2019年ISO/IEC 27000标准族的进展

谢宗晓 甄杰 董坤祥

摘要：介绍了ISO/IEC 27000标准族的最新开发进展，尤其是2019年改版和新增的标准。

关键词：ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2019.

Key words： ISO/IEC 27000 standards family， ISO/IEC 27001， ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理体系 概述与词汇

最新版本为ISO/IEC 27000：2018，第5版。目前在用的国家标准对应版本为2016年的第4版，即GB/T 29246—2017 / ISO/IEC 27000： 2016。在2019年无变化。

2 ISO/IEC 27001 信息安全管理体系 要求

最新版本为2013年发布的第2版，之后发布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015，该标准被等同采用为GB/T 22080—2016。在2019年无变化。

3 ISO/IEC 27002 信息安全控制实践指南

最新版本为2013年发布的第2版，之后发布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015，目前有正在开发中的第3版，最新状态为ISO/IEC WD 27002。ISO/IEC 27002： 2013被等同采用为国家标准GB/T 22081—2016。在2019年无变化。

值得注意是，ISO/IEC 27002：2005标题为Code of practice for information security management（信息安全管理    实用规则），ISO/IEC 27002：2013标题为Code of practice for information security controls（信息安全控制实践指南），两者翻译区别较大，但是英文标题区别不大。

4 ISO/IEC 27003 信息安全管理体系 指南

最新版本依然为2017年3月发布的第2版，在2019年无变化。该标准的在用国家标准版本为：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价

最新版本为2016年12月发布的第2版，在2019年无变化。该标准的在用国家标准版本为：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全风险管理

该标准最新版本为2018年7月发布的第3版，在2019年无变化。该标准的在用国家标准版本为：GB/T 31722—2015/ ISO/IEC 27005：2008，具体的分析请参考文献[6]。

7    ISO/IEC 27006    信息安全管理体系审核和认证机构要求

最新为2015版（第3版），在2019年无变化。目前在用的国家标准为GB/T 25067—2016/ISO/IEC 27006：2011。

8 ISO/IEC 27007 信息安全管理体系审核指南

该标准在2017年10月发布第2版，代替之前的2011版本。ISO/IEC 27007正在改版，目前最新状态ISO/IEC FDIS 27007。国家标准为GB/T 28450—2012，但不是采标的版本。

9    ISO/IEC TS 27008    信息安全控制评估指南

该标准2019年最新状态为ISO/IEC TS 27008：2019，由技术报告（TR）改成了技术规范（TS），标题也从“审核”变成了“评估”。

以上标准在2019年版本都已经接近稳定，说明信息安全管理的基础标准的开发已经日渐成熟。

10 ISO/IEC 27009 特定行业应用ISO/IEC 27001    要求

最新版本为2016版，目前正在改版状态，最新版本为ISO/IEC DIS 27009。

11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信

最新版本为2015年发布的第2版，在2019年无变化。该标准对应的国家标准为GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则

最新版本为2016版，2018年发布有ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系与服务管理整合

最新版本为2016年发布的第2版，目前正在改版，最新状态为ISO/IEC AWI 27013。

14 ISO/IEC 27014 信息安全治理

最新版本为2013年发布的第1版，2019年最新状态为ISO/IEC CD 27014。该标准对应的国家标准为GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27016 信息安全管理 组织经济学

最新版本为2014年发布的第1版，在2019年无变化。

16 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则

最新版本为2015年发布的第1版，在2019年无变化。

17 ISO/IEC 27018 公有云中个人身份信息保护实用规则

最新版本为2019年1月发布的第2版，该标准是关于隐私保护的。

18 ISO/IEC 27019 能源公共事业行业的信息安全控制

最新版本为2017年10月发布的第1版，之前被发布为ISO/IEC TR 27019：2013。

19 ISO/IEC 27021 信息安全管理体系专业人员能力要求

最新版本为2017年10月发布的第1版。

20 ISO/IEC WD 27022 ISMS过程指南

该标准正在开发中，目前状态为WD（工作组草案），由于为开发中标准，因此在标题中强调了其WD状态，并标识斜体，防止混淆，下文遵循此规则。

21 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射

最新版本是发布于2015年7月的第1版。

22 ISO/IEC WD 27030 物联网安全与隐私指南

该标准正在开发中，为隐私类标准。

23 ISO/IEC 27031 ICT業务连续性指南

ISO/IEC 27031最新版本是发布于2011年的第1版，在2019年开始改版，目前状态为ISO/IEC WD 27031。

24 ISO/IEC 27032 网络空间安全

ISO/IEC 27032最新版本发布于2012年的第1版，在2018年经过评审后，版本依然有效。2019年开始改版，目前状态为ISO/IEC WD 27032，但标题改成了Guidelines for Internet Security（因特网安全指南）。

25 ISO/IEC 27033 网络安全

由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028，在2019年，其中的6个部分，均没有大的变化，说明该标准开发也比较成熟了。

26 ISO/IEC 27034 应用安全

ISO/IEC 27034有7部分，其中：

· ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均无变化;

· ISO/IEC CD 27034-4，状态自2018年就是CD（委员会草案）;

· ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均无变化;

· 在2018年4月，发布有ISO/IEC TS 27034-5-1：2018。

ISO/IEC TS 27034-5-1：2018计划可能是5部分，但是在2019年并无新进展，其标题为XML schemas。

在2019年，ISO/IEC 27034也基本没有变化，说明其开发也日渐成熟了。

27 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都为2016年版本，目前也都正在改版，状态为ISO/IEC WD 27035-1和ISO/IEC WD 27035-2。

在2017年增加了ISO/IEC 27035-3，目前最新状态为ISO/IEC CD 27035-3。

28 ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036一共有4部分，在2019年均无变化。

29 ISO/IEC 27037 数字证据识别、收集、获取与保护指南

ISO/IEC 27037版本为2012版，在2019年无变化。

30 ISO/IEC 27038 数字编校指南

ISO/IEC 27038最新版本为2014版，在2019年无变化。

31 ISO/IEC 27039 入侵检测系统的选择、部署和操作

最新版本为2015版，在2019年没有变化。

32 ISO/IEC 27040 存储安全

最新版本为2015版，在2019年没有变化。

33 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南

最新版本为2015版，在2019年没有变化。

34 ISO/IEC 27042 数字证据分析与解释指南

最新版本为2015版，在2019年没有变化。

35 ISO/IEC 27043 事件调查原则与过程

最新版本为2015版，在2019年没有变化。

36 ISO/IEC WD 27045 大数据安全与隐私 过程

该标准在开发过程中。

37 ISO/IEC 27050 电子数据取证

ISO/IEC 27050分为4个部分，其中：

· ISO/IEC 27050-1和ISO/IEC 27050-2无变化;

· ISO/IEC 27050-3开始改版，最新状态为ISO/IEC FDIS 27050-3;

· ISO/IEC 27050-4依然在开发中，最新状态为ISO/IEC CD 27050-4。

38 ISO/IEC WD 27070 建立虚拟信任根的安全要求

该标准尚在开发中。

39 ISO/IEC AWI 27071 设备和服务之间建立可信连接的安全建议

该标准尚在开发中。

40 ISO/IEC CD 27099 公钥基础设施 实践与策略框架

该标准尚在开发中。

41 ISO/IEC WD TS 27100 网络安全 概述与概念

该标准尚在开发中。

42 ISO/IEC WD TS 27101 框架开发指南

该标准尚在开发中。

43 ISO/IEC 27102 信息安全管理 网络保险指南

该标准发布于2019年8月，第1版。

44 ISO/IEC TR 27103 网络安全与ISO及IEC标准

该标准在2018年2月发布第1版，目前仍为最新。

45 ISO/IEC 27550 系统生命周期过程的隐私工程

該标准发布于2019年9月，第1版，为隐私类标准。

46 ISO/IEC CD 27551 基于属性的非连接实体授权要求

该标准尚在开发中。

47 ISO/IEC WD 27553 移动设备使用生物识别技术授权的安全要求

该标准尚在开发中。

48 ISO/IEC AWI 27554 应用ISO 31000评估身份管理相关风险

该标准尚在开发中。

49 ISO/IEC WD 27555 在组织中建立PII删除的概念

该标准尚在开发中。

50 ISO/IEC AWI 27556 用于处理基于隐私偏好的PII用户中心框架

该标准尚在开发中。

51 ISO/IEC PDTS 27570 智慧城市隐私指南

该标准尚在开发中。

PII为个人可识别信息（Personal Identifiable Information）。

以ISO/IEC 29100为代表的隐私保护相关标准，在本文中不再详细介绍，请参考专栏中的其他文章。

52 ISO/IEC 27701：2019 ISO/IEC 27001与ISO/IEC 27002 在隐私信息管理的扩展 要求与指南

该标准发布于2019年8月，在隐私保护领域非常重要。

53 ISO 27799 应用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版为2016年发布的第2版，在2019年无变化。

综上所述，2019年广义的ISO/IEC 27000标准族，有效的标准及其版本2）如表1所示。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] 谢宗晓，董坤祥. 截至2016年底ISO/IEC 27000标准族的进展（上）[J].中国质量与标准导报， 2017（1）：36-40.

[2] 谢宗晓，甄杰. 截至2016年底ISO/IEC 27000标准族的进展（下）[J].中国质量与标准导报， 2017（2）：34-38，41.

[3] 谢宗晓.2017年ISO/IEC 27000标准族的进展[J].中国质量与标准导报， 2018（1）：42-46.

[4] 崔达菲，谢宗晓. 2018年ISO/IEC 27000标准族的进展[J].中国质量与标准导报， 2019（1）：20-25.

[5] 谢宗晓，董坤祥，甄杰.信息安全、网络安全与隐私保护[J].中国质量与标准导报， 2019（7）：26-28.

[6] 谢宗晓，许定航.ISO/IEC 27005：2018解读及其三次版本演化[J].中国质量与标准导报， 2018（9）：16-18.