截至2016年底ISO/IEC 27000標準族的進展（上）2）

謝宗曉（南開大學商學院）

董坤祥（山東財經(jīng)大學管理科學與工程學院）

截至2016年底ISO/IEC 27000標準族的進展（上）2）

謝宗曉（南開大學商學院）

董坤祥（山東財經(jīng)大學管理科學與工程學院）

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之二十四

隨著ISO/IEC 27001和ISO/IEC 27002在2013年的改版①謝宗曉，鞏慶志. ISO/IEC 27001：2013 標準解讀及改版分析[M]. 北京：中國標準出版社，2013.，根據(jù)ISO的國際標準開發(fā)流程，其他ISO/IEC 27000標準族在2014—2016年之間的3年左右也進入改版的高峰期，我們用兩期的篇幅，介紹截至2016年底ISO/IEC 27000標準族的最新進展情況。在后續(xù)的專欄中，我們會更詳細地介紹這些標準。

謝宗曉（特約編輯）

本文介紹了ISO/IEC 27000標準族中編號在ISO/IEC 27030之前的標準開發(fā)進展情況，其中ISO/IEC 27000至ISO/IEC 27008主要與信息安全管理體系相關(guān)，ISO/IEC 27009及其之后，主要為分行業(yè)的應(yīng)用。

ISO/IEC 27000標準族 ISO/IEC 27001 ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系概述和詞匯

ISO/IEC 27000公布于2009年5月，目前有最新的2016版，已經(jīng)是第4版了，之前分別為2009版、2012版、2014版以及2016版。

ISO/IEC 27000：2009被等同采用為GB/T 29246—2012，具體信息為：

GB/T 29246—2012/ISO/IEC 27000：2009《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》

目前最新版本為：

ISO/IEC 27000：2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary

此外，ISO/IEC 27000是為數(shù)不多的可以免費下載的③http://119.90.25.43/standards.iso.org/ittf/PubliclyAvailableStandards/c066435_ISO_IEC_27000_2016(E).zip。國際標準。

2 ISO/IEC 27001 信息安全管理體系要求

關(guān)于ISO/IEC 27001發(fā)展的詳細歷史，請參考本系列的《ISO/IEC 27001與ISO/IEC 27002標準的演變》④謝宗曉，王靜漪. ISO/IEC 27001與ISO/IEC 27002標準的演變[J]. 中國標準導(dǎo)報，2015（07）：48-52.。

目前ISO/IEC 27001被等同采用為國家標準：

GB/T 22080—2016/ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》

3 ISO/IEC 27002 信息安全控制實踐指南

關(guān)于ISO/IEC 27002發(fā)展的詳細歷史，請參考本系列的《ISO/IEC 27001與ISO/IEC 27002標準的演變》②謝宗曉，王靜漪. ISO/IEC 27001與ISO/IEC 27002標準的演變[J]. 中國標準導(dǎo)報，2015（07）：48-52.。

目前ISO/IEC 27002被等同采用為國家標準：

GB/T 22081—2016/ISO/IEC 27002：2013《信息技術(shù) 安全技術(shù) 信息安全控制實踐指南》

4 ISO/IEC 27003 信息安全管理體系實施指南

ISO/IEC 27003主要是描述如何在組織內(nèi)實施ISO/IEC 27001，隨著ISO/IEC 27001的改版，最近應(yīng)該也會改版，目前狀態(tài)為FDIS⑤FDIS，a final draft International Standard，最終國際標準草案。國際標準的開發(fā)過程大致有6個階段，這是第4個階段，后面就是批準階段了。，大約會在2017年出版。最新版本為：

ISO/IEC 27003：2010 Information technology—Security techniques—Information security management system implementation guidance（ 《信息技術(shù) 安全技術(shù) 信息安全管理體系實施指南》）

5 ISO/IEC 27004 信息安全管理測量

ISO/IEC 27004是提供了信息安全管理測量的方法，當然，主要是針對ISO/IEC 27001，目前正在改版，改版后專門支持ISO/IEC 27001：2013的正文9.1⑥績效評價，在ISO/IEC 27001:2005中沒有。，大約會在2017年出版。

最新版本為：

ISO/IEC 27004：2009 Information technology—Security techniques—Information security management—Measurement（《信息技術(shù) 安全技術(shù) 信息安全管理測量》）

ISO/IEC 27004：2009目前尚無國家標準與之對應(yīng)。

6 ISO/IEC 27005 信息安全風險管理

ISO/IEC 27005是專門討論信息安全風險管理的，基本與通用的風險管理標準ISO 31000保持了一致?，F(xiàn)在的版本是第2版，發(fā)布于2011年，之前版本為2008年版，且被等同采用為GB/T 31722—2015，具體參考信息為：

GB/T 31722—2015/ ISO/IEC 27005：2008《信息技術(shù) 安全技術(shù) 信息安全風險管理》

最新版本為：

ISO/IEC 27005：2011 Information technology—Security techniques—Information security risk management

ISO/IEC 27005應(yīng)該來源于1998年版本的ISO/ IEC TR 13335-3，但是沒有官方文獻確認，以我們的閱讀來看，就整個框架而言，與ISO/IEC TR 13335-3：1998差別不大。

更多資料，可參考《信息安全風險評估——概念、方法和實踐（第2版）》⑦趙戰(zhàn)生,謝宗曉. 信息安全風險評估 概念、方法和實踐（第2版）[M]. 北京：中國標準出版社，2016.的附錄中有GB/T 31722—2015/ ISO/IEC 27005：2008全文。

7 ISO/IEC 27006 認證機構(gòu)要求

ISO/IEC 27006是一個認可標準（accreditation standard）。認證和認可是兩碼事。認證，指的是第三方組織去審核企業(yè)，然后發(fā)證。認可，指的是國家主管機構(gòu)審核第三方組織，以確認他們是否有認證資質(zhì)。類比一下，認證就是學校給學生發(fā)畢業(yè)證，認可就是教育部檢查學校。顯然，這個標準受眾，是個小眾群體，即第三方認證組織。但是內(nèi)容基本都是規(guī)定性的，改版頻繁，目前已經(jīng)是第3版了，之前為2007版、2011版，現(xiàn)在最新為2015版。

具體信息為：

ISO/IEC 27006：2015 Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems

目前有國家標準：

GB/T 25067—2016/ISO/IEC 27006：2011《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認證機構(gòu)要求》

8 ISO/IEC 27007 通用的審核

ISO/IEC 27007是為第三方認證機構(gòu)審核企業(yè)提供指導(dǎo)的，這個標準的最新版本為2011年版，具體信息為：

ISO/IEC 27007：2011 Information technology—Security techniques—Guidelines for information security management systems auditing

目前被修改采用為：

GB/T 28450—2012《信息安全技術(shù) 信息安全管理體系審核指南》

更多資料，可參考《信息安全管體系審核指南》⑧魏軍，謝宗曉. 信息安全管理體系審核指南[M]. 北京：中國標準出版社， 2012.。

9 ISO/IEC TR9）27008 控制措施審核

ISO/IEC TR 27008：2011是個技術(shù)報告，也是信息安全管理體系的特別之處，主要為ISO/IEC 27001的附錄A提供審核指南。

目前最新版本為：

ISO/IEC TR 27008：2011 Information technology—Security techniques—Guidelines for auditors on information security controls（《信息技術(shù) 安全技術(shù)信息安全控制審核指南》）

10 ISO/IEC 27009 特定行業(yè)應(yīng)用的要求

ISO/IEC 27009用于組織如何在特定行業(yè)應(yīng)用ISO/IEC 27001，例如，如何提煉或增加相關(guān)的要求或控制。

目前最新版本為2016版，具體信息為：

ISO/IEC 27009：2016 Information technology—Security techniques—Sector-specific application of ISO/ IEC 27001—Requirements（《信息技術(shù) 安全技術(shù) 特定行業(yè)應(yīng)用ISO/IEC 27001 要求》）

11 ISO/IEC 27010 跨行業(yè)和跨組織的通信

從ISO/IEC 27010開始的編號，討論行業(yè)應(yīng)用。

ISO/IEC 27010為不同行業(yè)以及不同國家間共享風險和事件等信息，提供信息安全管理指導(dǎo)，尤其是這些信息會影響到關(guān)鍵基礎(chǔ)設(shè)施的時候（critical infrastructure）。

最早發(fā)布于2012年，目前已經(jīng)發(fā)布第2版，具體信息為：

ISO/IEC 27010：2015 Information technology—Security techniques—Information security management for inter-sector and inter-organizational communications（《信息技術(shù) 安全技術(shù) 跨行業(yè)與跨組織通信的信息安全管理》）

其中的章節(jié)安排，從第5章到第18章，基本與ISO/IEC 27002：2013保持了一致。

12 ISO/IEC 27011 電信行業(yè)的應(yīng)用

ISO/IEC 27011是由ITU與 ISO/IEC JTC1/SC 27聯(lián)合開發(fā)，因此同時也發(fā)布為ITU-T X.1051。

這個標準最早發(fā)布于2008年，最新版本為2016版，具體信息為：

ISO/IEC 27011：2016 Information technology—Security techniques—Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations（《信息技術(shù) 安全技術(shù) 基于ISO/IEC 27002的電信組織信息安全控制實用規(guī)則》）

特定行業(yè)的應(yīng)用在框架上與ISO/IEC 27002基本都是統(tǒng)一的。

13 ISO/IEC 27013 信息安全管理體系與服務(wù)管理整合

在實踐領(lǐng)域，ISMS與ITIL⑩ITIL，Information Technology Infrastructure Library，信息技術(shù)基礎(chǔ)架構(gòu)庫，其中一部分成了后來的ISO/IEC 20000，關(guān)于IT服務(wù)管理的。的整合是很常見的一種形式，由于信息安全多為控制點，IT服務(wù)多為流程，而且這兩者的從業(yè)人員背景也比較相似，整合應(yīng)用是不可避免的。

ISO/IEC 27013最早發(fā)布于2012年，基于ISO/ IEC 27001：2005與ISO/IEC 20000-1：2011。隨著這2個標準的改版，ISO/IEC 27013也得隨著改變，現(xiàn)在最新版本為：

ISO/IEC 27013：2015 Information technology—Security techniques—Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1（《信息技術(shù) 安全技術(shù) ISO/IEC 27001與ISO/IEC 20000-1的整合應(yīng)用指南》）

ISO/IEC 27011：2016由SC 27和SC 7合作開發(fā)，附錄A中有ISO/IEC 27001和ISO/IEC 20000-1的對照。

14 ISO/IEC 27014 信息安全治理

ISO/IEC 27014是關(guān)于信息安全治理的，治理和管理的區(qū)別，在公司治理領(lǐng)域分得比較清楚。但是在信息安全領(lǐng)域，這兩個詞匯界限非常模糊。一般而言，治理是方向性的，關(guān)注如何在高層管理中梳理清楚利益關(guān)系，管理更多是控制性的，更關(guān)注如何實現(xiàn)組織的信息安全目標，更細節(jié)一些。

ISO/IEC 27014也是ITU與 ISO/IEC JTC1/SC 27合作開發(fā)的，因此同時發(fā)布為ITU-T X.1054，目前最新版本為：

ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

該標準已經(jīng)被等同采用為國家標準：

GB/T 32923—2016/ISO/IEC 27014：2013《信息技術(shù) 安全技術(shù) 信息安全治理》

由于已經(jīng)有國家標準，不再介紹具體內(nèi)容。毫無疑問，信息安全治理很重要??謝宗曉，周常寶. 信息安全治理及其標準介紹[J]. 中國標準導(dǎo)報， 2015（10）：38-40+45.?ISO/TC 68/SC 2具體為ISO/TC 68，F(xiàn)inancial services, SC 2，Security management and general banking operations。?在ISO的開發(fā)過程標識中，60.60的意思是International Standard published。限于篇幅，我們在本書中沒有給出所有的過程標識符號，有興趣的讀者，可以參考：林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015. 在該書的第二部分中，有詳細的表格。?http://www.iso27001security.com/html/27015.html。，但是一定要從管理中分離開來討論，又不太容易說清楚。

15 ISO/IEC TR 27015 金融服務(wù)信息安全管理

ISO/IEC TR 27015主要指導(dǎo)在金融企業(yè)內(nèi)實施ISO/IEC 27000標準族，目前最新版本為：

ISO/IEC TR 27015：2012 Information technology—Security techniques—Information security management guidelines for financial services（《信息技術(shù) 安全技術(shù)金融服務(wù)信息安全管理指南》）

從上文中，我們也已經(jīng)看出，電信和金融對信息安全比較重視，除了這個標準，還有類似于：

ISO/TR 13569：2005 Financial services—Information security guidelines（《金融服務(wù) 信息安全指南》）

這個標準不是ISO/IEC JTC1/SC 27開發(fā)的，是ISO/TC 68/SC 2??謝宗曉，周常寶. 信息安全治理及其標準介紹[J]. 中國標準導(dǎo)報， 2015（10）：38-40+45.?ISO/TC 68/SC 2具體為ISO/TC 68，F(xiàn)inancial services, SC 2，Security management and general banking operations。?在ISO的開發(fā)過程標識中，60.60的意思是International Standard published。限于篇幅，我們在本書中沒有給出所有的過程標識符號，有興趣的讀者，可以參考：林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015. 在該書的第二部分中，有詳細的表格。?http://www.iso27001security.com/html/27015.html。發(fā)布的標準。這是真正從業(yè)務(wù)角度考慮信息安全，所以視角完全不同。ISO/TR 13569已經(jīng)是第3版了，之前有1997和1998版本。

原則上說，隨著ISO/IEC 27001和ISO/IEC 27002的改版，ISO/IEC TR 27015：2012也需要改版了。到現(xiàn)在ISO標識的狀態(tài)依然是60.60??謝宗曉，周常寶. 信息安全治理及其標準介紹[J]. 中國標準導(dǎo)報， 2015（10）：38-40+45.?ISO/TC 68/SC 2具體為ISO/TC 68，F(xiàn)inancial services, SC 2，Security management and general banking operations。?在ISO的開發(fā)過程標識中，60.60的意思是International Standard published。限于篇幅，我們在本書中沒有給出所有的過程標識符號，有興趣的讀者，可以參考：林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015. 在該書的第二部分中，有詳細的表格。?http://www.iso27001security.com/html/27015.html。，沒有改版的跡象。據(jù)說??謝宗曉，周常寶. 信息安全治理及其標準介紹[J]. 中國標準導(dǎo)報， 2015（10）：38-40+45.?ISO/TC 68/SC 2具體為ISO/TC 68，F(xiàn)inancial services, SC 2，Security management and general banking operations。?在ISO的開發(fā)過程標識中，60.60的意思是International Standard published。限于篇幅，我們在本書中沒有給出所有的過程標識符號，有興趣的讀者，可以參考：林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015. 在該書的第二部分中，有詳細的表格。?http://www.iso27001security.com/html/27015.html。這個標準要被棄用，如果放棄開發(fā)也很正常，如果業(yè)務(wù)領(lǐng)域和信息安全領(lǐng)域的標準有競爭，最后被采用的肯定是業(yè)務(wù)領(lǐng)域推廣的標準。

16 ISO/IEC TR 27016 安全經(jīng)濟學

ISO/IEC TR 27016用于指導(dǎo)企業(yè)如何在考慮經(jīng)濟因素條件下對信息安全投資做決策，在實踐中這件事很重要。目前，ISO/IEC TR 27016的最新版本為：

ISO/IEC TR 27016：2014 Information technology—Security techniques—Information security management—Organizational economics（《信息技術(shù) 安全技術(shù) 信息安全管理 組織經(jīng)濟學》）

我們會盡快在《中國質(zhì)量與標準導(dǎo)報》的“本刊特約”專欄中介紹ISO/IEC TR 27016：2014。

17 ISO/IEC 27017 云服務(wù)安全

ISO/IEC 27017是在ISO/IEC 27002及其他相關(guān)ISO/IEC 27000標準族的基礎(chǔ)上，提供云服務(wù)的信息安全控制，這個標準也是與ITU合作，因此同時發(fā)布為ITU-T X.1631。

目前最新版本為：

ISO/IEC 27017：2015 Information technology—Security techniques—Code of practice for information security controls based on ISO/IEC 27002 for cloud services（《信息技術(shù) 安全技術(shù) 基于ISO/IEC 27002的云服務(wù)信息安全控制實用規(guī)則》）

該標準與特定行業(yè)的應(yīng)用架構(gòu)基本是一致的，都與ISO/IEC 27009保持兼容。

18 ISO/IEC 27018 公有云中的隱私保護

ISO/IEC 27018用來指導(dǎo)公有云的服務(wù)提供商，例如，微云、百度云等，如何保護個人隱私，該標準與ISO/IEC 27017聯(lián)系緊密。

目前，最新版本信息為：

ISO/IEC 27018：2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information （PII） in public clouds acting as PII processors（《信息技術(shù) 安全技術(shù) 公有云中作為個人身份信息處理者保護個人身份信息的實用規(guī)則》）

通俗地講，ISO/IEC 27018是關(guān)于公有云服務(wù)個人資料處理者如何保護客戶隱私的最佳實踐，這些在特定領(lǐng)域應(yīng)用的標準，架構(gòu)基本都一致，因為都是基于通用的ISO/IEC 27001和ISO/IEC 27002。

19 ISO/IEC TR 27019 能源公共事業(yè)信息安全管理

ISO/IEC TR 27019是關(guān)于能源公用事業(yè)行業(yè)應(yīng)用ISO/IEC 27002及其相關(guān)的ISO/IEC 27000標準族的指南，目前最新的版本為：

ISO/IEC TR 27019：2013 Information technology—Security techniques—Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry（《信息技術(shù) 安全技術(shù) 基于ISO/IEC 27002用于能源公共事業(yè)行業(yè)過程控制的信息安全管理指南》）

ISO/IEC TR 27019目前所依據(jù)的還是ISO/IEC 27002：2005，ISO最新標識的狀態(tài)是90.92??在ISO的開發(fā)過程標識中，90.92的意思是International Standard to be revised 60.60。限于篇幅，我們在本書中沒有給出所有的過程標識符號，有興趣的讀者，可以參考：林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社, 2015. 在該書的第二部分中，有詳細的表格。。

Development of ISO/IEC 27000 Standards (Part A)

Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )

We introduce the development of ISO/IEC 27000 standards before ISO/IEC 27030, in which from ISO/IEC 27000 to ISO/IEC 27008 mainly focus on information security management system (ISMS) and after ISO/IEC 27009 mainly focus on a specif c application of ISO/IEC 27001.

ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002

2）本文中所列出的標準及狀態(tài)以http://www.iso.org公開發(fā)布的在售目錄為準，末次登錄時間為2016年12月9日。其他信息，則來源于http://www. iso27001security.com/index.html。

⑨TR, Technical Report，技術(shù)報告。