陈磊（内蒙古公安厅）

谢宗晓（中国金融认证中心）

1 定义

信息安全管理体系（Information Security Management System，ISMS）并不是一个专用术语，满足其定义描述条件的应该都是。但实际情况是，由于这个术语起源于ISO/IEC 27002和ISO/IEC 27001的早期版本，属于新生词汇，其他文献中很少见到。所以在实践中，ISMS几乎成了一个专用术语。因为某种产品过于普及，就成为某类行为的代名词，这是很常见的现象。由于ISO/IEC 27000标准族在全球范围内实施广泛，在实践中，就会有此类对话，例如：组织在做27001，意思是说，组织在部署ISMS，或者说，组织在根据ISO/IEC 27001部署信息安全。

换言之，ISMS是一整套的保障组织信息安全的方案（或方法），是组织管理体系的一部分，定义和指导ISMS的标准是ISO/IEC 27000标准族，而这其中，ISO/IEC 27002和ISO/IEC 27001是最重要也是出现最早的2个标准。由于这个原因，导致这一堆词汇在实践中开始混用，而不必刻意地去区分。因此，这几个词汇都认为是同义词：

· 信息安全管理体系（ISMS）；

· ISO/IEC 27000标准族；

· ISO/IEC 27002或ISO/IEC 27001视上下文，也可能是指代ISMS。

2 相关国际标准的研发情况

负责开发ISO/IEC 27000标准族的机构为ISO/IEC JTC1 SC271），广义的ISO/IEC 27000标准族包括了以ISO/IEC 27×××编号的所有的标准，即ISO/IEC 27000至ISO/IEC 27059，还包括了新立项的ISO/IEC 27102与ISO/IEC 27103，更详细的信息请参考文献[1]。

ISO/IEC 27000标准族最早围绕ISO/IEC 27002发展而来，在后续的扩散过程中，ISO/IEC 27001起到了更基础的作用。文献[2]和[3]描述了ISO/IEC 27002和ISO/IEC 27001详细的版本演化过程。

3 相关国家标准简介

ISMS国家标准的主要研发机构为全国信息安全标准化技术委员会（SAC/TC 260）2），绝大部分标准主要等同采用或修改采用国际标准。在上述描述的国际标准中，截至2018年7月，有11项标准被采用为国家标准。

（1）GB/T 29246—2017《信息技术 安全技术信息安全管理体系 概述和词汇》

该标准等同采用ISO/IEC 27000：2016，在标准的研发顺序中，ISO/IEC 27000是后加的标准，ISO/IEC 27000中的词汇是从较早版本的ISO/IEC 27002和ISO/IEC 27001中剪切过来的。ISO/IEC 27000的版本变化频繁，目前ISO/IEC 27000：2016已经被ISO/IEC 27000：2018代替。

（2）GB/T 22080—2016《信息技术 安全技术信息安全管理体系 要求》

该标准等同采用ISO/IEC 27001：2013，为ISO/IEC 27000标准族的基础标准，应用广泛，主要定义了信息安全管理体系的要求，是认证的依据。

（3）GB/T 22081—2016《信息技术 安全技术信息安全控制实践指南》

该标准等同采用ISO/IEC 27002：2013，为ISO/IEC 27000标准族的基础标准，应用广泛，给出了14个安全域，39个安全目标，以及114项安全控制。GB/T 22081—2016本质上是“良好实践（Good Practice）”。

（4）GB/T 31496—2015《信息技术 安全技术信息安全管理体系实施指南》

该标准等同采用ISO/IEC 27003：2010，是针对ISO/IEC 27001：2013的实施指南。但是ISO/IEC 27003：2010已经被ISO/IEC 27003：2017所替代，新版标准变动非常大，标准名称也更改为《信息技术 安全技术 信息安全管理体系 指南》。

（5）GB/T 31497—2015《信息技术 安全技术信息安全管理 测量》

该标准等同采用ISO/IEC 27004：2009，目前最新版为ISO/IEC 27004：2016，变化较大，标准名称更改为《信息技术 安全技术 信息安全管理 监视、测量、分析与评价》。

（6）GB/T 31722—2015《信息技术 安全技术信息安全风险管理》

该标准等同采用ISO/IEC 27005：2008，信息安全风险管理是ISMS的重要手段，也是基础框架。2018年7月，ISO已经发布了最新版的ISO/IEC 27005。

（7）GB/T 25067—2016《信息技术 安全技术信息安全管理体系审核和认证机构要求》

这是一个认可标准，更类似于行政要求，等同采用ISO/IEC 27006：2011。

（8）GB/T 28450—2012《信息安全技术 信息安全管理体系审核指南》

该标准同ISO/IEC 27007有一定的区别。国际标准最新版为ISO/IEC 27007：2017，之前版本为ISO/IEC 27007：2011。

（9）GB/Z 32916—2016《信息技术 安全技术信息安全控制措施审核员指南》

该指导性技术文件等同采用ISO/IEC TR 27008：2011，是关于控制审核的技术报告，国际标准的最新状态是ISO/IEC PDTS 27008。

（10）GB/T 32920—2016《信息技术 安全技术 行业间和组织间通信的信息安全管理》

该标准等同采用ISO/IEC 27010：2012，目前该版本已经被替代为ISO/IEC 27010：2015。

（11）GB/T 32923—2016《信息技术 安全技术 信息安全治理》

该标准等同采用ISO/IEC 27014：2013，国际标准的最新状态为ISO/IEC NP 27014。治理与管理概念相近，但是有不同的管理学含义。

4 小结

如上文所述，信息安全管理体系国家标准的采标情况整体如表1所示。

表1 信息安全管理体系国家标准

续表1