2021年ISO/IEC 27000標準族的進展1）

2022-04-19 19:13:09謝宗曉董坤祥甄杰

中國質量與標準導報 2022年1期

關鍵詞：網絡安全標準

謝宗曉董坤祥甄杰

信息安全管理系列之七十二

自2017年開始，我們在每年的年初，都會介紹過去一年中ISO/IEC 27000標準族的開發進展情況，在下文中，我們按照相同的架構介紹2021年ISO/IEC 27000標準族的進展。

謝宗曉（特約編輯）

摘要：介紹了ISO/IEC 27000標準族的最新開發進展，尤其是2020年改版和新增的標準。

關鍵詞：ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Development of ISO/IEC 27000 Standards Family in 2021

Xie Zongxiao （China Financial Certification Authority）

Dong Kunxiang （Shandong University of Finance and Economics）

Zhen Jie （Chongqing Technology and Business University）

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2021.

Key words：? ISO/IEC 27000， ISO/IEC 27001， ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系概述與詞匯

現行版本為ISO/IEC 27000：2018，第5版。在2021年該標準無變化。

對應的現行國家標準為GB/T 29246—2017 / ISO/IEC 27000： 2016，其中ISO/IEC 27000： 2016為第4版。

2 ISO/IEC 27001 信息安全管理體系要求

現行版本為2013年發布的第2版，之后發布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015。在2021年該標準無變化。

ISO/IEC 27001：2013被等同采用為GB/T 22080—2016。

3 ISO/IEC 27002 信息安全控制實踐指南

現行版本為2013年發布的第2版，之后發布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015。在2021年該標準無變化。

ISO/IEC 27002： 2013被等同采用為GB/T 22081—2016。

4 ISO/IEC 27003 信息安全管理體系指南

現行版本依然為2017年3月發布的第2版。在2021年該標準無變化。

對應的現行國家標準版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理監視、測量、分析和評價

現行版本為2016年12月發布的第2版。在2021年該標準無變化。

對應的現行國家標準版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全風險管理

現行版本為2018年7月發布的第3版。在2021年該標準無變化。

對應的現行國家標準版本為GB/T 31722—2015 / ISO/IEC 27005：2008。

7 ISO/IEC 27006 信息安全管理體系審核和認證機構要求

現行版本為2015版，第3版，之后發布有ISO/IEC 27006：2015/Amd 1：2020。

對應的現行國家標準為GB/T 25067—2020/ISO/IEC 27006：2015。

目前新發布ISO/IEC TS 27006-2：2021《信息安全管理體系審核和認證機構要求第2部分：隱私信息管理體系》。該部分尚未采標。

8 ISO/IEC 27007 信息安全管理體系審核指南

現行版本為2020年1月發布的第3版。在2021年該標準無變化。

對應的國家標準為GB/T 28450—2020/ISO/IEC 27007：2017。

9 ISO/IEC TS 27008 信息安全控制評估指南

現行版本為2019年1月發布的第1版。該標準在2021年無變化。

10 ISO/IEC 27009 特定行業應用ISO/IEC 27001 要求

現行版本為2020年4月發布的第2版，之前版本為2016版。該標準在2021年無變化。

11 ISO/IEC 27010 信息安全管理跨行業和跨組織的通信

現行版本為2015年發布的第2版，在2021年無變化。

對應的現行國家標準為GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規則

現行版本為2016版，第2版，之前有2008版。發布有ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系與服務管理整合

現行版本為2021年11月發布的第3版。之前發布有2016年的第2版。

14 ISO/IEC 27014 信息安全治理

現行版本為2020年12月發布的第2版。之前發布有2013年的第1版。

對應的現行國家標準為GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27016 信息安全管理組織經濟學

現行版本為2014發布的第1版，在2021年無變化。

16 ISO/IEC 27017 基于ISO/IEC 27002的云服務信息安全控制實用規則

現行版本為2015年發布的第1版，在2021年無變化。

17 ISO/IEC 27018 公有云中作為個人身份信息處理者保護個人身份信息的實用規則

現行版本為2019年1月發布的第2版，在2021年無變化。

18 ISO/IEC 27019 能源公共事業行業的信息安全控制

現行版本為2017年10月發布的第1版，之前發布有ISO/IEC TR 27019：2013。

19 ISO/IEC 27021 信息安全管理體系專業人員能力要求

現行版本為2017年10月發布的第1版，在2021年度發布有ISO/IEC 27021：2017 / AMD1：2021。

20 ISO/IEC TS 27022 信息技術信息安全管理體系過程指南

新增標準，發布于2021年3月，第1版。

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

現行版本是發布于2015年7月的第1版。在2021年無變化。

22 ISO/IEC 27031 ICT業務連續性指南

現行版本為發布于2011年的第1版。在2021年無變化。

23 ISO/IEC 27032 網絡空間安全

現行版本為發布于2012年的第1版。在2021年無變化。

24 ISO/IEC 27033 網絡安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028系列，在近兩年，其中的6個部分，均沒有大的變化，說明該標準開發也比較成熟了。

25 ISO/IEC 27034 應用安全

ISO/IEC 27034有7部分，其中：ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均無變化;ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均無變化;ISO/IEC TS 27034-5-1在2021年也無變化。

26 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，現行版本都為2016年發布。第3部分，現行版本為2020年發布。以上部分在2021年都無變化。

27 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036一共有4部分，在2021年都無變化。

28 ISO/IEC 27037 數字證據識別、收集、獲取與保護指南

現行版本為2012版。在2021年無變化。

29 ISO/IEC 27038 數字編校指南

現行版本為2014版。在2021年無變化。

30 ISO/IEC 27039 入侵檢測系統的選擇、部署和操作

現行版本為2015版。在2021年無變化。

31 ISO/IEC 27040 存儲安全

現行版本為2015版。在2021年無變化。

32 ISO/IEC 27041 事件調查方法的適宜性與充分性保證指南

現行版本為2015版。在2021年無變化。

33 ISO/IEC 27042 數字證據分析與解釋指南

現行版本為2015版。在2021年無變化。

34 ISO/IEC 27043 事件調查原則與過程

現行版本為2015版。在2021年無變化。

35 ISO/IEC 27050 電子數據取證

ISO/IEC 27050分為4部分，其中：

· 現行版本ISO/IEC 27050-1：2019，第2版，無變化，之前為2016年版本。

· 現行版本為ISO/IEC 27050-2：2018，無變化;

· 現行版本為ISO/IEC 27050-3：2020，第2版，無變化，之前為2017年版本。

· 2021年4月發布ISO/IEC 27050-4：2021技術準備。

36 ISO/IEC 27070 建立虛擬信任根要求

新增標準，發布于2021年12月。

37 ISO/IEC TS 27100 信息技術網絡安全概述與詞匯

新增標準，發布于2021年12月。

38 ISO/IEC 27102 信息安全管理網絡保險指南

現行標準發布于2019年8月，第1版。在2021年無變化。

39 ISO/IEC TR 27103 網絡安全與ISO及IEC標準

現行標準在2018年2月發布，第1版。在2021年無變化。

40 ISO/IEC TS 27110 信息技術、網絡安全和隱私保護網絡安全框架開發指南

新增標準，發布于2021年12月。

41 ISO/IEC 27550 系統生命周期過程的隱私工程

現行標準發布于2019年9月，第1版，隱私類標準。在2021年無變化。

42 ISO/IEC 27551 信息技術、網絡安全和隱私保護基于屬性的不可鏈接實體鑒別要求

新增標準，發布于2021年9月。

43 ISO/IEC 27555 信息技術、網絡安全和隱私保護個人可識別信息（PII）刪除指南

新增標準，發布于2021年10月。

44 ISO/IEC TS 27570 隱私保護智慧城市隱私指南

新增標準，發布于2021年1月。

45 ISO/IEC 27701 ISO/IEC 27001與ISO/IEC 27002在隱私信息管理的擴展要求與指南

現行標準發布于2019年8月。在2021年無變化。

46 ISO 27799 應用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發布的第2版，之前版本為2008版，在2021年無變化。

綜上所述，2021年ISO/IEC 27000標準族，有效的標準及其版本如表1所示。