ISO/IEC 27001:2013概述與改版分析

白云廣 謝宗曉

（1 神華天津煤炭碼頭有限責任公司信息中心；2 南開大學 商學院）

ISO/IEC 27001:2013一經發布，意味著已經獲取ISO/IEC27001:2005認證的組織需要改版。根據最近一次國際標準化組織（International Organization for Standardization，ISO）的管理體系普查數據1詳細數據請參考www.iso.org，ISO不定期組織這種普查數據，所以最新為2012年的數據。顯示：截至2012年，中國大陸地區已經有1490家組織獲得認證，全世界范圍內已經19577家組織獲得ISO/IEC 27001:2005認證。因此，會有大量的在運行信息安全管理體系（Information Security Management System，ISMS）受到影響?；诖?，本文對ISO/IEC 27001:2013做了基本的介紹，并特別關注了ISO/IEC 27001新舊版本的異同之處。

一、ISO/IEC 27001:2013概述

ISO/IEC 27001:2013《信息安全管理體系 要求》是ISO/IEC27000標準族的基礎標準之一，主要為信息安全管理體系（ISMS）的建立、實施、保持和持續改進規定了要求（requirement）。

各個版本的ISO/IEC 27001主要包括兩個部分：正文與附錄A。

正文主要建立ISMS的框架，附錄A與ISO/IEC 27002的第5章開始一一對應，是具體控制措施的描述。由于歷史原因，ISMS借用了管理體系的通用框架，即PDCA（Plan Do Check Act）框架，這導致之前的版本主要強調的是模型，是方法論，在引言中也用了大量的篇幅說明什么是過程方法，標準中如何理解過程方法。在ISO/IEC 27001:2013已經拋棄了這個思路，新版標準首要的目標是緊扣標題，即提供要求。事實上，在ISO/IEC 27001:2005的應用中，也已經默認該標準的主要任務就是提要求。ISO/IEC 27001:2013整體的框架如圖1所示。

圖1 ISO/IEC 27001：2013框架

二、ISO/IEC 27001:2013正文的主要變化

本次改版是ISO/IEC 27001所有的歷史版本中改變最大的一次，除了上文中所提到的ISO/IEC 27001:2013已經不再沿用管理體系的通用框架之外，還有下面這些主要變化：

1.不再沿用PDCA框架

如圖1所示，雖然整體的框架與PDCA也在事實上基本保持了一致，但是新版標準中不再強調過程方法與戴明環等概念。

2.更加關注組織的情境2情境（context），此處比較通俗的講就是：了解組織和組織情況。但是這樣翻譯太口語化，因為context在英文里面也是書面用語，日常用語中也不多見，多用于學術論文中。

ISO/IEC 27001:2013增加了第4章：組織情境。不僅是ISO/IEC27001:2005，甚至所有的管理體系標準，包括ISO 9001和ISO 14000等，都被質疑為“千人一面”。尤其在國內的部署過程中，由于主導力量是政府，導致這種情況可能更嚴重，使得長期存在“兩層皮”的現象。新版標準加強了對理解組織所處情境的要求。

3.強調最高管理者的領導力

ISO/IEC 27001:2013第5章：領導力，描述用的詞匯是最高管理者（top management），和ISO9001中的詞匯保持了一致。而在ISO/IEC 27001:2005用的詞匯是管理者（management），雖然只有一個詞匯的差別，卻是一個戰略性的提升。

我們可以這樣推測，ISO/IEC 27001的早期版本是模仿ISO 9001的，將ISO 9001的最高管理者改成了ISO/IEC 27001:2005的管理者，這也就是說，這其中的理解是質量管理需要最高管理者的支持，而信息安全管理則僅僅需要管理層的支持。因為對于模仿而言，沿用可能不需要深思熟慮，但是修改是需要深思熟慮的。而在ISO/IEC 27001:2013中，重新用了最高管理者意味著對信息安全重要性的重新認識以及如何獲取信息安全的重新理解。

4.增加了績效評價的章節

雖然ISO/IEC 27001:2005也強調了監視（monitor）與測量（measure），但始終沒有出現績效（performance）的詞匯，新版標準中則明確的要求“影評價信息安全績效以及信息安全管理體系有效性”，績效更強調定量的測量。

三、ISO/IEC 27001:2013附錄A的主要變化

附錄A：控制目標和控制措施參考在ISO/IEC 27001各個版本中一直是變動比較頻繁的地方，在本次改版中也存在較多的變化：

1.強調所有的“策略”，不單強調“方針”

在ISO/IEC 27001:2005用的詞匯為“信息安全 方 針（Information security policy）”，在ISO/IEC 27001:2013則修改成“信息安全策略集（Information security policies）”，雖然看起來只有單復數的變化，但從policy到policies實際含義卻存在較大的差異，我們可以理解為正文中描述的是“方針”（正文5.2），而在此處描述的是“策略集”。

2.通信與操作分稱兩個不同的安全域

在ISO/IEC 27001:2005中，通信和操作安全在“A.10通信和操作安全”，導致描述比較混亂，更重要的是不能分離信息系統的“使用人員”和“維護人員”，新版標準較好的解決了這個問題。

3.將密碼技術單獨成章節

密碼技術雖然單獨成為一章，但是內容區別不大，可能考慮到密碼技術的特殊性。

4.增加了供應商關系，開始關注供應鏈風險

在之前的版本中，也有供應商、客戶以及第三方的安全管理，但是都沒有涉及整個供應鏈（supply chain），在ISO/IEC 27001:2013中增加了“A.15.1.3信息與通信技術供應鏈”，供應鏈的信息安全風險管理是近幾年的研究熱點，也出現了諸多文獻，例如，ISO/IEC 27036-3:2013 Information technology—Security techniques—Information security for supplier relationships—Part 3:Guidelines for information and communication technology supply chain security；又如，NISP3美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）。SP 800-161(Draft)2014 DRAFT Supply Chain Risk Management552 Practices for Federal Information Systems and Organizations(Second Draft)。

5.業務連續性只強調信息安全方面

信息安全只是信息安全連續性的一個方面，在ISO/IEC 27001:2005以及之前的版本中并沒有專門說明，在本次改版中，樹立了業務連續性、災難恢復和信息安全的關系。由于業務連續性管理框架、業務連續性計劃和災難恢復計劃中在其他標準中有更詳細的討論，因此在ISO/IEC 27001:2013中都不再強調，只關注在這個框架下的信息安全應保持預定水平，換句話說，無論什么情況下，都要保持信息的安全，這就需要一些額外的控制。

綜上所述，ISO/IEC27001:2013與ISO/IEC27001:2005附錄A的對比、映射與統計數據如表1所示。

表1 ISO/IEC 27001:2013與ISO/IEC 27001:2005附錄A對比、映射與統計

ISO/IEC 27001:2013與ISO/IEC 27001:2005附錄A控制域的映射關系如圖2所示。

圖2 ISO/IEC 27001：2013與ISO/IEC 27001：2005附錄A控制域的映射

四、結語

ISO/IEC 27001:2013是所有ISO/IEC 27001版本中變動最大的一次，不但去掉了存在廣泛爭議的PDCA框架，而且重新分類和修訂了諸多控制措施。整體而言，雖然削弱了標準文本組織的結構化，改版后的標準更貼合實際，具備了更強的可實施性。

[1]ISO/IEC 27001:2013 Information Security Management System Requirement[S].

[2]ISO/IEC 27002:2013 Code of Practice forInformation Security Control[S].

[3]謝宗曉.ISO/IEC 27001:2013標準解讀及改版分析[M].北京：中國標準出版社，2014.

[4]謝宗曉.信息安全管理體系實施指南[M].北京：中國標準出版社，2012.