截至2016年底ISO/IEC 27000標準族的進展（下）2）

謝宗曉（南開大學商學院）

甄杰（重慶工商大學商務策劃學院）

截至2016年底ISO/IEC 27000標準族的進展（下）2）

謝宗曉（南開大學商學院）

甄杰（重慶工商大學商務策劃學院）

本文介紹了ISO/IEC 27000標準族中編號在ISO/IEC 27031之后的標準開發進展情況，這些標準主要關注ISO/ IEC 27001：2013附錄A中不同的控制域。

ISO/IEC 27000標準族 ISO/IEC 27001 ISO/IEC 27002

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文55篇，出版專著12本。

信息安全管理系列之二十五

隨著ISO/IEC 27001和ISO/IEC 27002在2013的改版①謝宗曉，鞏慶志. ISO/IEC 27001：2013 標準解讀及改版分析[M]. 北京：中國標準出版社，2013.，根據ISO的國際標準開發流程，其他ISO/IEC 27000標準族在2014—2016年之間的3年左右也進入改版的高峰期，我們用2期的篇幅，介紹截至2016年底ISO/IEC 27000標準族的最新進展情況。在后續的專欄中，我們會更詳細地介紹這些標準。

謝宗曉（特約編輯）

1 ISO/IEC 27031 ICT的業務連續性

ISO/IEC 27031提供了ICT業務連續性概念及基本原則，對應到ISO/IEC 27001：2013的A.17 業務連續性管理的信息安全方面。

ISO/IEC 27031發布于2011年，與ISO 22301：2012聯系緊密。目前版本信息為：

ISO/IEC 27031：2011 Information technology—Security techniques—Guidelines for information and communication technology readiness for business continuity（《信息技術 安全技術 ICT業務連續性指南》）

之前發布過ISO/IEC 24762：2008，關于災難恢復的，已經被撤銷。

如果不加限定詞，業務連續性包括了很大的范疇，更廣義的業務連續性的國際標準，如上文中的ISO 22301。

ISO 22301：2012 Societal security—Business continuity management systems—Requirements（《社會安全 業務連續性管理體系 要求》）

ISO 22301：2012是值得一讀的標準，這個標準有一個“0.2 The Plan-Do-Check-Act （PDCA） model”非常精彩。ISO 22301：2012與ISO/IEC Directives, Part 1①ISO/IEC Directives，Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附錄2：High level structure, identical core text, common terms and core definitions（高層結構﹑相同條款標題﹑相同文本﹑通用術語和核心定義）。保持了一致，當時，ISO/IEC 27001還是2005版，采用的PDCA模型。ISO 22301：2012用了一節與ISO/IEC 27001：2005的PDCA框架進行了對應，為的是與管理體系標準族加強兼容。ISO 22301：2012與ISO/IEC 27001：2013正文都是根據ISO/IEC Directives, Part 1，且要比ISO/IEC 27001：2013出版得早。

2 ISO/IEC 27032 網絡空間安全

ISO/IEC 27032 對網絡安全/網絡空間安全②關于詞匯的辨析，請參考：謝宗曉. 信息安全﹑網絡安全及賽博安全相關詞匯辨析[J]. 中國標準導報，2015（12）：30-32.謝宗曉. 關于網絡空間（cyberspace）及其相關詞匯的再解析[J]. 中國標準導報，2016（02）：26-28.提供了指導，目前最新版本為：

ISO/IEC 27032：2012 Information technology—Security techniques —Guidelines for cybersecurity（《信息技術 安全技術 網絡安全指南》）

更多資料，可參考《網絡空間安全管理》③ISO/IEC Directives，Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附錄2：High level structure, identical core text, common terms and core definitions（高層結構﹑相同條款標題﹑相同文本﹑通用術語和核心定義）。，其中有對ISO/IEC 27032：2012的詳細介紹。

3 ISO/IEC 27033 網絡安全

ISO/IEC 27033為網絡安全，在ISO/IEC 27001：2013中對應到A.13.1網絡安全管理，但在其中描述得非常簡單。

該標準之前發布為ISO/IEC 18028，原來有5部分，現在成了6部分，分別為：

ISO/IEC 27033-1：2015 Information technology—Security techniques—Network security—Part 1：Overview and concepts（《信息技術 安全技術 網絡安全 第1部分：綜述和概念》）

ISO/IEC 27033-2：2012 Information technology—Security techniques—Network security—Part 2：Guidelines for the design and implementation of network security（《信息技術 安全技術 網絡安全 第2部分：網絡安全的設計與實現指南 》）

ISO/IEC 27033-3：2010 Information technology—Security techniques—Network security—Part 3：Reference networking scenarios—Threats, design techniques and control issues（《信息技術 安全技術網絡安全 第3部分：參考網絡方案 威脅﹑設計技術和控制問題》）

ISO/IEC 27033-4：2014 Information technology—Security techniques—Network security—Part 4：Securing communications between networks using security gateways（《信息技術 安全技術 網絡安全第4部分：使用安全網關保護網絡之間的通信》）

ISO/IEC 27033-5：2013 Information technology—Security techniques—Network security—Part 5：Securing communications across networks using Virtual Private Networks （VPNs）（《信息技術 安全技術 網絡安全 第5部分：使用虛擬專用網的跨網通信安全保護》）

ISO/IEC 27033-6：2016 Information technology—Security techniques—Network security—Part 6：Securing wireless IP network access（《信息技術 安全技術 網絡安全 第6部分：無線IP網絡訪問保護》）

4 ISO/IEC 27034 應用安全

ISO/IEC 27034為應用安全，在ISO/IEC 27001：2013中對應到A.14 系統獲取﹑開發和維護。

ISO/IEC 27034一共有7部分，已經公布的有3個，還有4個正在開發中。

公布的部分有：

ISO/IEC 27034-1：2011 Information technology—Security techniques—Application security—Part 1：Overview and concepts（《信息技術 安全技術 應用安全 第1部分：綜述與概念》）

ISO/IEC 27034-1發布于2011年，當時的設計只有5部分，在其前言中，ISO/IEC 27034-6和ISO/ IEC 27034-7沒有列入。

ISO/IEC 27034-2：2015 Information technology—Security techniques—Application security—Part 2：Organization normative framework（《信息技術 安全技術 應用安全 第2部分：組織規范性框架》）

ISO/IEC 27034-6：2016 Information technology—Security techniques—Application security—Part 6：Case studies（《信息技術 安全技術 應用安全 第6部分：案例研究》）

目前正在開發的有：

ISO/IEC 27034-3 Information technology—Security techniques—Application security—Part 3：Application security management process（《信息技術 安全技術應用安全 第3部分：應用安全管理過程》）

ISO/IEC 27034-4 Information technology—Security techniques—Application security—Part 4：Application security validation（《信息技術 安全技術應用安全 第4部分：應用安全驗證》）

ISO/IEC 27034-5 Information technology—Security techniques—Application security—Part 5：Protocols and application security control data structure（《信息技術 安全技術 應用安全 第5部分：協議與應用安全控制數據結構》）

ISO/IEC 27034-7 Information technology—Security techniques—Application security—Part 7：Application security assurance prediction framework（《信息技術 安全技術 應用安全 第7部分：應用安全保障預測框架》）

ISO/IEC 27034與SDLC①SDLC，Systems Development Life Cycle，系統開發生命周期。進行了整合，建立了一個基于過程的方法，為定義﹑設計/選擇實施信息安全控制提供了指導，適用于信息系統的內部開發﹑外部獲取或外包等所有情形。這個標準與軟件開發聯系緊密。

5 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035為信息安全事件管理，在ISO/ IEC 27001：2013中為A.16 信息安全事件管理。該標準之前為ISO/IEC-TR-18044，發布于2004年，應用廣泛。被修改采用為GB/Z 20985—2007《信息技術 安全技術 信息安全事件管理指南》，可以作為參考。

現在ISO/IEC 27035分成了2部分，分別為：

ISO/IEC 27035-1：2016 Information technology—Security techniques—Information security incident management—Part 1：Principles of incident management（《信息技術 安全技術 信息安全事件管理 第1部分：事件管理原則》）

ISO/IEC 27035-2：2016 Information technology—Security techniques—Information security incident management—Part 2：Guidelines to plan and prepare for incident response（《信息技術 安全技術 信息安全事件管理 第2部分：事件響應規劃與準備指南》）

6 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036為供應商關系信息安全，在ISO/IEC 27001：2013中為A.15供應商關系。

該標準一共有4部分，具體為：

ISO/IEC 27036-1：2014 Information technology—Security techniques—Information security for supplier relationships—Part 1：Overview and concepts（《信息技術 安全技術 供應商關系中的信息安全 第1部分：綜述和概念》）

ISO/IEC 27036-2：2014①ISO/IEC 27036-2：2014可以免費下載。http://standards.iso.org/ittf/PubliclyAvailableStandards/c059648_ISO_IEC_27036-1_2014.zip。Information technology—Security techniques—Information security for supplier relationships—Part 2：Requirements（《信息技術 安全技術 供應商關系中的信息安全 第2部分：要求》）

ISO/IEC 27036-3：2013 Information technology—Security techniques—Information security for supplier relationships—Part 3：Guidelines for information and communication technology supply chain security ICT（《信息技術 安全技術 供應商關系中的信息安全 第3部分：供應鏈安全指南》）

ISO/IEC 27036-4：2016 Information technology—Security techniques—Information security for supplier relationships—Part 4：Guidelines for security of cloud services（《信息技術 安全技術 供應商關系中的信息安全 第4部分：云服務安全指南》）

ISO/IEC 27036所討論的供應商關系中的信息安全是一個單獨的領域，可以參考《中國標準導報》信息安全管理系列的相關文章②關于這方面的文獻比較少，更多可請參考：謝宗曉，董坤祥. ICT供應鏈信息安全標準ISO/IEC 27036-3及體系分析[J]. 中國標準導報，2016（03）：16-21.董坤祥，謝宗曉. ICT供應鏈風險管理標準NIST SP800-161探析[J]. 中國標準導報，2015（11）：34-37+41.。

7 ISO/IEC 27037 數字證據識別、收集、獲取與保護

從ISO/IEC 27037開始的后面這些標準，都比較細分領域，不太容易與ISO/IEC 27001：2013的附錄A對應，如果一定要對應，可以到A.16.1.7證據的收集③這個是在A.16 信息安全事件管理。。

ISO/IEC 27037：2012 Information technology—Security techniques—Guidelines for identification，collection, acquisition and preservation of digital evidence（《信息技術 安全技術 數字證據的識別﹑收集﹑獲取與保護指南》）

后續如ISO/IEC 27050等還有數個關于數字證據的標準。

8 ISO/IEC 27038 數字編校

許多文檔可能需要公開，而這其中又有一些涉密的信息，文件編輯描述的是去除某些部分﹑句子或段落等。這個過程叫做“redaction”。這個問題有點小眾。

目前的最新版本為：

ISO/IEC 27038：2014 Information technology—Security techniques—Specification for digital redaction（《信息技術 安全技術 數字編校規范》）

ISO/IEC 27038：2014的標準架構跟別的不太一樣，我們也沒有跟蹤過這個標準，因此不做進一步介紹，后續會跟進。

9 ISO/IEC 27039 入侵防御

ISO/IEC 27039是一類關于信息安全產品的標準，之后會陸續出現，只是ISO/IEC 27039是比較早以ISO/IEC 27000標準族編號的。

在IDS④IDS，Intrusion Detection System，入侵檢測系統。時代，ISO/IEC 27039發布為：

ISO/IEC 18043：2006 Information technology—Security techniques—Selection, deployment and operations of intrusion detection systems（注意，已棄用）

ISO/IEC 18043：2006被修改采用為：

GB/T 28454—2012《信息技術 安全技術 入侵檢測系統的選擇﹑部署和操作》

現在已經是IPS⑤IPS，Intrusion Prevention System，入侵防御系統。時代，因此，最新更新的ISO/IEC 27039版本為：

ISO/IEC 27039：2015 Information technology—Security techniques—Selection, deployment and operations of intrusion detection and prevention systems（IDPS）（《信息技術 安全技術 入侵防御系統選擇﹑部署和操作》）

10 ISO/IEC 27040 存儲安全

ISO/IEC 27040提供了定義恰當的風險減緩級別并應用充分證明和一致的方法來規劃﹑設計﹑記錄與實施數據存儲安全的詳細的技術指導。

目前，最新的版本信息為：

ISO/IEC 27040：2015 Information technology—Security techniques—Storage security《信息技術 安全技術 存儲安全》）

11 ISO/IEC 27041 事件調查保障

ISO/IEC 27041也是與事件管理相關的標準，其中：ISO/IEC 27043：2015定義了事件調查的原則與過程，ISO/IEC 27035-2提供了事件響應的準備與規劃，ISO/IEC 27037：2012和 ISO/IEC 27042：2015描述了事件調查過程。

ISO/IEC 27041的最新版本為：

ISO/IEC 27041：2015 Information technology—Security techniques—Guidance on assuring suitability and adequacy of incident investigative method（《信息技術 安全技術 保障時間調查方法的適宜性與充分性指南》）

12 ISO/IEC 27042 數字證據分析與解釋

ISO/IEC 27042為分析和解釋信息系統安全事件處理提供了一個通用的框架，目前版本信息為①看起來與ISO/IEC 27037只是數字證據處理過程的不同階段，我們也沒有做過深入研究，不清楚為什么要分開編號。專注于這個方向的讀者，可以聯系我們（xiezongxiao@vip.163.com），特別感謝。：

ISO/IEC 27042：2015 Information technology—Security techniques—Guidelines for the analysis and interpretation of digital evidence（《信息技術 安全技術 數字證據分析與解釋指南》）

13 ISO/IEC 27043 事件調查過程

ISO/IEC 27043也是與事件調查相關的，提供了一般的原則與過程。最新的版本信息為：

ISO/IEC 27043：2015 Information technology—Security techniques—Incident investigation principles and processes（《信息技術 安全技術 事件調查原則與過程》）

14 ISO/IEC 27050 電子舉證

最后一個跟事件調查相關的標準，ISO/IEC 27050分為4部分，目前正式發布的只有第1部分，具體信息如下：

ISO/IEC 27050-1：2016 Information technology—Security techniques—Electronic discovery—Part 1：Overview and concepts （《信息技術 安全技術 電子舉證 第1部分：綜述和概念》）

其他3個正在開發的標準為：

ISO/IEC 27050-2 Information technology—Security techniques—Electronic discovery—Part 2：Guidance for governance and management of electronic discovery （《信息技術 安全技術 電子舉證 第2部分：電子舉證治理與管理指南》）

ISO/IEC 27050-3 Information technology—Security techniques—Electronic discovery—Part 3：Code of practice for electronic discovery （《信息技術安全技術 電子舉證 第3部分：電子舉證實用規則》）

ISO/IEC 27050-4 Information technology—Security techniques—Electronic discovery—Part 4：ICT readiness for electronic discovery （《信息技術 安全技術 電子舉證 第4部分：電子舉證準備》）

15 ISO 27799 健康領域應用

ISO 27799目前是第2版，最初發布于2008年，具體信息為：ISO 27799：2016 Health informatics—Information security management in health using ISO/IEC 27002（《健康信息學 應用ISO/IEC 27002的健康信息安全管理》）

值得指出的是，ISO 27799在引言中專門討論了該標準與信息治理﹑公司治理以及臨床治理之間的關系。其中認為，越來越多的醫療機構依賴于信息系統的支持，例如，利用決策支持系統使得診斷從“基于經驗”轉至“基于證據”，信息完整性﹑可用性和保密性的損失對診療產生顯著的影響。因此，臨床治理框架需要將有效的信息安全風險管理和護理治療計劃﹑傳染病管理戰略和其他“核心”臨床管理事務①care treatment plans, infection management strategies and other “core” clinical management matters，這幾個詞匯比較專業，可能翻譯不準，整體意思就是，信息安全很重要，甚至與醫療的那些核心業務同等重要。同等重視。

這個標準實際與ISO/IEC 27010等特定領域的應用都是差不多的，但是ISO 27799在國內推廣得很一般。ISO 27799沒有按照順序編號，可能是因為這個標準的開發組織并不是ISO/IEC JTC1/SC 27，而是ISO/TC 215②ISO/TC 215，Health informatics健康信息學。。

Development of ISO/IEC 27000 Standards Family (Part B)

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie ( School of Business Planning, Chongqing Technology and Business University )

We introduce the development of ISO/IEC 27000 standards after ISO/IEC 27031, which mainly focus on control family mapping to ISO/IEC 27001:2013 Annex A.

ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002

2）本文中所列出的標準及狀態以http://www.iso.org公開發布的在售目錄為準，末次登錄時間為2016年12月9日。其他信息，則來源于http://www. iso27001security.com/index.html。