謝宗曉 甄杰 董坤祥

摘要：介紹了ISO/IEC 27000標(biāo)準(zhǔn)族的最新開發(fā)進(jìn)展，尤其是2019年改版和新增的標(biāo)準(zhǔn)。

關(guān)鍵詞：ISO/IEC 27000標(biāo)準(zhǔn)族 ISO/IEC 27001 ISO/IEC 27002

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2019.

Key words： ISO/IEC 27000 standards family， ISO/IEC 27001， ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

最新版本為ISO/IEC 27000：2018，第5版。目前在用的國家標(biāo)準(zhǔn)對應(yīng)版本為2016年的第4版，即GB/T 29246—2017 / ISO/IEC 27000： 2016。在2019年無變化。

2 ISO/IEC 27001 信息安全管理體系 要求

最新版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015，該標(biāo)準(zhǔn)被等同采用為GB/T 22080—2016。在2019年無變化。

3 ISO/IEC 27002 信息安全控制實(shí)踐指南

最新版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015，目前有正在開發(fā)中的第3版，最新狀態(tài)為ISO/IEC WD 27002。ISO/IEC 27002： 2013被等同采用為國家標(biāo)準(zhǔn)GB/T 22081—2016。在2019年無變化。

值得注意是，ISO/IEC 27002：2005標(biāo)題為Code of practice for information security management（信息安全管理? ? 實(shí)用規(guī)則），ISO/IEC 27002：2013標(biāo)題為Code of practice for information security controls（信息安全控制實(shí)踐指南），兩者翻譯區(qū)別較大，但是英文標(biāo)題區(qū)別不大。

4 ISO/IEC 27003 信息安全管理體系 指南

最新版本依然為2017年3月發(fā)布的第2版，在2019年無變化。該標(biāo)準(zhǔn)的在用國家標(biāo)準(zhǔn)版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 監(jiān)視、測量、分析和評價(jià)

最新版本為2016年12月發(fā)布的第2版，在2019年無變化。該標(biāo)準(zhǔn)的在用國家標(biāo)準(zhǔn)版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全風(fēng)險(xiǎn)管理

該標(biāo)準(zhǔn)最新版本為2018年7月發(fā)布的第3版，在2019年無變化。該標(biāo)準(zhǔn)的在用國家標(biāo)準(zhǔn)版本為：GB/T 31722—2015/ ISO/IEC 27005：2008，具體的分析請參考文獻(xiàn)[6]。

7? ? ISO/IEC 27006? ? 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

最新為2015版（第3版），在2019年無變化。目前在用的國家標(biāo)準(zhǔn)為GB/T 25067—2016/ISO/IEC 27006：2011。

8 ISO/IEC 27007 信息安全管理體系審核指南

該標(biāo)準(zhǔn)在2017年10月發(fā)布第2版，代替之前的2011版本。ISO/IEC 27007正在改版，目前最新狀態(tài)ISO/IEC FDIS 27007。國家標(biāo)準(zhǔn)為GB/T 28450—2012，但不是采標(biāo)的版本。

9? ? ISO/IEC TS 27008? ? 信息安全控制評估指南

該標(biāo)準(zhǔn)2019年最新狀態(tài)為ISO/IEC TS 27008：2019，由技術(shù)報(bào)告（TR）改成了技術(shù)規(guī)范（TS），標(biāo)題也從“審核”變成了“評估”。

以上標(biāo)準(zhǔn)在2019年版本都已經(jīng)接近穩(wěn)定，說明信息安全管理的基礎(chǔ)標(biāo)準(zhǔn)的開發(fā)已經(jīng)日漸成熟。

10 ISO/IEC 27009 特定行業(yè)應(yīng)用ISO/IEC 27001? ? 要求

最新版本為2016版，目前正在改版狀態(tài)，最新版本為ISO/IEC DIS 27009。

11 ISO/IEC 27010 信息安全管理跨行業(yè)和跨組織的通信

最新版本為2015年發(fā)布的第2版，在2019年無變化。該標(biāo)準(zhǔn)對應(yīng)的國家標(biāo)準(zhǔn)為GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實(shí)用規(guī)則

最新版本為2016版，2018年發(fā)布有ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系與服務(wù)管理整合

最新版本為2016年發(fā)布的第2版，目前正在改版，最新狀態(tài)為ISO/IEC AWI 27013。

14 ISO/IEC 27014 信息安全治理

最新版本為2013年發(fā)布的第1版，2019年最新狀態(tài)為ISO/IEC CD 27014。該標(biāo)準(zhǔn)對應(yīng)的國家標(biāo)準(zhǔn)為GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27016 信息安全管理 組織經(jīng)濟(jì)學(xué)

最新版本為2014年發(fā)布的第1版，在2019年無變化。

16 ISO/IEC 27017 基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)用規(guī)則

最新版本為2015年發(fā)布的第1版，在2019年無變化。

17 ISO/IEC 27018 公有云中個(gè)人身份信息保護(hù)實(shí)用規(guī)則

最新版本為2019年1月發(fā)布的第2版，該標(biāo)準(zhǔn)是關(guān)于隱私保護(hù)的。

18 ISO/IEC 27019 能源公共事業(yè)行業(yè)的信息安全控制

最新版本為2017年10月發(fā)布的第1版，之前被發(fā)布為ISO/IEC TR 27019：2013。

19 ISO/IEC 27021 信息安全管理體系專業(yè)人員能力要求

最新版本為2017年10月發(fā)布的第1版。

20 ISO/IEC WD 27022 ISMS過程指南

該標(biāo)準(zhǔn)正在開發(fā)中，目前狀態(tài)為WD（工作組草案），由于為開發(fā)中標(biāo)準(zhǔn)，因此在標(biāo)題中強(qiáng)調(diào)了其WD狀態(tài)，并標(biāo)識斜體，防止混淆，下文遵循此規(guī)則。

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

最新版本是發(fā)布于2015年7月的第1版。

22 ISO/IEC WD 27030 物聯(lián)網(wǎng)安全與隱私指南

該標(biāo)準(zhǔn)正在開發(fā)中，為隱私類標(biāo)準(zhǔn)。

23 ISO/IEC 27031 ICT業(yè)務(wù)連續(xù)性指南

ISO/IEC 27031最新版本是發(fā)布于2011年的第1版，在2019年開始改版，目前狀態(tài)為ISO/IEC WD 27031。

24 ISO/IEC 27032 網(wǎng)絡(luò)空間安全

ISO/IEC 27032最新版本發(fā)布于2012年的第1版，在2018年經(jīng)過評審后，版本依然有效。2019年開始改版，目前狀態(tài)為ISO/IEC WD 27032，但標(biāo)題改成了Guidelines for Internet Security（因特網(wǎng)安全指南）。

25 ISO/IEC 27033 網(wǎng)絡(luò)安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028，在2019年，其中的6個(gè)部分，均沒有大的變化，說明該標(biāo)準(zhǔn)開發(fā)也比較成熟了。

26 ISO/IEC 27034 應(yīng)用安全

ISO/IEC 27034有7部分，其中：

· ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均無變化;

· ISO/IEC CD 27034-4，狀態(tài)自2018年就是CD（委員會(huì)草案）;

· ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均無變化;

· 在2018年4月，發(fā)布有ISO/IEC TS 27034-5-1：2018。

ISO/IEC TS 27034-5-1：2018計(jì)劃可能是5部分，但是在2019年并無新進(jìn)展，其標(biāo)題為XML schemas。

在2019年，ISO/IEC 27034也基本沒有變化，說明其開發(fā)也日漸成熟了。

27 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都為2016年版本，目前也都正在改版，狀態(tài)為ISO/IEC WD 27035-1和ISO/IEC WD 27035-2。

在2017年增加了ISO/IEC 27035-3，目前最新狀態(tài)為ISO/IEC CD 27035-3。

28 ISO/IEC 27036 供應(yīng)商關(guān)系中的信息安全

ISO/IEC 27036一共有4部分，在2019年均無變化。

29 ISO/IEC 27037 數(shù)字證據(jù)識別、收集、獲取與保護(hù)指南

ISO/IEC 27037版本為2012版，在2019年無變化。

30 ISO/IEC 27038 數(shù)字編校指南

ISO/IEC 27038最新版本為2014版，在2019年無變化。

31 ISO/IEC 27039 入侵檢測系統(tǒng)的選擇、部署和操作

最新版本為2015版，在2019年沒有變化。

32 ISO/IEC 27040 存儲(chǔ)安全

最新版本為2015版，在2019年沒有變化。

33 ISO/IEC 27041 事件調(diào)查方法的適宜性與充分性保證指南

最新版本為2015版，在2019年沒有變化。

34 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋指南

最新版本為2015版，在2019年沒有變化。

35 ISO/IEC 27043 事件調(diào)查原則與過程

最新版本為2015版，在2019年沒有變化。

36 ISO/IEC WD 27045 大數(shù)據(jù)安全與隱私 過程

該標(biāo)準(zhǔn)在開發(fā)過程中。

37 ISO/IEC 27050 電子數(shù)據(jù)取證

ISO/IEC 27050分為4個(gè)部分，其中：

· ISO/IEC 27050-1和ISO/IEC 27050-2無變化;

· ISO/IEC 27050-3開始改版，最新狀態(tài)為ISO/IEC FDIS 27050-3;

· ISO/IEC 27050-4依然在開發(fā)中，最新狀態(tài)為ISO/IEC CD 27050-4。

38 ISO/IEC WD 27070 建立虛擬信任根的安全要求

該標(biāo)準(zhǔn)尚在開發(fā)中。

39 ISO/IEC AWI 27071 設(shè)備和服務(wù)之間建立可信連接的安全建議

該標(biāo)準(zhǔn)尚在開發(fā)中。

40 ISO/IEC CD 27099 公鑰基礎(chǔ)設(shè)施 實(shí)踐與策略框架

該標(biāo)準(zhǔn)尚在開發(fā)中。

41 ISO/IEC WD TS 27100 網(wǎng)絡(luò)安全 概述與概念

該標(biāo)準(zhǔn)尚在開發(fā)中。

42 ISO/IEC WD TS 27101 框架開發(fā)指南

該標(biāo)準(zhǔn)尚在開發(fā)中。

43 ISO/IEC 27102 信息安全管理 網(wǎng)絡(luò)保險(xiǎn)指南

該標(biāo)準(zhǔn)發(fā)布于2019年8月，第1版。

44 ISO/IEC TR 27103 網(wǎng)絡(luò)安全與ISO及IEC標(biāo)準(zhǔn)

該標(biāo)準(zhǔn)在2018年2月發(fā)布第1版，目前仍為最新。

45 ISO/IEC 27550 系統(tǒng)生命周期過程的隱私工程

該標(biāo)準(zhǔn)發(fā)布于2019年9月，第1版，為隱私類標(biāo)準(zhǔn)。

46 ISO/IEC CD 27551 基于屬性的非連接實(shí)體授權(quán)要求

該標(biāo)準(zhǔn)尚在開發(fā)中。

47 ISO/IEC WD 27553 移動(dòng)設(shè)備使用生物識別技術(shù)授權(quán)的安全要求

該標(biāo)準(zhǔn)尚在開發(fā)中。

48 ISO/IEC AWI 27554 應(yīng)用ISO 31000評估身份管理相關(guān)風(fēng)險(xiǎn)

該標(biāo)準(zhǔn)尚在開發(fā)中。

49 ISO/IEC WD 27555 在組織中建立PII刪除的概念

該標(biāo)準(zhǔn)尚在開發(fā)中。

50 ISO/IEC AWI 27556 用于處理基于隱私偏好的PII用戶中心框架

該標(biāo)準(zhǔn)尚在開發(fā)中。

51 ISO/IEC PDTS 27570 智慧城市隱私指南

該標(biāo)準(zhǔn)尚在開發(fā)中。

PII為個(gè)人可識別信息（Personal Identifiable Information）。

以ISO/IEC 29100為代表的隱私保護(hù)相關(guān)標(biāo)準(zhǔn)，在本文中不再詳細(xì)介紹，請參考專欄中的其他文章。

52 ISO/IEC 27701：2019 ISO/IEC 27001與ISO/IEC 27002 在隱私信息管理的擴(kuò)展 要求與指南

該標(biāo)準(zhǔn)發(fā)布于2019年8月，在隱私保護(hù)領(lǐng)域非常重要。

53 ISO 27799 應(yīng)用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發(fā)布的第2版，在2019年無變化。

綜上所述，2019年廣義的ISO/IEC 27000標(biāo)準(zhǔn)族，有效的標(biāo)準(zhǔn)及其版本2）如表1所示。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）

參考文獻(xiàn)

[1] 謝宗曉，董坤祥. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展（上）[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2017（1）：36-40.

[2] 謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展（下）[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2017（2）：34-38，41.

[3] 謝宗曉.2017年ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2018（1）：42-46.

[4] 崔達(dá)菲，謝宗曉. 2018年ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2019（1）：20-25.

[5] 謝宗曉，董坤祥，甄杰.信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2019（7）：26-28.

[6] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2018（9）：16-18.