谢宗晓(南开大学 商学院) 王静漪(天津移动通信公司)
ISO/IEC 27001与ISO/IEC 27002标准的演变
谢宗晓(南开大学 商学院) 王静漪(天津移动通信公司)
本文按照时间顺序梳理了ISO/IEC 27001和ISO/IEC 27002的发展过程,其中包括这两个标准成为国际标准的开发过程以及被等同采用为我国国家标准的过程。
ISO/IEC 27001 ISO/IEC 27002 信息安全
专栏
信息安全管理系列之六
ISO/IEC 27000 族标准成为信息安全业界最重要的标准之一,在全世界范围内得到了广泛应用,其中诸多标准也已经被等同或修改采用为我国国家标准。了解ISO/IEC 27000族标准的开发与推广过程有助于组织更高效地部署信息安全管理体系。本文重点介绍了ISO/IEC 27000族标准中最重要的两个标准ISO/IEC 27001 和ISO/IEC 27002 的版本演变过程。
谢宗晓(特约编辑)
ISO/IEC 27000族标准目前已经发展成为一个很庞大的体系,包括从ISO/IEC 27000开始至ISO/IEC 27059的60个标准,或者说,ISO/IEC JCT1 SC271)ISO(International Organization for Standardization,国际标准化组织)是全世界最大的推荐性国际标准开发组织(world’s largest developer of voluntary international standards);IEC(International Electrotechnical Commission,国际电工委员会)是制定和发布国际电工电子标准的非政府国际组织。ISO/IEC JCT1成立于1987年,是ISO与IEC的联合技术委员会,即信息技术(information technology)标准委员会,SC27是其中一个分技术委员会(subcommittee),信息技术安全技术标准委员会(IT Security Techniques)。)发布的绝大部分关于信息安全的标准都被统一编号了。ISO/IEC 27000族标准经历了一个漫长的演变过程,其中最具代表性的就是ISO/IEC 27001和ISO/IEC 27002。有些标准,例如,ISO/IEC 27006和ISO/IEC 27007等以此为标准新制定;还有一部分标准,例如,ISO/IEC 27005等则是由本已现存的标准据此修订并重新编号而来。本文按照时间顺序梳理了ISO/IEC 27001 和ISO/IEC 27002 的发展过程,其中包括这两个标准成为国际标准的开发过程以及等同采用为我国国家标准的过程。
ISO/IEC 27001:2005在引言中指出:本标准为OECD 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型2)注意,这段话在2013版本中删除了。)。第一个问题,为什么这么多信息安全文献,单单强调了OECD3)经济合作与发展组织(Organization for Economic Cooperation and Development,OECD)。)指南,还在标准的附录中专门给出了两者之间的映射?
在1990 年, OECD 就公布了《信息系统安全指南》4)2002 年改版为《信息系统与网络安全指南》(Guidelines for the security of information systems and networks)。),标准的前身BS 7799于1993年公布,在当时强调OECD指南可能是为了获取“合法性”。OECD的《信息系统安全指南》提出了9条原则,这些原则基本是期望性质的,不具备可操作性。因此,该标准对其中的某些原则即“风险评估、安全设计和实施、安全管理和再评估的原则”提供了“(其中)一个”“强健的”模型。对于其他原则,例如民主(Democracy, The security of information systems and networks should be compatible with essential values of a democratic society),显然不是标准讨论的重点。
第二个问题,注意ISO/IEC 27001和ISO/IEC 27002的关系。
在业界讨论信息安全管理体系(Information System Management System,ISMS),涉及最多的是ISO/IEC 27001,而且ISO/IEC 27001的规范性附录A,从A.5 编号,与ISO/IEC 27002的正文第5 章开始一一对应。但是,这两个标准的产生顺序却是先有ISO/IEC 27002,后有ISO/IEC 27001。实际上从逻辑上讲,后公布的标准会覆盖或兼容先公布的标准,而不是相反的顺序。
其中,ISO/IEC 27001的前身是BS 7799-2,ISO/ IEC 27002 的前身是BS 7799-1。从本文的表1也可以看出,ISO/IEC 27002起源于一个技术报告,在推广过程中才加入的认证框架BS 7799-2。加入第三方认证是这个标准能够被成功接受的因素之一。
Backhouse等描述了1989年开始的英国工业与贸易部(Department of Trade and Industry,DTI)信息安全意识提高项目,DTI 下属的商业计算机安全中 心(Commercial Computer Security Centre,CCSC)产生ISO/IEC 27002(当时还是BS 7799)的过程,如表1 所示。
表1 成为国际标准前的主要过程
续表
2005年,在BS 7799-2 成为国际标准之后,ISO/IEC JCT1 对标准进行了重新编号,并且2013年对ISO/IEC 27001 和ISO/IEC 27002 进行了一次大规模的改版。具体过程如表2 所示。
表2 成为国际标准后的主要过程
目前在用的等同采用ISO/IEC 27001和ISO/IEC 27002的国家标准版本为:
· GB/T 22080—2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》(Information technology—Security techniques—Information security management systems—Requirements);
· GB/T 22081—2008/ISO/IEC 27002:2005《信息技术 安全技术 信息安全管理 实用规则》(Information technology—Security techniques—Code of practice for information security management)。
2015 年2 月24 日,根据2013 版的国家标准升级版本已经发布了征求意见稿,征求意见在2015年3 月30 日前结束。其中,ISO/IEC 27002:2013的标题修改为:《信息技术 安全技术 信息安全控制 实用规则》 (Information technology—Security techniques—Code of practice for information security controls)。
综上所述,ISO/IEC 27001和ISO/IEC 27002标准的主要版本演变与事件如图1 所示。
图1 ISO/IEC 27001与ISO/IEC 27002主要版本演变与事件
[1] James Backhouse, Carol W. Hsu, Leiser Silva: Circuits of Power in Creating de jure Standards: Shaping an International Information Systems Security Standard. MIS Quarterly 2006(30): 143-438.
[2] 谢宗晓. 信息安全管理体系实施指南[M]. 北京: 中国质检出版社,中国标准出版社,2012.
[3] 林润辉,李大辉,谢宗晓,等. 信息安全管理 理论与实践[M]. 北京: 中国质检出版社,中国标准出版社,2015.
Introduction of ISO/IEC 27001 and ISO/IEC 27002
Xie Zongxiao ( Business School, Nankai University ) Wang Jingyi ( China Mobile Tianjin)
We reorganized history of ISO/IEC 27001 and ISO/IEC 27002 in chronological order, includingdevelopment process before becoming international standard and the process of adoption as Chinese standards.
ISO/IEC 27001, ISO/IEC 27002, information security