作者:谢宗晓 甄杰 董坤祥

摘要本文介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2019年改版和新增的标准。

关键词ISO/IEC 27000标准族;ISO/IEC 27001;ISO/IEC 27002

[1]. ISO/IEC 27000 信息安全管理体系概述与词汇

最新版本为ISO/IEC 27000:2018,第5版。目前在用的国家标准对应版本为2016年的第4版,即GB/T 29246-2017 / ISO/IEC 27000: 2016。在2019年无变化。

[2]. ISO/IEC 27001 信息安全管理体系 要求

最新版本为2013年发布的第2版,之后发布有ISO/IEC 27001:2013/Cor 1:2014和ISO/IEC 27001:2013/Cor 2:2015,该标准被等同采用为GB/T 22080-2016。在2019年无变化。

[3]. ISO/IEC 27002 信息安全控制实践指南

最新版本为2013年发布的第2版,之后发布有ISO/IEC 27002:2013/Cor 1:2014和ISO/IEC 27002:2013/Cor 2:2015,目前有正在开发中的第3版,最新状态为ISO/IEC WD 27002。ISO/IEC 27002: 2013等同采用为国家标准GB/T 22081-2016。在2019年无变化。

值得注意是,ISO/IEC 27002:2005标题为Code of practice for information security management(信息安全管理 实用规则),ISO/IEC 27002:2013标题为Code of practice for information security controls(信息安全控制实践指南),两者翻译区别较大,但是英文标题区别不大。

[4]. ISO/IEC 27003 信息安全管理体系 指南

最新版本依然为2017年3月发布的第2版,在2019年无变化。该标准的在用国家标准版本为:GB/T 31496-2015 / ISO/IEC 27003:2010。

[5]. ISO/IEC 27004 信息安全管理 监视、测量、分析和评价

最新版本为2016年12月发布的第2版,在2019年无变化。该标准的在用国家标准版本为:GB/T 31497-2015 / ISO/IEC 27004:2009。

[6]. ISO/IEC 27005 信息安全风险管理

该标准最新版本为2018年7月发布的第3版,该标准的在用国家标准版本为:GB/T 31722-2015/ ISO/IEC 27005:2008,具体的分析请参考文献[6]。在2019年无变化。

[7]. ISO/IEC 27006 信息安全管理体系审核和认证机构要求

最新为2015版,第3版,在2019年无变化。目前在用的国家标准为GB/T 25067-2016,修改采用ISO/IEC 27006:2011。

[8]. ISO/IEC 27007 信息安全管理体系审核指南

该标准在2017年10月发布第2版,代替之前的2011版本。ISO/IEC 27007正在改版,目前最新状态ISO/IEC FDIS 27007。国家标准为GB/T 28450-2012,但不是采标的版本。

[9]. ISO/IEC TS 27008 信息安全控制评估指南

该标准2019年最新状态为ISO/IEC TS 27008:2019,由技术报告(TR)改成了技术规范(TS),标题也从“审核”变成了“评估”。

以上标准在2019年版本都已经接近稳定,说明信息安全管理的基础标准的开发已经日渐成熟。

[10]. ISO/IEC 27009 特定行业应用ISO/IEC 27001 要求

最新版本为2016版,目前正在改版状态,最新版本为ISO/IEC DIS 27009。

[11]. ISO/IEC 27010 信息安全管理跨行业和跨组织的通信

最新版本为2015年发布的第2版,在2019年无变化。该标准对应的国家标准为GB/T 32920-2016 / ISO/IEC 27010:2012。

[12]. ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则

最新版本为2016版,2018年发布有ISO/IEC 27011:2016 / Cor 1:2018。

[13]. ISO/IEC 27013 信息安全管理体系与服务管理整合

最新版本为2016年发布的第2版,目前正在改版,最新状态为ISO/IEC AWI 27013。

[14]. ISO/IEC 27014 信息安全治理

最新版本为2013年发布的第1版,2019年最新状态为ISO/IEC CD 27014。该标准对应的国家标准为GB/T 32923-2016 / ISO/IEC 27014:2013。

[15]. ISO/IEC TR 27016 信息安全管理 组织经济学

最新版本为2014发布的第1版,在2019年无变化。

[16]. ISO/IEC 27017基于ISO/IEC 27002的云服务信息安全控制实用规则

最新版本为2015年发布的第1版,在2019年无变化。

[17]. ISO/IEC 27018公有云中作为个人身份信息处理者保护个人身份信息的实用规则

最新版本为2019年1月发布的第2版,该标准是关于隐私保护的。

[18]. ISO/IEC 27019能源公共事业行业的信息安全控制

最新版本为2017年10月发布的第1版,之前被发布为ISO/IEC TR 27019:2013。

[19]. ISO/IEC 27021 信息安全管理体系专业人员能力要求

最新版本为2017年10月发布的第1版。

[20]. ISO/IEC WD 27022 ISMS过程指南

该标准正在该开发中,目前状态为WD(工作组草案),由于为开发中标准,因此在标题中强调了其WD状态,并标识斜体,防止混淆,下文遵循此规则。

[21]. ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射

最新版本是发布于2015年7月的第1版。

[22]. ISO/IEC WD 27030 物联网安全与隐私指南

该标准正在开发中,为隐私类标准。

[23]. ISO/IEC 27031 ICT业务连续性指南

ISO/IEC 27031最新版本发布于2011年的第1版,在2019年开始改版,目前状态为ISO/IEC WD 27031。

[24]. ISO/IEC 27032 网络空间安全

ISO/IEC 27032最新版本发布于2012年的第1版,在2018年经过评审后,版本依然有效。2019年开始改版,目前状态为ISO/IEC WD 27032,但标题改成了Guidelines for Internet Security(因特网安全指南)。

[25]. ISO/IEC 27033 网络安全

由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028,在2019年,其中的6个部分,均没有大的变化,说明该标准开发也比较成熟了。

[26]. ISO/IEC 27034 应用安全

ISO/IEC 27034有7部分,其中:

◆ ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均无变化;

◆ ISO/IEC CD 27034-4,状态自2018年就是CD(委员会草案);

◆ ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均无变化;

◆ 在2018年4月,发布有ISO/IEC TS 27034-5-1:2018。

ISO/IEC TS 27034-5-1:2018计划可能是5部分,但是在2019年并无新进展,其标题为XML schemas。

在2019年,ISO/IEC 27034也基本没有变化,说明其开发也日渐成熟了。

[27]. ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分,最新版本都为2016年版本,目前也都正在改版,状态为ISO/IEC WD 27035-1和ISO/IEC WD 27035-2。

在2017年增加了ISO/IEC 27035-3,目前最新状态为ISO/IEC CD 27035-3。

[28]. ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036一共有4部分,在2019年均无变化。

[29]. ISO/IEC 27037 数字证据识别、收集、获取与保护指南

ISO/IEC 27037版本为2012版,在2019年无变化。

[30]. ISO/IEC 27038 数字编校指南

ISO/IEC 27038最新版本为2014版,在2019年无变化。

[31]. ISO/IEC 27039 入侵检测系统的选择、部署和操作

[32]. ISO/IEC 27040 存储安全

[33]. ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南

[34]. ISO/IEC 27042 数字证据分析与解释指南

[35]. ISO/IEC 27043 事件调查原则与过程

以上标准,最新版本均为2015版,在2019年都没有变化。

[36]. ISO/IEC WD 27045 大数据安全与隐私 过程

该标准在开发过程中。

[37]. ISO/IEC 27050 电子数据取证

ISO/IEC 27050分为4部分,其中:

◆ ISO/IEC 27050-1和ISO/IEC 27050-2无变化;

◆ ISO/IEC 27050-3开始改版,最新状态为ISO/IEC FDIS 27050-3;

◆ ISO/IEC 27050-4依然在开发中,最新状态为ISO/IEC CD 27050-4。

[38]. ISO/IEC WD 27070建立虚拟信任根的安全要求

[39]. ISO/IEC AWI 27071设备和服务之间建立可信连接的安全建议

[40]. ISO/IEC CD 27099公钥基础设施 实践与策略框架

[41]. ISO/IEC WD TS 27100 网络安全 概述与概念

[42]. ISO/IEC WD TS 27101框架开发指南

以上标准都尚在开发中。

[43]. ISO/IEC 27102信息安全管理 网络保险指南

该标准发布于2019年8月,第1版。

[44]. ISO/IEC TR 27103网络安全与ISO及IEC标准

该标准在2018年2月发布第1版,目前仍为最新

[45]. ISO/IEC 27550系统生命周期过程的隐私工程

该标准发布于2019年9月,第1版,隐私类标准。

[46]. ISO/IEC CD 27551 基于属性的非连接实体授权要求

[47]. ISO/IEC WD 27553移动设备使用生物识别技术授权的安全要求[48]. ISO/IEC AWI 27554 应用ISO31000评估身份管理相关风险

[49]. ISO/IEC WD 27555 在组织中建立PII删除的概念

[50]. ISO/IEC AWI 27556 用于处理基于隐私偏好的PII用户中心框架

[51]. ISO/IEC PDTS 27570 智慧城市隐私指南

以上标准,都尚在开发中。PII为个人可识别信息(Personal Identifiable Information)。

以ISO/IEC 29100为代表的隐私保护相关标准,在本文中不再详细介绍,请参考专栏中的其他文章。

[52]. ISO/IEC 27701:2019 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南

该标准发布于2019年8月,在隐私保护领域非常重要。

[53]. ISO 27799应用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版为2016年发布的第2版,在2019年无变化。

综上所述,2019年广义的ISO/IEC 27000标准族,有效的标准及其版本如表1所示。

参考文献:

[1].谢宗晓,董坤祥. 截至2016年底ISO/IEC 27000标准族的进展(上)[J].中国质量与标准导报, 2017(01):36-40.

[2].谢宗晓,甄杰. 截至2016年底ISO/IEC 27000标准族的进展(下)[J].中国质量与标准导报, 2017(02):34-38+41.

[3].谢宗晓.2017年ISO/IEC 27000标准族的进展[J].中国质量与标准导报, 2018(01):42-46.

[4].崔达菲,谢宗晓. 2018年ISO/IEC 27000标准族的进展[J].中国质量与标准导报, 2019(01):20-25.

[5].谢宗晓,董坤祥,甄杰.信息安全、网络安全与隐私保护[J].中国质量与标准导报, 2019(07):26-28.

[6].谢宗晓,许定航.ISO/IEC 27005:2018解读及其三次版本演化[J].中国质量与标准导报, 2018(09):16-18.

作者邮箱:xiezongxiao@cfca.com.cn,欢迎大家提出宝贵的建议!

声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。