2017年ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展1）

謝宗曉（中國金融認(rèn)證中心）

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

2017年無改版，目前最新版本為2016年的第4版。

2 ISO/IEC 27001 信息安全管理體系 要求

3 ISO/IEC 27002 信息安全控制實踐指南2）

ISO/IEC 27001與ISO/IEC 27002是ISO/IEC 27000標(biāo)準(zhǔn)族中最基礎(chǔ)的2個標(biāo)準(zhǔn)，在2013年改版之后，估計在很長時間內(nèi)都會保持穩(wěn)定。

4 ISO/IEC 27003 信息安全管理體系 指南

2017年3月公布了第2版，目前最新版本為：

ISO/IEC 27003：2017 Information technology—Security techniques—Information security management systems—Guidance（《信息技術(shù) 安全技術(shù) 信息安全管理體系 指南》）

新版本標(biāo)題有變化，范圍較2010年版的實施指南擴大了，新版的描述與ISO/IEC 27001的章節(jié)基本保持了一致。事實上，這樣的方式相當(dāng)于對ISO/IEC 27001進(jìn)行了補充和解釋，在實踐中更有指導(dǎo)性。

5 ISO/IEC 27004 信息安全管理 監(jiān)視、測量、分析和評價

目前最新版本為2016年12月發(fā)布的第2版3）：

ISO/IEC 27004：2016 Information technology—Security techniques—Information security management—Monitoring, measurement, analysis and evaluation（《信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測量、分析和評價》）

新版本標(biāo)題有變化，從原來的“測量”修改為“監(jiān)視、測量、分析和評價”，這種新的描述方式出現(xiàn)在ISO/IEC 27001：2013中，與ISO/IEC 27003類似，新版有了較大的提升。

6 ISO/IEC 27005 信息安全風(fēng)險管理

現(xiàn)在的版本是第2版，發(fā)布于2011年，2017年無變化。

7 ISO/IEC 27006 信息安全管理體系審核和認(rèn)證機構(gòu)要求

最新為2015版（第3版），在2017年無變化。

8 ISO/IEC 27007 信息安全管理體系審核指南

這個標(biāo)準(zhǔn)的最新版本為2011年版，在2017年無變化。

9 ISO/IEC TR 27008 信息安全控制審核指南

這個標(biāo)準(zhǔn)的最新版本為2011年版，在2017年無變化。

10 ISO/IEC 27009 特定行業(yè)應(yīng)用ISO/IEC 27001要求

目前最新版本為2016版，在2017年無變化。

11 ISO/IEC 27010 信息安全管理跨行業(yè)和跨組織的通信

目前最新版本為2015年發(fā)布的第2版，在2017年無變化。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規(guī)則

目前最新版本為2016版，在2017年無變化。

13 ISO/IEC 27013 信息安全管理體系與服務(wù)管理整合

目前最新版本為2015版，在2017年無變化。

14 ISO/IEC 27014 信息安全治理

目前最新版本為2013版，在2017年無變化。

15 ISO/IEC TR 27015 金融服務(wù)信息安全管理指南

ISO/IEC TR 27015在2017年被廢止，并取消了改版計劃。

16 ISO/IEC TR 27016 信息安全管理 組織經(jīng)濟學(xué)

目前最新版本為2014版，在2017年無變化。

17 ISO/IEC 27017 基于ISO/IEC 27002的云服務(wù)信息安全控制實用規(guī)則

目前最新版本為2015版，在2017年無變化。

18 ISO/IEC 27018 公有云中作為個人身份信息處理者保護個人身份信息的實用規(guī)則

目前最新版本為2014版，在2017年無變化。

19 SO/IEC TR 27019 基于ISO/IEC 27002用于能源公共事業(yè)行業(yè)過程控制的信息安全管理指南

目前最新版本為2013版，在2017年無變化。

20 ISO/IEC 27021 信息安全管理體系專業(yè)人員能力要求

該標(biāo)準(zhǔn)在2017年10月公布，為新增標(biāo)準(zhǔn)，具體信息為：

ISO/IEC 27021：2017 Information technology—Security techniques—Competence requirements for information security management systems professionals（《信息技術(shù) 安全技術(shù) 信息安全管理體系專業(yè)人員能力要求》）

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

3）由于2017年我們更新信息的時間為2016年12月9日，因此漏過了該版本。編輯老師對此進(jìn)行了提醒，但是為了保持與其他標(biāo)準(zhǔn)的時間一致性，在最終刊出時未作修改。在此，對讀者表示歉意，對編輯老師表示感謝。

該標(biāo)準(zhǔn)發(fā)布于2015年7月，在之前的介紹中遺漏掉了，具體信息為：

ISO/IEC TR 27023：2015 Information technology—Security techniques—Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002（《信息技術(shù) 安全技術(shù) ISO/IEC 27001與ISO/IEC 27002版本映射》）

22 ISO/IEC 27031 ICT業(yè)務(wù)連續(xù)性指南

ISO/IEC 27031最新版本發(fā)布于2011年，在2017年無變化。

23 ISO/IEC 27032 網(wǎng)絡(luò)空間安全

ISO/IEC 27032最新版本發(fā)布于2012年，在2017年無變化。

24 ISO/IEC 27033 網(wǎng)絡(luò)安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028，在2017年，其中的6個部分，均沒有改變。

25 ISO/IEC 27034 應(yīng)用安全

ISO/IEC 27034有7部分，其中：

·ISO/IEC 27034-1和ISO/IEC 27034-2無變化；

·ISO/IEC 27034-3依然在開發(fā)中；

·ISO/IEC 27034-4，可能會被取消，目前在官方網(wǎng)站已經(jīng)不再更新；

·2017年10月發(fā)布了ISO/IEC 27034-5：2017 Information technology—Security techniques—Application security—Part 5：Protocols and application security controls data structure（《信息技術(shù) 安全技術(shù) 應(yīng)用安全 第5部分：安全控制數(shù)據(jù)結(jié)構(gòu)協(xié)議與應(yīng)用》），這個標(biāo)準(zhǔn)還會繼續(xù)細(xì)分，例如ISO/IEC PDTS 27034-5-1；

·ISO/IEC 27034-6最新版本為2016年，目前無變化；

·ISO/IEC 27034-7依然在開發(fā)中，目前狀態(tài)為FDIS。

26 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前兩部分，最新版本都為2016年版本，但在2017年又增加了ISO/IEC 27035-3：Information technology—Security techniques—Information security incident management—Part 3：guidelines for incident response operations（《信息技術(shù)安全技術(shù) 信息安全事件管理 第3部分：事件響應(yīng)操作指南》），目前為草案階段。

27 ISO/IEC 27036 供應(yīng)商關(guān)系中的信息安全

ISO/IEC 27036一共有4部分，在2017年均無變化。

28 ISO/IEC 27037 數(shù)字證據(jù)識別、收集、獲取與保護指南

ISO/IEC 27037版本依然為2012版，在2017年無變化。

29 ISO/IEC 27038 數(shù)字編校規(guī)范

ISO/IEC 27038最新版本為2014版，在2017年無變化。

30 ISO/IEC 27039 入侵檢測系統(tǒng)的選擇、部署和操作

ISO/IEC 27039最新版本為2015版，在2017年無變化。

31 ISO/IEC 27040 存儲安全

ISO/IEC 27040最新版本為2015版，在2017年無變化。

32 ISO/IEC 27041 事件調(diào)查方法的適宜性與充分性保證指南

ISO/IEC 27041最新版本為2015版，在2017年無變化。

33 ISO/IEC 27042 數(shù)字證據(jù)分析與解釋指南

ISO/IEC 27042最新版本為2015版，在2017年無變化。

34 ISO/IEC 27043 事件調(diào)查原則與過程

ISO/IEC 27043最新版本為2015版，在2017年無變化。

35 ISO/IEC 27050 電子舉證

ISO/IEC 27050分為4部分，其中：

·ISO/IEC 27050-1最新版本為2016版；

·ISO/IEC 27050-2依然在開發(fā)中；

·2017年10月發(fā)布了ISO/IEC 27050-3：2017 Information technology—Security techniques—Electronic discovery—Part 3：Code of practice for electronic discovery（《信息技術(shù) 安全技術(shù) 電子舉證 第3部分：電子舉證實用規(guī)則》）；

·ISO/IEC 27050-4可能會被取消掉。

36 ISO/IEC 27102 網(wǎng)絡(luò)保險信息安全管理指南

ISO/IEC AWI 27102是2017年新批準(zhǔn)的項目，目前尚在開發(fā)中，標(biāo)題為：Information technology—Security techniques—Information security management guidelines for cyber insurance（《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)保險信息安全管理指南》）。

37 ISO/IEC 27103 網(wǎng)絡(luò)安全與ISO及IEC標(biāo)準(zhǔn)

ISO/IEC PDTR 27103是2017年新批準(zhǔn)的項目，目前尚在開發(fā)中，標(biāo)題為：Information technology—Security techniques—Cybersecurity and ISO and IEC Standards（《信息安全 安全技術(shù) 網(wǎng)絡(luò)安全與ISO及IEC標(biāo)準(zhǔn)》）。

38 ISO 27799 應(yīng)用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發(fā)布的第2版，在2017年無變化。

綜上所述，2017年ISO/IEC 27000標(biāo)準(zhǔn)族的主要狀態(tài)如下表所示。

4）、5）格式為：版本號/發(fā)布時間。

續(xù)表

[1]謝宗曉，董坤祥. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展(上)[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2017（01）：36-40.

[2]謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展(下)[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2017（02）：34-38，41.