信息安全管理系列之六十七　2020年ISO/IEC 27000标准族的进展1）

谢宗晓　董坤祥　甄杰　

摘要：介绍了ISO/IEC 27000标准族的最新开发进展，尤其是2020年改版和新增的标准。

关键词：ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Development of ISO/IEC 27000 Standards Family in 2020

Xie Zongxiao （China Financial Certification Authority）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Management Science and Engineering， Chongqing Technology and Business University）

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2020.

Key words：  ISO/IEC 27000， ISO/IEC 27001， ISO/IEC 27002

1 已经发布的标准

1.1 ISO/IEC 27000 信息安全管理体系 概述与词汇

最新版本为ISO/IEC 27000：2018，第5版。目前在用的国家标准对应版本为2016年的第4版，即GB/T 29246—2017 / ISO/IEC 27000： 2016。在2020年该标准都无变化。

1.2 ISO/IEC 27001 信息安全管理体系 要求

最新版本为2013年发布的第2版，之后发布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015，该标准被等同采用为GB/T 22080—2016。在2019年经过确认后，标准保持有效。

1.3 ISO/IEC 27002 信息安全控制实践指南

最新版本为2013年发布的第2版，之后发布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015。ISO/IEC 27002： 2013等同采用为国家标准GB/T 22081—2016。在2020年该标准都无变化。

1.4 ISO/IEC 27003 信息安全管理体系 指南

最新版本依然为2017年3月发布的第2版，在2020年该标准都无变化。该标准的在用国家标准版本为：GB/T 31496—2015 / ISO/IEC 27003：2010。

1.5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价

最新版本为2016年12月发布的第2版，在2020年该标准都无变化。该标准的在用国家标准版本为：GB/T 31497—2015 / ISO/IEC 27004：2009。

1.6 ISO/IEC 27005 信息安全风险管理

该标准最新版本为2018年7月發布的第3版，该标准的在用国家标准版本为GB/T 31722—2015/ ISO/IEC 27005：2008。在2020年该标准都无变化。

1.7 ISO/IEC 27006 信息安全管理体系 审核和认证机构要求

最新为2015版，第3版，在本年度发布了ISO/IEC 27006：2015/Amd 1：2020。目前在用的国家标准为GB/T 25067—2020/ISO/IEC 27006：2015，之前版本为GB/T 25067—2016/ISO/IEC 27006： 2011。

1.8 ISO/IEC 27007 信息安全管理体系 审核指南

最新版本为2020年1月发布的第3版。目前现行国家标准为GB/T 28450—2012，但不是采标的版本。2021年7月1日即将实施的GB/T 28450—2020，等同采用ISO/IEC 27007： 2017。

1.9 ISO/IEC TS 27008 信息安全控制 评估指南

该标准在2020年无变化。

1.10 SO/IEC 27009 特定行业应用ISO/IEC 27001 要求

最新版本为2020年4月发布的第2版，之前版本为2016版。

1.11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信

最新版本为2015年发布的第2版，在2020年无变化。该标准对应的国家标准为GB/T 32920—2016 / ISO/IEC 27010：2012。

1.12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则

最新版本为2016版，第2版，之前有2008版。此外，2018年发布有ISO/IEC 27011：2016 / Cor 1：2018。

1.13 ISO/IEC 27013 信息安全管理体系与服务管理整合

最新版本为2016年发布的第2版，目前正在改版，最新状态为ISO/IEC DIS 27013。

1.14 ISO/IEC 27014 信息安全治理

最新版本为2013年发布的第1版，2020年最新状态为ISO/IEC FDIS 27014。该标准对应的国家标准为GB/T 32923—2016 / ISO/IEC 27014：2013。

1.15 ISO/IEC TR 27016 信息安全管理 组织经济学

最新版本为2014发布的第1版，在2020年无变化。

1.16 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则

最新版本为2015年发布的第1版，在2020年无变化，目前已经在评审流程中。

1.17 ISO/IEC 27018 公有云中个人身份信息保护实用规则

最新版本为2019年1月发布的第2版，在2020年无变化。

1.18 ISO/IEC 27019 能源公共事业行业信息安全控制

最新版本为2017年10月发布的第1版，之前被发布为ISO/IEC TR 27019：2013。

1.19 ISO/IEC 27021 信息安全管理体系专业人员能力要求

最新版本为2017年10月发布的第1版，在2020年无变化。

1.20 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射

最新版本是发布于2015年7月的第1版。

1.21 ISO/IEC 27031 ICT业务连续性指南

ISO/IEC 27031最新版本为发布于2011年的第1版，在2019年开始改版，目前状态为ISO/IEC WD 27031。

1.22 ISO/IEC 27032 网络空间安全

ISO/IEC 27032最新版本为发布于2012年的第1版，在2018年经过评审后，版本依然有效。2019年开始改版，目前状态为ISO/IEC WD 27032，但标题改成了Guidelines for Internet Security（因特网安全指南）。

1.23 ISO/IEC 27033 网络安全

由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028系列，在2020年，其中的6个部分，均没有大的变化，说明该标准开发也比较成熟了。

1.24 ISO/IEC 27034 应用安全

ISO/IEC 27034有7部分，其中：

● ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均无变化;

● ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均无变化;

● ISO/IEC TS 27034-5-1在2020年也无变化。

1.25 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都为2016年版本，目前也都正在改版，状态为ISO/IEC CD 27035-1和ISO/IEC CD 27035-2。

2020年9月发布了ISO/IEC 27035-3：2020 Guidelines for ICT incident response operations（ICT事件响应操作指南）。

在2020年，ISO/IEC 27035新增加了第4部分，具体见下文2.13。

1.26 ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036一共有4部分，其中ISO/IEC 27034-1：2011无变化，ISO/IEC 27034-2：2014最新状态为ISO/IEC WD 27036-2，ISO/IEC 27036-3：2013在2019年评审后依然有效，ISO/IEC 27036-4：2016在2020年无变化。

1.27 ISO/IEC 27037 数字证据识别、收集、获取与保护指南

ISO/IEC 27037版本为2012版，在2018年评审后依然有效。

1.28 ISO/IEC 27038 数字编校指南

ISO/IEC 27038最新版本为2014版，在2019年评审后依然有效。

1.29 ISO/IEC 27039 入侵检测系统的选择、部署和操作

最新版本为2015版，在2020年评审后依然有效。

1.30 ISO/IEC 27040 存储安全

目前有效版本为2015版，最新状态为ISO/IEC WD 27040。

1.31 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南

目前有效版本为2015版，正在评审中。

1.32 ISO/IEC 27042 数字证据分析与解释指南

目前有效版本为2015版，正在评审中。

1.33 ISO/IEC 27043 事件调查原则与过程

最新版本为2015版，在2020年评审后依然有效。

1.34 ISO/IEC 27050 电子数据取证

ISO/IEC 27050分为4部分，其中：

● ISO/IEC 27050-1：2019无变化，这是第2版，之前为2016年版本。

● ISO/IEC 27050-2：2018无变化;

● 发布了ISO/IEC 27050-3：2020 Information technology—Electronic discovery—Part 3： Code of practice for electronic discovery（信息技術 电子数据取证 第3部分：电子数据取证实用规则），这是第2版，之前为2017年版本。

● ISO/IEC 27050-4依然在开发中，最新状态为ISO/IEC DIS 27050-4。

1.35 ISO/IEC 27102 息安全管理 网络保险指南

该标准发布于2019年8月，第1版。

1.36 ISO/IEC TR 27103 网络安全与ISO及IEC标准

该标准在2018年2月发布第1版，目前仍为最新版。

1.37 ISO/IEC 27550 系统生命周期过程的隐私工程

该标准发布于2019年9月，第1版，隐私类标准。

1.38 ISO/IEC 27701：2019 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南

该标准发布于2019年8月，在隐私保护领域非常重要[1]。

1.39 ISO 27799 应用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版为2016年发布的第2版，之前版本为2008版，在2020年无变化。

综上所述，2020年ISO/IEC 27000标准族，有效的标准及其版本如表1所示。

2 研发中的标准

2.1 ISO/IEC CD 27002.2

ISO/IEC 27002是ISO/IEC 27000标准族最基础的标准之一，不再赘述。ISO/IEC CD 27002.2为新加的部分，标题为 Information security， cybersecurity and privacy protection — Information security controls（信息安全、网络安全及隐私保护 信息安全控制）。

2.2 ISO/IEC CD 27005.2

ISO/IEC CD 27005.2为新加的部分，标题为Information security， cybersecurity and privacy protection — Guidance on managing information security risks and opportunities（信息安全、网络安全及隐私保护 管理信息安全风险与机会指南）。

2.3 ISO/IEC DTS 27006-2

ISO/IEC DTS 27006-2也是新加的部分，标题为Requirements for bodies providing audit and certification of information security management systems—Part 2： Privacy information management systems（信息安全管理体系审核和认证机构要求 第2部分：隐私信息管理系统）。

2.4 ISO/IEC WD 27011

此标准是开发中的第3版，参见表1。

2.5 ISO/IEC DIS 27013

此标准是开发中的第3版，参见表1。

2.6 ISO/IEC FDIS 27014

这是开发中的第2版，参见表1。

2.7 ISO/IEC 27021：2017/DAmd 1

开发中的修订，标题为Addition of  ISO/IEC 27001： 2013 clauses or subclauses to competence requirements（ISO/IEC 27001： 2013条款或子条款的补充能力要求）。

2.8 ISO/IEC DTS 27022.2

开发中的标准，标题为Information technology—Guidance on information security management system processes（信息技术 信息安全管理体系过程指引）。

2.9 ISO/IEC WD 27032

这是开发中的第2版，但是标题变了，见前文1.22中的描述或者表1。

2.10 ISO/IEC AWI 27033-7

新加的一部分，标题为Information technology—Network security—Part 7： Guidelines for network virtualization security（信息技术 网络安全 第7部分：网络可视化安全指南）。

2.11 ISO/IEC CD 27035-1

此标准是开发中的第2版，参见前文1.25。

2.12 ISO/IEC CD 27035-2

此标准是开发中的第2版，参见前文1.25。

2.13 ISO/IEC WD 27035-4

新加的一部分，标题为Information technology—Information security incident management—Part 4： Coordination（信息技术 信息安全事件管理 第4部分：合作）。

2.14 ISO/IEC WD 27036-2

开发中的第2版，参见前文1.26。

2.15 ISO/IEC WD 27040

开发中的第2版，参见前文1.30。

2.16 ISO/IEC WD 27045.5

标题为Information technology—Big data security and privacy—Processes（信息技術 大数据与隐私 过程）。

2.17 ISO/IEC WD 27046.2

标题为Information technology—Big data security and privacy—Implementation guidelines（信息技术 大数据与隐私 应用指南）。

2.18 ISO/IEC DIS 27050-4

标题为Information technology—Electronic discovery—Part 4： Technical readiness（信息技术 电子数据取证 第4部分：技术准备）。

2.19 ISO/IEC DIS 27070

标题为Information technology—Security techniques—Requirements for establishing virtualized roots of trust（信息技术 安全技术 建立虚拟信任根要求）。

2.20 ISO/IEC WD 27071.3

标题为Information technology—Security techniques—Security recommendations for establishing trusted connections between devices and service（信息技术 安全技术 设备与服务之间建立可信链接的安全建议）。

2.21 ISO/IEC CD 27099.2

标题为Information Technology—Public key infrastructure—Practices and policy framework（信息技术 关键基础设施 实践与策略框架），这个标准是关于CA证书的。

2.22 ISO/IEC PRF TS 27100

标题为Information technology—Cybersecurity—Overview and concepts（信息技术 网络安全 概述与定义）。

2.23 ISO/IEC PRF TS 27110

标题为Information technology4）， cybersecurity and privacy protection—Cybersecurity framework development guidelines（信息技术、网络安全与隐私保护 网络安全框架开发指南）。

2.24 ISO/IEC CD 27400.2

标题为Cybersecurity—IoT security and privacy—Guidelines（网络安全 物联网安全与隐私 指南）。

2.25 ISO/IEC WD 27402.2

标题为Cybersecurity—IoT security and privacy—Device baseline requirements（网络安全 物联网安全与隐私 设备基线要求）。

2.26 ISO/IEC WD 27403.2

标题为Cybersecurity—IoT security and privacy—Guidelines for IoT-domotics（网络安全 物联网安全与隐私 家庭物联网指南）

2.27 ISO/IEC DIS 27551

标题为Information security， cybersecurity and privacy protection—Requirements for attribute-based unlinkable entity authentication（信息安全、网络安全与隐私保护 基于属性的非连接实体授权要求）。

2.28 ISO/IEC CD 27553

标题为Information technology—Security techniques—Security requirements for authentication using biometrics on mobile devices（信息技术 安全技术 移动设备使用生物识别技术授权的安全要求）。

2.29 ISO/IEC WD 27554.2

标题为Application of ISO 31000 for assessment of identity management-related risk（应用ISO 31000评估身份管理相关风险）。

2.30 ISO/IEC DIS 27555

标题为Information security， cybersecurity and privacy protection—Guidelines on personally identifiable information deletion（信息安全、网络安全与隐私保护 个体识别信息指南）。

2.31 ISO/IEC CD 27556.2

标题为Information technology—User-centric framework for the handling of personally identifiable information （PII） based on privacy preferences（信息技术 用于处理基于隐私偏好的PII用户中心框架）。

2.32 ISO/IEC WD 27557.2

標题为Information technology—Organizational privacy risk management（信息技术 阻止隐私风险管理）。

2.33 ISO/IEC WD 27559.2

标题为Privacy enhancing data de-identification framework（隐私加强数据去标识化框架）。

2.34 ISO/IEC WD TS 27560

标题为Privacy technologies — Consent record information structure（隐私技术 知情同意记录信息结构）。

2.35 ISO/IEC CD TS 27570.3

标题为Privacy protection — Privacy guidelines for Smart Cities（隐私保护 智慧城市隐私指南）。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] 谢宗晓，董坤祥，甄杰， 等. ISO/IEC 27701：2019 隐私信息管理体系（PIMS）标准解读[M].北京：中国标准出版社， 2020.