摘要:本文介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2019年改版和新增的标准。
关键词:ISO/IEC 27000标准族;ISO/IEC 27001;ISO/IEC 27002
[1]. ISO/IEC 27000 信息安全管理体系概述与词汇
最新版本为ISO/IEC 27000:2018,第5版。目前在用的国家标准对应版本为2016年的第4版,即GB/T 29246-2017 / ISO/IEC 27000: 2016。在2019年无变化。
[2]. ISO/IEC 27001 信息安全管理体系 要求
最新版本为2013年发布的第2版,之后发布有ISO/IEC 27001:2013/Cor 1:2014和ISO/IEC 27001:2013/Cor 2:2015,该标准被等同采用为GB/T 22080-2016。在2019年无变化。
[3]. ISO/IEC 27002 信息安全控制实践指南
最新版本为2013年发布的第2版,之后发布有ISO/IEC 27002:2013/Cor 1:2014和ISO/IEC 27002:2013/Cor 2:2015,目前有正在开发中的第3版,最新状态为ISO/IEC WD 27002。ISO/IEC 27002: 2013等同采用为国家标准GB/T 22081-2016。在2019年无变化。
值得注意是,ISO/IEC 27002:2005标题为Code of practice for information security management(信息安全管理 实用规则),ISO/IEC 27002:2013标题为Code of practice for information security controls(信息安全控制实践指南),两者翻译区别较大,但是英文标题区别不大。
[4]. ISO/IEC 27003 信息安全管理体系 指南
最新版本依然为2017年3月发布的第2版,在2019年无变化。该标准的在用国家标准版本为:GB/T 31496-2015 / ISO/IEC 27003:2010。
[5]. ISO/IEC 27004 信息安全管理 监视、测量、分析和评价
最新版本为2016年12月发布的第2版,在2019年无变化。该标准的在用国家标准版本为:GB/T 31497-2015 / ISO/IEC 27004:2009。
[6]. ISO/IEC 27005 信息安全风险管理
该标准最新版本为2018年7月发布的第3版,该标准的在用国家标准版本为:GB/T 31722-2015/ ISO/IEC 27005:2008,具体的分析请参考文献[6]。在2019年无变化。
[7]. ISO/IEC 27006 信息安全管理体系审核和认证机构要求
最新为2015版,第3版,在2019年无变化。目前在用的国家标准为GB/T 25067-2016,修改采用ISO/IEC 27006:2011。
[8]. ISO/IEC 27007 信息安全管理体系审核指南
该标准在2017年10月发布第2版,代替之前的2011版本。ISO/IEC 27007正在改版,目前最新状态ISO/IEC FDIS 27007。国家标准为GB/T 28450-2012,但不是采标的版本。
[9]. ISO/IEC TS 27008 信息安全控制评估指南
该标准2019年最新状态为ISO/IEC TS 27008:2019,由技术报告(TR)改成了技术规范(TS),标题也从“审核”变成了“评估”。
以上标准在2019年版本都已经接近稳定,说明信息安全管理的基础标准的开发已经日渐成熟。
[10]. ISO/IEC 27009 特定行业应用ISO/IEC 27001 要求
最新版本为2016版,目前正在改版状态,最新版本为ISO/IEC DIS 27009。
[11]. ISO/IEC 27010 信息安全管理跨行业和跨组织的通信
最新版本为2015年发布的第2版,在2019年无变化。该标准对应的国家标准为GB/T 32920-2016 / ISO/IEC 27010:2012。
[12]. ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则
最新版本为2016版,2018年发布有ISO/IEC 27011:2016 / Cor 1:2018。
[13]. ISO/IEC 27013 信息安全管理体系与服务管理整合
最新版本为2016年发布的第2版,目前正在改版,最新状态为ISO/IEC AWI 27013。
[14]. ISO/IEC 27014 信息安全治理
最新版本为2013年发布的第1版,2019年最新状态为ISO/IEC CD 27014。该标准对应的国家标准为GB/T 32923-2016 / ISO/IEC 27014:2013。
[15]. ISO/IEC TR 27016 信息安全管理 组织经济学
最新版本为2014发布的第1版,在2019年无变化。
[16]. ISO/IEC 27017基于ISO/IEC 27002的云服务信息安全控制实用规则
最新版本为2015年发布的第1版,在2019年无变化。
[17]. ISO/IEC 27018公有云中作为个人身份信息处理者保护个人身份信息的实用规则
最新版本为2019年1月发布的第2版,该标准是关于隐私保护的。
[18]. ISO/IEC 27019能源公共事业行业的信息安全控制
最新版本为2017年10月发布的第1版,之前被发布为ISO/IEC TR 27019:2013。
[19]. ISO/IEC 27021 信息安全管理体系专业人员能力要求
最新版本为2017年10月发布的第1版。
[20]. ISO/IEC WD 27022 ISMS过程指南
该标准正在该开发中,目前状态为WD(工作组草案),由于为开发中标准,因此在标题中强调了其WD状态,并标识斜体,防止混淆,下文遵循此规则。
[21]. ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射
最新版本是发布于2015年7月的第1版。
[22]. ISO/IEC WD 27030 物联网安全与隐私指南
该标准正在开发中,为隐私类标准。
[23]. ISO/IEC 27031 ICT业务连续性指南
ISO/IEC 27031最新版本发布于2011年的第1版,在2019年开始改版,目前状态为ISO/IEC WD 27031。
[24]. ISO/IEC 27032 网络空间安全
ISO/IEC 27032最新版本发布于2012年的第1版,在2018年经过评审后,版本依然有效。2019年开始改版,目前状态为ISO/IEC WD 27032,但标题改成了Guidelines for Internet Security(因特网安全指南)。
[25]. ISO/IEC 27033 网络安全
由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028,在2019年,其中的6个部分,均没有大的变化,说明该标准开发也比较成熟了。
[26]. ISO/IEC 27034 应用安全
ISO/IEC 27034有7部分,其中:
◆ ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均无变化;
◆ ISO/IEC CD 27034-4,状态自2018年就是CD(委员会草案);
◆ ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均无变化;
◆ 在2018年4月,发布有ISO/IEC TS 27034-5-1:2018。
ISO/IEC TS 27034-5-1:2018计划可能是5部分,但是在2019年并无新进展,其标题为XML schemas。
在2019年,ISO/IEC 27034也基本没有变化,说明其开发也日渐成熟了。
[27]. ISO/IEC 27035 信息安全事件管理
ISO/IEC 27035的前2部分,最新版本都为2016年版本,目前也都正在改版,状态为ISO/IEC WD 27035-1和ISO/IEC WD 27035-2。
在2017年增加了ISO/IEC 27035-3,目前最新状态为ISO/IEC CD 27035-3。
[28]. ISO/IEC 27036 供应商关系中的信息安全
ISO/IEC 27036一共有4部分,在2019年均无变化。
[29]. ISO/IEC 27037 数字证据识别、收集、获取与保护指南
ISO/IEC 27037版本为2012版,在2019年无变化。
[30]. ISO/IEC 27038 数字编校指南
ISO/IEC 27038最新版本为2014版,在2019年无变化。
[31]. ISO/IEC 27039 入侵检测系统的选择、部署和操作
[32]. ISO/IEC 27040 存储安全
[33]. ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南
[34]. ISO/IEC 27042 数字证据分析与解释指南
[35]. ISO/IEC 27043 事件调查原则与过程
以上标准,最新版本均为2015版,在2019年都没有变化。
[36]. ISO/IEC WD 27045 大数据安全与隐私 过程
该标准在开发过程中。
[37]. ISO/IEC 27050 电子数据取证
ISO/IEC 27050分为4部分,其中:
◆ ISO/IEC 27050-1和ISO/IEC 27050-2无变化;
◆ ISO/IEC 27050-3开始改版,最新状态为ISO/IEC FDIS 27050-3;
◆ ISO/IEC 27050-4依然在开发中,最新状态为ISO/IEC CD 27050-4。
[38]. ISO/IEC WD 27070建立虚拟信任根的安全要求
[39]. ISO/IEC AWI 27071设备和服务之间建立可信连接的安全建议
[40]. ISO/IEC CD 27099公钥基础设施 实践与策略框架
[41]. ISO/IEC WD TS 27100 网络安全 概述与概念
[42]. ISO/IEC WD TS 27101框架开发指南
以上标准都尚在开发中。
[43]. ISO/IEC 27102信息安全管理 网络保险指南
该标准发布于2019年8月,第1版。
[44]. ISO/IEC TR 27103网络安全与ISO及IEC标准
该标准在2018年2月发布第1版,目前仍为最新
[45]. ISO/IEC 27550系统生命周期过程的隐私工程
该标准发布于2019年9月,第1版,隐私类标准。
[46]. ISO/IEC CD 27551 基于属性的非连接实体授权要求
[47]. ISO/IEC WD 27553移动设备使用生物识别技术授权的安全要求[48]. ISO/IEC AWI 27554 应用ISO31000评估身份管理相关风险
[49]. ISO/IEC WD 27555 在组织中建立PII删除的概念
[50]. ISO/IEC AWI 27556 用于处理基于隐私偏好的PII用户中心框架
[51]. ISO/IEC PDTS 27570 智慧城市隐私指南
以上标准,都尚在开发中。PII为个人可识别信息(Personal Identifiable Information)。
以ISO/IEC 29100为代表的隐私保护相关标准,在本文中不再详细介绍,请参考专栏中的其他文章。
[52]. ISO/IEC 27701:2019 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南
该标准发布于2019年8月,在隐私保护领域非常重要。
[53]. ISO 27799应用ISO/IEC 27002的健康信息安全管理
ISO 27799最新版为2016年发布的第2版,在2019年无变化。
综上所述,2019年广义的ISO/IEC 27000标准族,有效的标准及其版本如表1所示。
参考文献:
[1].谢宗晓,董坤祥. 截至2016年底ISO/IEC 27000标准族的进展(上)[J].中国质量与标准导报, 2017(01):36-40.
[2].谢宗晓,甄杰. 截至2016年底ISO/IEC 27000标准族的进展(下)[J].中国质量与标准导报, 2017(02):34-38+41.
[3].谢宗晓.2017年ISO/IEC 27000标准族的进展[J].中国质量与标准导报, 2018(01):42-46.
[4].崔达菲,谢宗晓. 2018年ISO/IEC 27000标准族的进展[J].中国质量与标准导报, 2019(01):20-25.
[5].谢宗晓,董坤祥,甄杰.信息安全、网络安全与隐私保护[J].中国质量与标准导报, 2019(07):26-28.
[6].谢宗晓,许定航.ISO/IEC 27005:2018解读及其三次版本演化[J].中国质量与标准导报, 2018(09):16-18.
作者邮箱:xiezongxiao@cfca.com.cn