淺析ISO/IEC27001（ISMS Requirements）發(fā)展及兼容性

王文君 朱健序 劉歡 魯俊皓 高琛陽

摘 要：隨著全球經(jīng)濟的飛速發(fā)展，各領域信息化的廣泛應用，以獲取各類信息為直接作案目的犯罪數(shù)量直線上升，信息安全則顯得尤為重要。本文通過對國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求（ISMS Requiremenas）》的起源發(fā)展以及新版特性進行介紹，并對標準的在不同時期的修改變化進行分析。同時對標準體系與其他標準的兼容性使用進行了舉例說明。

關鍵詞：ISO/IEC 27001；安全信息兼容

國際標準化組織（ISO）和國際電工委員會（IEC）于2005年10月15日聯(lián)合發(fā)布了國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求（ISMS Requirements）》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構、外包服務企業(yè)、軟件服務企業(yè)等，在建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系時提供模型，并規(guī)定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業(yè)操作指南和原則，并可以用作第三方認證的依據(jù)。

一、ISO/IEC27001

（一）ISO/IEC 27000標準家族

ISO/IEC 27000是一個系列編號，類似于質量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標準。當初ISO/IEC規(guī)劃的ISO27000系列包含下列標準：

ISO 27000 原理與術語Principles and vocabulary

ISO 27001 信息安全管理體系—要求 ISMS Requirements

ISO 27002 信息技術—安全技術—信息安全管理實踐規(guī)范

ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines

ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement

ISO 27005 信息安全管理體系—風險管理ISMS Risk management

ISO 27006 信息安全管理體系—認證機構的認可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技術-安全技術-信息安全管理體系審核員指南

Information technology_Securitytechniques_ISMS auditor guidelines

（二）ISO/IEC 27001的基本概念及標準內容概述

ISO/IEC 27001標準通篇就在講一件事，ISMS（信息安全管理系統(tǒng)）。本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（InformationSecurity Management System，簡稱ISMS）提供模型。采用ISMS應當是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標準所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。

該標準分為三個部分，分別為引言、正文和附錄。引言介紹了建立信息安全管理體系（簡稱ISMS）的意義和原則；描述了體系建設過程中使用的過程方法和PDCA模型；說明了ISMS與其他管理體系的兼容性。正文的前三章介紹了標準的基本情況和涉及的術語和定義，從第四章開始，正式提出了ISMS的要求。標準也指出：“組織聲稱符合本標準時，對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。”標準有3個附錄，其中附錄A是規(guī)范性附錄，根據(jù)標準要求，依據(jù)附錄A的控制目標和控制措施的選擇和實施是標準正文的一部分。ISO 27001的審核依據(jù)主要集中在標準的第4到第8章和附錄。

二、ISO/IEC 27001：2013的新版特性

（一）采用新構架。在新版中采用ISO導則83做結構性要求，從8個章節(jié)拓展到10個章節(jié)，重新構建了ISO標準PDCA的章節(jié)架構，這個結構在已發(fā)布的IS022301中已經(jīng)進行了應用，未來將在ISO其他標準改版中會普遍采用（包括IS09000，IS020000等）。

（二）控制更精益。從舊版11個領域更新為14個領域。密碼學、供應關系成為一個獨立領域（A10，A15）。通訊與操作管理被劃分到操作安全（A12）和通信安全（A13）。

新增或調整了一些控制措施，涉及信息系統(tǒng)開發(fā)、信息安全事件管理、業(yè)務連續(xù)性管理等部分；刪除了一些舊版中重復的和操作級的控制項；附錄A的調整并沒有顛覆原有的結構，只是在原有控制項結構的基礎上，進行了優(yōu)化，較舊版來說的確更清晰了，相信這樣的變化可以更容易的讓組織去實現(xiàn)它們。

（三）引入新重點。將原分布在各領域的加密及供應鏈管理控制項級別提升，組成新領域，形成新重點，以反映目前信息安全的發(fā)展趨勢。新增了智能型裝置管理的控制項強化IC丁供應鏈委外管理的要求完善了系統(tǒng)開發(fā)項目管理的信息安全要求

三、ISO/IEC27001的兼容性

（一）PDCA（戴明環(huán)）。PDCA（Plan、Do、Check 和Act）是管理學慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19 世紀30 年代構想的，后來被戴明（Edwards Deming）采納、宣傳并運用于持續(xù)改善產(chǎn)品質量的過程當中。

1.P（Plan）--計劃，確定方針和目標，確定活動計劃；

2.D（Do）--執(zhí)行。實地去做，實現(xiàn)計劃中的內容；

3.C（Check）--檢查，總結執(zhí)行計劃的結果，注意效果，找出問題；

4.A（Action）--行動，對總結檢查的結果進行處理，成功的經(jīng)驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現(xiàn)，未解決的問題放到下一個PDCA循環(huán)。

（二）戴明環(huán)的特點。

1.大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動大循環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標朝著同一方向轉動。通過循環(huán)把企業(yè)上下或工程項目的各項工作有機地聯(lián)系起來，彼此協(xié)同，互相促進。

2.不斷前進、不斷提高。PDCA循環(huán)就像爬樓梯一樣，一個循環(huán)運轉結束，生產(chǎn)的質量就會提高一步，然后再制定下一個循環(huán)，再運轉、再提高，不斷前進，不斷提高，是一個螺旋式上升的過程。

作者簡介：王文君（1993-），女，重慶人，中國人民公安大學2011級安全防范工程專業(yè)。

朱健序（1991-），男，山東人，中國人民公安大學2011級安全防范工程專業(yè)。

劉歡（1992-），男，陜西人，中國人民公安大學2012網(wǎng)絡保衛(wèi)學院。

魯俊皓（1993-），男，河南人，中國人民公安大學2012級警務戰(zhàn)術指揮。

高琛陽（1994-），男，山東人，中國人民公安大學2012級安全防范工程專業(yè)。