謝宗曉（南開大學(xué)商學(xué)院）

甄杰（重慶工商大學(xué)商務(wù)策劃學(xué)院）

截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進展（下）2）

謝宗曉（南開大學(xué)商學(xué)院）

甄杰（重慶工商大學(xué)商務(wù)策劃學(xué)院）

本文介紹了ISO/IEC 27000標(biāo)準(zhǔn)族中編號在ISO/IEC 27031之后的標(biāo)準(zhǔn)開發(fā)進展情況，這些標(biāo)準(zhǔn)主要關(guān)注ISO/ IEC 27001：2013附錄A中不同的控制域。

ISO/IEC 27000標(biāo)準(zhǔn)族 ISO/IEC 27001 ISO/IEC 27002

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之二十五

隨著ISO/IEC 27001和ISO/IEC 27002在2013的改版①謝宗曉，鞏慶志. ISO/IEC 27001：2013 標(biāo)準(zhǔn)解讀及改版分析[M]. 北京：中國標(biāo)準(zhǔn)出版社，2013.，根據(jù)ISO的國際標(biāo)準(zhǔn)開發(fā)流程，其他ISO/IEC 27000標(biāo)準(zhǔn)族在2014—2016年之間的3年左右也進入改版的高峰期，我們用2期的篇幅，介紹截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的最新進展情況。在后續(xù)的專欄中，我們會更詳細地介紹這些標(biāo)準(zhǔn)。

謝宗曉（特約編輯）

1 ISO/IEC 27031 ICT的業(yè)務(wù)連續(xù)性

ISO/IEC 27031提供了ICT業(yè)務(wù)連續(xù)性概念及基本原則，對應(yīng)到ISO/IEC 27001：2013的A.17 業(yè)務(wù)連續(xù)性管理的信息安全方面。

ISO/IEC 27031發(fā)布于2011年，與ISO 22301：2012聯(lián)系緊密。目前版本信息為：

ISO/IEC 27031：2011 Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity（《信息技術(shù) 安全技術(shù) ICT業(yè)務(wù)連續(xù)性指南》）

之前發(fā)布過ISO/IEC 24762：2008，關(guān)于災(zāi)難恢復(fù)的，已經(jīng)被撤銷。

如果不加限定詞，業(yè)務(wù)連續(xù)性包括了很大的范疇，更廣義的業(yè)務(wù)連續(xù)性的國際標(biāo)準(zhǔn)，如上文中的ISO 22301。

ISO 22301：2012 Societal security—Business continuity management systems—Requirements（《社會安全 業(yè)務(wù)連續(xù)性管理體系 要求》）

ISO 22301：2012是值得一讀的標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)有一個“0.2 The Plan-Do-Check-Act （PDCA） model”非常精彩。ISO 22301：2012與ISO/IEC Directives, Part 1①ISO/IEC Directives，Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附錄2：High level structure, identical core text, common terms and core definitions（高層結(jié)構(gòu)﹑相同條款標(biāo)題﹑相同文本﹑通用術(shù)語和核心定義）。保持了一致，當(dāng)時，ISO/IEC 27001還是2005版，采用的PDCA模型。ISO 22301：2012用了一節(jié)與ISO/IEC 27001：2005的PDCA框架進行了對應(yīng)，為的是與管理體系標(biāo)準(zhǔn)族加強兼容。ISO 22301：2012與ISO/IEC 27001：2013正文都是根據(jù)ISO/IEC Directives, Part 1，且要比ISO/IEC 27001：2013出版得早。

2 ISO/IEC 27032 網(wǎng)絡(luò)空間安全

ISO/IEC 27032 對網(wǎng)絡(luò)安全/網(wǎng)絡(luò)空間安全②關(guān)于詞匯的辨析，請參考：謝宗曉. 信息安全﹑網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（12）：30-32.謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（02）：26-28.提供了指導(dǎo)，目前最新版本為：

ISO/IEC 27032：2012 Information technology—Security techniques —Guidelines for cybersecurity（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全指南》）

更多資料，可參考《網(wǎng)絡(luò)空間安全管理》③ISO/IEC Directives，Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附錄2：High level structure, identical core text, common terms and core definitions（高層結(jié)構(gòu)﹑相同條款標(biāo)題﹑相同文本﹑通用術(shù)語和核心定義）。，其中有對ISO/IEC 27032：2012的詳細介紹。

3 ISO/IEC 27033 網(wǎng)絡(luò)安全

ISO/IEC 27033為網(wǎng)絡(luò)安全，在ISO/IEC 27001：2013中對應(yīng)到A.13.1網(wǎng)絡(luò)安全管理，但在其中描述得非常簡單。

該標(biāo)準(zhǔn)之前發(fā)布為ISO/IEC 18028，原來有5部分，現(xiàn)在成了6部分，分別為：

ISO/IEC 27033-1：2015 Information technology—Security techniques—Network security—Part 1：Overview and concepts（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第1部分：綜述和概念》）

ISO/IEC 27033-2：2012 Information technology—Security techniques—Network security—Part 2：Guidelines for the design and implementation of network security（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第2部分：網(wǎng)絡(luò)安全的設(shè)計與實現(xiàn)指南 》）

ISO/IEC 27033-3：2010 Information technology—Security techniques—Network security—Part 3：Reference networking scenarios—Threats, design techniques and control issues（《信息技術(shù) 安全技術(shù)網(wǎng)絡(luò)安全 第3部分：參考網(wǎng)絡(luò)方案 威脅﹑設(shè)計技術(shù)和控制問題》）

ISO/IEC 27033-4：2014 Information technology—Security techniques—Network security—Part 4：Securing communications between networks using security gateways（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全第4部分：使用安全網(wǎng)關(guān)保護網(wǎng)絡(luò)之間的通信》）

ISO/IEC 27033-5：2013 Information technology—Security techniques—Network security—Part 5：Securing communications across networks using Virtual Private Networks （VPNs）（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護》）

ISO/IEC 27033-6：2016 Information technology—Security techniques—Network security—Part 6：Securing wireless IP network access（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第6部分：無線IP網(wǎng)絡(luò)訪問保護》）

4 ISO/IEC 27034 應(yīng)用安全

ISO/IEC 27034為應(yīng)用安全，在ISO/IEC 27001：2013中對應(yīng)到A.14 系統(tǒng)獲取﹑開發(fā)和維護。

ISO/IEC 27034一共有7部分，已經(jīng)公布的有3個，還有4個正在開發(fā)中。

公布的部分有：

ISO/IEC 27034-1：2011 Information technology—Security techniques—Application security—Part 1：Overview and concepts（《信息技術(shù) 安全技術(shù) 應(yīng)用安全 第1部分：綜述與概念》）

ISO/IEC 27034-1發(fā)布于2011年，當(dāng)時的設(shè)計只有5部分，在其前言中，ISO/IEC 27034-6和ISO/ IEC 27034-7沒有列入。

ISO/IEC 27034-2：2015 Information technology—Security techniques—Application security—Part 2：Organization normative framework（《信息技術(shù) 安全技術(shù) 應(yīng)用安全 第2部分：組織規(guī)范性框架》）

ISO/IEC 27034-6：2016 Information technology—Security techniques—Application security—Part 6：Case studies（《信息技術(shù) 安全技術(shù) 應(yīng)用安全 第6部分：案例研究》）

目前正在開發(fā)的有：

ISO/IEC 27034-3 Information technology—Security techniques—Application security—Part 3：Application security management process（《信息技術(shù) 安全技術(shù)應(yīng)用安全 第3部分：應(yīng)用安全管理過程》）

ISO/IEC 27034-4 Information technology—Security techniques—Application security—Part 4：Application security validation（《信息技術(shù) 安全技術(shù)應(yīng)用安全 第4部分：應(yīng)用安全驗證》）

ISO/IEC 27034-5 Information technology—Security techniques—Application security—Part 5：Protocols and application security control data structure（《信息技術(shù) 安全技術(shù) 應(yīng)用安全 第5部分：協(xié)議與應(yīng)用安全控制數(shù)據(jù)結(jié)構(gòu)》）

ISO/IEC 27034-7 Information technology—Security techniques—Application security—Part 7：Application security assurance prediction framework（《信息技術(shù) 安全技術(shù) 應(yīng)用安全 第7部分：應(yīng)用安全保障預(yù)測框架》）

ISO/IEC 27034與SDLC①SDLC，Systems Development Life Cycle，系統(tǒng)開發(fā)生命周期。進行了整合，建立了一個基于過程的方法，為定義﹑設(shè)計/選擇實施信息安全控制提供了指導(dǎo)，適用于信息系統(tǒng)的內(nèi)部開發(fā)﹑外部獲取或外包等所有情形。這個標(biāo)準(zhǔn)與軟件開發(fā)聯(lián)系緊密。

5 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035為信息安全事件管理，在ISO/ IEC 27001：2013中為A.16 信息安全事件管理。該標(biāo)準(zhǔn)之前為ISO/IEC-TR-18044，發(fā)布于2004年，應(yīng)用廣泛。被修改采用為GB/Z 20985—2007《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》，可以作為參考。

現(xiàn)在ISO/IEC 27035分成了2部分，分別為：

ISO/IEC 27035-1：2016 Information technology—Security techniques—Information security incident management—Part 1：Principles of incident management（《信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原則》）

ISO/IEC 27035-2：2016 Information technology—Security techniques—Information security incident management—Part 2：Guidelines to plan and prepare for incident response（《信息技術(shù) 安全技術(shù) 信息安全事件管理 第2部分：事件響應(yīng)規(guī)劃與準(zhǔn)備指南》）

6 ISO/IEC 27036 供應(yīng)商關(guān)系中的信息安全

ISO/IEC 27036為供應(yīng)商關(guān)系信息安全，在ISO/IEC 27001：2013中為A.15供應(yīng)商關(guān)系。

該標(biāo)準(zhǔn)一共有4部分，具體為：

ISO/IEC 27036-1：2014 Information technology—Security techniques—Information security for supplier relationships—Part 1：Overview and concepts（《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系中的信息安全 第1部分：綜述和概念》）

ISO/IEC 27036-2：2014①ISO/IEC 27036-2：2014可以免費下載。http://standards.iso.org/ittf/PubliclyAvailableStandards/c059648_ISO_IEC_27036-1_2014.zip。Information technology—Security techniques—Information security for supplier relationships—Part 2：Requirements（《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系中的信息安全 第2部分：要求》）

ISO/IEC 27036-3：2013 Information technology—Security techniques—Information security for supplier relationships—Part 3：Guidelines for information and communication technology supply chain security ICT（《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系中的信息安全 第3部分：供應(yīng)鏈安全指南》）

ISO/IEC 27036-4：2016 Information technology—Security techniques—Information security for supplier relationships—Part 4：Guidelines for security of cloud services（《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系中的信息安全 第4部分：云服務(wù)安全指南》）

ISO/IEC 27036所討論的供應(yīng)商關(guān)系中的信息安全是一個單獨的領(lǐng)域，可以參考《中國標(biāo)準(zhǔn)導(dǎo)報》信息安全管理系列的相關(guān)文章②關(guān)于這方面的文獻比較少，更多可請參考：謝宗曉，董坤祥. ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（03）：16-21.董坤祥，謝宗曉. ICT供應(yīng)鏈風(fēng)險管理標(biāo)準(zhǔn)NIST SP800-161探析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（11）：34-37+41.。

7 ISO/IEC 27037 數(shù)字證據(jù)識別、收集、獲取與保護

從ISO/IEC 27037開始的后面這些標(biāo)準(zhǔn)，都比較細分領(lǐng)域，不太容易與ISO/IEC 27001：2013的附錄A對應(yīng)，如果一定要對應(yīng)，可以到A.16.1.7證據(jù)的收集③這個是在A.16 信息安全事件管理。。

ISO/IEC 27037：2012 Information technology—Security techniques—Guidelines for identification，collection, acquisition and preservation of digital evidence（《信息技術(shù) 安全技術(shù) 數(shù)字證據(jù)的識別﹑收集﹑獲取與保護指南》）

后續(xù)如ISO/IEC 27050等還有數(shù)個關(guān)于數(shù)字證據(jù)的標(biāo)準(zhǔn)。

8 ISO/IEC 27038 數(shù)字編校

許多文檔可能需要公開，而這其中又有一些涉密的信息，文件編輯描述的是去除某些部分﹑句子或段落等。這個過程叫做“redaction”。這個問題有點小眾。

目前的最新版本為：

ISO/IEC 27038：2014 Information technology—Security techniques—Specification for digital redaction（《信息技術(shù) 安全技術(shù) 數(shù)字編校規(guī)范》）

ISO/IEC 27038：2014的標(biāo)準(zhǔn)架構(gòu)跟別的不太一樣，我們也沒有跟蹤過這個標(biāo)準(zhǔn)，因此不做進一步介紹，后續(xù)會跟進。

9 ISO/IEC 27039 入侵防御

ISO/IEC 27039是一類關(guān)于信息安全產(chǎn)品的標(biāo)準(zhǔn)，之后會陸續(xù)出現(xiàn)，只是ISO/IEC 27039是比較早以ISO/IEC 27000標(biāo)準(zhǔn)族編號的。

在IDS④IDS，Intrusion Detection System，入侵檢測系統(tǒng)。時代，ISO/IEC 27039發(fā)布為：

ISO/IEC 18043：2006 Information technology—Security techniques—Selection, deployment and operations of intrusion detection systems（注意，已棄用）

ISO/IEC 18043：2006被修改采用為：

GB/T 28454—2012《信息技術(shù) 安全技術(shù) 入侵檢測系統(tǒng)的選擇﹑部署和操作》

現(xiàn)在已經(jīng)是IPS⑤IPS，Intrusion Prevention System，入侵防御系統(tǒng)。時代，因此，最新更新的ISO/IEC 27039版本為：

ISO/IEC 27039：2015 Information technology—Security techniques—Selection, deployment and operations of intrusion detection and prevention systems（IDPS）（《信息技術(shù) 安全技術(shù) 入侵防御系統(tǒng)選擇﹑部署和操作》）

10 ISO/IEC 27040 存儲安全

ISO/IEC 27040提供了定義恰當(dāng)?shù)娘L(fēng)險減緩級別并應(yīng)用充分證明和一致的方法來規(guī)劃﹑設(shè)計﹑記錄與實施數(shù)據(jù)存儲安全的詳細的技術(shù)指導(dǎo)。

目前，最新的版本信息為：

ISO/IEC 27040：2015 Information technology—Security techniques—Storage security《信息技術(shù) 安全技術(shù) 存儲安全》）

11 ISO/IEC 27041 事件調(diào)查保障

ISO/IEC 27041也是與事件管理相關(guān)的標(biāo)準(zhǔn)，其中：ISO/IEC 27043：2015定義了事件調(diào)查的原則與過程，ISO/IEC 27035-2提供了事件響應(yīng)的準(zhǔn)備與規(guī)劃，ISO/IEC 27037：2012和 ISO/IEC 27042：2015描述了事件調(diào)查過程。

ISO/IEC 27041的最新版本為：

ISO/IEC 27041：2015 Information technology—Security techniques—Guidance on assuring suitability and adequacy of incident investigative method（《信息技術(shù) 安全技術(shù) 保障時間調(diào)查方法的適宜性與充分性指南》）

12 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋

ISO/IEC 27042為分析和解釋信息系統(tǒng)安全事件處理提供了一個通用的框架，目前版本信息為①看起來與ISO/IEC 27037只是數(shù)字證據(jù)處理過程的不同階段，我們也沒有做過深入研究，不清楚為什么要分開編號。專注于這個方向的讀者，可以聯(lián)系我們（xiezongxiao@vip.163.com），特別感謝。：

ISO/IEC 27042：2015 Information technology—Security techniques—Guidelines for the analysis and interpretation of digital evidence（《信息技術(shù) 安全技術(shù) 數(shù)字證據(jù)分析與解釋指南》）

13 ISO/IEC 27043 事件調(diào)查過程

ISO/IEC 27043也是與事件調(diào)查相關(guān)的，提供了一般的原則與過程。最新的版本信息為：

ISO/IEC 27043：2015 Information technology—Security techniques—Incident investigation principles and processes（《信息技術(shù) 安全技術(shù) 事件調(diào)查原則與過程》）

14 ISO/IEC 27050 電子舉證

最后一個跟事件調(diào)查相關(guān)的標(biāo)準(zhǔn)，ISO/IEC 27050分為4部分，目前正式發(fā)布的只有第1部分，具體信息如下：

ISO/IEC 27050-1：2016 Information technology—Security techniques—Electronic discovery—Part 1：Overview and concepts （《信息技術(shù) 安全技術(shù) 電子舉證 第1部分：綜述和概念》）

其他3個正在開發(fā)的標(biāo)準(zhǔn)為：

ISO/IEC 27050-2 Information technology—Security techniques—Electronic discovery—Part 2：Guidance for governance and management of electronic discovery （《信息技術(shù) 安全技術(shù) 電子舉證 第2部分：電子舉證治理與管理指南》）

ISO/IEC 27050-3 Information technology—Security techniques—Electronic discovery—Part 3：Code of practice for electronic discovery （《信息技術(shù)安全技術(shù) 電子舉證 第3部分：電子舉證實用規(guī)則》）

ISO/IEC 27050-4 Information technology—Security techniques—Electronic discovery—Part 4：ICT readiness for electronic discovery （《信息技術(shù) 安全技術(shù) 電子舉證 第4部分：電子舉證準(zhǔn)備》）

15 ISO 27799 健康領(lǐng)域應(yīng)用

ISO 27799目前是第2版，最初發(fā)布于2008年，具體信息為：ISO 27799：2016 Health informatics—Information security management in health using ISO/IEC 27002（《健康信息學(xué) 應(yīng)用ISO/IEC 27002的健康信息安全管理》）

值得指出的是，ISO 27799在引言中專門討論了該標(biāo)準(zhǔn)與信息治理﹑公司治理以及臨床治理之間的關(guān)系。其中認為，越來越多的醫(yī)療機構(gòu)依賴于信息系統(tǒng)的支持，例如，利用決策支持系統(tǒng)使得診斷從“基于經(jīng)驗”轉(zhuǎn)至“基于證據(jù)”，信息完整性﹑可用性和保密性的損失對診療產(chǎn)生顯著的影響。因此，臨床治理框架需要將有效的信息安全風(fēng)險管理和護理治療計劃﹑傳染病管理戰(zhàn)略和其他“核心”臨床管理事務(wù)①care treatment plans, infection management strategies and other “core” clinical management matters，這幾個詞匯比較專業(yè)，可能翻譯不準(zhǔn)，整體意思就是，信息安全很重要，甚至與醫(yī)療的那些核心業(yè)務(wù)同等重要。同等重視。

這個標(biāo)準(zhǔn)實際與ISO/IEC 27010等特定領(lǐng)域的應(yīng)用都是差不多的，但是ISO 27799在國內(nèi)推廣得很一般。ISO 27799沒有按照順序編號，可能是因為這個標(biāo)準(zhǔn)的開發(fā)組織并不是ISO/IEC JTC1/SC 27，而是ISO/TC 215②ISO/TC 215，Health informatics健康信息學(xué)。。

Development of ISO/IEC 27000 Standards Family (Part B)

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie ( School of Business Planning, Chongqing Technology and Business University )

We introduce the development of ISO/IEC 27000 standards after ISO/IEC 27031, which mainly focus on control family mapping to ISO/IEC 27001:2013 Annex A.

ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002

2）本文中所列出的標(biāo)準(zhǔn)及狀態(tài)以http://www.iso.org公開發(fā)布的在售目錄為準(zhǔn)，末次登錄時間為2016年12月9日。其他信息，則來源于http://www. iso27001security.com/index.html。