论文部分内容阅读
摘要:论文介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2018年改版和新增的标准。
关键词:ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
1 ISO/IEC 27000 信息安全管理体系 概述与词汇
2018年进行了改版,目前最新版本为第5版。目前在用的国家标准对应版本为2016年的第4版,即GB/T 29246—2017/ISO/IEC 27000:2016。国家标准开发进展请参考文献[4]。
2 ISO/IEC 27001 信息安全管理体系 要求
3 ISO/IEC 27002 信息安全控制实践指南2)
ISO/IEC 27001与ISO/IEC 27002目前为2013年发布的第2版,之后发布有ISO/IEC 27002:2013/Cor 1:2014和ISO/IEC 27002:2013/Cor 2:2015,目前有正在開发中的第3版,最新状态为ISO/IEC NP 27002。ISO/IEC 27001:2013与ISO/IEC 27002:2013都已经被等同采用为国家标准,分别为GB/T 22080—2016和GB/T 22081—2016。
4 ISO/IEC 27003 信息安全管理体系 指南
目前最新版本依然为2017年3月发布的第2版,在2018年无变化。该标准的在用国家标准版本为:GB/T 31496—2015 / ISO/IEC 27003:2010。
5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价
目前最新版本为2016年12月发布的第2版,在2018年无变化。该标准的在用国家标准版本为:GB/T 31497—2015 / ISO/IEC 27004:2009。
6 ISO/IEC 27005 信息安全风险管理
该标准在2018年7月发布了第3版,具体的分析请参考文献[5]。
7 ISO/IEC 27006 信息安全管理体系审核和认证机构要求
最新为2015年版,第3版,在2018年无变化。目前在用的国家标准为GB/T 25067—2016/ISO/IEC 27006:2011。
8 ISO/IEC 27007 信息安全管理体系审核指南
该标准在2017年10月发布第2版,代替之前的2011版本。国家标准为GB/T 28450—2012。
9 ISO/IEC TR 27008 信息安全控制审核指南
这个标准的最新版本为2011年版,2018年最新状态更新为ISO/IEC PRF TS 27008。
10 ISO/IEC 27009 特定行业应用ISO/IEC 27001 要求
最新版本为2016年版,目前最新状态为ISO/IEC CD 27009。
11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信
目前最新版本为2015年发布的第2版,在2018年无变化。该标准对应的国家标准为GB/T 32920—2016 / ISO/IEC 27010:2012。
12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则
目前最新版本为2016年版,2018年发布了ISO/IEC 27011:2016 / Cor 1:2018。
13 ISO/IEC 27013 信息安全管理体系与服务管理整合
目前最新版本为2016年发布的第2版,在2018年无变化。
14 ISO/IEC 27014 信息安全治理
目前最新版本为2013年发布的第1版,2018年最新状态为ISO/IEC NP 27014。该标准对应的国家标准为GB/T 32923—2016 / ISO/IEC 27014:2013。
15 ISO/IEC TR 27015 金融服务信息安全管理指南
ISO/IEC TR 27015在2017年被废止,并取消了改版计划。
16 ISO/IEC TR 27016 信息安全管理 组织经济学
目前最新版本为2014年发布的第1版,在2018年无变化。
17 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则
目前最新版本为2015年发布的第1版,在2018年无变化。
18 ISO/IEC 27018 公有云中作为个人身份信息处理者保护个人身份信息的实用规则
目前最新版本为2014年发布的第1版,在2018年最新状态为ISO/IEC FDIS 27018。
19 ISO/IEC 27019 能源公共事业行业的信息安全控制
该标准在2017年10月发布为ISO/IEC 27019:2017,之前的版本为ISO/IEC TR 27019:2013。
20 ISO/IEC 27021 信息安全管理体系专业人员能力要求
该标准最新版本为2017年10月发布的第1版。
21 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射
该标准的最新版本是发布于2015年7月的第1版。
22 ISO/IEC AWI 27030 物联网安全与隐私指南
该标准为新增标准,标题为Guidelines for security and privacy in Internet of Things (IoT)(物联网安全与隐私指南)。 23 ISO/IEC 27031 ICT业务连续性指南
ISO/IEC 27031最新版为本发布于2011年的第1版,在2018年无变化。
24 ISO/IEC 27032 网络空间安全
ISO/IEC 27032最新版本为发布于2012年的第1版,在2018年经过评审后,版本依然有效。
25 ISO/IEC 27033 网络安全
由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028,在2018年,其中的6个部分,均没有大的变化。
26 ISO/IEC 27034 应用安全
ISO/IEC 27034有7部分,其中:
·ISO/IEC 27034-1和ISO/IEC 27034-2无变化;
·新发布ISO/IEC 27034-3:2018 应用安全管理过程;
·即将发布ISO/IEC CD 27034-4;
·ISO/IEC 27034-5:2017 在2018年没有变化;
· ISO/IEC 27034-6最新版本为2016年的第1版,目前无变化;
·新发布ISO/IEC 27034-7:2018 保证预测框架。
27 ISO/IEC 27035 信息安全事件管理
ISO/IEC 27035的前2部分,最新版本都为2016年版本,在2017年增加了ISO/IEC 27035-3,目前最新状态为ISO/IEC NP 27035-3。
28 ISO/IEC 27036 供应商关系中的信息安全
ISO/IEC 27036一共有4部分,在2018年均无变化。
29 ISO/IEC 27037 数字证据识别、收集、获取与保护指南
ISO/IEC 27037版本为2012年版,在2018年版本经过评审后依然有效。
30 ISO/IEC 27038 数字编校指南
ISO/IEC 27038最新版本为2014年版,在2018年无变化。
31 ISO/IEC 27039 入侵检测系统的选择、部署和操作
ISO/IEC 27039最新版本为2015年版,在2018年无变化。
32 ISO/IEC 27040 存储安全
ISO/IEC 27040最新版本为2015年版,在2018年无变化。
33 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南
ISO/IEC 27041最新版本为2015年版,在2018年无变化。
34 ISO/IEC 27042 数字证据分析与解释指南
ISO/IEC 27042最新版本为2015年版,在2018年无变化。
35 ISO/IEC 27043 事件调查原则与过程
ISO/IEC 27043最新版本为2015年版,在2018年无变化。
36 ISO/IEC 27050 电子举证
ISO/IEC 27050分为4部分,其中:
·ISO/IEC 27050-1最新版本为2016年版;
· 新发布了ISO/IEC 27050-2:2018 电子举证治理与管理指南;
· ISO/IEC 27050-3:2017为最新版本;
· ISO/IEC 27050-4依然在开发中,最新状态为ISO/IEC NP 27050-4。
37 ISO/IEC 27070 建立虚拟信任根的安全要求
该标准在开发中,最新状态为ISO/IEC NP 27070。
38 ISO/IEC 27101 框架开发指南
该标准尚在开发中,最新状态为ISO/IEC AWI TS 27101。
39 ISO/IEC 27102 网络保险信息安全管理指南
该标准的最新状态为ISO/IEC DIS 27102。
40 ISO/IEC TR 27103 网络安全与ISO及IEC标准
该标准在2018年2月发布第1版。
41 ISO/IEC 27550 隐私工程
该标准尚在开发中,最新状态为ISO/IEC PDTR 27550 Privacy engineering(隐私工程)。
42 ISO/IEC 27551 基于属性的非连接实体授权要求
该标准尚在开发中,最新状态为ISO/IEC AWI 27551 Requirements for attribute-based unlinkable entity authentication(基于属性的非连接实体授权要求)。
43 ISO/IEC 27552 隐私信息管理的扩展要求与指南
该标准尚在开发中,最新状态为ISO/IEC DIS 27552 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines(基于ISO/IEC 27001和ISO/IEC 27002扩展的隐私信息管理 要求与指南)。
44 ISO/IEC 27570 智慧城市隐私指南
该标准尚在开发中,最新状态为ISO/IEC WD TS 27570 Information Technology — Security Techniques —Privacy guidelines for Smart Cities(智慧城市隐私指南)。
45 ISO 27799 应用ISO/IEC 27002的健康信息安全管理
ISO 27799最新版為2016年发布的第2版,在2018年无变化。
46 ISO/TR 13569 金融服务信息安全指南
ISO/TR 13569最新版本为2005年发布的第3版,在2013年经过评审后依然有效。该标准和ISO 27799类似,也沿用了ISO/IEC 27002的大致框架。
综上所述,2018年ISO/IEC 27000标准族中,在用标准及其版本3)如下表所示。
参考文献
[1] 谢宗晓, 甄杰. 截至2016年底ISO/IEC 27000标准族的进展(下)[J]. 中国质量与标准导报,2017(2): 34-38,41.
[2] 谢宗晓, 董坤祥. 截至2016年底ISO/IEC 27000标准族的进展(上)[J].中国质量与标准导报,2017(1): 36-40.
[3] 谢宗晓.2017年ISO/IEC 27000标准族的进展[J]. 中国质量与标准导报,2018(1):42-46.
[4] 陈磊,谢宗晓.信息安全管理体系(ISMS)相关标准介绍[J]. 中国质量与标准导报,2018(10):16-18
[5] 谢宗晓,许定航. ISO/IEC 27005:2018解读及其三次版本演化[J]. 中国质量与标准导报, 2018(9):16-18.
关键词:ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
1 ISO/IEC 27000 信息安全管理体系 概述与词汇
2018年进行了改版,目前最新版本为第5版。目前在用的国家标准对应版本为2016年的第4版,即GB/T 29246—2017/ISO/IEC 27000:2016。国家标准开发进展请参考文献[4]。
2 ISO/IEC 27001 信息安全管理体系 要求
3 ISO/IEC 27002 信息安全控制实践指南2)
ISO/IEC 27001与ISO/IEC 27002目前为2013年发布的第2版,之后发布有ISO/IEC 27002:2013/Cor 1:2014和ISO/IEC 27002:2013/Cor 2:2015,目前有正在開发中的第3版,最新状态为ISO/IEC NP 27002。ISO/IEC 27001:2013与ISO/IEC 27002:2013都已经被等同采用为国家标准,分别为GB/T 22080—2016和GB/T 22081—2016。
4 ISO/IEC 27003 信息安全管理体系 指南
目前最新版本依然为2017年3月发布的第2版,在2018年无变化。该标准的在用国家标准版本为:GB/T 31496—2015 / ISO/IEC 27003:2010。
5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价
目前最新版本为2016年12月发布的第2版,在2018年无变化。该标准的在用国家标准版本为:GB/T 31497—2015 / ISO/IEC 27004:2009。
6 ISO/IEC 27005 信息安全风险管理
该标准在2018年7月发布了第3版,具体的分析请参考文献[5]。
7 ISO/IEC 27006 信息安全管理体系审核和认证机构要求
最新为2015年版,第3版,在2018年无变化。目前在用的国家标准为GB/T 25067—2016/ISO/IEC 27006:2011。
8 ISO/IEC 27007 信息安全管理体系审核指南
该标准在2017年10月发布第2版,代替之前的2011版本。国家标准为GB/T 28450—2012。
9 ISO/IEC TR 27008 信息安全控制审核指南
这个标准的最新版本为2011年版,2018年最新状态更新为ISO/IEC PRF TS 27008。
10 ISO/IEC 27009 特定行业应用ISO/IEC 27001 要求
最新版本为2016年版,目前最新状态为ISO/IEC CD 27009。
11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信
目前最新版本为2015年发布的第2版,在2018年无变化。该标准对应的国家标准为GB/T 32920—2016 / ISO/IEC 27010:2012。
12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则
目前最新版本为2016年版,2018年发布了ISO/IEC 27011:2016 / Cor 1:2018。
13 ISO/IEC 27013 信息安全管理体系与服务管理整合
目前最新版本为2016年发布的第2版,在2018年无变化。
14 ISO/IEC 27014 信息安全治理
目前最新版本为2013年发布的第1版,2018年最新状态为ISO/IEC NP 27014。该标准对应的国家标准为GB/T 32923—2016 / ISO/IEC 27014:2013。
15 ISO/IEC TR 27015 金融服务信息安全管理指南
ISO/IEC TR 27015在2017年被废止,并取消了改版计划。
16 ISO/IEC TR 27016 信息安全管理 组织经济学
目前最新版本为2014年发布的第1版,在2018年无变化。
17 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则
目前最新版本为2015年发布的第1版,在2018年无变化。
18 ISO/IEC 27018 公有云中作为个人身份信息处理者保护个人身份信息的实用规则
目前最新版本为2014年发布的第1版,在2018年最新状态为ISO/IEC FDIS 27018。
19 ISO/IEC 27019 能源公共事业行业的信息安全控制
该标准在2017年10月发布为ISO/IEC 27019:2017,之前的版本为ISO/IEC TR 27019:2013。
20 ISO/IEC 27021 信息安全管理体系专业人员能力要求
该标准最新版本为2017年10月发布的第1版。
21 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射
该标准的最新版本是发布于2015年7月的第1版。
22 ISO/IEC AWI 27030 物联网安全与隐私指南
该标准为新增标准,标题为Guidelines for security and privacy in Internet of Things (IoT)(物联网安全与隐私指南)。 23 ISO/IEC 27031 ICT业务连续性指南
ISO/IEC 27031最新版为本发布于2011年的第1版,在2018年无变化。
24 ISO/IEC 27032 网络空间安全
ISO/IEC 27032最新版本为发布于2012年的第1版,在2018年经过评审后,版本依然有效。
25 ISO/IEC 27033 网络安全
由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028,在2018年,其中的6个部分,均没有大的变化。
26 ISO/IEC 27034 应用安全
ISO/IEC 27034有7部分,其中:
·ISO/IEC 27034-1和ISO/IEC 27034-2无变化;
·新发布ISO/IEC 27034-3:2018 应用安全管理过程;
·即将发布ISO/IEC CD 27034-4;
·ISO/IEC 27034-5:2017 在2018年没有变化;
· ISO/IEC 27034-6最新版本为2016年的第1版,目前无变化;
·新发布ISO/IEC 27034-7:2018 保证预测框架。
27 ISO/IEC 27035 信息安全事件管理
ISO/IEC 27035的前2部分,最新版本都为2016年版本,在2017年增加了ISO/IEC 27035-3,目前最新状态为ISO/IEC NP 27035-3。
28 ISO/IEC 27036 供应商关系中的信息安全
ISO/IEC 27036一共有4部分,在2018年均无变化。
29 ISO/IEC 27037 数字证据识别、收集、获取与保护指南
ISO/IEC 27037版本为2012年版,在2018年版本经过评审后依然有效。
30 ISO/IEC 27038 数字编校指南
ISO/IEC 27038最新版本为2014年版,在2018年无变化。
31 ISO/IEC 27039 入侵检测系统的选择、部署和操作
ISO/IEC 27039最新版本为2015年版,在2018年无变化。
32 ISO/IEC 27040 存储安全
ISO/IEC 27040最新版本为2015年版,在2018年无变化。
33 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南
ISO/IEC 27041最新版本为2015年版,在2018年无变化。
34 ISO/IEC 27042 数字证据分析与解释指南
ISO/IEC 27042最新版本为2015年版,在2018年无变化。
35 ISO/IEC 27043 事件调查原则与过程
ISO/IEC 27043最新版本为2015年版,在2018年无变化。
36 ISO/IEC 27050 电子举证
ISO/IEC 27050分为4部分,其中:
·ISO/IEC 27050-1最新版本为2016年版;
· 新发布了ISO/IEC 27050-2:2018 电子举证治理与管理指南;
· ISO/IEC 27050-3:2017为最新版本;
· ISO/IEC 27050-4依然在开发中,最新状态为ISO/IEC NP 27050-4。
37 ISO/IEC 27070 建立虚拟信任根的安全要求
该标准在开发中,最新状态为ISO/IEC NP 27070。
38 ISO/IEC 27101 框架开发指南
该标准尚在开发中,最新状态为ISO/IEC AWI TS 27101。
39 ISO/IEC 27102 网络保险信息安全管理指南
该标准的最新状态为ISO/IEC DIS 27102。
40 ISO/IEC TR 27103 网络安全与ISO及IEC标准
该标准在2018年2月发布第1版。
41 ISO/IEC 27550 隐私工程
该标准尚在开发中,最新状态为ISO/IEC PDTR 27550 Privacy engineering(隐私工程)。
42 ISO/IEC 27551 基于属性的非连接实体授权要求
该标准尚在开发中,最新状态为ISO/IEC AWI 27551 Requirements for attribute-based unlinkable entity authentication(基于属性的非连接实体授权要求)。
43 ISO/IEC 27552 隐私信息管理的扩展要求与指南
该标准尚在开发中,最新状态为ISO/IEC DIS 27552 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines(基于ISO/IEC 27001和ISO/IEC 27002扩展的隐私信息管理 要求与指南)。
44 ISO/IEC 27570 智慧城市隐私指南
该标准尚在开发中,最新状态为ISO/IEC WD TS 27570 Information Technology — Security Techniques —Privacy guidelines for Smart Cities(智慧城市隐私指南)。
45 ISO 27799 应用ISO/IEC 27002的健康信息安全管理
ISO 27799最新版為2016年发布的第2版,在2018年无变化。
46 ISO/TR 13569 金融服务信息安全指南
ISO/TR 13569最新版本为2005年发布的第3版,在2013年经过评审后依然有效。该标准和ISO 27799类似,也沿用了ISO/IEC 27002的大致框架。
综上所述,2018年ISO/IEC 27000标准族中,在用标准及其版本3)如下表所示。
参考文献
[1] 谢宗晓, 甄杰. 截至2016年底ISO/IEC 27000标准族的进展(下)[J]. 中国质量与标准导报,2017(2): 34-38,41.
[2] 谢宗晓, 董坤祥. 截至2016年底ISO/IEC 27000标准族的进展(上)[J].中国质量与标准导报,2017(1): 36-40.
[3] 谢宗晓.2017年ISO/IEC 27000标准族的进展[J]. 中国质量与标准导报,2018(1):42-46.
[4] 陈磊,谢宗晓.信息安全管理体系(ISMS)相关标准介绍[J]. 中国质量与标准导报,2018(10):16-18
[5] 谢宗晓,许定航. ISO/IEC 27005:2018解读及其三次版本演化[J]. 中国质量与标准导报, 2018(9):16-18.