信息安全管理體系（ISMS）相關標準介紹

陳磊（內蒙古公安廳）

謝宗曉（中國金融認證中心）

1 定義

信息安全管理體系（Information Security Management System，ISMS）并不是一個專用術語，滿足其定義描述條件的應該都是。但實際情況是，由于這個術語起源于ISO/IEC 27002和ISO/IEC 27001的早期版本，屬于新生詞匯，其他文獻中很少見到。所以在實踐中，ISMS幾乎成了一個專用術語。因為某種產品過于普及，就成為某類行為的代名詞，這是很常見的現象。由于ISO/IEC 27000標準族在全球范圍內實施廣泛，在實踐中，就會有此類對話，例如：組織在做27001，意思是說，組織在部署ISMS，或者說，組織在根據ISO/IEC 27001部署信息安全。

換言之，ISMS是一整套的保障組織信息安全的方案（或方法），是組織管理體系的一部分，定義和指導ISMS的標準是ISO/IEC 27000標準族，而這其中，ISO/IEC 27002和ISO/IEC 27001是最重要也是出現最早的2個標準。由于這個原因，導致這一堆詞匯在實踐中開始混用，而不必刻意地去區分。因此，這幾個詞匯都認為是同義詞：

· 信息安全管理體系（ISMS）；

· ISO/IEC 27000標準族；

· ISO/IEC 27002或ISO/IEC 27001視上下文，也可能是指代ISMS。

2 相關國際標準的研發情況

負責開發ISO/IEC 27000標準族的機構為ISO/IEC JTC1 SC271），廣義的ISO/IEC 27000標準族包括了以ISO/IEC 27×××編號的所有的標準，即ISO/IEC 27000至ISO/IEC 27059，還包括了新立項的ISO/IEC 27102與ISO/IEC 27103，更詳細的信息請參考文獻[1]。

ISO/IEC 27000標準族最早圍繞ISO/IEC 27002發展而來，在后續的擴散過程中，ISO/IEC 27001起到了更基礎的作用。文獻[2]和[3]描述了ISO/IEC 27002和ISO/IEC 27001詳細的版本演化過程。

3 相關國家標準簡介

ISMS國家標準的主要研發機構為全國信息安全標準化技術委員會（SAC/TC 260）2），絕大部分標準主要等同采用或修改采用國際標準。在上述描述的國際標準中，截至2018年7月，有11項標準被采用為國家標準。

（1）GB/T 29246—2017《信息技術 安全技術信息安全管理體系 概述和詞匯》

該標準等同采用ISO/IEC 27000：2016，在標準的研發順序中，ISO/IEC 27000是后加的標準，ISO/IEC 27000中的詞匯是從較早版本的ISO/IEC 27002和ISO/IEC 27001中剪切過來的。ISO/IEC 27000的版本變化頻繁，目前ISO/IEC 27000：2016已經被ISO/IEC 27000：2018代替。

（2）GB/T 22080—2016《信息技術 安全技術信息安全管理體系 要求》

該標準等同采用ISO/IEC 27001：2013，為ISO/IEC 27000標準族的基礎標準，應用廣泛，主要定義了信息安全管理體系的要求，是認證的依據。

（3）GB/T 22081—2016《信息技術 安全技術信息安全控制實踐指南》

該標準等同采用ISO/IEC 27002：2013，為ISO/IEC 27000標準族的基礎標準，應用廣泛，給出了14個安全域，39個安全目標，以及114項安全控制。GB/T 22081—2016本質上是“良好實踐（Good Practice）”。

（4）GB/T 31496—2015《信息技術 安全技術信息安全管理體系實施指南》

該標準等同采用ISO/IEC 27003：2010，是針對ISO/IEC 27001：2013的實施指南。但是ISO/IEC 27003：2010已經被ISO/IEC 27003：2017所替代，新版標準變動非常大，標準名稱也更改為《信息技術 安全技術 信息安全管理體系 指南》。

（5）GB/T 31497—2015《信息技術 安全技術信息安全管理 測量》

該標準等同采用ISO/IEC 27004：2009，目前最新版為ISO/IEC 27004：2016，變化較大，標準名稱更改為《信息技術 安全技術 信息安全管理 監視、測量、分析與評價》。

（6）GB/T 31722—2015《信息技術 安全技術信息安全風險管理》

該標準等同采用ISO/IEC 27005：2008，信息安全風險管理是ISMS的重要手段，也是基礎框架。2018年7月，ISO已經發布了最新版的ISO/IEC 27005。

（7）GB/T 25067—2016《信息技術 安全技術信息安全管理體系審核和認證機構要求》

這是一個認可標準，更類似于行政要求，等同采用ISO/IEC 27006：2011。

（8）GB/T 28450—2012《信息安全技術 信息安全管理體系審核指南》

該標準同ISO/IEC 27007有一定的區別。國際標準最新版為ISO/IEC 27007：2017，之前版本為ISO/IEC 27007：2011。

（9）GB/Z 32916—2016《信息技術 安全技術信息安全控制措施審核員指南》

該指導性技術文件等同采用ISO/IEC TR 27008：2011，是關于控制審核的技術報告，國際標準的最新狀態是ISO/IEC PDTS 27008。

（10）GB/T 32920—2016《信息技術 安全技術 行業間和組織間通信的信息安全管理》

該標準等同采用ISO/IEC 27010：2012，目前該版本已經被替代為ISO/IEC 27010：2015。

（11）GB/T 32923—2016《信息技術 安全技術 信息安全治理》

該標準等同采用ISO/IEC 27014：2013，國際標準的最新狀態為ISO/IEC NP 27014。治理與管理概念相近，但是有不同的管理學含義。

4 小結

如上文所述，信息安全管理體系國家標準的采標情況整體如表1所示。

表1 信息安全管理體系國家標準

續表1