謝宗曉 董坤祥 甄杰

信息安全管理系列之七十二

自2017年開始，我們在每年的年初，都會介紹過去一年中ISO/IEC 27000標準族的開發(fā)進展情況，在下文中，我們按照相同的架構(gòu)介紹2021年ISO/IEC 27000標準族的進展。

謝宗曉（特約編輯）

摘要：介紹了ISO/IEC 27000標準族的最新開發(fā)進展，尤其是2020年改版和新增的標準。

關鍵詞：ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Development of ISO/IEC 27000 Standards Family in 2021

Xie Zongxiao （China Financial Certification Authority）

Dong Kunxiang （Shandong University of Finance and Economics）

Zhen Jie （Chongqing Technology and Business University）

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2021.

Key words：? ISO/IEC 27000， ISO/IEC 27001， ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

現(xiàn)行版本為ISO/IEC 27000：2018，第5版。在2021年該標準無變化。

對應的現(xiàn)行國家標準為GB/T 29246—2017 / ISO/IEC 27000： 2016，其中ISO/IEC 27000： 2016為第4版。

2 ISO/IEC 27001 信息安全管理體系 要求

現(xiàn)行版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015。在2021年該標準無變化。

ISO/IEC 27001：2013被等同采用為GB/T 22080—2016。

3 ISO/IEC 27002 信息安全控制實踐指南

現(xiàn)行版本為2013年發(fā)布的第2版，之后發(fā)布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015。在2021年該標準無變化。

ISO/IEC 27002： 2013被等同采用為GB/T 22081—2016。

4 ISO/IEC 27003 信息安全管理體系 指南

現(xiàn)行版本依然為2017年3月發(fā)布的第2版。在2021年該標準無變化。

對應的現(xiàn)行國家標準版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 監(jiān)視、測量、分析和評價

現(xiàn)行版本為2016年12月發(fā)布的第2版。在2021年該標準無變化。

對應的現(xiàn)行國家標準版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全風險管理

現(xiàn)行版本為2018年7月發(fā)布的第3版。在2021年該標準無變化。

對應的現(xiàn)行國家標準版本為GB/T 31722—2015 / ISO/IEC 27005：2008。

7 ISO/IEC 27006 信息安全管理體系審核和認證機構(gòu)要求

現(xiàn)行版本為2015版，第3版，之后發(fā)布有ISO/IEC 27006：2015/Amd 1：2020。

對應的現(xiàn)行國家標準為GB/T 25067—2020/ISO/IEC 27006：2015。

目前新發(fā)布ISO/IEC TS 27006-2：2021《信息安全管理體系審核和認證機構(gòu)要求 第2部分：隱私信息管理體系》。該部分尚未采標。

8 ISO/IEC 27007 信息安全管理體系審核指南

現(xiàn)行版本為2020年1月發(fā)布的第3版。在2021年該標準無變化。

對應的國家標準為GB/T 28450—2020/ISO/IEC 27007：2017。

9 ISO/IEC TS 27008 信息安全控制評估指南

現(xiàn)行版本為2019年1月發(fā)布的第1版。該標準在2021年無變化。

10 ISO/IEC 27009 特定行業(yè)應用ISO/IEC 27001 要求

現(xiàn)行版本為2020年4月發(fā)布的第2版，之前版本為2016版。該標準在2021年無變化。

11 ISO/IEC 27010 信息安全管理跨行業(yè)和跨組織的通信

現(xiàn)行版本為2015年發(fā)布的第2版，在2021年無變化。

對應的現(xiàn)行國家標準為GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規(guī)則

現(xiàn)行版本為2016版，第2版，之前有2008版。發(fā)布有ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系與服務管理整合

現(xiàn)行版本為2021年11月發(fā)布的第3版。之前發(fā)布有2016年的第2版。

14 ISO/IEC 27014 信息安全治理

現(xiàn)行版本為2020年12月發(fā)布的第2版。之前發(fā)布有2013年的第1版。

對應的現(xiàn)行國家標準為GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27016 信息安全管理 組織經(jīng)濟學

現(xiàn)行版本為2014發(fā)布的第1版，在2021年無變化。

16 ISO/IEC 27017 基于ISO/IEC 27002的云服務信息安全控制實用規(guī)則

現(xiàn)行版本為2015年發(fā)布的第1版，在2021年無變化。

17 ISO/IEC 27018 公有云中作為個人身份信息處理者保護個人身份信息的實用規(guī)則

現(xiàn)行版本為2019年1月發(fā)布的第2版，在2021年無變化。

18 ISO/IEC 27019 能源公共事業(yè)行業(yè)的信息安全控制

現(xiàn)行版本為2017年10月發(fā)布的第1版，之前發(fā)布有ISO/IEC TR 27019：2013。

19 ISO/IEC 27021 信息安全管理體系專業(yè)人員能力要求

現(xiàn)行版本為2017年10月發(fā)布的第1版，在2021年度發(fā)布有ISO/IEC 27021：2017 / AMD1：2021。

20 ISO/IEC TS 27022 信息技術(shù) 信息安全管理體系過程指南

新增標準，發(fā)布于2021年3月，第1版。

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

現(xiàn)行版本是發(fā)布于2015年7月的第1版。在2021年無變化。

22 ISO/IEC 27031 ICT業(yè)務連續(xù)性指南

現(xiàn)行版本為發(fā)布于2011年的第1版。在2021年無變化。

23 ISO/IEC 27032 網(wǎng)絡空間安全

現(xiàn)行版本為發(fā)布于2012年的第1版。在2021年無變化。

24 ISO/IEC 27033 網(wǎng)絡安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028系列，在近兩年，其中的6個部分，均沒有大的變化，說明該標準開發(fā)也比較成熟了。

25 ISO/IEC 27034 應用安全

ISO/IEC 27034有7部分，其中：ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均無變化;ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均無變化;ISO/IEC TS 27034-5-1在2021年也無變化。

26 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，現(xiàn)行版本都為2016年發(fā)布。第3部分，現(xiàn)行版本為2020年發(fā)布。以上部分在2021年都無變化。

27 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036一共有4部分，在2021年都無變化。

28 ISO/IEC 27037 數(shù)字證據(jù)識別、收集、獲取與保護指南

現(xiàn)行版本為2012版。在2021年無變化。

29 ISO/IEC 27038 數(shù)字編校指南

現(xiàn)行版本為2014版。在2021年無變化。

30 ISO/IEC 27039 入侵檢測系統(tǒng)的選擇、部署和操作

現(xiàn)行版本為2015版。在2021年無變化。

31 ISO/IEC 27040 存儲安全

現(xiàn)行版本為2015版。在2021年無變化。

32 ISO/IEC 27041 事件調(diào)查方法的適宜性與充分性保證指南

現(xiàn)行版本為2015版。在2021年無變化。

33 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋指南

現(xiàn)行版本為2015版。在2021年無變化。

34 ISO/IEC 27043 事件調(diào)查原則與過程

現(xiàn)行版本為2015版。在2021年無變化。

35 ISO/IEC 27050 電子數(shù)據(jù)取證

ISO/IEC 27050分為4部分，其中：

· 現(xiàn)行版本ISO/IEC 27050-1：2019，第2版，無變化，之前為2016年版本。

· 現(xiàn)行版本為ISO/IEC 27050-2：2018，無變化;

· 現(xiàn)行版本為ISO/IEC 27050-3：2020，第2版，無變化，之前為2017年版本。

· 2021年4月發(fā)布ISO/IEC 27050-4：2021技術(shù)準備。

36 ISO/IEC 27070 建立虛擬信任根要求

新增標準，發(fā)布于2021年12月。

37 ISO/IEC TS 27100 信息技術(shù) 網(wǎng)絡安全 概述與詞匯

新增標準，發(fā)布于2021年12月。

38 ISO/IEC 27102 信息安全管理 網(wǎng)絡保險指南

現(xiàn)行標準發(fā)布于2019年8月，第1版。在2021年無變化。

39 ISO/IEC TR 27103 網(wǎng)絡安全與ISO及IEC標準

現(xiàn)行標準在2018年2月發(fā)布，第1版。在2021年無變化。

40 ISO/IEC TS 27110 信息技術(shù)、網(wǎng)絡安全和隱私保護 網(wǎng)絡安全框架開發(fā)指南

新增標準，發(fā)布于2021年12月。

41 ISO/IEC 27550 系統(tǒng)生命周期過程的隱私工程

現(xiàn)行標準發(fā)布于2019年9月，第1版，隱私類標準。在2021年無變化。

42 ISO/IEC 27551 信息技術(shù)、網(wǎng)絡安全和隱私保護 基于屬性的不可鏈接實體鑒別要求

新增標準，發(fā)布于2021年9月。

43 ISO/IEC 27555 信息技術(shù)、網(wǎng)絡安全和隱私保護 個人可識別信息（PII）刪除指南

新增標準，發(fā)布于2021年10月。

44 ISO/IEC TS 27570 隱私保護 智慧城市隱私指南

新增標準，發(fā)布于2021年1月。

45 ISO/IEC 27701 ISO/IEC 27001與ISO/IEC 27002在隱私信息管理的擴展 要求與指南

現(xiàn)行標準發(fā)布于2019年8月。在2021年無變化。

46 ISO 27799 應用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發(fā)布的第2版，之前版本為2008版，在2021年無變化。

綜上所述，2021年ISO/IEC 27000標準族，有效的標準及其版本如表1所示。