ISO/IEC 27001:2013概述與改版分析

白云廣 謝宗曉

（1 神華天津煤炭碼頭有限責(zé)任公司信息中心；2 南開大學(xué) 商學(xué)院）

ISO/IEC 27001:2013一經(jīng)發(fā)布，意味著已經(jīng)獲取ISO/IEC27001:2005認(rèn)證的組織需要改版。根據(jù)最近一次國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）的管理體系普查數(shù)據(jù)1詳細(xì)數(shù)據(jù)請(qǐng)參考www.iso.org，ISO不定期組織這種普查數(shù)據(jù)，所以最新為2012年的數(shù)據(jù)。顯示：截至2012年，中國大陸地區(qū)已經(jīng)有1490家組織獲得認(rèn)證，全世界范圍內(nèi)已經(jīng)19577家組織獲得ISO/IEC 27001:2005認(rèn)證。因此，會(huì)有大量的在運(yùn)行信息安全管理體系（Information Security Management System，ISMS）受到影響?；诖耍疚膶?duì)ISO/IEC 27001:2013做了基本的介紹，并特別關(guān)注了ISO/IEC 27001新舊版本的異同之處。

一、ISO/IEC 27001:2013概述

ISO/IEC 27001:2013《信息安全管理體系 要求》是ISO/IEC27000標(biāo)準(zhǔn)族的基礎(chǔ)標(biāo)準(zhǔn)之一，主要為信息安全管理體系（ISMS）的建立、實(shí)施、保持和持續(xù)改進(jìn)規(guī)定了要求（requirement）。

各個(gè)版本的ISO/IEC 27001主要包括兩個(gè)部分：正文與附錄A。

正文主要建立ISMS的框架，附錄A與ISO/IEC 27002的第5章開始一一對(duì)應(yīng)，是具體控制措施的描述。由于歷史原因，ISMS借用了管理體系的通用框架，即PDCA（Plan Do Check Act）框架，這導(dǎo)致之前的版本主要強(qiáng)調(diào)的是模型，是方法論，在引言中也用了大量的篇幅說明什么是過程方法，標(biāo)準(zhǔn)中如何理解過程方法。在ISO/IEC 27001:2013已經(jīng)拋棄了這個(gè)思路，新版標(biāo)準(zhǔn)首要的目標(biāo)是緊扣標(biāo)題，即提供要求。事實(shí)上，在ISO/IEC 27001:2005的應(yīng)用中，也已經(jīng)默認(rèn)該標(biāo)準(zhǔn)的主要任務(wù)就是提要求。ISO/IEC 27001:2013整體的框架如圖1所示。

圖1 ISO/IEC 27001：2013框架

二、ISO/IEC 27001:2013正文的主要變化

本次改版是ISO/IEC 27001所有的歷史版本中改變最大的一次，除了上文中所提到的ISO/IEC 27001:2013已經(jīng)不再沿用管理體系的通用框架之外，還有下面這些主要變化：

1.不再沿用PDCA框架

如圖1所示，雖然整體的框架與PDCA也在事實(shí)上基本保持了一致，但是新版標(biāo)準(zhǔn)中不再強(qiáng)調(diào)過程方法與戴明環(huán)等概念。

2.更加關(guān)注組織的情境2情境（context），此處比較通俗的講就是：了解組織和組織情況。但是這樣翻譯太口語化，因?yàn)閏ontext在英文里面也是書面用語，日常用語中也不多見，多用于學(xué)術(shù)論文中。

ISO/IEC 27001:2013增加了第4章：組織情境。不僅是ISO/IEC27001:2005，甚至所有的管理體系標(biāo)準(zhǔn)，包括ISO 9001和ISO 14000等，都被質(zhì)疑為“千人一面”。尤其在國內(nèi)的部署過程中，由于主導(dǎo)力量是政府，導(dǎo)致這種情況可能更嚴(yán)重，使得長期存在“兩層皮”的現(xiàn)象。新版標(biāo)準(zhǔn)加強(qiáng)了對(duì)理解組織所處情境的要求。

3.強(qiáng)調(diào)最高管理者的領(lǐng)導(dǎo)力

ISO/IEC 27001:2013第5章：領(lǐng)導(dǎo)力，描述用的詞匯是最高管理者（top management），和ISO9001中的詞匯保持了一致。而在ISO/IEC 27001:2005用的詞匯是管理者（management），雖然只有一個(gè)詞匯的差別，卻是一個(gè)戰(zhàn)略性的提升。

我們可以這樣推測，ISO/IEC 27001的早期版本是模仿ISO 9001的，將ISO 9001的最高管理者改成了ISO/IEC 27001:2005的管理者，這也就是說，這其中的理解是質(zhì)量管理需要最高管理者的支持，而信息安全管理則僅僅需要管理層的支持。因?yàn)閷?duì)于模仿而言，沿用可能不需要深思熟慮，但是修改是需要深思熟慮的。而在ISO/IEC 27001:2013中，重新用了最高管理者意味著對(duì)信息安全重要性的重新認(rèn)識(shí)以及如何獲取信息安全的重新理解。

4.增加了績效評(píng)價(jià)的章節(jié)

雖然ISO/IEC 27001:2005也強(qiáng)調(diào)了監(jiān)視（monitor）與測量（measure），但始終沒有出現(xiàn)績效（performance）的詞匯，新版標(biāo)準(zhǔn)中則明確的要求“影評(píng)價(jià)信息安全績效以及信息安全管理體系有效性”，績效更強(qiáng)調(diào)定量的測量。

三、ISO/IEC 27001:2013附錄A的主要變化

附錄A：控制目標(biāo)和控制措施參考在ISO/IEC 27001各個(gè)版本中一直是變動(dòng)比較頻繁的地方，在本次改版中也存在較多的變化：

1.強(qiáng)調(diào)所有的“策略”，不單強(qiáng)調(diào)“方針”

在ISO/IEC 27001:2005用的詞匯為“信息安全 方 針（Information security policy）”，在ISO/IEC 27001:2013則修改成“信息安全策略集（Information security policies）”，雖然看起來只有單復(fù)數(shù)的變化，但從policy到policies實(shí)際含義卻存在較大的差異，我們可以理解為正文中描述的是“方針”（正文5.2），而在此處描述的是“策略集”。

2.通信與操作分稱兩個(gè)不同的安全域

在ISO/IEC 27001:2005中，通信和操作安全在“A.10通信和操作安全”，導(dǎo)致描述比較混亂，更重要的是不能分離信息系統(tǒng)的“使用人員”和“維護(hù)人員”，新版標(biāo)準(zhǔn)較好的解決了這個(gè)問題。

3.將密碼技術(shù)單獨(dú)成章節(jié)

密碼技術(shù)雖然單獨(dú)成為一章，但是內(nèi)容區(qū)別不大，可能考慮到密碼技術(shù)的特殊性。

4.增加了供應(yīng)商關(guān)系，開始關(guān)注供應(yīng)鏈風(fēng)險(xiǎn)

在之前的版本中，也有供應(yīng)商、客戶以及第三方的安全管理，但是都沒有涉及整個(gè)供應(yīng)鏈（supply chain），在ISO/IEC 27001:2013中增加了“A.15.1.3信息與通信技術(shù)供應(yīng)鏈”，供應(yīng)鏈的信息安全風(fēng)險(xiǎn)管理是近幾年的研究熱點(diǎn)，也出現(xiàn)了諸多文獻(xiàn)，例如，ISO/IEC 27036-3:2013 Information technology—Security techniques—Information security for supplier relationships—Part 3:Guidelines for information and communication technology supply chain security；又如，NISP3美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）。SP 800-161(Draft)2014 DRAFT Supply Chain Risk Management552 Practices for Federal Information Systems and Organizations(Second Draft)。

5.業(yè)務(wù)連續(xù)性只強(qiáng)調(diào)信息安全方面

信息安全只是信息安全連續(xù)性的一個(gè)方面，在ISO/IEC 27001:2005以及之前的版本中并沒有專門說明，在本次改版中，樹立了業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)和信息安全的關(guān)系。由于業(yè)務(wù)連續(xù)性管理框架、業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃中在其他標(biāo)準(zhǔn)中有更詳細(xì)的討論，因此在ISO/IEC 27001:2013中都不再強(qiáng)調(diào)，只關(guān)注在這個(gè)框架下的信息安全應(yīng)保持預(yù)定水平，換句話說，無論什么情況下，都要保持信息的安全，這就需要一些額外的控制。

綜上所述，ISO/IEC27001:2013與ISO/IEC27001:2005附錄A的對(duì)比、映射與統(tǒng)計(jì)數(shù)據(jù)如表1所示。

表1 ISO/IEC 27001:2013與ISO/IEC 27001:2005附錄A對(duì)比、映射與統(tǒng)計(jì)

ISO/IEC 27001:2013與ISO/IEC 27001:2005附錄A控制域的映射關(guān)系如圖2所示。

圖2 ISO/IEC 27001：2013與ISO/IEC 27001：2005附錄A控制域的映射

四、結(jié)語

ISO/IEC 27001:2013是所有ISO/IEC 27001版本中變動(dòng)最大的一次，不但去掉了存在廣泛爭議的PDCA框架，而且重新分類和修訂了諸多控制措施。整體而言，雖然削弱了標(biāo)準(zhǔn)文本組織的結(jié)構(gòu)化，改版后的標(biāo)準(zhǔn)更貼合實(shí)際，具備了更強(qiáng)的可實(shí)施性。

[1]ISO/IEC 27001:2013 Information Security Management System Requirement[S].

[2]ISO/IEC 27002:2013 Code of Practice forInformation Security Control[S].

[3]謝宗曉.ISO/IEC 27001:2013標(biāo)準(zhǔn)解讀及改版分析[M].北京：中國標(biāo)準(zhǔn)出版社，2014.

[4]謝宗曉.信息安全管理體系實(shí)施指南[M].北京：中國標(biāo)準(zhǔn)出版社，2012.