谢宗晓(南开大学商学院)
董坤祥(山东财经大学管理科学与工程学院)
截至2016年底ISO/IEC 27000标准族的进展(上)2)
谢宗晓(南开大学商学院)
董坤祥(山东财经大学管理科学与工程学院)
谢宗晓 博士
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文55篇,出版专著12本。
信息安全管理系列之二十四
随着ISO/IEC 27001和ISO/IEC 27002在2013年的改版①谢宗晓,巩庆志. ISO/IEC 27001:2013 标准解读及改版分析[M]. 北京:中国标准出版社,2013.,根据ISO的国际标准开发流程,其他ISO/IEC 27000标准族在2014—2016年之间的3年左右也进入改版的高峰期,我们用两期的篇幅,介绍截至2016年底ISO/IEC 27000标准族的最新进展情况。在后续的专栏中,我们会更详细地介绍这些标准。
谢宗晓(特约编辑)
本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27030之前的标准开发进展情况,其中ISO/IEC 27000至ISO/IEC 27008主要与信息安全管理体系相关,ISO/IEC 27009及其之后,主要为分行业的应用。
ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
ISO/IEC 27000公布于2009年5月,目前有最新的2016版,已经是第4版了,之前分别为2009版、2012版、2014版以及2016版。
ISO/IEC 27000:2009被等同采用为GB/T 29246—2012,具体信息为:
GB/T 29246—2012/ISO/IEC 27000:2009《信息技术 安全技术 信息安全管理体系 概述和词汇》
目前最新版本为:
ISO/IEC 27000:2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary
此外,ISO/IEC 27000是为数不多的可以免费下载的③http://119.90.25.43/standards.iso.org/ittf/PubliclyAvailableStandards/c066435_ISO_IEC_27000_2016(E).zip。国际标准。
关于ISO/IEC 27001发展的详细历史,请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》④谢宗晓,王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报,2015(07):48-52.。
目前ISO/IEC 27001被等同采用为国家标准:
GB/T 22080—2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》
关于ISO/IEC 27002发展的详细历史,请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》②谢宗晓,王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报,2015(07):48-52.。
目前ISO/IEC 27002被等同采用为国家标准:
GB/T 22081—2016/ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实践指南》
ISO/IEC 27003主要是描述如何在组织内实施ISO/IEC 27001,随着ISO/IEC 27001的改版,最近应该也会改版,目前状态为FDIS⑤FDIS,a final draft International Standard,最终国际标准草案。国际标准的开发过程大致有6个阶段,这是第4个阶段,后面就是批准阶段了。,大约会在2017年出版。最新版本为:
ISO/IEC 27003:2010 Information technology—Security techniques—Information security management system implementation guidance( 《信息技术 安全技术 信息安全管理体系实施指南》)
ISO/IEC 27004是提供了信息安全管理测量的方法,当然,主要是针对ISO/IEC 27001,目前正在改版,改版后专门支持ISO/IEC 27001:2013的正文9.1⑥绩效评价,在ISO/IEC 27001:2005中没有。,大约会在2017年出版。
最新版本为:
ISO/IEC 27004:2009 Information technology—Security techniques—Information security management—Measurement(《信息技术 安全技术 信息安全管理测量》)
ISO/IEC 27004:2009目前尚无国家标准与之对应。
ISO/IEC 27005是专门讨论信息安全风险管理的,基本与通用的风险管理标准ISO 31000保持了一致。现在的版本是第2版,发布于2011年,之前版本为2008年版,且被等同采用为GB/T 31722—2015,具体参考信息为:
GB/T 31722—2015/ ISO/IEC 27005:2008《信息技术 安全技术 信息安全风险管理》
最新版本为:
ISO/IEC 27005:2011 Information technology—Security techniques—Information security risk management
ISO/IEC 27005应该来源于1998年版本的ISO/ IEC TR 13335-3,但是没有官方文献确认,以我们的阅读来看,就整个框架而言,与ISO/IEC TR 13335-3:1998差别不大。
更多资料,可参考《信息安全风险评估——概念、方法和实践(第2版)》⑦赵战生,谢宗晓. 信息安全风险评估 概念、方法和实践(第2版)[M]. 北京:中国标准出版社,2016.的附录中有GB/T 31722—2015/ ISO/IEC 27005:2008全文。
ISO/IEC 27006是一个认可标准(accreditation standard)。认证和认可是两码事。认证,指的是第三方组织去审核企业,然后发证。认可,指的是国家主管机构审核第三方组织,以确认他们是否有认证资质。类比一下,认证就是学校给学生发毕业证,认可就是教育部检查学校。显然,这个标准受众,是个小众群体,即第三方认证组织。但是内容基本都是规定性的,改版频繁,目前已经是第3版了,之前为2007版、2011版,现在最新为2015版。
具体信息为:
ISO/IEC 27006:2015 Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems
目前有国家标准:
GB/T 25067—2016/ISO/IEC 27006:2011《信息技术 安全技术 信息安全管理体系审核和认证机构要求》
ISO/IEC 27007是为第三方认证机构审核企业提供指导的,这个标准的最新版本为2011年版,具体信息为:
ISO/IEC 27007:2011 Information technology—Security techniques—Guidelines for information security management systems auditing
目前被修改采用为:
GB/T 28450—2012《信息安全技术 信息安全管理体系审核指南》
更多资料,可参考《信息安全管体系审核指南》⑧魏军,谢宗晓. 信息安全管理体系审核指南[M]. 北京:中国标准出版社, 2012.。
ISO/IEC TR 27008:2011是个技术报告,也是信息安全管理体系的特别之处,主要为ISO/IEC 27001的附录A提供审核指南。
目前最新版本为:
ISO/IEC TR 27008:2011 Information technology—Security techniques—Guidelines for auditors on information security controls(《信息技术 安全技术信息安全控制审核指南》)
ISO/IEC 27009用于组织如何在特定行业应用ISO/IEC 27001,例如,如何提炼或增加相关的要求或控制。
目前最新版本为2016版,具体信息为:
ISO/IEC 27009:2016 Information technology—Security techniques—Sector-specific application of ISO/ IEC 27001—Requirements(《信息技术 安全技术 特定行业应用ISO/IEC 27001 要求》)
从ISO/IEC 27010开始的编号,讨论行业应用。
ISO/IEC 27010为不同行业以及不同国家间共享风险和事件等信息,提供信息安全管理指导,尤其是这些信息会影响到关键基础设施的时候(critical infrastructure)。
最早发布于2012年,目前已经发布第2版,具体信息为:
ISO/IEC 27010:2015 Information technology—Security techniques—Information security management for inter-sector and inter-organizational communications(《信息技术 安全技术 跨行业与跨组织通信的信息安全管理》)
其中的章节安排,从第5章到第18章,基本与ISO/IEC 27002:2013保持了一致。
ISO/IEC 27011是由ITU与 ISO/IEC JTC1/SC 27联合开发,因此同时也发布为ITU-T X.1051。
这个标准最早发布于2008年,最新版本为2016版,具体信息为:
ISO/IEC 27011:2016 Information technology—Security techniques—Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations(《信息技术 安全技术 基于ISO/IEC 27002的电信组织信息安全控制实用规则》)
特定行业的应用在框架上与ISO/IEC 27002基本都是统一的。
在实践领域,ISMS与ITIL⑩ITIL,Information Technology Infrastructure Library,信息技术基础架构库,其中一部分成了后来的ISO/IEC 20000,关于IT服务管理的。的整合是很常见的一种形式,由于信息安全多为控制点,IT服务多为流程,而且这两者的从业人员背景也比较相似,整合应用是不可避免的。
ISO/IEC 27013最早发布于2012年,基于ISO/ IEC 27001:2005与ISO/IEC 20000-1:2011。随着这2个标准的改版,ISO/IEC 27013也得随着改变,现在最新版本为:
ISO/IEC 27013:2015 Information technology—Security techniques—Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1(《信息技术 安全技术 ISO/IEC 27001与ISO/IEC 20000-1的整合应用指南》)
ISO/IEC 27011:2016由SC 27和SC 7合作开发,附录A中有ISO/IEC 27001和ISO/IEC 20000-1的对照。
ISO/IEC 27014是关于信息安全治理的,治理和管理的区别,在公司治理领域分得比较清楚。但是在信息安全领域,这两个词汇界限非常模糊。一般而言,治理是方向性的,关注如何在高层管理中梳理清楚利益关系,管理更多是控制性的,更关注如何实现组织的信息安全目标,更细节一些。
ISO/IEC 27014也是ITU与 ISO/IEC JTC1/SC 27合作开发的,因此同时发布为ITU-T X.1054,目前最新版本为:
ISO/IEC 27014:2013 Information technology—Security techniques—Governance of information security
该标准已经被等同采用为国家标准:
GB/T 32923—2016/ISO/IEC 27014:2013《信息技术 安全技术 信息安全治理》
由于已经有国家标准,不再介绍具体内容。毫无疑问,信息安全治理很重要⑪⑪谢宗晓,周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报, 2015(10):38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68,Financial services, SC 2,Security management and general banking operations。⑬在ISO的开发过程标识中,60.60的意思是International Standard published。限于篇幅,我们在本书中没有给出所有的过程标识符号,有兴趣的读者,可以参考:林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社,2015. 在该书的第二部分中,有详细的表格。⑭http://www.iso27001security.com/html/27015.html。,但是一定要从管理中分离开来讨论,又不太容易说清楚。
ISO/IEC TR 27015主要指导在金融企业内实施ISO/IEC 27000标准族,目前最新版本为:
ISO/IEC TR 27015:2012 Information technology—Security techniques—Information security management guidelines for financial services(《信息技术 安全技术金融服务信息安全管理指南》)
从上文中,我们也已经看出,电信和金融对信息安全比较重视,除了这个标准,还有类似于:
ISO/TR 13569:2005 Financial services—Information security guidelines(《金融服务 信息安全指南》)
这个标准不是ISO/IEC JTC1/SC 27开发的,是ISO/TC 68/SC 2⑫⑪谢宗晓,周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报, 2015(10):38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68,Financial services, SC 2,Security management and general banking operations。⑬在ISO的开发过程标识中,60.60的意思是International Standard published。限于篇幅,我们在本书中没有给出所有的过程标识符号,有兴趣的读者,可以参考:林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社,2015. 在该书的第二部分中,有详细的表格。⑭http://www.iso27001security.com/html/27015.html。发布的标准。这是真正从业务角度考虑信息安全,所以视角完全不同。ISO/TR 13569已经是第3版了,之前有1997和1998版本。
原则上说,随着ISO/IEC 27001和ISO/IEC 27002的改版,ISO/IEC TR 27015:2012也需要改版了。到现在ISO标识的状态依然是60.60⑬⑪谢宗晓,周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报, 2015(10):38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68,Financial services, SC 2,Security management and general banking operations。⑬在ISO的开发过程标识中,60.60的意思是International Standard published。限于篇幅,我们在本书中没有给出所有的过程标识符号,有兴趣的读者,可以参考:林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社,2015. 在该书的第二部分中,有详细的表格。⑭http://www.iso27001security.com/html/27015.html。,没有改版的迹象。据说⑭⑪谢宗晓,周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报, 2015(10):38-40+45.⑫ISO/TC 68/SC 2具体为ISO/TC 68,Financial services, SC 2,Security management and general banking operations。⑬在ISO的开发过程标识中,60.60的意思是International Standard published。限于篇幅,我们在本书中没有给出所有的过程标识符号,有兴趣的读者,可以参考:林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社,2015. 在该书的第二部分中,有详细的表格。⑭http://www.iso27001security.com/html/27015.html。这个标准要被弃用,如果放弃开发也很正常,如果业务领域和信息安全领域的标准有竞争,最后被采用的肯定是业务领域推广的标准。
ISO/IEC TR 27016用于指导企业如何在考虑经济因素条件下对信息安全投资做决策,在实践中这件事很重要。目前,ISO/IEC TR 27016的最新版本为:
ISO/IEC TR 27016:2014 Information technology—Security techniques—Information security management—Organizational economics(《信息技术 安全技术 信息安全管理 组织经济学》)
我们会尽快在《中国质量与标准导报》的“本刊特约”专栏中介绍ISO/IEC TR 27016:2014。
ISO/IEC 27017是在ISO/IEC 27002及其他相关ISO/IEC 27000标准族的基础上,提供云服务的信息安全控制,这个标准也是与ITU合作,因此同时发布为ITU-T X.1631。
目前最新版本为:
ISO/IEC 27017:2015 Information technology—Security techniques—Code of practice for information security controls based on ISO/IEC 27002 for cloud services(《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实用规则》)
该标准与特定行业的应用架构基本是一致的,都与ISO/IEC 27009保持兼容。
ISO/IEC 27018用来指导公有云的服务提供商,例如,微云、百度云等,如何保护个人隐私,该标准与ISO/IEC 27017联系紧密。
目前,最新版本信息为:
ISO/IEC 27018:2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors(《信息技术 安全技术 公有云中作为个人身份信息处理者保护个人身份信息的实用规则》)
通俗地讲,ISO/IEC 27018是关于公有云服务个人资料处理者如何保护客户隐私的最佳实践,这些在特定领域应用的标准,架构基本都一致,因为都是基于通用的ISO/IEC 27001和ISO/IEC 27002。
ISO/IEC TR 27019是关于能源公用事业行业应用ISO/IEC 27002及其相关的ISO/IEC 27000标准族的指南,目前最新的版本为:
ISO/IEC TR 27019:2013 Information technology—Security techniques—Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry(《信息技术 安全技术 基于ISO/IEC 27002用于能源公共事业行业过程控制的信息安全管理指南》)
ISO/IEC TR 27019目前所依据的还是ISO/IEC 27002:2005,ISO最新标识的状态是90.92⑮⑮在ISO的开发过程标识中,90.92的意思是International Standard to be revised 60.60。限于篇幅,我们在本书中没有给出所有的过程标识符号,有兴趣的读者,可以参考:林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社, 2015. 在该书的第二部分中,有详细的表格。。
Development of ISO/IEC 27000 Standards (Part A)
Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )
We introduce the development of ISO/IEC 27000 standards before ISO/IEC 27030, in which from ISO/IEC 27000 to ISO/IEC 27008 mainly focus on information security management system (ISMS) and after ISO/IEC 27009 mainly focus on a specif c application of ISO/IEC 27001.
ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002
2)本文中所列出的标准及状态以http://www.iso.org公开发布的在售目录为准,末次登录时间为2016年12月9日。其他信息,则来源于http://www. iso27001security.com/index.html。
⑨TR, Technical Report,技术报告。