论文部分内容阅读
摘要:本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27030之前的标准开发进展情况,其中ISO/IEC 27000至ISO/IEC 27008主要与信息安全管理体系相关,ISO/IEC 27009及其之后,主要为分行业的应用。
关键词: ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
Development of ISO/IEC 27000 Standards (Part A)
Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )
Abstract: We introduce the development of ISO/IEC 27000 standards before ISO/IEC 27030, in which from ISO/IEC 27000 to ISO/IEC 27008 mainly focus on information security management system (ISMS) and after ISO/IEC 27009 mainly focus on a specific application of ISO/IEC 27001.
Key words: ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002
1 ISO/IEC 27000 信息安全管理体系概述和词汇
ISO/IEC 27000公布于2009年5月,目前有最新的2016版,已经是第4版了,之前分别为2009版、2012版、2014版以及2016版。
ISO/IEC 27000:2009被等同采用为GB/T 29246 —2012,具体信息为:
GB/T 29246—2012/ISO/IEC 27000:2009《信息技术 安全技术 信息安全管理体系 概述和词汇》
目前最新版本为:
ISO/IEC 27000:2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary
此外,ISO/IEC 27000是为数不多的可以免费下载的3)国际标准。
2 ISO/IEC 27001 信息安全管理体系要求
关于ISO/IEC 27001发展的详细历史,请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》4)。
目前ISO/IEC 27001被等同采用为国家标准:
GB/T 22080—2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》
3 ISO/IEC 27002 信息安全控制实践指南
关于ISO/IEC 27002发展的详细历史,请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》 4)。
目前ISO/IEC 27002被等同采用为国家标准:
GB/T 22081—2016/ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实践指南》
4 ISO/IEC 27003 信息安全管理体系实施指南
ISO/IEC 27003主要是描述如何在组织内实施ISO/IEC 27001,随着ISO/IEC 27001的改版,最近应该也会改版,目前状态为FDIS5),大约会在2017年出版。最新版本为:
ISO/IEC 27003:2010 Information technology—Security techniques—Information security management system implementation guidance( 《信息技術 安全技术 信息安全管理体系实施指南》)
5 ISO/IEC 27004 信息安全管理测量
ISO/IEC 27004是提供了信息安全管理测量的方法,当然,主要是针对ISO/IEC 27001,目前正在改版,改版后专门支持ISO/IEC 27001:2013的正文9.16),大约会在2017年出版。
最新版本为:
ISO/IEC 27004:2009 Information technology—Security techniques—Information security management—Measurement(《信息技术 安全技术 信息安全管理 测量》)
ISO/IEC 27004:2009目前尚无国家标准与之 对应。
6 ISO/IEC 27005 信息安全风险管理
ISO/IEC 27005是专门讨论信息安全风险管理的,基本与通用的风险管理标准ISO 31000保持了一致。现在的版本是第2版,发布于2011年,之前版本为2008年版,且被等同采用为GB/T 31722—2015,具体参考信息为:
GB/T 31722—2015/ ISO/IEC 27005:2008《信息技术 安全技术 信息安全风险管理》 最新版本为:
ISO/IEC 27005:2011 Information technology—Security techniques—Information security risk management
ISO/IEC 27005应该来源于1998年版本的ISO/IEC TR 13335-3,但是没有官方文献确认,以我们的阅读来看,就整个框架而言,与ISO/IEC TR 13335-3:1998差别不大。
更多资料,可参考《信息安全风险评估——概念、方法和实践(第2版)》7)的附录中有GB/T 31722—2015/ ISO/IEC 27005:2008全文。
7 ISO/IEC 27006 认证机构要求
ISO/IEC 27006是一个认可标准(accreditation standard)。认证和认可是两码事。认证,指的是第三方组织去审核企业,然后发证。认可,指的是国家主管机构审核第三方组织,以确认他们是否有认证资质。类比一下,认证就是学校给学生发毕业证,认可就是教育部检查学校。显然,这个标准受众,是个小众群体,即第三方认证组织。但是内容基本都是规定性的,改版频繁,目前已经是第3版了,之前为2007版、2011版,现在最新为2015版。
具体信息为:
ISO/IEC 27006:2015 Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems
目前有国家标准:
GB/T 25067—2016/ISO/IEC 27006:2011《信息技术 安全技术 信息安全管理体系审核和认证机构要求》
8 ISO/IEC 27007 通用的审核
ISO/IEC 27007是为第三方认证机构审核企业提供指导的,这个标准的最新版本为2011年版,具体信息为:
ISO/IEC 27007:2011 Information technology—Security techniques—Guidelines for information security management systems auditing
目前被修改采用为:
GB/T 28450—2012《信息安全技术 信息安全管理体系审核指南》
更多资料,可参考《信息安全管体系审核指南》8)。
9 ISO/IEC TR9)27008 控制措施审核
ISO/IEC TR 27008:2011是个技术报告,也是信息安全管理体系的特别之处,主要为ISO/IEC 27001的附录A提供审核指南。
目前最新版本为:
ISO/IEC TR 27008:2011 Information technology—Security techniques—Guidelines for auditors on information security controls(《信息技术 安全技术 信息安全控制审核指南》)
10 ISO/IEC 27009 特定行业应用的要求
ISO/IEC 27009用于组织如何在特定行业应用ISO/IEC 27001,例如,如何提炼或增加相关的要求或控制。
目前最新版本为2016版,具体信息为:
ISO/IEC 27009:2016 Information technology—Security techniques—Sector-specific application of ISO/IEC 27001—Requirements(《信息技术 安全技术 特定行业应用ISO/IEC 27001 要求》)
11 ISO/IEC 27010 跨行业和跨组织的通信
从ISO/IEC 27010开始的编号,讨论行业应用。
ISO/IEC 27010为不同行业以及不同国家间共享风险和事件等信息,提供信息安全管理指导,尤其是这些信息会影响到关键基础设施的时候(critical infrastructure)。
最早发布于2012年,目前已经发布第2版,具体信息為:
ISO/IEC 27010:2015 Information technology—Security techniques—Information security management for inter-sector and inter-organizational communications(《信息技术 安全技术 跨行业与跨组织通信的信息安全管理》)
其中的章节安排,从第5章到第18章,基本与ISO/IEC 27002:2013保持了一致。
12 ISO/IEC 27011 电信行业的应用
ISO/IEC 27011是由ITU与 ISO/IEC JTC1/SC 27联合开发,因此同时也发布为ITU-T X.1051。
这个标准最早发布于2008年,最新版本为2016版,具体信息为:
ISO/IEC 27011:2016 Information technology—Security techniques—Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations(《信息技术 安全技术 基于ISO/IEC 27002的电信组织信息安全控制实用规则》) 特定行业的应用在框架上与ISO/IEC 27002基本都是统一的。
13 ISO/IEC 27013 信息安全管理体系与服务管理整合
在实践领域,ISMS与ITIL10)的整合是很常见的一种形式,由于信息安全多为控制点,IT服务多为流程,而且这两者的从业人员背景也比较相似,整合应用是不可避免的。
ISO/IEC 27013最早发布于2012年,基于ISO/IEC 27001:2005与ISO/IEC 20000-1:2011。随着这2个标准的改版,ISO/IEC 27013也得随着改变,现在最新版本为:
ISO/IEC 27013:2015 Information technology—Security techniques—Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1(《信息技术 安全技术 ISO/IEC 27001与ISO/IEC 20000-1的整合应用指南》)
ISO/IEC 27011:2016由SC 27和SC 7合作开发,附录A中有ISO/IEC 27001和ISO/IEC 20000-1的对照。
14 ISO/IEC 27014 信息安全治理
ISO/IEC 27014是关于信息安全治理的,治理和管理的区别,在公司治理领域分得比较清楚。但是在信息安全领域,这两个词汇界限非常模糊。一般而言,治理是方向性的,关注如何在高层管理中梳理清楚利益关系,管理更多是控制性的,更关注如何实现组织的信息安全目标,更细节一些。
ISO/IEC 27014也是ITU与 ISO/IEC JTC1/SC 27合作开发的,因此同时发布为ITU-T X.1054,目前最新版本为:
ISO/IEC 27014:2013 Information technology—Security techniques—Governance of information security
该标准已经被等同采用为国家标准:
GB/T 32923—2016/ISO/IEC 27014:2013《信息技术 安全技术 信息安全治理》
由于已经有国家标准,不再介绍具体内容。毫无疑问,信息安全治理很重要11),但是一定要从管理中分离开来讨论,又不太容易说清楚。
15 ISO/IEC TR 27015 金融服务信息安全管理
ISO/IEC TR 27015主要指导在金融企业内实施ISO/IEC 27000标准族,目前最新版本为:
ISO/IEC TR 27015:2012 Information technology—Security techniques—Information security management guidelines for financial services(《信息技术 安全技术 金融服务信息安全管理指南》)
从上文中,我们也已经看出,电信和金融对信息安全比较重视,除了这个标准,还有類似于:
ISO/TR 13569:2005 Financial services—Information security guidelines(《金融服务 信息安全指南》)
这个标准不是ISO/IEC JTC1/SC 27开发的,是ISO/TC 68/SC 212)发布的标准。这是真正从业务角度考虑信息安全,所以视角完全不同。ISO/TR 13569已经是第3版了,之前有1997和1998版本。
原则上说,随着ISO/IEC 27001和ISO/IEC 27002的改版,ISO/IEC TR 27015:2012也需要改版了。到现在ISO标识的状态依然是60.6013),没有改版的迹象。据说14)这个标准要被弃用,如果放弃开发也很正常,如果业务领域和信息安全领域的标准有竞争,最后被采用的肯定是业务领域推广的标准。
16 ISO/IEC TR 27016 安全经济学
ISO/IEC TR 27016用于指导企业如何在考虑经济因素条件下对信息安全投资做决策,在实践中这件事很重要。目前,ISO/IEC TR 27016的最新版本为:
ISO/IEC TR 27016:2014 Information technology—Security techniques—Information security management—Organizational economics(《信息技术 安全技术 信息安全管理 组织经济学》)
我们会尽快在《中国质量与标准导报》的“本刊特约”专栏中介绍ISO/IEC TR 27016:2014。
17 ISO/IEC 27017 云服务安全
ISO/IEC 27017是在ISO/IEC 27002及其他相关ISO/IEC 27000标准族的基础上,提供云服务的信息安全控制,这个标准也是与ITU合作,因此同时发布为ITU-T X.1631。
目前最新版本为:
ISO/IEC 27017:2015 Information technology—Security techniques—Code of practice for information security controls based on ISO/IEC 27002 for cloud services(《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实用规则》)
该标准与特定行业的应用架构基本是一致的,都与ISO/IEC 27009保持兼容。
18 ISO/IEC 27018 公有云中的隐私保护
ISO/IEC 27018用来指导公有云的服务提供商,例如,微云、百度云等,如何保护个人隐私,该标准与ISO/IEC 27017联系紧密。
目前,最新版本信息为:
ISO/IEC 27018:2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors(《信息技术 安全技术 公有云中作为个人身份信息处理者保护个人身份信息的实用规则》)
通俗地讲,ISO/IEC 27018是关于公有云服务个人资料处理者如何保护客户隐私的最佳实践,这些在特定领域应用的标准,架构基本都一致,因为都是基于通用的ISO/IEC 27001和ISO/IEC 27002。
19 ISO/IEC TR 27019 能源公共事业信息安全管理
ISO/IEC TR 27019是关于能源公用事业行业应用ISO/IEC 27002及其相关的ISO/IEC 27000标准族的指南,目前最新的版本为:
ISO/IEC TR 27019:2013 Information technology—Security techniques—Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry(《信息技术 安全技术 基于ISO/IEC 27002用于能源公共事业行业过程控制的信息安全管理指南》)
ISO/IEC TR 27019目前所依据的还是ISO/IEC 27002:2005,ISO最新标识的状态是90.9215)。
关键词: ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
Development of ISO/IEC 27000 Standards (Part A)
Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )
Abstract: We introduce the development of ISO/IEC 27000 standards before ISO/IEC 27030, in which from ISO/IEC 27000 to ISO/IEC 27008 mainly focus on information security management system (ISMS) and after ISO/IEC 27009 mainly focus on a specific application of ISO/IEC 27001.
Key words: ISO/IEC 27000 standards, ISO/IEC 27001, ISO/IEC 27002
1 ISO/IEC 27000 信息安全管理体系概述和词汇
ISO/IEC 27000公布于2009年5月,目前有最新的2016版,已经是第4版了,之前分别为2009版、2012版、2014版以及2016版。
ISO/IEC 27000:2009被等同采用为GB/T 29246 —2012,具体信息为:
GB/T 29246—2012/ISO/IEC 27000:2009《信息技术 安全技术 信息安全管理体系 概述和词汇》
目前最新版本为:
ISO/IEC 27000:2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary
此外,ISO/IEC 27000是为数不多的可以免费下载的3)国际标准。
2 ISO/IEC 27001 信息安全管理体系要求
关于ISO/IEC 27001发展的详细历史,请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》4)。
目前ISO/IEC 27001被等同采用为国家标准:
GB/T 22080—2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》
3 ISO/IEC 27002 信息安全控制实践指南
关于ISO/IEC 27002发展的详细历史,请参考本系列的《ISO/IEC 27001与ISO/IEC 27002标准的演变》 4)。
目前ISO/IEC 27002被等同采用为国家标准:
GB/T 22081—2016/ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实践指南》
4 ISO/IEC 27003 信息安全管理体系实施指南
ISO/IEC 27003主要是描述如何在组织内实施ISO/IEC 27001,随着ISO/IEC 27001的改版,最近应该也会改版,目前状态为FDIS5),大约会在2017年出版。最新版本为:
ISO/IEC 27003:2010 Information technology—Security techniques—Information security management system implementation guidance( 《信息技術 安全技术 信息安全管理体系实施指南》)
5 ISO/IEC 27004 信息安全管理测量
ISO/IEC 27004是提供了信息安全管理测量的方法,当然,主要是针对ISO/IEC 27001,目前正在改版,改版后专门支持ISO/IEC 27001:2013的正文9.16),大约会在2017年出版。
最新版本为:
ISO/IEC 27004:2009 Information technology—Security techniques—Information security management—Measurement(《信息技术 安全技术 信息安全管理 测量》)
ISO/IEC 27004:2009目前尚无国家标准与之 对应。
6 ISO/IEC 27005 信息安全风险管理
ISO/IEC 27005是专门讨论信息安全风险管理的,基本与通用的风险管理标准ISO 31000保持了一致。现在的版本是第2版,发布于2011年,之前版本为2008年版,且被等同采用为GB/T 31722—2015,具体参考信息为:
GB/T 31722—2015/ ISO/IEC 27005:2008《信息技术 安全技术 信息安全风险管理》 最新版本为:
ISO/IEC 27005:2011 Information technology—Security techniques—Information security risk management
ISO/IEC 27005应该来源于1998年版本的ISO/IEC TR 13335-3,但是没有官方文献确认,以我们的阅读来看,就整个框架而言,与ISO/IEC TR 13335-3:1998差别不大。
更多资料,可参考《信息安全风险评估——概念、方法和实践(第2版)》7)的附录中有GB/T 31722—2015/ ISO/IEC 27005:2008全文。
7 ISO/IEC 27006 认证机构要求
ISO/IEC 27006是一个认可标准(accreditation standard)。认证和认可是两码事。认证,指的是第三方组织去审核企业,然后发证。认可,指的是国家主管机构审核第三方组织,以确认他们是否有认证资质。类比一下,认证就是学校给学生发毕业证,认可就是教育部检查学校。显然,这个标准受众,是个小众群体,即第三方认证组织。但是内容基本都是规定性的,改版频繁,目前已经是第3版了,之前为2007版、2011版,现在最新为2015版。
具体信息为:
ISO/IEC 27006:2015 Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems
目前有国家标准:
GB/T 25067—2016/ISO/IEC 27006:2011《信息技术 安全技术 信息安全管理体系审核和认证机构要求》
8 ISO/IEC 27007 通用的审核
ISO/IEC 27007是为第三方认证机构审核企业提供指导的,这个标准的最新版本为2011年版,具体信息为:
ISO/IEC 27007:2011 Information technology—Security techniques—Guidelines for information security management systems auditing
目前被修改采用为:
GB/T 28450—2012《信息安全技术 信息安全管理体系审核指南》
更多资料,可参考《信息安全管体系审核指南》8)。
9 ISO/IEC TR9)27008 控制措施审核
ISO/IEC TR 27008:2011是个技术报告,也是信息安全管理体系的特别之处,主要为ISO/IEC 27001的附录A提供审核指南。
目前最新版本为:
ISO/IEC TR 27008:2011 Information technology—Security techniques—Guidelines for auditors on information security controls(《信息技术 安全技术 信息安全控制审核指南》)
10 ISO/IEC 27009 特定行业应用的要求
ISO/IEC 27009用于组织如何在特定行业应用ISO/IEC 27001,例如,如何提炼或增加相关的要求或控制。
目前最新版本为2016版,具体信息为:
ISO/IEC 27009:2016 Information technology—Security techniques—Sector-specific application of ISO/IEC 27001—Requirements(《信息技术 安全技术 特定行业应用ISO/IEC 27001 要求》)
11 ISO/IEC 27010 跨行业和跨组织的通信
从ISO/IEC 27010开始的编号,讨论行业应用。
ISO/IEC 27010为不同行业以及不同国家间共享风险和事件等信息,提供信息安全管理指导,尤其是这些信息会影响到关键基础设施的时候(critical infrastructure)。
最早发布于2012年,目前已经发布第2版,具体信息為:
ISO/IEC 27010:2015 Information technology—Security techniques—Information security management for inter-sector and inter-organizational communications(《信息技术 安全技术 跨行业与跨组织通信的信息安全管理》)
其中的章节安排,从第5章到第18章,基本与ISO/IEC 27002:2013保持了一致。
12 ISO/IEC 27011 电信行业的应用
ISO/IEC 27011是由ITU与 ISO/IEC JTC1/SC 27联合开发,因此同时也发布为ITU-T X.1051。
这个标准最早发布于2008年,最新版本为2016版,具体信息为:
ISO/IEC 27011:2016 Information technology—Security techniques—Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations(《信息技术 安全技术 基于ISO/IEC 27002的电信组织信息安全控制实用规则》) 特定行业的应用在框架上与ISO/IEC 27002基本都是统一的。
13 ISO/IEC 27013 信息安全管理体系与服务管理整合
在实践领域,ISMS与ITIL10)的整合是很常见的一种形式,由于信息安全多为控制点,IT服务多为流程,而且这两者的从业人员背景也比较相似,整合应用是不可避免的。
ISO/IEC 27013最早发布于2012年,基于ISO/IEC 27001:2005与ISO/IEC 20000-1:2011。随着这2个标准的改版,ISO/IEC 27013也得随着改变,现在最新版本为:
ISO/IEC 27013:2015 Information technology—Security techniques—Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1(《信息技术 安全技术 ISO/IEC 27001与ISO/IEC 20000-1的整合应用指南》)
ISO/IEC 27011:2016由SC 27和SC 7合作开发,附录A中有ISO/IEC 27001和ISO/IEC 20000-1的对照。
14 ISO/IEC 27014 信息安全治理
ISO/IEC 27014是关于信息安全治理的,治理和管理的区别,在公司治理领域分得比较清楚。但是在信息安全领域,这两个词汇界限非常模糊。一般而言,治理是方向性的,关注如何在高层管理中梳理清楚利益关系,管理更多是控制性的,更关注如何实现组织的信息安全目标,更细节一些。
ISO/IEC 27014也是ITU与 ISO/IEC JTC1/SC 27合作开发的,因此同时发布为ITU-T X.1054,目前最新版本为:
ISO/IEC 27014:2013 Information technology—Security techniques—Governance of information security
该标准已经被等同采用为国家标准:
GB/T 32923—2016/ISO/IEC 27014:2013《信息技术 安全技术 信息安全治理》
由于已经有国家标准,不再介绍具体内容。毫无疑问,信息安全治理很重要11),但是一定要从管理中分离开来讨论,又不太容易说清楚。
15 ISO/IEC TR 27015 金融服务信息安全管理
ISO/IEC TR 27015主要指导在金融企业内实施ISO/IEC 27000标准族,目前最新版本为:
ISO/IEC TR 27015:2012 Information technology—Security techniques—Information security management guidelines for financial services(《信息技术 安全技术 金融服务信息安全管理指南》)
从上文中,我们也已经看出,电信和金融对信息安全比较重视,除了这个标准,还有類似于:
ISO/TR 13569:2005 Financial services—Information security guidelines(《金融服务 信息安全指南》)
这个标准不是ISO/IEC JTC1/SC 27开发的,是ISO/TC 68/SC 212)发布的标准。这是真正从业务角度考虑信息安全,所以视角完全不同。ISO/TR 13569已经是第3版了,之前有1997和1998版本。
原则上说,随着ISO/IEC 27001和ISO/IEC 27002的改版,ISO/IEC TR 27015:2012也需要改版了。到现在ISO标识的状态依然是60.6013),没有改版的迹象。据说14)这个标准要被弃用,如果放弃开发也很正常,如果业务领域和信息安全领域的标准有竞争,最后被采用的肯定是业务领域推广的标准。
16 ISO/IEC TR 27016 安全经济学
ISO/IEC TR 27016用于指导企业如何在考虑经济因素条件下对信息安全投资做决策,在实践中这件事很重要。目前,ISO/IEC TR 27016的最新版本为:
ISO/IEC TR 27016:2014 Information technology—Security techniques—Information security management—Organizational economics(《信息技术 安全技术 信息安全管理 组织经济学》)
我们会尽快在《中国质量与标准导报》的“本刊特约”专栏中介绍ISO/IEC TR 27016:2014。
17 ISO/IEC 27017 云服务安全
ISO/IEC 27017是在ISO/IEC 27002及其他相关ISO/IEC 27000标准族的基础上,提供云服务的信息安全控制,这个标准也是与ITU合作,因此同时发布为ITU-T X.1631。
目前最新版本为:
ISO/IEC 27017:2015 Information technology—Security techniques—Code of practice for information security controls based on ISO/IEC 27002 for cloud services(《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实用规则》)
该标准与特定行业的应用架构基本是一致的,都与ISO/IEC 27009保持兼容。
18 ISO/IEC 27018 公有云中的隐私保护
ISO/IEC 27018用来指导公有云的服务提供商,例如,微云、百度云等,如何保护个人隐私,该标准与ISO/IEC 27017联系紧密。
目前,最新版本信息为:
ISO/IEC 27018:2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors(《信息技术 安全技术 公有云中作为个人身份信息处理者保护个人身份信息的实用规则》)
通俗地讲,ISO/IEC 27018是关于公有云服务个人资料处理者如何保护客户隐私的最佳实践,这些在特定领域应用的标准,架构基本都一致,因为都是基于通用的ISO/IEC 27001和ISO/IEC 27002。
19 ISO/IEC TR 27019 能源公共事业信息安全管理
ISO/IEC TR 27019是关于能源公用事业行业应用ISO/IEC 27002及其相关的ISO/IEC 27000标准族的指南,目前最新的版本为:
ISO/IEC TR 27019:2013 Information technology—Security techniques—Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry(《信息技术 安全技术 基于ISO/IEC 27002用于能源公共事业行业过程控制的信息安全管理指南》)
ISO/IEC TR 27019目前所依据的还是ISO/IEC 27002:2005,ISO最新标识的状态是90.9215)。