ISOIEC27000标準族的介紹與進展

0x01  資訊安全體系

1 ISO/IEC27000資訊安全管理體系概述和詞彙 2016 

ISO/IEC27000：2009被等同采用為GB/T29246—2012，具體資訊為：GB/T29246—2012/ISO/IEC27000：2009《資訊技術安全技術資訊安全管理體系概述和詞彙》

2 ISO/IEC27001資訊安全管理體系要求 2013 

ISO/IEC27001被等同采用為國家标準：GB/T22080—2016/ISO/IEC27001：2013《資訊技術安全技術資訊安全管理體系要求》

3 ISO/IEC27002資訊安全控制實踐指南 2013

ISO/IEC27002被等同采用為國家标準：GB/T22081—2016/ISO/IEC27002：2013《資訊技術安全技術資訊安全控制實踐指南》

4 ISO/IEC27003資訊安全管理體系實施指南 2017

ISO/IEC27003主要是描述如何在組織内實施ISO/IEC27001，于2017年3月1日釋出第二版的ISO/IEC 27003取消并取代第二版（ISO/IEC27003：2010），這是一個較小的修訂。

5 ISO/IEC27004資訊安全管理測量 

ISO/IEC27004是提供了資訊安全管理測量的方法，當然，主要是針對ISO/IEC27001，最新版本為：ISO/IEC27004：2009Informationtechnology—Securitytechniques—Informationsecuritymanagement—Measurement（《資訊技術安全技術資訊安全管理測量》）尚無國家标準與之對應。

6 ISO/IEC27005資訊安全風險管理

ISO/IEC27005是專門讨論資訊安全風險管理的，基本與通用的風險管理标準ISO31000保持了一緻。現在的版本是第2版，釋出于2011年，之前版本為2008年版，且被等同采用為GB/T31722—2015，具體參考資訊為：最新版本為：ISO/IEC27005：2011Informationtechnology—Securitytechniques—Informationsecurityriskmanagement  ISO/IEC27005應該來源于1998年版本的ISO/IECTR13335-3，但是沒有官方文獻确認，以我們的閱讀來看，就整個架構而言，與ISO/IECTR13335-3：1998差别不大。

更多資料，可參考《資訊安全風險評估——概念、方法和實踐（第2版）》的附錄中有GB/T31722—2015/ISO/IEC27005：2008全文。

7ISO/IEC27006認證機構要求

ISO/IEC27006是一個認可标準（accreditationstandard）。認證和認可是兩碼事。認證，指的是第三方組織去稽核企業，然後發證。認可，指的是國家主管機構稽核第三方組織，以确認他們是否有認證資質。類比一下，認證就是學校給學生發畢業證，認可就是教育部檢查學校。顯然，這個标準閱聽人，是個小衆群體，即第三方認證組織。但是内容基本都是規定性的，改版頻繁，目前已經是第3版了，之前為2007版、2011版，現在最新為2015版。

具體資訊為：ISO/IEC27006：2015Informationtechnology—Securitytechniques—Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems

目前有國家标準：GB/T25067—2016/ISO/IEC27006：2011《資訊技術安全技術資訊安全管理體系稽核和認證機構要求》

8 ISO/IEC27007通用的稽核

ISO/IEC27007是為第三方認證機構稽核企業提供指導的，ISO/IEC27007：2011Informationtechnology—Securitytechniques—Guidelinesforinformationsecuritymanagementsystemsauditing

目前被修改采用為：GB/T28450—2012《資訊安全技術資訊安全管理體系稽核指南》

9ISO/IECTR27008控制措施稽核

ISO/IECTR27008：2011是個技術報告，也是資訊安全管理體系的特别之處，主要為ISO/IEC27001的附錄Ａ提供稽核指南。

目前最新版本為：ISO/IECTR27008：2011Informationtechnology—Securitytechniques—Guidelinesforauditorsoninformationsecuritycontrols（《資訊技術安全技術資訊安全控制稽核指南》）

0x02 跨行業的資訊安全體系

10ISO/IEC27009特定行業應用的要求

ISO/IEC27009用于組織如何在特定行業應用ISO/IEC27001，例如，如何提煉或增加相關的要求或控制。

目前最新版本為2016版，具體資訊為：ISO/IEC27009：2016Informationtechnology—Securitytechniques—Sector-specificapplicationofISO/IEC27001—Requirements（《資訊技術安全技術特定行業應用ISO/IEC27001要求》）

11SO/IEC27010跨行業和跨組織的通信

從ISO/IEC27010開始的編号，讨論行業應用。

ISO/IEC27010為不同行業以及不同國家間共享風險和事件等資訊，提供資訊安全管理指導，尤其是這些資訊會影響到關鍵基礎設施的時候（criticalinfrastructure）。

最早釋出于2012年，目前已經釋出第2版，具體資訊為：ISO/IEC27010：2015Informationtechnology—Securitytechniques—Informationsecuritymanagementforinter-sectorandinter-organizationacommunications（《資訊技術安全技術跨行業與跨組織通信的資訊安全管理》）

其中的章節安排，從第5章到第18章，基本與ISO/IEC27002：2013保持了一緻。

12ISO/IEC27011電信行業的應用

ISO/IEC27011是由ITU與ISO/IECJTC1/SC27聯合開發，是以同時也釋出為ITU-TX.1051。

這個标準最早釋出于2008年，最新版本為2016版，具體資訊為：

ISO/IEC27011：2016Informationtechnology—Securitytechniques—CodeofpracticeforInformationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations（《資訊技術安全技術基于ISO/IEC27002的電信組織資訊安全控制實用規則》）

特定行業的應用在架構上與ISO/IEC27002基本都是統一的。

0x03 資訊安全與服務管理

13ISO/IEC27013資訊安全管理體系與服務管理整合

在實踐領域，ISMS與ITIL10）的整合是很常見的一種形式，由于資訊安全多為控制點，IT服務多為流程，而且這兩者的從業人員背景也比較相似，整合應用是不可避免的。ISO/IEC27013最早釋出于2012年，現在最新版本為：

ISO/IEC27013：2015Informationtechnology—Securitytechniques—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1（《資訊技術安全技術ISO/IEC27001與ISO/IEC20000-1的整合應用指南》）

ISO/IEC27011：2016由SC27和SC7合作開發，附錄A中有ISO/IEC27001和ISO/IEC20000-1的對照。

14ISO/IEC27014資訊安全治理

ISO/IEC27014是關于資訊安全治理的，治理和管理的差別，在公司治理領域分得比較清楚。但是在資訊安全領域，這兩個詞彙界限非常模糊。一般而言，治理是方向性的，關注如何在高層管理中梳理清楚利益關系，管理更多是控制性的，更關注如何實作組織的資訊安全目标，更細節一些。

ISO/IEC27014也是ITU與ISO/IECJTC1/SC27合作開發的，是以同時釋出為ITU-TX.1054，目前最新版本為：

ISO/IEC27014：2013Informationtechnology—Securitytechniques—Governanceofinformationsecurity

該标準已經被等同采用為國家标準：GB/T32923—2016/ISO/IEC27014：2013《資訊技術安全技術資訊安全治理》

0x04 金融行業的 資訊安全

15ISO/IECTR27015金融服務資訊安全管理

ISO/IECTR27015主要指導在金融企業内實施ISO/IEC27000标準族，目前最新版本為：

ISO/IECTR27015：2012Informationtechnology—Securitytechniques—Informationsecuritymanagementguidelinesforfinancialservices（《資訊技術安全技術金融服務資訊安全管理指南》）

從上文中，我們也已經看出，電信和金融對資訊安全比較重視，除了這個标準，還有類似于：

ISO/TR13569：2005Financialservices—Informationsecurityguidelines（《金融服務資訊安全指南》）

這個标準不是ISO/IECJTC1/SC27開發的，是ISO/TC68/SC212）釋出的标準。這是真正從業務角度考慮資訊安全，是以視角完全不同。ISO/TR13569已經是第3版了，之前有1997和1998版本。

原則上說，随着ISO/IEC27001和ISO/IEC27002的改版，ISO/IECTR27015：2012也需要改版了。到現在ISO辨別的狀态依然是60.60，沒有改版的迹象。據說這個标準要被棄用，如果放棄開發也很正常，如果業務領域和資訊安全領域的标準有競争，最後被采用的肯定是業務領域推廣的标準。

16ISO/IECTR27016安全經濟學

ISO/IECTR27016用于指導企業如何在考慮經濟因素條件下對資訊安全投資做決策，在實踐中這件事很重要。目前，ISO/IECTR27016的最新版本為：ISO/IECTR27016：2014Informationtechnology—Securitytechniques—Informationsecuritymanagement—Organizationaleconomics（《資訊技術安全技術資訊安全管理組織經濟學》）

0x05 雲服務與資訊安全

17ISO/IEC27017雲服務安全

ISO/IEC27017是在ISO/IEC27002及其他相關ISO/IEC27000标準族的基礎上，提供雲服務的資訊安全控制，這個标準也是與ITU合作，是以同時釋出為ITU-TX.1631。

目前最新版本為：

ISO/IEC27017：2015Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservices（《資訊技術安全技術基于ISO/IEC27002的雲服務資訊安全控制實用規則》）

該标準與特定行業的應用架構基本是一緻的，都與ISO/IEC27009保持相容。

18ISO/IEC27018公有雲中的隐私保護

ISO/IEC27018用來指導公有雲的服務提供商，例如，微雲、百度雲等，如何保護個人隐私，該标準與ISO/IEC27017聯系緊密。

目前，最新版本資訊為：

ISO/IEC27018：2014Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation（PII）inpubliccloudsactingasPIIprocessors（《資訊技術安全技術公有雲中作為個人身份資訊處理者保護個人身份資訊的實用規則》）

通俗地講，ISO/IEC27018是關于公有雲服務個人資料處理者如何保護客戶隐私的最佳實踐，這些在特定領域應用的标準，架構基本都一緻，因為都是基于通用的ISO/IEC27001和ISO/IEC27002。

0x06 能源行業與資訊安全

19ISO/IECTR27019能源公共事業資訊安全管理

ISO/IECTR27019是關于能源公用事業行業應用ISO/IEC27002及其相關的ISO/IEC27000标準族的指南，目前最新的版本為：

ISO/IECTR27019：2013Informationtechnology—Securitytechniques—InformationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsystemsspecifictotheenergyutilityindustry（《資訊技術安全技術基于ISO/IEC27002用于能源公共事業行業過程控制的資訊安全管理指南》）

ISO/IECTR27019目前所依據的還是ISO/IEC27002：2005，ISO最新辨別的狀态是90.9215）。

20  ISO 27799 健康領域應用

ISO 27799 目前是第 2 版，最初釋出于 2008 年，具體資訊為 ：ISO 27799 ：2016 Health informatics—Informationsecurity management in health using ISO/IEC 27002（《健康資訊學 應用 ISO/IEC 27002 的健康資訊安全管理》）

值得指出的是，ISO 27799 在引言中專門讨論了該标準與資訊治理、公司治理以及臨床治理之間的關系。其中認為，越來越多的醫療機構依賴于資訊系統的支援，例如，利用決策支援系統使得診斷從“基于經驗”轉至“基于證據”，資訊完整性、可用性和保密性的損失對診療産生顯著的影響。是以，臨床治理架構需要将有效的資訊安全風險管理和護理治療計劃、傳染病管理戰略和其他“核心”臨床管理事務同等重視。

這個标準實際與ISO/IEC 27010 等特定領域的應用都是差不多的，但是 ISO 27799 在國内推廣得很一般。ISO 27799 沒有按照順序編号，可能是因為這個标準的開發組織并不是 ISO/IEC JTC1/SC 27，而是ISO/TC 215。

https://github.com/ym2011/SecurityManagement/tree/master/ISO27001

歡迎大家分享更好的思路，熱切期待^^_^^ !