變化。該標準的在用國家標準版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全風險管理

該標準最新版本為2018年7月發(fā)布的第3版，在2019年無變化。該標準的在用國家標準版本為：GB/T 31722—2015/ ISO/IEC 27005：2008，具體的分析請參考文獻[6]。

7? ? ISO/IEC 27006? ? 信息安全管理體系審核和認證機構要求

最新為2015版（第3版），在2019年無變化。目前在用的國家標準為GB/T 25067—2016/ISO/IEC 27006：2011。

8 ISO/IEC 27007 信息安全管理體系審核指南

該標準在2017年10月發(fā)布第2版，代替之前的2011版本。ISO/IEC 27007正在改版，目前最新狀態(tài)ISO/IEC FDIS 27007。國家標準為GB/T 28450—2012，但不是采標的版本。

9? ? ISO/IEC TS 27008? ? 信息安全控制評估指南

該標準2019年最新狀態(tài)為ISO/IEC TS 27008：2019，由技術報告（TR）改成了技術規(guī)范（TS），標題也從“審核”變成了“評估”。

以上標準在2019年版本都已經(jīng)接近穩(wěn)定，說明信息安全管理的基礎標準的開發(fā)已經(jīng)日漸成熟。

10 ISO/IEC 27009 特定行業(yè)應用ISO/IEC 27001? ? 要求

最新版本為2016版，目前正在改版狀態(tài)，最新版本為ISO/IEC DIS 27009。

11 ISO/IEC 27010 信息安全管理跨行業(yè)和跨組織的通信

最新版本為2015年發(fā)布的第2版，在2019年無變化。該標準對應的國家標準為GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規(guī)則

最新版本為2016版，2018年發(fā)布有ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系與服務管理整合

最新版本為2016年發(fā)布的第2版，目前正在改版，最新狀態(tài)為ISO/IEC AWI 27013。

14 ISO/IEC 27014 信息安全治理

最新版本為2013年發(fā)布的第1版，2019年最新狀態(tài)為ISO/IEC CD 27014。該標準對應的國家標準為GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27016 信息安全管理 組織經(jīng)濟學

最新版本為2014年發(fā)布的第1版，在2019年無變化。

16 ISO/IEC 27017 基于ISO/IEC 27002的云服務信息安全控制實用規(guī)則

最新版本為2015年發(fā)布的第1版，在2019年無變化。

17 ISO/IEC 27018 公有云中個人身份信息保護實用規(guī)則

最新版本為2019年1月發(fā)布的第2版，該標準是關于隱私保護的。

18 ISO/IEC 27019 能源公共事業(yè)行業(yè)的信息安全控制

最新版本為2017年10月發(fā)布的第1版，之前被發(fā)布為ISO/IEC TR 27019：2013。

19 ISO/IEC 27021 信息安全管理體系專業(yè)人員能力要求

最新版本為2017年10月發(fā)布的第1版。

20 ISO/IEC WD 27022 ISMS過程指南

該標準正在開發(fā)中，目前狀態(tài)為WD（工作組草案），由于為開發(fā)中標準，因此在標題中強調(diào)了其WD狀態(tài)，并標識斜體，防止混淆，下文遵循此規(guī)則。

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

最新版本是發(fā)布于2015年7月的第1版。

22 ISO/IEC WD 27030 物聯(lián)網(wǎng)安全與隱私指南

該標準正在開發(fā)中，為隱私類標準。

23 ISO/IEC 27031 ICT業(yè)務連續(xù)性指南

ISO/IEC 27031最新版本是發(fā)布于2011年的第1版，在2019年開始改版，目前狀態(tài)為ISO/IEC WD 27031。

24 ISO/IEC 27032 網(wǎng)絡空間安全

ISO/IEC 27032最新版本發(fā)布于2012年的第1版，在2018年經(jīng)過評審后，版本依然有效。2019年開始改版，目前狀態(tài)為ISO/IEC WD 27032，但標題改成了Guidelines for Internet Security（因特網(wǎng)安全指南）。

25 ISO/IEC 27033 網(wǎng)絡安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028，在2019年，其中的6個部分，均沒有大的變化，說明該標準開發(fā)也比較成熟了。

26 ISO/IEC 27034 應用安全

ISO/IEC 27034有7部分，其中：

· ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均無變化;

· ISO/IEC CD 27034-4，狀態(tài)自2018年就是CD（委員會草案）;

· ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均無變化;

· 在2018年4月，發(fā)布有ISO/IEC TS 27034-5-1：2018。

ISO/IEC TS 27034-5-1：2018計劃可能是5部分，但是在2019年并無新進展，其標題為XML schemas。

在2019年，ISO/IEC 27034也基本沒有變化，說明其開發(fā)也日漸成熟了。

27 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都為2016年版本，目前也都正在改版，狀態(tài)為ISO/IEC WD 27035-1和ISO/IEC WD 27035-2。

在2017年增加了ISO/IEC 27035-3，目前最新狀態(tài)為ISO/IEC CD 27035-3。

28 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036一共有4部分，在2019年均無變化。

29 ISO/IEC 27037 數(shù)字證據(jù)識別、收集、獲取與保護指南

ISO/IEC 27037版本為2012版，在2019年無變化。

30 ISO/IEC 27038 數(shù)字編校指南

ISO/IEC 27038最新版本為2014版，在2019年無變化。

31 ISO/IEC 27039 入侵檢測系統(tǒng)的選擇、部署和操作

最新版本為2015版，在2019年沒有變化。

32 ISO/IEC 27040 存儲安全

最新版本為2015版，在2019年沒有變化。

33 ISO/IEC 27041 事件調(diào)查方法的適宜性與充分性保證指南

最新版本為2015版，在2019年沒有變化。

34 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋指南

最新版本為2015版，在2019年沒有變化。

35 ISO/IEC 27043 事件調(diào)查原則與過程

最新版本為2015版，在2019年沒有變化。

36 ISO/IEC WD 27045 大數(shù)據(jù)安全與隱私 過程

該標準在開發(fā)過程中。

37 ISO/IEC 27050 電子數(shù)據(jù)取證

ISO/IEC 27050分為4個部分，其中：

· ISO/IEC 27050-1和ISO/IEC 27050-2無變化;

· ISO/IEC 27050-3開始改版，最新狀態(tài)為ISO/IEC FDIS 27050-3;

· ISO/IEC 27050-4依然在開發(fā)中，最新狀態(tài)為ISO/IEC CD 27050-4。

38 ISO/IEC WD 27070 建立虛擬信任根的安全要求

該標準尚在開發(fā)中。

39 ISO/IEC AWI 27071 設備和服務之間建立可信連接的安全建議

該標準尚在開發(fā)中。

40 ISO/IEC CD 27099 公鑰基礎設施 實踐與策略框架

該標準尚在開發(fā)中。

41 ISO/IEC WD TS 27100 網(wǎng)絡安全 概述與概念

該標準尚在開發(fā)中。

42 ISO/IEC WD TS 27101 框架開發(fā)指南

該標準尚在開發(fā)中。

43 ISO/IEC 27102 信息安全管理 網(wǎng)絡保險指南

該標準發(fā)布于2019年8月，第1版。

44 ISO/IEC TR 27103 網(wǎng)絡安全與ISO及IEC標準

該標準在2018年2月發(fā)布第1版，目前仍為最新。

45 ISO/IEC 27550 系統(tǒng)生命周期過程的隱私工程

該標準發(fā)布于2019年9月，第1版，為隱私類標準。

46 ISO/IEC CD 27551 基于屬性的非連接實體授權要求

該標準尚在開發(fā)中。

47 ISO/IEC WD 27553 移動設備使用生物識別技術授權的安全要求

該標準尚在開發(fā)中。

48 ISO/IEC AWI 27554 應用ISO 31000評估身份管理相關風險

該標準尚在開發(fā)中。

49 ISO/IEC WD 27555 在組織中建立PII刪除的概念

該標準尚在開發(fā)中。

50 ISO/IEC AWI 27556 用于處理基于隱私偏好的PII用戶中心框架

該標準尚在開發(fā)中。

51 ISO/IEC PDTS 27570 智慧城市隱私指南

該標準尚在開發(fā)中。

PII為個人可識別信息（Personal Identifiable Information）。

以ISO/IEC 29100為代表的隱私保護相關標準，在本文中不再詳細介紹，請參考專欄中的其他文章。

52 ISO/IEC 27701：2019 ISO/IEC 27001與ISO/IEC 27002 在隱私信息管理的擴展 要求與指南

該標準發(fā)布于2019年8月，在隱私保護領域非常重要。

53 ISO 27799 應用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發(fā)布的第2版，在2019年無變化。

綜上所述，2019年廣義的ISO/IEC 27000標準族，有效的標準及其版本2）如表1所示。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 謝宗曉，董坤祥. 截至2016年底ISO/IEC 27000標準族的進展（上）[J].中國質(zhì)量與標準導報， 2017（1）：36-40.

[2] 謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標準族的進展（下）[J].中國質(zhì)量與標準導報， 2017（2）：34-38，41.

[3] 謝宗曉.2017年ISO/IEC 27000標準族的進展[J].中國質(zhì)量與標準導報， 2018（1）：42-46.

[4] 崔達菲，謝宗曉. 2018年ISO/IEC 27000標準族的進展[J].中國質(zhì)量與標準導報， 2019（1）：20-25.

[5] 謝宗曉，董坤祥，甄杰.信息安全、網(wǎng)絡安全與隱私保護[J].中國質(zhì)量與標準導報， 2019（7）：26-28.

[6] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國質(zhì)量與標準導報， 2018（9）：16-18.