信息安全管理系列之六十七　2020年ISO/IEC 27000標準族的進展1）

謝宗曉　董坤祥　甄杰　

摘要：介紹了ISO/IEC 27000標準族的最新開發進展，尤其是2020年改版和新增的標準。

關鍵詞：ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Development of ISO/IEC 27000 Standards Family in 2020

Xie Zongxiao （China Financial Certification Authority）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Management Science and Engineering， Chongqing Technology and Business University）

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2020.

Key words：? ISO/IEC 27000， ISO/IEC 27001， ISO/IEC 27002

1 已經發布的標準

1.1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

最新版本為ISO/IEC 27000：2018，第5版。目前在用的國家標準對應版本為2016年的第4版，即GB/T 29246—2017 / ISO/IEC 27000： 2016。在2020年該標準都無變化。

1.2 ISO/IEC 27001 信息安全管理體系 要求

最新版本為2013年發布的第2版，之后發布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015，該標準被等同采用為GB/T 22080—2016。在2019年經過確認后，標準保持有效。

1.3 ISO/IEC 27002 信息安全控制實踐指南

最新版本為2013年發布的第2版，之后發布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015。ISO/IEC 27002： 2013等同采用為國家標準GB/T 22081—2016。在2020年該標準都無變化。

1.4 ISO/IEC 27003 信息安全管理體系 指南

最新版本依然為2017年3月發布的第2版，在2020年該標準都無變化。該標準的在用國家標準版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

1.5 ISO/IEC 27004 信息安全管理 監視、測量、分析和評價

最新版本為2016年12月發布的第2版，在2020年該標準都無變化。該標準的在用國家標準版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

1.6 ISO/IEC 27005 信息安全風險管理

該標準最新版本為2018年7月發布的第3版，該標準的在用國家標準版本為GB/T 31722—2015/ ISO/IEC 27005：2008。在2020年該標準都無變化。

1.7 ISO/IEC 27006 信息安全管理體系 審核和認證機構要求

最新為2015版，第3版，在本年度發布了ISO/IEC 27006：2015/Amd 1：2020。目前在用的國家標準為GB/T 25067—2020/ISO/IEC 27006：2015，之前版本為GB/T 25067—2016/ISO/IEC 27006： 2011。

1.8 ISO/IEC 27007 信息安全管理體系 審核指南

最新版本為2020年1月發布的第3版。目前現行國家標準為GB/T 28450—2012，但不是采標的版本。2021年7月1日即將實施的GB/T 28450—2020，等同采用ISO/IEC 27007： 2017。

1.9 ISO/IEC TS 27008 信息安全控制 評估指南

該標準在2020年無變化。

1.10 SO/IEC 27009 特定行業應用ISO/IEC 27001 要求

最新版本為2020年4月發布的第2版，之前版本為2016版。

1.11 ISO/IEC 27010 信息安全管理跨行業和跨組織的通信

最新版本為2015年發布的第2版，在2020年無變化。該標準對應的國家標準為GB/T 32920—2016 / ISO/IEC 27010：2012。

1.12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規則

最新版本為2016版，第2版，之前有2008版。此外，2018年發布有ISO/IEC 27011：2016 / Cor 1：2018。

1.13 ISO/IEC 27013 信息安全管理體系與服務管理整合

最新版本為2016年發布的第2版，目前正在改版，最新狀態為ISO/IEC DIS 27013。

1.14 ISO/IEC 27014 信息安全治理

最新版本為2013年發布的第1版，2020年最新狀態為ISO/IEC FDIS 27014。該標準對應的國家標準為GB/T 32923—2016 / ISO/IEC 27014：2013。

1.15 ISO/IEC TR 27016 信息安全管理 組織經濟學

最新版本為2014發布的第1版，在2020年無變化。

1.16 ISO/IEC 27017 基于ISO/IEC 27002的云服務信息安全控制實用規則

最新版本為2015年發布的第1版，在2020年無變化，目前已經在評審流程中。

1.17 ISO/IEC 27018 公有云中個人身份信息保護實用規則

最新版本為2019年1月發布的第2版，在2020年無變化。

1.18 ISO/IEC 27019 能源公共事業行業信息安全控制

最新版本為2017年10月發布的第1版，之前被發布為ISO/IEC TR 27019：2013。

1.19 ISO/IEC 27021 信息安全管理體系專業人員能力要求

最新版本為2017年10月發布的第1版，在2020年無變化。

1.20 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

最新版本是發布于2015年7月的第1版。

1.21 ISO/IEC 27031 ICT業務連續性指南

ISO/IEC 27031最新版本為發布于2011年的第1版，在2019年開始改版，目前狀態為ISO/IEC WD 27031。

1.22 ISO/IEC 27032 網絡空間安全

ISO/IEC 27032最新版本為發布于2012年的第1版，在2018年經過評審后，版本依然有效。2019年開始改版，目前狀態為ISO/IEC WD 27032，但標題改成了Guidelines for Internet Security（因特網安全指南）。

1.23 ISO/IEC 27033 網絡安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028系列，在2020年，其中的6個部分，均沒有大的變化，說明該標準開發也比較成熟了。

1.24 ISO/IEC 27034 應用安全

ISO/IEC 27034有7部分，其中：

● ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均無變化;

● ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均無變化;

● ISO/IEC TS 27034-5-1在2020年也無變化。

1.25 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都為2016年版本，目前也都正在改版，狀態為ISO/IEC CD 27035-1和ISO/IEC CD 27035-2。

2020年9月發布了ISO/IEC 27035-3：2020 Guidelines for ICT incident response operations（ICT事件響應操作指南）。

在2020年，ISO/IEC 27035新增加了第4部分，具體見下文2.13。

1.26 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036一共有4部分，其中ISO/IEC 27034-1：2011無變化，ISO/IEC 27034-2：2014最新狀態為ISO/IEC WD 27036-2，ISO/IEC 27036-3：2013在2019年評審后依然有效，ISO/IEC 27036-4：2016在2020年無變化。

1.27 ISO/IEC 27037 數字證據識別、收集、獲取與保護指南

ISO/IEC 27037版本為2012版，在2018年評審后依然有效。

1.28 ISO/IEC 27038 數字編校指南

ISO/IEC 27038最新版本為2014版，在2019年評審后依然有效。

1.29 ISO/IEC 27039 入侵檢測系統的選擇、部署和操作

最新版本為2015版，在2020年評審后依然有效。

1.30 ISO/IEC 27040 存儲安全

目前有效版本為2015版，最新狀態為ISO/IEC WD 27040。

1.31 ISO/IEC 27041 事件調查方法的適宜性與充分性保證指南

目前有效版本為2015版，正在評審中。

1.32 ISO/IEC 27042 數字證據分析與解釋指南

目前有效版本為2015版，正在評審中。

1.33 ISO/IEC 27043 事件調查原則與過程

最新版本為2015版，在2020年評審后依然有效。

1.34 ISO/IEC 27050 電子數據取證

ISO/IEC 27050分為4部分，其中：

● ISO/IEC 27050-1：2019無變化，這是第2版，之前為2016年版本。

● ISO/IEC 27050-2：2018無變化;

● 發布了ISO/IEC 27050-3：2020 Information technology—Electronic discovery—Part 3： Code of practice for electronic discovery（信息技術 電子數據取證 第3部分：電子數據取證實用規則），這是第2版，之前為2017年版本。

● ISO/IEC 27050-4依然在開發中，最新狀態為ISO/IEC DIS 27050-4。

1.35 ISO/IEC 27102 息安全管理 網絡保險指南

該標準發布于2019年8月，第1版。

1.36 ISO/IEC TR 27103 網絡安全與ISO及IEC標準

該標準在2018年2月發布第1版，目前仍為最新版。

1.37 ISO/IEC 27550 系統生命周期過程的隱私工程

該標準發布于2019年9月，第1版，隱私類標準。

1.38 ISO/IEC 27701：2019 ISO/IEC 27001與ISO/IEC 27002在隱私信息管理的擴展 要求與指南

該標準發布于2019年8月，在隱私保護領域非常重要[1]。

1.39 ISO 27799 應用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發布的第2版，之前版本為2008版，在2020年無變化。

綜上所述，2020年ISO/IEC 27000標準族，有效的標準及其版本如表1所示。

2 研發中的標準

2.1 ISO/IEC CD 27002.2

ISO/IEC 27002是ISO/IEC 27000標準族最基礎的標準之一，不再贅述。ISO/IEC CD 27002.2為新加的部分，標題為 Information security， cybersecurity and privacy protection — Information security controls（信息安全、網絡安全及隱私保護 信息安全控制）。

2.2 ISO/IEC CD 27005.2

ISO/IEC CD 27005.2為新加的部分，標題為Information security， cybersecurity and privacy protection — Guidance on managing information security risks and opportunities（信息安全、網絡安全及隱私保護 管理信息安全風險與機會指南）。

2.3 ISO/IEC DTS 27006-2

ISO/IEC DTS 27006-2也是新加的部分，標題為Requirements for bodies providing audit and certification of information security management systems—Part 2： Privacy information management systems（信息安全管理體系審核和認證機構要求 第2部分：隱私信息管理系統）。

2.4 ISO/IEC WD 27011

此標準是開發中的第3版，參見表1。

2.5 ISO/IEC DIS 27013

此標準是開發中的第3版，參見表1。

2.6 ISO/IEC FDIS 27014

這是開發中的第2版，參見表1。

2.7 ISO/IEC 27021：2017/DAmd 1

開發中的修訂，標題為Addition of? ISO/IEC 27001： 2013 clauses or subclauses to competence requirements（ISO/IEC 27001： 2013條款或子條款的補充能力要求）。

2.8 ISO/IEC DTS 27022.2

開發中的標準，標題為Information technology—Guidance on information security management system processes（信息技術 信息安全管理體系過程指引）。

2.9 ISO/IEC WD 27032

這是開發中的第2版，但是標題變了，見前文1.22中的描述或者表1。

2.10 ISO/IEC AWI 27033-7

新加的一部分，標題為Information technology—Network security—Part 7： Guidelines for network virtualization security（信息技術 網絡安全 第7部分：網絡可視化安全指南）。

2.11 ISO/IEC CD 27035-1

此標準是開發中的第2版，參見前文1.25。

2.12 ISO/IEC CD 27035-2

此標準是開發中的第2版，參見前文1.25。

2.13 ISO/IEC WD 27035-4

新加的一部分，標題為Information technology—Information security incident management—Part 4： Coordination（信息技術 信息安全事件管理 第4部分：合作）。

2.14 ISO/IEC WD 27036-2

開發中的第2版，參見前文1.26。

2.15 ISO/IEC WD 27040

開發中的第2版，參見前文1.30。

2.16 ISO/IEC WD 27045.5

標題為Information technology—Big data security and privacy—Processes（信息技術 大數據與隱私 過程）。

2.17 ISO/IEC WD 27046.2

標題為Information technology—Big data security and privacy—Implementation guidelines（信息技術 大數據與隱私 應用指南）。

2.18 ISO/IEC DIS 27050-4

標題為Information technology—Electronic discovery—Part 4： Technical readiness（信息技術 電子數據取證 第4部分：技術準備）。

2.19 ISO/IEC DIS 27070

標題為Information technology—Security techniques—Requirements for establishing virtualized roots of trust（信息技術 安全技術 建立虛擬信任根要求）。

2.20 ISO/IEC WD 27071.3

標題為Information technology—Security techniques—Security recommendations for establishing trusted connections between devices and service（信息技術 安全技術 設備與服務之間建立可信鏈接的安全建議）。

2.21 ISO/IEC CD 27099.2

標題為Information Technology—Public key infrastructure—Practices and policy framework（信息技術 關鍵基礎設施 實踐與策略框架），這個標準是關于CA證書的。

2.22 ISO/IEC PRF TS 27100

標題為Information technology—Cybersecurity—Overview and concepts（信息技術 網絡安全 概述與定義）。

2.23 ISO/IEC PRF TS 27110

標題為Information technology4）， cybersecurity and privacy protection—Cybersecurity framework development guidelines（信息技術、網絡安全與隱私保護 網絡安全框架開發指南）。

2.24 ISO/IEC CD 27400.2

標題為Cybersecurity—IoT security and privacy—Guidelines（網絡安全 物聯網安全與隱私 指南）。

2.25 ISO/IEC WD 27402.2

標題為Cybersecurity—IoT security and privacy—Device baseline requirements（網絡安全 物聯網安全與隱私 設備基線要求）。

2.26 ISO/IEC WD 27403.2

標題為Cybersecurity—IoT security and privacy—Guidelines for IoT-domotics（網絡安全 物聯網安全與隱私 家庭物聯網指南）

2.27 ISO/IEC DIS 27551

標題為Information security， cybersecurity and privacy protection—Requirements for attribute-based unlinkable entity authentication（信息安全、網絡安全與隱私保護 基于屬性的非連接實體授權要求）。

2.28 ISO/IEC CD 27553

標題為Information technology—Security techniques—Security requirements for authentication using biometrics on mobile devices（信息技術 安全技術 移動設備使用生物識別技術授權的安全要求）。

2.29 ISO/IEC WD 27554.2

標題為Application of ISO 31000 for assessment of identity management-related risk（應用ISO 31000評估身份管理相關風險）。

2.30 ISO/IEC DIS 27555

標題為Information security， cybersecurity and privacy protection—Guidelines on personally identifiable information deletion（信息安全、網絡安全與隱私保護 個體識別信息指南）。

2.31 ISO/IEC CD 27556.2

標題為Information technology—User-centric framework for the handling of personally identifiable information （PII） based on privacy preferences（信息技術 用于處理基于隱私偏好的PII用戶中心框架）。

2.32 ISO/IEC WD 27557.2

標題為Information technology—Organizational privacy risk management（信息技術 阻止隱私風險管理）。

2.33 ISO/IEC WD 27559.2

標題為Privacy enhancing data de-identification framework（隱私加強數據去標識化框架）。

2.34 ISO/IEC WD TS 27560

標題為Privacy technologies — Consent record information structure（隱私技術 知情同意記錄信息結構）。

2.35 ISO/IEC CD TS 27570.3

標題為Privacy protection — Privacy guidelines for Smart Cities（隱私保護 智慧城市隱私指南）。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 謝宗曉，董坤祥，甄杰， 等. ISO/IEC 27701：2019 隱私信息管理體系（PIMS）標準解讀[M].北京：中國標準出版社， 2020.