截至2016年底ISO/IEC 27000标准族的进展（上）2）

2017-01-25谢宗晓南开大学商学院

中国质量与标准导报 2017年1期

关键词：指南管理体系信息安全

谢宗晓（南开大学商学院）

董坤祥（山东财经大学管理科学与工程学院）

截至2016年底ISO/IEC 27000标准族的进展（上）2）

谢宗晓（南开大学商学院）

董坤祥（山东财经大学管理科学与工程学院）

谢宗晓博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文55篇，出版专著12本。

信息安全管理系列之二十四

随着ISO/IEC 27001和ISO/IEC 27002在2013年的改版①谢宗晓，巩庆志. ISO/IEC 27001：2013 标准解读及改版分析[M]. 北京：中国标准出版社，2013.，根据ISO的国际标准开发流程，其他ISO/IEC 27000标准族在2014—2016年之间的3年左右也进入改版的高峰期，我们用两期的篇幅，介绍截至2016年底ISO/IEC 27000标准族的最新进展情况。在后续的专栏中，我们会更详细地介绍这些标准。

谢宗晓（特约编辑）

本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27030之前的标准开发进展情况，其中ISO/IEC 27000至ISO/IEC 27008主要与信息安全管理体系相关，ISO/IEC 27009及其之后，主要为分行业的应用。

ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理体系概述和词汇

ISO/IEC 27000公布于2009年5月，目前有最新的2016版，已经是第4版了，之前分别为2009版、2012版、2014版以及2016版。

ISO/IEC 27000：2009被等同采用为GB/T 29246—2012，具体信息为：

GB/T 29246—2012/ISO/IEC 27000：2009《信息技术安全技术信息安全管理体系概述和词汇》

目前最新版本为：

ISO/IEC 27000：2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary

此外，ISO/IEC 27000是为数不多的可以免费下载的③http://119.90.25.43/standards.iso.org/ittf/PubliclyAvailableStandards/c066435_ISO_IEC_27000_2016(E).zip。国际标准。

2 ISO/IEC 27001 信息安全管理体系要求

关于ISO/IEC 27001发展的详细历史，请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》④谢宗晓，王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报，2015（07）：48-52.。

目前ISO/IEC 27001被等同采用为国家标准：

GB/T 22080—2016/ISO/IEC 27001：2013《信息技术安全技术信息安全管理体系要求》

3 ISO/IEC 27002 信息安全控制实践指南

关于ISO/IEC 27002发展的详细历史，请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》②谢宗晓，王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报，2015（07）：48-52.。

目前ISO/IEC 27002被等同采用为国家标准：

GB/T 22081—2016/ISO/IEC 27002：2013《信息技术安全技术信息安全控制实践指南》

4 ISO/IEC 27003 信息安全管理体系实施指南

ISO/IEC 27003主要是描述如何在组织内实施ISO/IEC 27001，随着ISO/IEC 27001的改版，最近应该也会改版，目前状态为FDIS⑤FDIS，a final draft International Standard，最终国际标准草案。国际标准的开发过程大致有6个阶段，这是第4个阶段，后面就是批准阶段了。，大约会在2017年出版。最新版本为：

ISO/IEC 27003：2010 Information technology—Security techniques—Information security management system implementation guidance（《信息技术安全技术信息安全管理体系实施指南》）

5 ISO/IEC 27004 信息安全管理测量

ISO/IEC 27004是提供了信息安全管理测量的方法，当然，主要是针对ISO/IEC 27001，目前正在改版，改版后专门支持ISO/IEC 27001：2013的正文9.1⑥绩效评价，在ISO/IEC 27001:2005中没有。，大约会在2017年出版。

6 ISO/IEC 27005 信息安全风险管理

ISO/IEC 27005是专门讨论信息安全风险管理的，基本与通用的风险管理标准ISO 31000保持了一致。现在的版本是第2版，发布于2011年，之前版本为2008年版，且被等同采用为GB/T 31722—2015，具体参考信息为：

GB/T 31722—2015/ ISO/IEC 27005：2008《信息技术安全技术信息安全风险管理》

7 ISO/IEC 27006 认证机构要求

ISO/IEC 27006是一个认可标准（accreditation standard）。认证和认可是两码事。认证，指的是第三方组织去审核企业，然后发证。认可，指的是国家主管机构审核第三方组织，以确认他们是否有认证资质。类比一下，认证就是学校给学生发毕业证，认可就是教育部检查学校。显然，这个标准受众，是个小众群体，即第三方认证组织。但是内容基本都是规定性的，改版频繁，目前已经是第3版了，之前为2007版、2011版，现在最新为2015版。

具体信息为：

ISO/IEC 27006：2015 Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems

目前有国家标准：

GB/T 25067—2016/ISO/IEC 27006：2011《信息技术安全技术信息安全管理体系审核和认证机构要求》

8 ISO/IEC 27007 通用的审核

ISO/IEC 27007是为第三方认证机构审核企业提供指导的，这个标准的最新版本为2011年版，具体信息为：

ISO/IEC 27007：2011 Information technology—Security techniques—Guidelines for information security management systems auditing

目前被修改采用为：

GB/T 28450—2012《信息安全技术信息安全管理体系审核指南》

更多资料，可参考《信息安全管体系审核指南》⑧魏军，谢宗晓. 信息安全管理体系审核指南[M]. 北京：中国标准出版社， 2012.。

9 ISO/IEC TR9）27008 控制措施审核

ISO/IEC TR 27008：2011是个技术报告，也是信息安全管理体系的特别之处，主要为ISO/IEC 27001的附录A提供审核指南。

目前最新版本为：

ISO/IEC TR 27008：2011 Information technology—Security techniques—Guidelines for auditors on information security controls（《信息技术安全技术信息安全控制审核指南》）

10 ISO/IEC 27009 特定行业应用的要求

ISO/IEC 27009用于组织如何在特定行业应用ISO/IEC 27001，例如，如何提炼或增加相关的要求或控制。

目前最新版本为2016版，具体信息为：

ISO/IEC 27009：2016 Information technology—Security techniques—Sector-specific application of ISO/ IEC 27001—Requirements（《信息技术安全技术特定行业应用ISO/IEC 27001 要求》）

11 ISO/IEC 27010 跨行业和跨组织的通信

从ISO/IEC 27010开始的编号，讨论行业应用。

ISO/IEC 27010为不同行业以及不同国家间共享风险和事件等信息，提供信息安全管理指导，尤其是这些信息会影响到关键基础设施的时候（critical infrastructure）。

最早发布于2012年，目前已经发布第2版，具体信息为：

ISO/IEC 27010：2015 Information technology—Security techniques—Information security management for inter-sector and inter-organizational communications（《信息技术安全技术跨行业与跨组织通信的信息安全管理》）

其中的章节安排，从第5章到第18章，基本与ISO/IEC 27002：2013保持了一致。

12 ISO/IEC 27011 电信行业的应用

ISO/IEC 27011是由ITU与 ISO/IEC JTC1/SC 27联合开发，因此同时也发布为ITU-T X.1051。

这个标准最早发布于2008年，最新版本为2016版，具体信息为：

ISO/IEC 27011：2016 Information technology—Security techniques—Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations（《信息技术安全技术基于ISO/IEC 27002的电信组织信息安全控制实用规则》）

特定行业的应用在框架上与ISO/IEC 27002基本都是统一的。

13 ISO/IEC 27013 信息安全管理体系与服务管理整合

在实践领域，ISMS与ITIL⑩ITIL，Information Technology Infrastructure Library，信息技术基础架构库，其中一部分成了后来的ISO/IEC 20000，关于IT服务管理的。的整合是很常见的一种形式，由于信息安全多为控制点，IT服务多为流程，而且这两者的从业人员背景也比较相似，整合应用是不可避免的。

ISO/IEC 27013最早发布于2012年，基于ISO/ IEC 27001：2005与ISO/IEC 20000-1：2011。随着这2个标准的改版，ISO/IEC 27013也得随着改变，现在最新版本为：

ISO/IEC 27013：2015 Information technology—Security techniques—Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1（《信息技术安全技术 ISO/IEC 27001与ISO/IEC 20000-1的整合应用指南》）

ISO/IEC 27011：2016由SC 27和SC 7合作开发，附录A中有ISO/IEC 27001和ISO/IEC 20000-1的对照。

14 ISO/IEC 27014 信息安全治理

ISO/IEC 27014是关于信息安全治理的，治理和管理的区别，在公司治理领域分得比较清楚。但是在信息安全领域，这两个词汇界限非常模糊。一般而言，治理是方向性的，关注如何在高层管理中梳理清楚利益关系，管理更多是控制性的，更关注如何实现组织的信息安全目标，更细节一些。

ISO/IEC 27014也是ITU与 ISO/IEC JTC1/SC 27合作开发的，因此同时发布为ITU-T X.1054，目前最新版本为：

ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

该标准已经被等同采用为国家标准：

GB/T 32923—2016/ISO/IEC 27014：2013《信息技术安全技术信息安全治理》

由于已经有国家标准，不再介绍具体内容。毫无疑问，信息安全治理很重要⑪⑪谢宗晓，周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报， 2015（10）：38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68，Financial services, SC 2，Security management and general banking operations。⑬在ISO的开发过程标识中，60.60的意思是International Standard published。限于篇幅，我们在本书中没有给出所有的过程标识符号，有兴趣的读者，可以参考：林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015. 在该书的第二部分中，有详细的表格。⑭http://www.iso27001security.com/html/27015.html。，但是一定要从管理中分离开来讨论，又不太容易说清楚。

15 ISO/IEC TR 27015 金融服务信息安全管理

ISO/IEC TR 27015主要指导在金融企业内实施ISO/IEC 27000标准族，目前最新版本为：

ISO/IEC TR 27015：2012 Information technology—Security techniques—Information security management guidelines for financial services（《信息技术安全技术金融服务信息安全管理指南》）

从上文中，我们也已经看出，电信和金融对信息安全比较重视，除了这个标准，还有类似于：

ISO/TR 13569：2005 Financial services—Information security guidelines（《金融服务信息安全指南》）

这个标准不是ISO/IEC JTC1/SC 27开发的，是ISO/TC 68/SC 2⑫⑪谢宗晓，周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报， 2015（10）：38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68，Financial services, SC 2，Security management and general banking operations。⑬在ISO的开发过程标识中，60.60的意思是International Standard published。限于篇幅，我们在本书中没有给出所有的过程标识符号，有兴趣的读者，可以参考：林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015. 在该书的第二部分中，有详细的表格。⑭http://www.iso27001security.com/html/27015.html。发布的标准。这是真正从业务角度考虑信息安全，所以视角完全不同。ISO/TR 13569已经是第3版了，之前有1997和1998版本。

原则上说，随着ISO/IEC 27001和ISO/IEC 27002的改版，ISO/IEC TR 27015：2012也需要改版了。到现在ISO标识的状态依然是60.60⑬⑪谢宗晓，周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报， 2015（10）：38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68，Financial services, SC 2，Security management and general banking operations。⑬在ISO的开发过程标识中，60.60的意思是International Standard published。限于篇幅，我们在本书中没有给出所有的过程标识符号，有兴趣的读者，可以参考：林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015. 在该书的第二部分中，有详细的表格。⑭http://www.iso27001security.com/html/27015.html。，没有改版的迹象。据说⑭⑪谢宗晓，周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报， 2015（10）：38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68，Financial services, SC 2，Security management and general banking operations。⑬在ISO的开发过程标识中，60.60的意思是International Standard published。限于篇幅，我们在本书中没有给出所有的过程标识符号，有兴趣的读者，可以参考：林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015. 在该书的第二部分中，有详细的表格。⑭http://www.iso27001security.com/html/27015.html。这个标准要被弃用，如果放弃开发也很正常，如果业务领域和信息安全领域的标准有竞争，最后被采用的肯定是业务领域推广的标准。

16 ISO/IEC TR 27016 安全经济学

ISO/IEC TR 27016用于指导企业如何在考虑经济因素条件下对信息安全投资做决策，在实践中这件事很重要。目前，ISO/IEC TR 27016的最新版本为：

ISO/IEC TR 27016：2014 Information technology—Security techniques—Information security management—Organizational economics（《信息技术安全技术信息安全管理组织经济学》）

我们会尽快在《中国质量与标准导报》的“本刊特约”专栏中介绍ISO/IEC TR 27016：2014。

17 ISO/IEC 27017 云服务安全

ISO/IEC 27017是在ISO/IEC 27002及其他相关ISO/IEC 27000标准族的基础上，提供云服务的信息安全控制，这个标准也是与ITU合作，因此同时发布为ITU-T X.1631。

目前最新版本为：

ISO/IEC 27017：2015 Information technology—Security techniques—Code of practice for information security controls based on ISO/IEC 27002 for cloud services（《信息技术安全技术基于ISO/IEC 27002的云服务信息安全控制实用规则》）

该标准与特定行业的应用架构基本是一致的，都与ISO/IEC 27009保持兼容。

18 ISO/IEC 27018 公有云中的隐私保护

ISO/IEC 27018用来指导公有云的服务提供商，例如，微云、百度云等，如何保护个人隐私，该标准与ISO/IEC 27017联系紧密。

目前，最新版本信息为：

ISO/IEC 27018：2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information （PII） in public clouds acting as PII processors（《信息技术安全技术公有云中作为个人身份信息处理者保护个人身份信息的实用规则》）

通俗地讲，ISO/IEC 27018是关于公有云服务个人资料处理者如何保护客户隐私的最佳实践，这些在特定领域应用的标准，架构基本都一致，因为都是基于通用的ISO/IEC 27001和ISO/IEC 27002。

19 ISO/IEC TR 27019 能源公共事业信息安全管理

ISO/IEC TR 27019是关于能源公用事业行业应用ISO/IEC 27002及其相关的ISO/IEC 27000标准族的指南，目前最新的版本为：

ISO/IEC TR 27019：2013 Information technology—Security techniques—Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry（《信息技术安全技术基于ISO/IEC 27002用于能源公共事业行业过程控制的信息安全管理指南》）

ISO/IEC TR 27019目前所依据的还是ISO/IEC 27002：2005，ISO最新标识的状态是90.92⑮⑮在ISO的开发过程标识中，90.92的意思是International Standard to be revised 60.60。限于篇幅，我们在本书中没有给出所有的过程标识符号，有兴趣的读者，可以参考：林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社, 2015. 在该书的第二部分中，有详细的表格。。

Development of ISO/IEC 27000 Standards (Part A)

Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )

We introduce the development of ISO/IEC 27000 standards before ISO/IEC 27030, in which from ISO/IEC 27000 to ISO/IEC 27008 mainly focus on information security management system (ISMS) and after ISO/IEC 27009 mainly focus on a specif c application of ISO/IEC 27001.

ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002

2）本文中所列出的标准及状态以http://www.iso.org公开发布的在售目录为准，末次登录时间为2016年12月9日。其他信息，则来源于http://www. iso27001security.com/index.html。

⑨TR, Technical Report，技术报告。