信息安全管理系列之六十七 2020年ISO/IEC 27000标准族的进展1)

来源 :中国质量与标准导报 | 被引量 : 0次 | 上传用户:iamc66m
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2020年改版和新增的标准。
  关键词:ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002
  Development of ISO/IEC 27000 Standards Family in 2020
  Xie Zongxiao (China Financial Certification Authority)
  Dong Kunxiang (School of Management Science and Engineering, Shandong University of Finance and Economics)
  Zhen Jie (School of Management Science and Engineering, Chongqing Technology and Business University)
  Abstract: This paper introduces the latest development of ISO/IEC 27000 standards family, especially the revision and new standards in 2020.
  Key words:  ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002
  1 已经发布的标准
  1.1 ISO/IEC 27000 信息安全管理体系 概述与词汇
  最新版本为ISO/IEC 27000:2018,第5版。目前在用的国家标准对应版本为2016年的第4版,即GB/T 29246—2017 / ISO/IEC 27000: 2016。在2020年该标准都无变化。
  1.2 ISO/IEC 27001 信息安全管理体系 要求
  最新版本为2013年发布的第2版,之后发布有ISO/IEC 27001:2013/Cor 1:2014和ISO/IEC 27001:2013/Cor 2:2015,该标准被等同采用为GB/T 22080—2016。在2019年经过确认后,标准保持有效。
  1.3 ISO/IEC 27002 信息安全控制实践指南
  最新版本为2013年发布的第2版,之后发布有ISO/IEC 27002:2013/Cor 1:2014和ISO/IEC 27002:2013/Cor 2:2015。ISO/IEC 27002: 2013等同采用为国家标准GB/T 22081—2016。在2020年该标准都无变化。
  1.4 ISO/IEC 27003 信息安全管理体系 指南
  最新版本依然为2017年3月发布的第2版,在2020年该标准都无变化。该标准的在用国家标准版本为:GB/T 31496—2015 / ISO/IEC 27003:2010。
  1.5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价
  最新版本为2016年12月发布的第2版,在2020年该标准都无变化。该标准的在用国家标准版本为:GB/T 31497—2015 / ISO/IEC 27004:2009。
  1.6 ISO/IEC 27005 信息安全风险管理
  该标准最新版本为2018年7月發布的第3版,该标准的在用国家标准版本为GB/T 31722—2015/ ISO/IEC 27005:2008。在2020年该标准都无变化。
  1.7 ISO/IEC 27006 信息安全管理体系 审核和认证机构要求
  最新为2015版,第3版,在本年度发布了ISO/IEC 27006:2015/Amd 1:2020。目前在用的国家标准为GB/T 25067—2020/ISO/IEC 27006:2015,之前版本为GB/T 25067—2016/ISO/IEC 27006: 2011。
  1.8 ISO/IEC 27007 信息安全管理体系 审核指南
  最新版本为2020年1月发布的第3版。目前现行国家标准为GB/T 28450—2012,但不是采标的版本。2021年7月1日即将实施的GB/T 28450—2020,等同采用ISO/IEC 27007: 2017。
  1.9 ISO/IEC TS 27008 信息安全控制 评估指南
  该标准在2020年无变化。
  1.10 SO/IEC 27009 特定行业应用ISO/IEC 27001 要求
  最新版本为2020年4月发布的第2版,之前版本为2016版。
  1.11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信
  最新版本为2015年发布的第2版,在2020年无变化。该标准对应的国家标准为GB/T 32920—2016 / ISO/IEC 27010:2012。
  1.12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则
  最新版本为2016版,第2版,之前有2008版。此外,2018年发布有ISO/IEC 27011:2016 / Cor 1:2018。
  1.13 ISO/IEC 27013 信息安全管理体系与服务管理整合
  最新版本为2016年发布的第2版,目前正在改版,最新状态为ISO/IEC DIS 27013。
  1.14 ISO/IEC 27014 信息安全治理   最新版本为2013年发布的第1版,2020年最新状态为ISO/IEC FDIS 27014。该标准对应的国家标准为GB/T 32923—2016 / ISO/IEC 27014:2013。
  1.15 ISO/IEC TR 27016 信息安全管理 组织经济学
  最新版本为2014发布的第1版,在2020年无变化。
  1.16 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则
  最新版本为2015年发布的第1版,在2020年无变化,目前已经在评审流程中。
  1.17 ISO/IEC 27018 公有云中个人身份信息保护实用规则
  最新版本为2019年1月发布的第2版,在2020年无变化。
  1.18 ISO/IEC 27019 能源公共事业行业信息安全控制
  最新版本为2017年10月发布的第1版,之前被发布为ISO/IEC TR 27019:2013。
  1.19 ISO/IEC 27021 信息安全管理体系专业人员能力要求
  最新版本为2017年10月发布的第1版,在2020年无变化。
  1.20 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射
  最新版本是发布于2015年7月的第1版。
  1.21 ISO/IEC 27031 ICT业务连续性指南
  ISO/IEC 27031最新版本为发布于2011年的第1版,在2019年开始改版,目前状态为ISO/IEC WD 27031。
  1.22 ISO/IEC 27032 网络空间安全
  ISO/IEC 27032最新版本为发布于2012年的第1版,在2018年经过评审后,版本依然有效。2019年开始改版,目前状态为ISO/IEC WD 27032,但标题改成了Guidelines for Internet Security(因特网安全指南)。
  1.23 ISO/IEC 27033 网络安全
  由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028系列,在2020年,其中的6个部分,均没有大的变化,说明该标准开发也比较成熟了。
  1.24 ISO/IEC 27034 应用安全
  ISO/IEC 27034有7部分,其中:
  ● ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均无变化;
  ● ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均无变化;
  ● ISO/IEC TS 27034-5-1在2020年也无变化。
  1.25 ISO/IEC 27035 信息安全事件管理
  ISO/IEC 27035的前2部分,最新版本都为2016年版本,目前也都正在改版,状态为ISO/IEC CD 27035-1和ISO/IEC CD 27035-2。
  2020年9月发布了ISO/IEC 27035-3:2020 Guidelines for ICT incident response operations(ICT事件响应操作指南)。
  在2020年,ISO/IEC 27035新增加了第4部分,具体见下文2.13。
  1.26 ISO/IEC 27036 供应商关系中的信息安全
  ISO/IEC 27036一共有4部分,其中ISO/IEC 27034-1:2011无变化,ISO/IEC 27034-2:2014最新状态为ISO/IEC WD 27036-2,ISO/IEC 27036-3:2013在2019年评审后依然有效,ISO/IEC 27036-4:2016在2020年无变化。
  1.27 ISO/IEC 27037 数字证据识别、收集、获取与保护指南
  ISO/IEC 27037版本为2012版,在2018年评审后依然有效。
  1.28 ISO/IEC 27038 数字编校指南
  ISO/IEC 27038最新版本为2014版,在2019年评审后依然有效。
  1.29 ISO/IEC 27039 入侵检测系统的选择、部署和操作
  最新版本为2015版,在2020年评审后依然有效。
  1.30 ISO/IEC 27040 存储安全
  目前有效版本为2015版,最新状态为ISO/IEC WD 27040。
  1.31 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南
  目前有效版本为2015版,正在评审中。
  1.32 ISO/IEC 27042 数字证据分析与解释指南
  目前有效版本为2015版,正在评审中。
  1.33 ISO/IEC 27043 事件调查原则与过程
  最新版本为2015版,在2020年评审后依然有效。
  1.34 ISO/IEC 27050 电子数据取证
  ISO/IEC 27050分为4部分,其中:
  ● ISO/IEC 27050-1:2019无变化,这是第2版,之前为2016年版本。
  ● ISO/IEC 27050-2:2018无变化;
  ● 发布了ISO/IEC 27050-3:2020 Information technology—Electronic discovery—Part 3: Code of practice for electronic discovery(信息技術 电子数据取证 第3部分:电子数据取证实用规则),这是第2版,之前为2017年版本。   ● ISO/IEC 27050-4依然在开发中,最新状态为ISO/IEC DIS 27050-4。
  1.35 ISO/IEC 27102 息安全管理 网络保险指南
  该标准发布于2019年8月,第1版。
  1.36 ISO/IEC TR 27103 网络安全与ISO及IEC标准
  该标准在2018年2月发布第1版,目前仍为最新版。
  1.37 ISO/IEC 27550 系统生命周期过程的隐私工程
  该标准发布于2019年9月,第1版,隐私类标准。
  1.38 ISO/IEC 27701:2019 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南
  该标准发布于2019年8月,在隐私保护领域非常重要[1]。
  1.39 ISO 27799 应用ISO/IEC 27002的健康信息安全管理
  ISO 27799最新版为2016年发布的第2版,之前版本为2008版,在2020年无变化。
  综上所述,2020年ISO/IEC 27000标准族,有效的标准及其版本如表1所示。
  2 研发中的标准
  2.1 ISO/IEC CD 27002.2
  ISO/IEC 27002是ISO/IEC 27000标准族最基础的标准之一,不再赘述。ISO/IEC CD 27002.2为新加的部分,标题为 Information security, cybersecurity and privacy protection — Information security controls(信息安全、网络安全及隐私保护 信息安全控制)。
  2.2 ISO/IEC CD 27005.2
  ISO/IEC CD 27005.2为新加的部分,标题为Information security, cybersecurity and privacy protection — Guidance on managing information security risks and opportunities(信息安全、网络安全及隐私保护 管理信息安全风险与机会指南)。
  2.3 ISO/IEC DTS 27006-2
  ISO/IEC DTS 27006-2也是新加的部分,标题为Requirements for bodies providing audit and certification of information security management systems—Part 2: Privacy information management systems(信息安全管理体系审核和认证机构要求 第2部分:隐私信息管理系统)。
  2.4 ISO/IEC WD 27011
  此标准是开发中的第3版,参见表1。
  2.5 ISO/IEC DIS 27013
  此标准是开发中的第3版,参见表1。
  2.6 ISO/IEC FDIS 27014
  这是开发中的第2版,参见表1。
  2.7 ISO/IEC 27021:2017/DAmd 1
  开发中的修订,标题为Addition of  ISO/IEC 27001: 2013 clauses or subclauses to competence requirements(ISO/IEC 27001: 2013条款或子条款的补充能力要求)。
  2.8 ISO/IEC DTS 27022.2
  开发中的标准,标题为Information technology—Guidance on information security management system processes(信息技术 信息安全管理体系过程指引)。
  2.9 ISO/IEC WD 27032
  这是开发中的第2版,但是标题变了,见前文1.22中的描述或者表1。
  2.10 ISO/IEC AWI 27033-7
  新加的一部分,标题为Information technology—Network security—Part 7: Guidelines for network virtualization security(信息技术 网络安全 第7部分:网络可视化安全指南)。
  2.11 ISO/IEC CD 27035-1
  此标准是开发中的第2版,参见前文1.25。
  2.12 ISO/IEC CD 27035-2
  此标准是开发中的第2版,参见前文1.25。
  2.13 ISO/IEC WD 27035-4
  新加的一部分,标题为Information technology—Information security incident management—Part 4: Coordination(信息技术 信息安全事件管理 第4部分:合作)。
  2.14 ISO/IEC WD 27036-2
  开发中的第2版,参见前文1.26。
  2.15 ISO/IEC WD 27040
  开发中的第2版,参见前文1.30。
  2.16 ISO/IEC WD 27045.5
  标题为Information technology—Big data security and privacy—Processes(信息技術 大数据与隐私 过程)。   2.17 ISO/IEC WD 27046.2
  标题为Information technology—Big data security and privacy—Implementation guidelines(信息技术 大数据与隐私 应用指南)。
  2.18 ISO/IEC DIS 27050-4
  标题为Information technology—Electronic discovery—Part 4: Technical readiness(信息技术 电子数据取证 第4部分:技术准备)。
  2.19 ISO/IEC DIS 27070
  标题为Information technology—Security techniques—Requirements for establishing virtualized roots of trust(信息技术 安全技术 建立虚拟信任根要求)。
  2.20 ISO/IEC WD 27071.3
  标题为Information technology—Security techniques—Security recommendations for establishing trusted connections between devices and service(信息技术 安全技术 设备与服务之间建立可信链接的安全建议)。
  2.21 ISO/IEC CD 27099.2
  标题为Information Technology—Public key infrastructure—Practices and policy framework(信息技术 关键基础设施 实践与策略框架),这个标准是关于CA证书的。
  2.22 ISO/IEC PRF TS 27100
  标题为Information technology—Cybersecurity—Overview and concepts(信息技术 网络安全 概述与定义)。
  2.23 ISO/IEC PRF TS 27110
  标题为Information technology4), cybersecurity and privacy protection—Cybersecurity framework development guidelines(信息技术、网络安全与隐私保护 网络安全框架开发指南)。
  2.24 ISO/IEC CD 27400.2
  标题为Cybersecurity—IoT security and privacy—Guidelines(网络安全 物联网安全与隐私 指南)。
  2.25 ISO/IEC WD 27402.2
  标题为Cybersecurity—IoT security and privacy—Device baseline requirements(网络安全 物联网安全与隐私 设备基线要求)。
  2.26 ISO/IEC WD 27403.2
  标题为Cybersecurity—IoT security and privacy—Guidelines for IoT-domotics(网络安全 物联网安全与隐私 家庭物联网指南)
  2.27 ISO/IEC DIS 27551
  标题为Information security, cybersecurity and privacy protection—Requirements for attribute-based unlinkable entity authentication(信息安全、网络安全与隐私保护 基于属性的非连接实体授权要求)。
  2.28 ISO/IEC CD 27553
  标题为Information technology—Security techniques—Security requirements for authentication using biometrics on mobile devices(信息技术 安全技术 移动设备使用生物识别技术授权的安全要求)。
  2.29 ISO/IEC WD 27554.2
  标题为Application of ISO 31000 for assessment of identity management-related risk(应用ISO 31000评估身份管理相关风险)。
  2.30 ISO/IEC DIS 27555
  标题为Information security, cybersecurity and privacy protection—Guidelines on personally identifiable information deletion(信息安全、网络安全与隐私保护 个体识别信息指南)。
  2.31 ISO/IEC CD 27556.2
  标题为Information technology—User-centric framework for the handling of personally identifiable information (PII) based on privacy preferences(信息技术 用于处理基于隐私偏好的PII用户中心框架)。
  2.32 ISO/IEC WD 27557.2
  標题为Information technology—Organizational privacy risk management(信息技术 阻止隐私风险管理)。
  2.33 ISO/IEC WD 27559.2
  标题为Privacy enhancing data de-identification framework(隐私加强数据去标识化框架)。
  2.34 ISO/IEC WD TS 27560
  标题为Privacy technologies — Consent record information structure(隐私技术 知情同意记录信息结构)。
  2.35 ISO/IEC CD TS 27570.3
  标题为Privacy protection — Privacy guidelines for Smart Cities(隐私保护 智慧城市隐私指南)。
  (注:本文仅做学术探讨,与作者所在单位观点无关)
  参考文献
  [1] 谢宗晓,董坤祥,甄杰, 等. ISO/IEC 27701:2019 隐私信息管理体系(PIMS)标准解读[M].北京:中国标准出版社, 2020.
其他文献
【摘要】我国现实存在中医学和西医学,西医和中医虽然研究对象相同,均为人的生命与健康问题,然而其认识方法和研究方法却迥然不同。随着现代科学技术和现代医学的飞速发展,令人欣慰的是,广大的医药工作者在实践中逐渐认识到中西医各有长短。中西医双方的长处与短处具有很强的互补性。如何相互理解,相互融合,以提高医疗质量,以成为当今医学重要的课题——中西医结合医学。它是在科学理论和方法指导下形成的新的学科,是科学发
期刊
【摘要】目的:探讨中药针刺并用治疗椎一基底动脉供血不足性眩晕的疗效。方法:对椎-基底动脉供血不足性眩晕74例,以益气活血、疏通经络为法配合针刺晕听区治疗总有效率93.24%。结论:针药并用治疗椎-基底动脉供血不足性眩晕是疗效显著的可靠。  【关键词】椎-基底动脉供血不足性眩晕 中药 针刺 治疗  笔者于2000-2003年,应用中药配合针刺治疗椎-基底动脉供血不足性眩晕74例,疗效满意,现报道如下
期刊
1临床资料  我院收治了Cronkhite-Canada综合征(CCS)患者1例,现结合文献报道如下。  病例:患者王某,男,67岁。因腹泻、腹胀、乏力40天入院。患者于40天前因进食不洁,解黄色稀便,量少,5~8次/d,伴食欲下降,予加替沙星治疗后症状未见好转,2周后患者症状无好转并感觉腹胀,恶心,解黏液血便,量较多,6~10次/d,偶有腹痛,但无发热、盗汗,呕吐反酸。体格检查:发育正常,营养差
期刊
消化性溃疡是发生于胃与十二指肠的慢性溃疡,它的病因病机是一致的。是目前公认的攻击因子如:胃酸胃蛋白酶、幽门螺杆菌、药物等过强和保护因子如胃内粘液、粘膜屏障等护卫功能下降,两者失去平衡所致。为此治疗溃疡病的关键是抵抗攻击因子同时增强保护因子,调整和维持胃内环境的平衡。  中医学认为:消化性溃疡多属于胃痛、痞满等范畴。发病原因是多方面的因素形成的,主要包括脾胃虚弱、饮食失调、情志所伤、邪气侵犯和药物损
期刊
小儿秋季腹泻是儿科秋冬季常见病、多发病,主要由轮状病毒感染引起,尤以3岁以内婴幼儿为多见,年龄越小,发病率越高,一年四季均可发生,但以秋冬季节较为多见,如不及时给予治疗,可导致营养不良,发育障碍,甚至脱水或酸中毒,造成严重后果。2005年以来,我院采用中西医结合治疗小儿秋季腹泻109例,临床观察效果满意,现总结如下。  1资料和方法  1.1对象和分组:本文109例秋季腹泻病患儿为我院住院病儿,根
期刊
始兴县位于广东省北部山区的韶关市境内,居岭南交通要冲。人杰地灵,物阜民丰,古称“粤北粮仓”。  始兴县拥有丰富的土地资源,人均占有土地面积为广东全省之最。土地肥沃,耕种性广。山区主要以食用菌、木材产业为主,是广东省最大的香菇生产基地和广东省最大的商品材生产基地;平原地区以水稻、黄烟、蚕桑、蔬菜、水果等产业为主,是全国商品粮生产基地、国家级蚕桑农业标准化示范区、全国无公害蔬菜生产示范基地、中国枇杷之
期刊
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003 年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文160 多篇,出版专著20 多本。  信息安全管理系列之六十九  如何让标准在企业的治理和管理中起到引领作用,是目前标准化领域的研究热点,也是存在的难题。本文以金融企业标准为例,将标准体系融合进入企业治理和管理的框架分为集成、设计、实施、评估
期刊
【摘要】以前,药师的工作主要局限在传统的药品调配、供应等基础工作上。随着现代药学的发展,对药师提出了更高的要求和希望。为确保药品质量、保障人民用药安全有效提供有力保证,从社会的角度更强化了药师的地位。药师是医疗保健团队中的重要成员,是指导合理用药的终端,肩负着保证用药安全的重要使命,有责任通过 实施药学服务确保患者合理用药,减少不良反应和药源性疾病的发生,与医疗保健、护理服务一起为保障公众健康和提
期刊
患者,男,74岁,以“发热伴意识不清2天”入院,起病急,病程短,既往有2型糖尿病史30年,未予以系统治疗。查体:体温37.9℃,浅昏迷状态,右中下肺野可闻及中小水泡音,空腹血糖34.1mmol/L,尿糖(++++),血钠156mmol/L,血浆渗透压360 mmol/L,血常规:WBC12.0×109/L、NEUT%87.2%,头部CT:右顶叶脑梗塞,胸部X线:右肺感染。诊断为2型糖尿病、高渗性非
期刊
视网膜静脉阻塞是由视网膜中央静脉或其分支发生阻塞,导致视网膜静脉高度曲张和以视乳头为中心的广泛出血为特征、视力急骤下降为主要症状的一种眼底血管性病变。发病较急而治疗困难,常因失治误治而造成终身视力损害,甚至失眠。笔者通过多年临床实践,结合现代医学检查手段,运用中药活血化淤通络为主,自拟“归芍汤”随症加减治疗此病,疗效满意,现报道如下:  1一般资料  2002年2月-2008年10月,我院眼科患者
期刊