信息安全管理系列之六十七　2020年ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展1）

謝宗曉　董坤祥　甄杰　

摘要：介紹了ISO/IEC 27000標(biāo)準(zhǔn)族的最新開(kāi)發(fā)進(jìn)展，尤其是2020年改版和新增的標(biāo)準(zhǔn)。

關(guān)鍵詞：ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Development of ISO/IEC 27000 Standards Family in 2020

Xie Zongxiao （China Financial Certification Authority）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Management Science and Engineering， Chongqing Technology and Business University）

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2020.

Key words：? ISO/IEC 27000， ISO/IEC 27001， ISO/IEC 27002

1 已經(jīng)發(fā)布的標(biāo)準(zhǔn)

1.1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

最新版本為ISO/IEC 27000：2018，第5版。目前在用的國(guó)家標(biāo)準(zhǔn)對(duì)應(yīng)版本為2016年的第4版，即GB/T 29246—2017 / ISO/IEC 27000： 2016。在2020年該標(biāo)準(zhǔn)都無(wú)變化。

1.2 ISO/IEC 27001 信息安全管理體系 要求

最新版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015，該標(biāo)準(zhǔn)被等同采用為GB/T 22080—2016。在2019年經(jīng)過(guò)確認(rèn)后，標(biāo)準(zhǔn)保持有效。

1.3 ISO/IEC 27002 信息安全控制實(shí)踐指南

最新版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015。ISO/IEC 27002： 2013等同采用為國(guó)家標(biāo)準(zhǔn)GB/T 22081—2016。在2020年該標(biāo)準(zhǔn)都無(wú)變化。

1.4 ISO/IEC 27003 信息安全管理體系 指南

最新版本依然為2017年3月發(fā)布的第2版，在2020年該標(biāo)準(zhǔn)都無(wú)變化。該標(biāo)準(zhǔn)的在用國(guó)家標(biāo)準(zhǔn)版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

1.5 ISO/IEC 27004 信息安全管理 監(jiān)視、測(cè)量、分析和評(píng)價(jià)

最新版本為2016年12月發(fā)布的第2版，在2020年該標(biāo)準(zhǔn)都無(wú)變化。該標(biāo)準(zhǔn)的在用國(guó)家標(biāo)準(zhǔn)版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

1.6 ISO/IEC 27005 信息安全風(fēng)險(xiǎn)管理

該標(biāo)準(zhǔn)最新版本為2018年7月發(fā)布的第3版，該標(biāo)準(zhǔn)的在用國(guó)家標(biāo)準(zhǔn)版本為GB/T 31722—2015/ ISO/IEC 27005：2008。在2020年該標(biāo)準(zhǔn)都無(wú)變化。

1.7 ISO/IEC 27006 信息安全管理體系 審核和認(rèn)證機(jī)構(gòu)要求

最新為2015版，第3版，在本年度發(fā)布了ISO/IEC 27006：2015/Amd 1：2020。目前在用的國(guó)家標(biāo)準(zhǔn)為GB/T 25067—2020/ISO/IEC 27006：2015，之前版本為GB/T 25067—2016/ISO/IEC 27006： 2011。

1.8 ISO/IEC 27007 信息安全管理體系 審核指南

最新版本為2020年1月發(fā)布的第3版。目前現(xiàn)行國(guó)家標(biāo)準(zhǔn)為GB/T 28450—2012，但不是采標(biāo)的版本。2021年7月1日即將實(shí)施的GB/T 28450—2020，等同采用ISO/IEC 27007： 2017。

1.9 ISO/IEC TS 27008 信息安全控制 評(píng)估指南

該標(biāo)準(zhǔn)在2020年無(wú)變化。

1.10 SO/IEC 27009 特定行業(yè)應(yīng)用ISO/IEC 27001 要求

最新版本為2020年4月發(fā)布的第2版，之前版本為2016版。

1.11 ISO/IEC 27010 信息安全管理跨行業(yè)和跨組織的通信

最新版本為2015年發(fā)布的第2版，在2020年無(wú)變化。該標(biāo)準(zhǔn)對(duì)應(yīng)的國(guó)家標(biāo)準(zhǔn)為GB/T 32920—2016 / ISO/IEC 27010：2012。

1.12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實(shí)用規(guī)則

最新版本為2016版，第2版，之前有2008版。此外，2018年發(fā)布有ISO/IEC 27011：2016 / Cor 1：2018。

1.13 ISO/IEC 27013 信息安全管理體系與服務(wù)管理整合

最新版本為2016年發(fā)布的第2版，目前正在改版，最新?tīng)顟B(tài)為ISO/IEC DIS 27013。

1.14 ISO/IEC 27014 信息安全治理

最新版本為2013年發(fā)布的第1版，2020年最新?tīng)顟B(tài)為ISO/IEC FDIS 27014。該標(biāo)準(zhǔn)對(duì)應(yīng)的國(guó)家標(biāo)準(zhǔn)為GB/T 32923—2016 / ISO/IEC 27014：2013。

1.15 ISO/IEC TR 27016 信息安全管理 組織經(jīng)濟(jì)學(xué)

最新版本為2014發(fā)布的第1版，在2020年無(wú)變化。

1.16 ISO/IEC 27017 基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)用規(guī)則

最新版本為2015年發(fā)布的第1版，在2020年無(wú)變化，目前已經(jīng)在評(píng)審流程中。

1.17 ISO/IEC 27018 公有云中個(gè)人身份信息保護(hù)實(shí)用規(guī)則

最新版本為2019年1月發(fā)布的第2版，在2020年無(wú)變化。

1.18 ISO/IEC 27019 能源公共事業(yè)行業(yè)信息安全控制

最新版本為2017年10月發(fā)布的第1版，之前被發(fā)布為ISO/IEC TR 27019：2013。

1.19 ISO/IEC 27021 信息安全管理體系專業(yè)人員能力要求

最新版本為2017年10月發(fā)布的第1版，在2020年無(wú)變化。

1.20 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

最新版本是發(fā)布于2015年7月的第1版。

1.21 ISO/IEC 27031 ICT業(yè)務(wù)連續(xù)性指南

ISO/IEC 27031最新版本為發(fā)布于2011年的第1版，在2019年開(kāi)始改版，目前狀態(tài)為ISO/IEC WD 27031。

1.22 ISO/IEC 27032 網(wǎng)絡(luò)空間安全

ISO/IEC 27032最新版本為發(fā)布于2012年的第1版，在2018年經(jīng)過(guò)評(píng)審后，版本依然有效。2019年開(kāi)始改版，目前狀態(tài)為ISO/IEC WD 27032，但標(biāo)題改成了Guidelines for Internet Security（因特網(wǎng)安全指南）。

1.23 ISO/IEC 27033 網(wǎng)絡(luò)安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028系列，在2020年，其中的6個(gè)部分，均沒(méi)有大的變化，說(shuō)明該標(biāo)準(zhǔn)開(kāi)發(fā)也比較成熟了。

1.24 ISO/IEC 27034 應(yīng)用安全

ISO/IEC 27034有7部分，其中：

● ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均無(wú)變化;

● ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均無(wú)變化;

● ISO/IEC TS 27034-5-1在2020年也無(wú)變化。

1.25 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都為2016年版本，目前也都正在改版，狀態(tài)為ISO/IEC CD 27035-1和ISO/IEC CD 27035-2。

2020年9月發(fā)布了ISO/IEC 27035-3：2020 Guidelines for ICT incident response operations（ICT事件響應(yīng)操作指南）。

在2020年，ISO/IEC 27035新增加了第4部分，具體見(jiàn)下文2.13。

1.26 ISO/IEC 27036 供應(yīng)商關(guān)系中的信息安全

ISO/IEC 27036一共有4部分，其中ISO/IEC 27034-1：2011無(wú)變化，ISO/IEC 27034-2：2014最新?tīng)顟B(tài)為ISO/IEC WD 27036-2，ISO/IEC 27036-3：2013在2019年評(píng)審后依然有效，ISO/IEC 27036-4：2016在2020年無(wú)變化。

1.27 ISO/IEC 27037 數(shù)字證據(jù)識(shí)別、收集、獲取與保護(hù)指南

ISO/IEC 27037版本為2012版，在2018年評(píng)審后依然有效。

1.28 ISO/IEC 27038 數(shù)字編校指南

ISO/IEC 27038最新版本為2014版，在2019年評(píng)審后依然有效。

1.29 ISO/IEC 27039 入侵檢測(cè)系統(tǒng)的選擇、部署和操作

最新版本為2015版，在2020年評(píng)審后依然有效。

1.30 ISO/IEC 27040 存儲(chǔ)安全

目前有效版本為2015版，最新?tīng)顟B(tài)為ISO/IEC WD 27040。

1.31 ISO/IEC 27041 事件調(diào)查方法的適宜性與充分性保證指南

目前有效版本為2015版，正在評(píng)審中。

1.32 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋指南

目前有效版本為2015版，正在評(píng)審中。

1.33 ISO/IEC 27043 事件調(diào)查原則與過(guò)程

最新版本為2015版，在2020年評(píng)審后依然有效。

1.34 ISO/IEC 27050 電子數(shù)據(jù)取證

ISO/IEC 27050分為4部分，其中：

● ISO/IEC 27050-1：2019無(wú)變化，這是第2版，之前為2016年版本。

● ISO/IEC 27050-2：2018無(wú)變化;

● 發(fā)布了ISO/IEC 27050-3：2020 Information technology—Electronic discovery—Part 3： Code of practice for electronic discovery（信息技術(shù) 電子數(shù)據(jù)取證 第3部分：電子數(shù)據(jù)取證實(shí)用規(guī)則），這是第2版，之前為2017年版本。

● ISO/IEC 27050-4依然在開(kāi)發(fā)中，最新?tīng)顟B(tài)為ISO/IEC DIS 27050-4。

1.35 ISO/IEC 27102 息安全管理 網(wǎng)絡(luò)保險(xiǎn)指南

該標(biāo)準(zhǔn)發(fā)布于2019年8月，第1版。

1.36 ISO/IEC TR 27103 網(wǎng)絡(luò)安全與ISO及IEC標(biāo)準(zhǔn)

該標(biāo)準(zhǔn)在2018年2月發(fā)布第1版，目前仍為最新版。

1.37 ISO/IEC 27550 系統(tǒng)生命周期過(guò)程的隱私工程

該標(biāo)準(zhǔn)發(fā)布于2019年9月，第1版，隱私類(lèi)標(biāo)準(zhǔn)。

1.38 ISO/IEC 27701：2019 ISO/IEC 27001與ISO/IEC 27002在隱私信息管理的擴(kuò)展 要求與指南

該標(biāo)準(zhǔn)發(fā)布于2019年8月，在隱私保護(hù)領(lǐng)域非常重要[1]。

1.39 ISO 27799 應(yīng)用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發(fā)布的第2版，之前版本為2008版，在2020年無(wú)變化。

綜上所述，2020年ISO/IEC 27000標(biāo)準(zhǔn)族，有效的標(biāo)準(zhǔn)及其版本如表1所示。

2 研發(fā)中的標(biāo)準(zhǔn)

2.1 ISO/IEC CD 27002.2

ISO/IEC 27002是ISO/IEC 27000標(biāo)準(zhǔn)族最基礎(chǔ)的標(biāo)準(zhǔn)之一，不再贅述。ISO/IEC CD 27002.2為新加的部分，標(biāo)題為 Information security， cybersecurity and privacy protection — Information security controls（信息安全、網(wǎng)絡(luò)安全及隱私保護(hù) 信息安全控制）。

2.2 ISO/IEC CD 27005.2

ISO/IEC CD 27005.2為新加的部分，標(biāo)題為Information security， cybersecurity and privacy protection — Guidance on managing information security risks and opportunities（信息安全、網(wǎng)絡(luò)安全及隱私保護(hù) 管理信息安全風(fēng)險(xiǎn)與機(jī)會(huì)指南）。

2.3 ISO/IEC DTS 27006-2

ISO/IEC DTS 27006-2也是新加的部分，標(biāo)題為Requirements for bodies providing audit and certification of information security management systems—Part 2： Privacy information management systems（信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第2部分：隱私信息管理系統(tǒng)）。

2.4 ISO/IEC WD 27011

此標(biāo)準(zhǔn)是開(kāi)發(fā)中的第3版，參見(jiàn)表1。

2.5 ISO/IEC DIS 27013

此標(biāo)準(zhǔn)是開(kāi)發(fā)中的第3版，參見(jiàn)表1。

2.6 ISO/IEC FDIS 27014

這是開(kāi)發(fā)中的第2版，參見(jiàn)表1。

2.7 ISO/IEC 27021：2017/DAmd 1

開(kāi)發(fā)中的修訂，標(biāo)題為Addition of? ISO/IEC 27001： 2013 clauses or subclauses to competence requirements（ISO/IEC 27001： 2013條款或子條款的補(bǔ)充能力要求）。

2.8 ISO/IEC DTS 27022.2

開(kāi)發(fā)中的標(biāo)準(zhǔn)，標(biāo)題為Information technology—Guidance on information security management system processes（信息技術(shù) 信息安全管理體系過(guò)程指引）。

2.9 ISO/IEC WD 27032

這是開(kāi)發(fā)中的第2版，但是標(biāo)題變了，見(jiàn)前文1.22中的描述或者表1。

2.10 ISO/IEC AWI 27033-7

新加的一部分，標(biāo)題為Information technology—Network security—Part 7： Guidelines for network virtualization security（信息技術(shù) 網(wǎng)絡(luò)安全 第7部分：網(wǎng)絡(luò)可視化安全指南）。

2.11 ISO/IEC CD 27035-1

此標(biāo)準(zhǔn)是開(kāi)發(fā)中的第2版，參見(jiàn)前文1.25。

2.12 ISO/IEC CD 27035-2

此標(biāo)準(zhǔn)是開(kāi)發(fā)中的第2版，參見(jiàn)前文1.25。

2.13 ISO/IEC WD 27035-4

新加的一部分，標(biāo)題為Information technology—Information security incident management—Part 4： Coordination（信息技術(shù) 信息安全事件管理 第4部分：合作）。

2.14 ISO/IEC WD 27036-2

開(kāi)發(fā)中的第2版，參見(jiàn)前文1.26。

2.15 ISO/IEC WD 27040

開(kāi)發(fā)中的第2版，參見(jiàn)前文1.30。

2.16 ISO/IEC WD 27045.5

標(biāo)題為Information technology—Big data security and privacy—Processes（信息技術(shù) 大數(shù)據(jù)與隱私 過(guò)程）。

2.17 ISO/IEC WD 27046.2

標(biāo)題為Information technology—Big data security and privacy—Implementation guidelines（信息技術(shù) 大數(shù)據(jù)與隱私 應(yīng)用指南）。

2.18 ISO/IEC DIS 27050-4

標(biāo)題為Information technology—Electronic discovery—Part 4： Technical readiness（信息技術(shù) 電子數(shù)據(jù)取證 第4部分：技術(shù)準(zhǔn)備）。

2.19 ISO/IEC DIS 27070

標(biāo)題為Information technology—Security techniques—Requirements for establishing virtualized roots of trust（信息技術(shù) 安全技術(shù) 建立虛擬信任根要求）。

2.20 ISO/IEC WD 27071.3

標(biāo)題為Information technology—Security techniques—Security recommendations for establishing trusted connections between devices and service（信息技術(shù) 安全技術(shù) 設(shè)備與服務(wù)之間建立可信鏈接的安全建議）。

2.21 ISO/IEC CD 27099.2

標(biāo)題為Information Technology—Public key infrastructure—Practices and policy framework（信息技術(shù) 關(guān)鍵基礎(chǔ)設(shè)施 實(shí)踐與策略框架），這個(gè)標(biāo)準(zhǔn)是關(guān)于CA證書(shū)的。

2.22 ISO/IEC PRF TS 27100

標(biāo)題為Information technology—Cybersecurity—Overview and concepts（信息技術(shù) 網(wǎng)絡(luò)安全 概述與定義）。

2.23 ISO/IEC PRF TS 27110

標(biāo)題為Information technology4）， cybersecurity and privacy protection—Cybersecurity framework development guidelines（信息技術(shù)、網(wǎng)絡(luò)安全與隱私保護(hù) 網(wǎng)絡(luò)安全框架開(kāi)發(fā)指南）。

2.24 ISO/IEC CD 27400.2

標(biāo)題為Cybersecurity—IoT security and privacy—Guidelines（網(wǎng)絡(luò)安全 物聯(lián)網(wǎng)安全與隱私 指南）。

2.25 ISO/IEC WD 27402.2

標(biāo)題為Cybersecurity—IoT security and privacy—Device baseline requirements（網(wǎng)絡(luò)安全 物聯(lián)網(wǎng)安全與隱私 設(shè)備基線要求）。

2.26 ISO/IEC WD 27403.2

標(biāo)題為Cybersecurity—IoT security and privacy—Guidelines for IoT-domotics（網(wǎng)絡(luò)安全 物聯(lián)網(wǎng)安全與隱私 家庭物聯(lián)網(wǎng)指南）

2.27 ISO/IEC DIS 27551

標(biāo)題為Information security， cybersecurity and privacy protection—Requirements for attribute-based unlinkable entity authentication（信息安全、網(wǎng)絡(luò)安全與隱私保護(hù) 基于屬性的非連接實(shí)體授權(quán)要求）。

2.28 ISO/IEC CD 27553

標(biāo)題為Information technology—Security techniques—Security requirements for authentication using biometrics on mobile devices（信息技術(shù) 安全技術(shù) 移動(dòng)設(shè)備使用生物識(shí)別技術(shù)授權(quán)的安全要求）。

2.29 ISO/IEC WD 27554.2

標(biāo)題為Application of ISO 31000 for assessment of identity management-related risk（應(yīng)用ISO 31000評(píng)估身份管理相關(guān)風(fēng)險(xiǎn)）。

2.30 ISO/IEC DIS 27555

標(biāo)題為Information security， cybersecurity and privacy protection—Guidelines on personally identifiable information deletion（信息安全、網(wǎng)絡(luò)安全與隱私保護(hù) 個(gè)體識(shí)別信息指南）。

2.31 ISO/IEC CD 27556.2

標(biāo)題為Information technology—User-centric framework for the handling of personally identifiable information （PII） based on privacy preferences（信息技術(shù) 用于處理基于隱私偏好的PII用戶中心框架）。

2.32 ISO/IEC WD 27557.2

標(biāo)題為Information technology—Organizational privacy risk management（信息技術(shù) 阻止隱私風(fēng)險(xiǎn)管理）。

2.33 ISO/IEC WD 27559.2

標(biāo)題為Privacy enhancing data de-identification framework（隱私加強(qiáng)數(shù)據(jù)去標(biāo)識(shí)化框架）。

2.34 ISO/IEC WD TS 27560

標(biāo)題為Privacy technologies — Consent record information structure（隱私技術(shù) 知情同意記錄信息結(jié)構(gòu)）。

2.35 ISO/IEC CD TS 27570.3

標(biāo)題為Privacy protection — Privacy guidelines for Smart Cities（隱私保護(hù) 智慧城市隱私指南）。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] 謝宗曉，董坤祥，甄杰， 等. ISO/IEC 27701：2019 隱私信息管理體系（PIMS）標(biāo)準(zhǔn)解讀[M].北京：中國(guó)標(biāo)準(zhǔn)出版社， 2020.