ISO/IEC 27001與ISO/IEC 27002標(biāo)準(zhǔn)的演變

謝宗曉（南開大學(xué) 商學(xué)院） 王靜漪（天津移動(dòng)通信公司）

ISO/IEC 27001與ISO/IEC 27002標(biāo)準(zhǔn)的演變

謝宗曉（南開大學(xué) 商學(xué)院） 王靜漪（天津移動(dòng)通信公司）

本文按照時(shí)間順序梳理了ISO/IEC 27001和ISO/IEC 27002的發(fā)展過程，其中包括這兩個(gè)標(biāo)準(zhǔn)成為國(guó)際標(biāo)準(zhǔn)的開發(fā)過程以及被等同采用為我國(guó)國(guó)家標(biāo)準(zhǔn)的過程。

ISO/IEC 27001 ISO/IEC 27002 信息安全

專欄

信息安全管理系列之六

ISO/IEC 27000 族標(biāo)準(zhǔn)成為信息安全業(yè)界最重要的標(biāo)準(zhǔn)之一，在全世界范圍內(nèi)得到了廣泛應(yīng)用，其中諸多標(biāo)準(zhǔn)也已經(jīng)被等同或修改采用為我國(guó)國(guó)家標(biāo)準(zhǔn)。了解ISO/IEC 27000族標(biāo)準(zhǔn)的開發(fā)與推廣過程有助于組織更高效地部署信息安全管理體系。本文重點(diǎn)介紹了ISO/IEC 27000族標(biāo)準(zhǔn)中最重要的兩個(gè)標(biāo)準(zhǔn)ISO/IEC 27001 和ISO/IEC 27002 的版本演變過程。

謝宗曉（特約編輯）

ISO/IEC 27000族標(biāo)準(zhǔn)目前已經(jīng)發(fā)展成為一個(gè)很龐大的體系，包括從ISO/IEC 27000開始至ISO/IEC 27059的60個(gè)標(biāo)準(zhǔn)，或者說，ISO/IEC JCT1 SC271）ISO（International Organization for Standardization，國(guó)際標(biāo)準(zhǔn)化組織）是全世界最大的推薦性國(guó)際標(biāo)準(zhǔn)開發(fā)組織（world’s largest developer of voluntary international standards）；IEC（International Electrotechnical Commission，國(guó)際電工委員會(huì)）是制定和發(fā)布國(guó)際電工電子標(biāo)準(zhǔn)的非政府國(guó)際組織。ISO/IEC JCT1成立于1987年，是ISO與IEC的聯(lián)合技術(shù)委員會(huì)，即信息技術(shù)（information technology）標(biāo)準(zhǔn)委員會(huì)，SC27是其中一個(gè)分技術(shù)委員會(huì)（subcommittee），信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)委員會(huì)（IT Security Techniques）。）發(fā)布的絕大部分關(guān)于信息安全的標(biāo)準(zhǔn)都被統(tǒng)一編號(hào)了。ISO/IEC 27000族標(biāo)準(zhǔn)經(jīng)歷了一個(gè)漫長(zhǎng)的演變過程，其中最具代表性的就是ISO/IEC 27001和ISO/IEC 27002。有些標(biāo)準(zhǔn)，例如，ISO/IEC 27006和ISO/IEC 27007等以此為標(biāo)準(zhǔn)新制定;還有一部分標(biāo)準(zhǔn)，例如，ISO/IEC 27005等則是由本已現(xiàn)存的標(biāo)準(zhǔn)據(jù)此修訂并重新編號(hào)而來。本文按照時(shí)間順序梳理了ISO/IEC 27001 和ISO/IEC 27002 的發(fā)展過程，其中包括這兩個(gè)標(biāo)準(zhǔn)成為國(guó)際標(biāo)準(zhǔn)的開發(fā)過程以及等同采用為我國(guó)國(guó)家標(biāo)準(zhǔn)的過程。

1 需要說明的兩個(gè)問題

ISO/IEC 27001：2005在引言中指出：本標(biāo)準(zhǔn)為OECD 指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估的原則提供了一個(gè)強(qiáng)健的模型2）注意，這段話在2013版本中刪除了。）。第一個(gè)問題，為什么這么多信息安全文獻(xiàn)，單單強(qiáng)調(diào)了OECD3）經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Cooperation and Development，OECD）。）指南，還在標(biāo)準(zhǔn)的附錄中專門給出了兩者之間的映射？

在1990 年， OECD 就公布了《信息系統(tǒng)安全指南》4）2002 年改版為《信息系統(tǒng)與網(wǎng)絡(luò)安全指南》（Guidelines for the security of information systems and networks）。），標(biāo)準(zhǔn)的前身BS 7799于1993年公布，在當(dāng)時(shí)強(qiáng)調(diào)OECD指南可能是為了獲取“合法性”。OECD的《信息系統(tǒng)安全指南》提出了9條原則，這些原則基本是期望性質(zhì)的，不具備可操作性。因此，該標(biāo)準(zhǔn)對(duì)其中的某些原則即“風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估的原則”提供了“（其中）一個(gè)”“強(qiáng)健的”模型。對(duì)于其他原則，例如民主（Democracy, The security of information systems and networks should be compatible with essential values of a democratic society），顯然不是標(biāo)準(zhǔn)討論的重點(diǎn)。

第二個(gè)問題，注意ISO/IEC 27001和ISO/IEC 27002的關(guān)系。

在業(yè)界討論信息安全管理體系（Information System Management System，ISMS），涉及最多的是ISO/IEC 27001，而且ISO/IEC 27001的規(guī)范性附錄A，從A.5 編號(hào)，與ISO/IEC 27002的正文第5 章開始一一對(duì)應(yīng)。但是，這兩個(gè)標(biāo)準(zhǔn)的產(chǎn)生順序卻是先有ISO/IEC 27002，后有ISO/IEC 27001。實(shí)際上從邏輯上講，后公布的標(biāo)準(zhǔn)會(huì)覆蓋或兼容先公布的標(biāo)準(zhǔn)，而不是相反的順序。

其中，ISO/IEC 27001的前身是BS 7799-2，ISO/ IEC 27002 的前身是BS 7799-1。從本文的表1也可以看出，ISO/IEC 27002起源于一個(gè)技術(shù)報(bào)告，在推廣過程中才加入的認(rèn)證框架BS 7799-2。加入第三方認(rèn)證是這個(gè)標(biāo)準(zhǔn)能夠被成功接受的因素之一。

2 成為國(guó)際標(biāo)準(zhǔn)前的主要開發(fā)過程

Backhouse等描述了1989年開始的英國(guó)工業(yè)與貿(mào)易部（Department of Trade and Industry，DTI）信息安全意識(shí)提高項(xiàng)目，DTI 下屬的商業(yè)計(jì)算機(jī)安全中 心（Commercial Computer Security Centre，CCSC）產(chǎn)生ISO/IEC 27002（當(dāng)時(shí)還是BS 7799）的過程，如表1 所示。

表1 成為國(guó)際標(biāo)準(zhǔn)前的主要過程

續(xù)表

3 成為國(guó)際標(biāo)準(zhǔn)后的版本演化及國(guó)標(biāo)化

2005年，在BS 7799-2 成為國(guó)際標(biāo)準(zhǔn)之后，ISO/IEC JCT1 對(duì)標(biāo)準(zhǔn)進(jìn)行了重新編號(hào)，并且2013年對(duì)ISO/IEC 27001 和ISO/IEC 27002 進(jìn)行了一次大規(guī)模的改版。具體過程如表2 所示。

表2 成為國(guó)際標(biāo)準(zhǔn)后的主要過程

4 結(jié)語

目前在用的等同采用ISO/IEC 27001和ISO/IEC 27002的國(guó)家標(biāo)準(zhǔn)版本為：

· GB/T 22080—2008/ISO/IEC 27001：2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（Information technology—Security techniques—Information security management systems—Requirements）；

· GB/T 22081—2008/ISO/IEC 27002：2005《信息技術(shù) 安全技術(shù) 信息安全管理 實(shí)用規(guī)則》（Information technology—Security techniques—Code of practice for information security management）。

2015 年2 月24 日，根據(jù)2013 版的國(guó)家標(biāo)準(zhǔn)升級(jí)版本已經(jīng)發(fā)布了征求意見稿，征求意見在2015年3 月30 日前結(jié)束。其中，ISO/IEC 27002：2013的標(biāo)題修改為：《信息技術(shù) 安全技術(shù) 信息安全控制 實(shí)用規(guī)則》 （Information technology—Security techniques—Code of practice for information security controls）。

綜上所述，ISO/IEC 27001和ISO/IEC 27002標(biāo)準(zhǔn)的主要版本演變與事件如圖1 所示。

圖1 ISO/IEC 27001與ISO/IEC 27002主要版本演變與事件

[1] James Backhouse, Carol W. Hsu, Leiser Silva: Circuits of Power in Creating de jure Standards: Shaping an International Information Systems Security Standard. MIS Quarterly 2006（30）: 143-438.

[2] 謝宗曉. 信息安全管理體系實(shí)施指南[M]. 北京: 中國(guó)質(zhì)檢出版社，中國(guó)標(biāo)準(zhǔn)出版社，2012.

[3] 林潤(rùn)輝，李大輝，謝宗曉，等. 信息安全管理 理論與實(shí)踐[M]. 北京: 中國(guó)質(zhì)檢出版社，中國(guó)標(biāo)準(zhǔn)出版社，2015.

Introduction of ISO/IEC 27001 and ISO/IEC 27002

Xie Zongxiao ( Business School, Nankai University ) Wang Jingyi ( China Mobile Tianjin)

We reorganized history of ISO/IEC 27001 and ISO/IEC 27002 in chronological order, includingdevelopment process before becoming international standard and the process of adoption as Chinese standards.

ISO/IEC 27001, ISO/IEC 27002, information security