信息安全管理系列之四十八：2018年ISO/IEC 27000标准族的进展

崔达菲 谢宗晓

摘要：论文介绍了ISO/IEC 27000标准族的最新开发进展，尤其是2018年改版和新增的标准。

关键词：ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理体系 概述与词汇

2018年进行了改版，目前最新版本为第5版。目前在用的国家标准对应版本为2016年的第4版，即GB/T 29246—2017/ISO/IEC 27000：2016。国家标准开发进展请参考文献[4]。

2 ISO/IEC 27001 信息安全管理体系 要求

3 ISO/IEC 27002 信息安全控制实践指南2）

ISO/IEC 27001与ISO/IEC 27002目前为2013年发布的第2版，之后发布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015，目前有正在開发中的第3版，最新状态为ISO/IEC NP 27002。ISO/IEC 27001：2013与ISO/IEC 27002：2013都已经被等同采用为国家标准，分别为GB/T 22080—2016和GB/T 22081—2016。

4 ISO/IEC 27003 信息安全管理体系 指南

目前最新版本依然为2017年3月发布的第2版，在2018年无变化。该标准的在用国家标准版本为：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价

目前最新版本为2016年12月发布的第2版，在2018年无变化。该标准的在用国家标准版本为：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全风险管理

该标准在2018年7月发布了第3版，具体的分析请参考文献[5]。

7 ISO/IEC 27006 信息安全管理体系审核和认证机构要求

最新为2015年版，第3版，在2018年无变化。目前在用的国家标准为GB/T 25067—2016/ISO/IEC 27006：2011。

8 ISO/IEC 27007信息安全管理体系审核指南

该标准在2017年10月发布第2版，代替之前的2011版本。国家标准为GB/T 28450—2012。

9 ISO/IEC TR 27008 信息安全控制审核指南

这个标准的最新版本为2011年版，2018年最新状态更新为ISO/IEC PRF TS 27008。

10 ISO/IEC 27009 特定行业应用ISO/IEC 27001 要求

最新版本为2016年版，目前最新状态为ISO/IEC CD 27009。

11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信

目前最新版本为2015年发布的第2版，在2018年无变化。该标准对应的国家标准为GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则

目前最新版本为2016年版，2018年发布了ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理体系与服务管理整合

目前最新版本为2016年发布的第2版，在2018年无变化。

14 ISO/IEC 27014 信息安全治理

目前最新版本为2013年发布的第1版，2018年最新状态为ISO/IEC NP 27014。该标准对应的国家标准为GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27015 金融服务信息安全管理指南

ISO/IEC TR 27015在2017年被废止，并取消了改版计划。

16 ISO/IEC TR 27016 信息安全管理 组织经济学

目前最新版本为2014年发布的第1版，在2018年无变化。

17 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则

目前最新版本为2015年发布的第1版，在2018年无变化。

18 ISO/IEC 27018 公有云中作为个人身份信息处理者保护个人身份信息的实用规则

目前最新版本为2014年发布的第1版，在2018年最新状态为ISO/IEC FDIS 27018。

19 ISO/IEC 27019 能源公共事业行业的信息安全控制

该标准在2017年10月发布为ISO/IEC 27019：2017，之前的版本为ISO/IEC TR 27019：2013。

20 ISO/IEC 27021 信息安全管理体系专业人员能力要求

该标准最新版本为2017年10月发布的第1版。

21 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射

该标准的最新版本是发布于2015年7月的第1版。

22 ISO/IEC AWI 27030 物联网安全与隐私指南

该标准为新增标准，标题为Guidelines for security and privacy in Internet of Things （IoT）（物联网安全与隐私指南）。

23 ISO/IEC 27031 ICT业务连续性指南

ISO/IEC 27031最新版为本发布于2011年的第1版，在2018年无变化。

24 ISO/IEC 27032 网络空间安全

ISO/IEC 27032最新版本为发布于2012年的第1版，在2018年经过评审后，版本依然有效。

25 ISO/IEC 27033 网络安全

由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028，在2018年，其中的6个部分，均没有大的变化。

26 ISO/IEC 27034 应用安全

ISO/IEC 27034有7部分，其中：

·ISO/IEC 27034-1和ISO/IEC 27034-2无变化;

·新发布ISO/IEC 27034-3：2018 应用安全管理过程;

·即将发布ISO/IEC CD 27034-4;

·ISO/IEC 27034-5：2017 在2018年没有变化;

·  ISO/IEC 27034-6最新版本为2016年的第1版，目前无变化;

·新发布ISO/IEC 27034-7：2018 保证预测框架。

27 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都为2016年版本，在2017年增加了ISO/IEC 27035-3，目前最新状态为ISO/IEC NP 27035-3。

28 ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036一共有4部分，在2018年均无变化。

29 ISO/IEC 27037 数字证据识别、收集、获取与保护指南

ISO/IEC 27037版本为2012年版，在2018年版本经过评审后依然有效。

30 ISO/IEC 27038 数字编校指南

ISO/IEC 27038最新版本为2014年版，在2018年无变化。

31 ISO/IEC 27039 入侵检测系统的选择、部署和操作

ISO/IEC 27039最新版本为2015年版，在2018年无变化。

32 ISO/IEC 27040 存储安全

ISO/IEC 27040最新版本为2015年版，在2018年无变化。

33 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南

ISO/IEC 27041最新版本为2015年版，在2018年无变化。

34 ISO/IEC 27042 数字证据分析与解释指南

ISO/IEC 27042最新版本为2015年版，在2018年无变化。

35 ISO/IEC 27043 事件调查原则与过程

ISO/IEC 27043最新版本为2015年版，在2018年无变化。

36 ISO/IEC 27050 电子举证

ISO/IEC 27050分为4部分，其中：

·ISO/IEC 27050-1最新版本为2016年版;

· 新发布了ISO/IEC 27050-2：2018 电子举证治理与管理指南;

· ISO/IEC 27050-3：2017为最新版本;

· ISO/IEC 27050-4依然在开发中，最新状态为ISO/IEC NP 27050-4。

37 ISO/IEC 27070 建立虚拟信任根的安全要求

该标准在开发中，最新状态为ISO/IEC NP 27070。

38 ISO/IEC 27101 框架开发指南

该标准尚在开发中，最新状态为ISO/IEC AWI TS 27101。

39 ISO/IEC 27102 网络保险信息安全管理指南

该标准的最新状态为ISO/IEC DIS 27102。

40 ISO/IEC TR 27103 网络安全与ISO及IEC标准

该标准在2018年2月发布第1版。

41 ISO/IEC 27550 隐私工程

该标准尚在开发中，最新状态为ISO/IEC PDTR 27550 Privacy engineering（隐私工程）。

42 ISO/IEC 27551 基于属性的非连接实体授权要求

该标准尚在开发中，最新状态为ISO/IEC AWI 27551 Requirements for attribute-based unlinkable entity authentication（基于属性的非连接实体授权要求）。

43 ISO/IEC 27552 隐私信息管理的扩展要求与指南

该标准尚在开发中，最新状态为ISO/IEC DIS 27552 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines（基于ISO/IEC 27001和ISO/IEC 27002扩展的隐私信息管理 要求与指南）。

44 ISO/IEC 27570 智慧城市隐私指南

该标准尚在开发中，最新状态为ISO/IEC WD TS 27570 Information Technology — Security Techniques —Privacy guidelines for Smart Cities（智慧城市隐私指南）。

45 ISO 27799 应用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年发布的第2版，在2018年无变化。

46 ISO/TR 13569 金融服务信息安全指南

ISO/TR 13569最新版本为2005年发布的第3版，在2013年经过评审后依然有效。该标准和ISO 27799类似，也沿用了ISO/IEC 27002的大致框架。

综上所述，2018年ISO/IEC 27000标准族中，在用标准及其版本3）如下表所示。

参考文献

[1]  谢宗晓， 甄杰. 截至2016年底ISO/IEC 27000标准族的进展（下）[J]. 中国质量与标准导报，2017（2）： 34-38，41.

[2]  谢宗晓， 董坤祥. 截至2016年底ISO/IEC 27000标准族的进展（上）[J].中国质量与标准导报，2017（1）： 36-40.

[3]  谢宗晓.2017年ISO/IEC 27000标准族的进展[J]. 中国质量与标准导报，2018（1）：42-46.

[4]  陈磊，谢宗晓.信息安全管理体系（ISMS）相关标准介绍[J]. 中国质量与标准导报，2018（10）：16-18

[5]  谢宗晓，许定航. ISO/IEC 27005：2018解读及其三次版本演化[J]. 中国质量与标准导报， 2018（9）：16-18.