谢宗晓（南开大学商学院）

甄杰（重庆工商大学商务策划学院）

截至2016年底ISO/IEC 27000标准族的进展（下）2）

谢宗晓（南开大学商学院）

甄杰（重庆工商大学商务策划学院）

本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27031之后的标准开发进展情况，这些标准主要关注ISO/ IEC 27001：2013附录A中不同的控制域。

ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文55篇，出版专著12本。

信息安全管理系列之二十五

随着ISO/IEC 27001和ISO/IEC 27002在2013的改版①谢宗晓，巩庆志. ISO/IEC 27001：2013 标准解读及改版分析[M]. 北京：中国标准出版社，2013.，根据ISO的国际标准开发流程，其他ISO/IEC 27000标准族在2014—2016年之间的3年左右也进入改版的高峰期，我们用2期的篇幅，介绍截至2016年底ISO/IEC 27000标准族的最新进展情况。在后续的专栏中，我们会更详细地介绍这些标准。

谢宗晓（特约编辑）

1 ISO/IEC 27031 ICT的业务连续性

ISO/IEC 27031提供了ICT业务连续性概念及基本原则，对应到ISO/IEC 27001：2013的A.17 业务连续性管理的信息安全方面。

ISO/IEC 27031发布于2011年，与ISO 22301：2012联系紧密。目前版本信息为：

ISO/IEC 27031：2011 Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity（《信息技术 安全技术 ICT业务连续性指南》）

之前发布过ISO/IEC 24762：2008，关于灾难恢复的，已经被撤销。

如果不加限定词，业务连续性包括了很大的范畴，更广义的业务连续性的国际标准，如上文中的ISO 22301。

ISO 22301：2012 Societal security—Business continuity management systems—Requirements（《社会安全 业务连续性管理体系 要求》）

ISO 22301：2012是值得一读的标准，这个标准有一个“0.2 The Plan-Do-Check-Act （PDCA） model”非常精彩。ISO 22301：2012与ISO/IEC Directives, Part 1①ISO/IEC Directives，Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附录2：High level structure, identical core text, common terms and core definitions（高层结构﹑相同条款标题﹑相同文本﹑通用术语和核心定义）。保持了一致，当时，ISO/IEC 27001还是2005版，采用的PDCA模型。ISO 22301：2012用了一节与ISO/IEC 27001：2005的PDCA框架进行了对应，为的是与管理体系标准族加强兼容。ISO 22301：2012与ISO/IEC 27001：2013正文都是根据ISO/IEC Directives, Part 1，且要比ISO/IEC 27001：2013出版得早。

2 ISO/IEC 27032 网络空间安全

ISO/IEC 27032 对网络安全/网络空间安全②关于词汇的辨析，请参考：谢宗晓. 信息安全﹑网络安全及赛博安全相关词汇辨析[J]. 中国标准导报，2015（12）：30-32.谢宗晓. 关于网络空间（cyberspace）及其相关词汇的再解析[J]. 中国标准导报，2016（02）：26-28.提供了指导，目前最新版本为：

ISO/IEC 27032：2012 Information technology—Security techniques —Guidelines for cybersecurity（《信息技术 安全技术 网络安全指南》）

更多资料，可参考《网络空间安全管理》③ISO/IEC Directives，Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附录2：High level structure, identical core text, common terms and core definitions（高层结构﹑相同条款标题﹑相同文本﹑通用术语和核心定义）。，其中有对ISO/IEC 27032：2012的详细介绍。

3 ISO/IEC 27033 网络安全

ISO/IEC 27033为网络安全，在ISO/IEC 27001：2013中对应到A.13.1网络安全管理，但在其中描述得非常简单。

该标准之前发布为ISO/IEC 18028，原来有5部分，现在成了6部分，分别为：

ISO/IEC 27033-1：2015 Information technology—Security techniques—Network security—Part 1：Overview and concepts（《信息技术 安全技术 网络安全 第1部分：综述和概念》）

ISO/IEC 27033-2：2012 Information technology—Security techniques—Network security—Part 2：Guidelines for the design and implementation of network security（《信息技术 安全技术 网络安全 第2部分：网络安全的设计与实现指南 》）

ISO/IEC 27033-3：2010 Information technology—Security techniques—Network security—Part 3：Reference networking scenarios—Threats, design techniques and control issues（《信息技术 安全技术网络安全 第3部分：参考网络方案 威胁﹑设计技术和控制问题》）

ISO/IEC 27033-4：2014 Information technology—Security techniques—Network security—Part 4：Securing communications between networks using security gateways（《信息技术 安全技术 网络安全第4部分：使用安全网关保护网络之间的通信》）

ISO/IEC 27033-5：2013 Information technology—Security techniques—Network security—Part 5：Securing communications across networks using Virtual Private Networks （VPNs）（《信息技术 安全技术 网络安全 第5部分：使用虚拟专用网的跨网通信安全保护》）

ISO/IEC 27033-6：2016 Information technology—Security techniques—Network security—Part 6：Securing wireless IP network access（《信息技术 安全技术 网络安全 第6部分：无线IP网络访问保护》）

4 ISO/IEC 27034 应用安全

ISO/IEC 27034为应用安全，在ISO/IEC 27001：2013中对应到A.14 系统获取﹑开发和维护。

ISO/IEC 27034一共有7部分，已经公布的有3个，还有4个正在开发中。

公布的部分有：

ISO/IEC 27034-1：2011 Information technology—Security techniques—Application security—Part 1：Overview and concepts（《信息技术 安全技术 应用安全 第1部分：综述与概念》）

ISO/IEC 27034-1发布于2011年，当时的设计只有5部分，在其前言中，ISO/IEC 27034-6和ISO/ IEC 27034-7没有列入。

ISO/IEC 27034-2：2015 Information technology—Security techniques—Application security—Part 2：Organization normative framework（《信息技术 安全技术 应用安全 第2部分：组织规范性框架》）

ISO/IEC 27034-6：2016 Information technology—Security techniques—Application security—Part 6：Case studies（《信息技术 安全技术 应用安全 第6部分：案例研究》）

目前正在开发的有：

ISO/IEC 27034-3 Information technology—Security techniques—Application security—Part 3：Application security management process（《信息技术 安全技术应用安全 第3部分：应用安全管理过程》）

ISO/IEC 27034-4 Information technology—Security techniques—Application security—Part 4：Application security validation（《信息技术 安全技术应用安全 第4部分：应用安全验证》）

ISO/IEC 27034-5 Information technology—Security techniques—Application security—Part 5：Protocols and application security control data structure（《信息技术 安全技术 应用安全 第5部分：协议与应用安全控制数据结构》）

ISO/IEC 27034-7 Information technology—Security techniques—Application security—Part 7：Application security assurance prediction framework（《信息技术 安全技术 应用安全 第7部分：应用安全保障预测框架》）

ISO/IEC 27034与SDLC①SDLC，Systems Development Life Cycle，系统开发生命周期。进行了整合，建立了一个基于过程的方法，为定义﹑设计/选择实施信息安全控制提供了指导，适用于信息系统的内部开发﹑外部获取或外包等所有情形。这个标准与软件开发联系紧密。

5 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035为信息安全事件管理，在ISO/ IEC 27001：2013中为A.16 信息安全事件管理。该标准之前为ISO/IEC-TR-18044，发布于2004年，应用广泛。被修改采用为GB/Z 20985—2007《信息技术 安全技术 信息安全事件管理指南》，可以作为参考。

现在ISO/IEC 27035分成了2部分，分别为：

ISO/IEC 27035-1：2016 Information technology—Security techniques—Information security incident management—Part 1：Principles of incident management（《信息技术 安全技术 信息安全事件管理 第1部分：事件管理原则》）

ISO/IEC 27035-2：2016 Information technology—Security techniques—Information security incident management—Part 2：Guidelines to plan and prepare for incident response（《信息技术 安全技术 信息安全事件管理 第2部分：事件响应规划与准备指南》）

6 ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036为供应商关系信息安全，在ISO/IEC 27001：2013中为A.15供应商关系。

该标准一共有4部分，具体为：

ISO/IEC 27036-1：2014 Information technology—Security techniques—Information security for supplier relationships—Part 1：Overview and concepts（《信息技术 安全技术 供应商关系中的信息安全 第1部分：综述和概念》）

ISO/IEC 27036-2：2014①ISO/IEC 27036-2：2014可以免费下载。http://standards.iso.org/ittf/PubliclyAvailableStandards/c059648_ISO_IEC_27036-1_2014.zip。Information technology—Security techniques—Information security for supplier relationships—Part 2：Requirements（《信息技术 安全技术 供应商关系中的信息安全 第2部分：要求》）

ISO/IEC 27036-3：2013 Information technology—Security techniques—Information security for supplier relationships—Part 3：Guidelines for information and communication technology supply chain security ICT（《信息技术 安全技术 供应商关系中的信息安全 第3部分：供应链安全指南》）

ISO/IEC 27036-4：2016 Information technology—Security techniques—Information security for supplier relationships—Part 4：Guidelines for security of cloud services（《信息技术 安全技术 供应商关系中的信息安全 第4部分：云服务安全指南》）

ISO/IEC 27036所讨论的供应商关系中的信息安全是一个单独的领域，可以参考《中国标准导报》信息安全管理系列的相关文章②关于这方面的文献比较少，更多可请参考：谢宗晓，董坤祥. ICT供应链信息安全标准ISO/IEC 27036-3及体系分析[J]. 中国标准导报，2016（03）：16-21.董坤祥，谢宗晓. ICT供应链风险管理标准NIST SP800-161探析[J]. 中国标准导报，2015（11）：34-37+41.。

7 ISO/IEC 27037 数字证据识别、收集、获取与保护

从ISO/IEC 27037开始的后面这些标准，都比较细分领域，不太容易与ISO/IEC 27001：2013的附录A对应，如果一定要对应，可以到A.16.1.7证据的收集③这个是在A.16 信息安全事件管理。。

ISO/IEC 27037：2012 Information technology—Security techniques—Guidelines for identification，collection, acquisition and preservation of digital evidence（《信息技术 安全技术 数字证据的识别﹑收集﹑获取与保护指南》）

后续如ISO/IEC 27050等还有数个关于数字证据的标准。

8 ISO/IEC 27038 数字编校

许多文档可能需要公开，而这其中又有一些涉密的信息，文件编辑描述的是去除某些部分﹑句子或段落等。这个过程叫做“redaction”。这个问题有点小众。

目前的最新版本为：

ISO/IEC 27038：2014 Information technology—Security techniques—Specification for digital redaction（《信息技术 安全技术 数字编校规范》）

ISO/IEC 27038：2014的标准架构跟别的不太一样，我们也没有跟踪过这个标准，因此不做进一步介绍，后续会跟进。

9 ISO/IEC 27039 入侵防御

ISO/IEC 27039是一类关于信息安全产品的标准，之后会陆续出现，只是ISO/IEC 27039是比较早以ISO/IEC 27000标准族编号的。

在IDS④IDS，Intrusion Detection System，入侵检测系统。时代，ISO/IEC 27039发布为：

ISO/IEC 18043：2006 Information technology—Security techniques—Selection, deployment and operations of intrusion detection systems（注意，已弃用）

ISO/IEC 18043：2006被修改采用为：

GB/T 28454—2012《信息技术 安全技术 入侵检测系统的选择﹑部署和操作》

现在已经是IPS⑤IPS，Intrusion Prevention System，入侵防御系统。时代，因此，最新更新的ISO/IEC 27039版本为：

ISO/IEC 27039：2015 Information technology—Security techniques—Selection, deployment and operations of intrusion detection and prevention systems（IDPS）（《信息技术 安全技术 入侵防御系统选择﹑部署和操作》）

10 ISO/IEC 27040 存储安全

ISO/IEC 27040提供了定义恰当的风险减缓级别并应用充分证明和一致的方法来规划﹑设计﹑记录与实施数据存储安全的详细的技术指导。

目前，最新的版本信息为：

ISO/IEC 27040：2015 Information technology—Security techniques—Storage security《信息技术 安全技术 存储安全》）

11 ISO/IEC 27041 事件调查保障

ISO/IEC 27041也是与事件管理相关的标准，其中：ISO/IEC 27043：2015定义了事件调查的原则与过程，ISO/IEC 27035-2提供了事件响应的准备与规划，ISO/IEC 27037：2012和 ISO/IEC 27042：2015描述了事件调查过程。

ISO/IEC 27041的最新版本为：

ISO/IEC 27041：2015 Information technology—Security techniques—Guidance on assuring suitability and adequacy of incident investigative method（《信息技术 安全技术 保障时间调查方法的适宜性与充分性指南》）

12 ISO/IEC 27042 数字证据分析与解释

ISO/IEC 27042为分析和解释信息系统安全事件处理提供了一个通用的框架，目前版本信息为①看起来与ISO/IEC 27037只是数字证据处理过程的不同阶段，我们也没有做过深入研究，不清楚为什么要分开编号。专注于这个方向的读者，可以联系我们（xiezongxiao@vip.163.com），特别感谢。：

ISO/IEC 27042：2015 Information technology—Security techniques—Guidelines for the analysis and interpretation of digital evidence（《信息技术 安全技术 数字证据分析与解释指南》）

13 ISO/IEC 27043 事件调查过程

ISO/IEC 27043也是与事件调查相关的，提供了一般的原则与过程。最新的版本信息为：

ISO/IEC 27043：2015 Information technology—Security techniques—Incident investigation principles and processes（《信息技术 安全技术 事件调查原则与过程》）

14 ISO/IEC 27050 电子举证

最后一个跟事件调查相关的标准，ISO/IEC 27050分为4部分，目前正式发布的只有第1部分，具体信息如下：

ISO/IEC 27050-1：2016 Information technology—Security techniques—Electronic discovery—Part 1：Overview and concepts （《信息技术 安全技术 电子举证 第1部分：综述和概念》）

其他3个正在开发的标准为：

ISO/IEC 27050-2 Information technology—Security techniques—Electronic discovery—Part 2：Guidance for governance and management of electronic discovery （《信息技术 安全技术 电子举证 第2部分：电子举证治理与管理指南》）

ISO/IEC 27050-3 Information technology—Security techniques—Electronic discovery—Part 3：Code of practice for electronic discovery （《信息技术安全技术 电子举证 第3部分：电子举证实用规则》）

ISO/IEC 27050-4 Information technology—Security techniques—Electronic discovery—Part 4：ICT readiness for electronic discovery （《信息技术 安全技术 电子举证 第4部分：电子举证准备》）

15 ISO 27799 健康领域应用

ISO 27799目前是第2版，最初发布于2008年，具体信息为：ISO 27799：2016 Health informatics—Information security management in health using ISO/IEC 27002（《健康信息学 应用ISO/IEC 27002的健康信息安全管理》）

值得指出的是，ISO 27799在引言中专门讨论了该标准与信息治理﹑公司治理以及临床治理之间的关系。其中认为，越来越多的医疗机构依赖于信息系统的支持，例如，利用决策支持系统使得诊断从“基于经验”转至“基于证据”，信息完整性﹑可用性和保密性的损失对诊疗产生显著的影响。因此，临床治理框架需要将有效的信息安全风险管理和护理治疗计划﹑传染病管理战略和其他“核心”临床管理事务①care treatment plans, infection management strategies and other “core” clinical management matters，这几个词汇比较专业，可能翻译不准，整体意思就是，信息安全很重要，甚至与医疗的那些核心业务同等重要。同等重视。

这个标准实际与ISO/IEC 27010等特定领域的应用都是差不多的，但是ISO 27799在国内推广得很一般。ISO 27799没有按照顺序编号，可能是因为这个标准的开发组织并不是ISO/IEC JTC1/SC 27，而是ISO/TC 215②ISO/TC 215，Health informatics健康信息学。。

Development of ISO/IEC 27000 Standards Family (Part B)

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie ( School of Business Planning, Chongqing Technology and Business University )

We introduce the development of ISO/IEC 27000 standards after ISO/IEC 27031, which mainly focus on control family mapping to ISO/IEC 27001:2013 Annex A.

ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002

2）本文中所列出的标准及状态以http://www.iso.org公开发布的在售目录为准，末次登录时间为2016年12月9日。其他信息，则来源于http://www. iso27001security.com/index.html。