信息安全管理系列之四十八：2018年ISO/IEC 27000標準族的進展

崔達菲 謝宗曉

摘要：論文介紹了ISO/IEC 27000標準族的最新開發進展，尤其是2018年改版和新增的標準。

關鍵詞：ISO/IEC 27000標準族 ISO/IEC 27001 ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系 概述與詞匯

2018年進行了改版，目前最新版本為第5版。目前在用的國家標準對應版本為2016年的第4版，即GB/T 29246—2017/ISO/IEC 27000：2016。國家標準開發進展請參考文獻[4]。

2 ISO/IEC 27001 信息安全管理體系 要求

3 ISO/IEC 27002 信息安全控制實踐指南2）

ISO/IEC 27001與ISO/IEC 27002目前為2013年發布的第2版，之后發布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015，目前有正在開發中的第3版，最新狀態為ISO/IEC NP 27002。ISO/IEC 27001：2013與ISO/IEC 27002：2013都已經被等同采用為國家標準，分別為GB/T 22080—2016和GB/T 22081—2016。

4 ISO/IEC 27003 信息安全管理體系 指南

目前最新版本依然為2017年3月發布的第2版，在2018年無變化。該標準的在用國家標準版本為：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 監視、測量、分析和評價

目前最新版本為2016年12月發布的第2版，在2018年無變化。該標準的在用國家標準版本為：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全風險管理

該標準在2018年7月發布了第3版，具體的分析請參考文獻[5]。

7 ISO/IEC 27006 信息安全管理體系審核和認證機構要求

最新為2015年版，第3版，在2018年無變化。目前在用的國家標準為GB/T 25067—2016/ISO/IEC 27006：2011。

8 ISO/IEC 27007信息安全管理體系審核指南

該標準在2017年10月發布第2版，代替之前的2011版本。國家標準為GB/T 28450—2012。

9 ISO/IEC TR 27008 信息安全控制審核指南

這個標準的最新版本為2011年版，2018年最新狀態更新為ISO/IEC PRF TS 27008。

10 ISO/IEC 27009 特定行業應用ISO/IEC 27001 要求

最新版本為2016年版，目前最新狀態為ISO/IEC CD 27009。

11 ISO/IEC 27010 信息安全管理跨行業和跨組織的通信

目前最新版本為2015年發布的第2版，在2018年無變化。該標準對應的國家標準為GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的電信組織信息安全控制實用規則

目前最新版本為2016年版，2018年發布了ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理體系與服務管理整合

目前最新版本為2016年發布的第2版，在2018年無變化。

14 ISO/IEC 27014 信息安全治理

目前最新版本為2013年發布的第1版，2018年最新狀態為ISO/IEC NP 27014。該標準對應的國家標準為GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27015 金融服務信息安全管理指南

ISO/IEC TR 27015在2017年被廢止，并取消了改版計劃。

16 ISO/IEC TR 27016 信息安全管理 組織經濟學

目前最新版本為2014年發布的第1版，在2018年無變化。

17 ISO/IEC 27017 基于ISO/IEC 27002的云服務信息安全控制實用規則

目前最新版本為2015年發布的第1版，在2018年無變化。

18 ISO/IEC 27018 公有云中作為個人身份信息處理者保護個人身份信息的實用規則

目前最新版本為2014年發布的第1版，在2018年最新狀態為ISO/IEC FDIS 27018。

19 ISO/IEC 27019 能源公共事業行業的信息安全控制

該標準在2017年10月發布為ISO/IEC 27019：2017，之前的版本為ISO/IEC TR 27019：2013。

20 ISO/IEC 27021 信息安全管理體系專業人員能力要求

該標準最新版本為2017年10月發布的第1版。

21 ISO/IEC TR 27023 ISO/IEC 27001與ISO/IEC 27002版本映射

該標準的最新版本是發布于2015年7月的第1版。

22 ISO/IEC AWI 27030 物聯網安全與隱私指南

該標準為新增標準，標題為Guidelines for security and privacy in Internet of Things （IoT）（物聯網安全與隱私指南）。

23 ISO/IEC 27031 ICT業務連續性指南

ISO/IEC 27031最新版為本發布于2011年的第1版，在2018年無變化。

24 ISO/IEC 27032 網絡空間安全

ISO/IEC 27032最新版本為發布于2012年的第1版，在2018年經過評審后，版本依然有效。

25 ISO/IEC 27033 網絡安全

由于ISO/IEC 27033之前為較為成熟的ISO/IEC 18028，在2018年，其中的6個部分，均沒有大的變化。

26 ISO/IEC 27034 應用安全

ISO/IEC 27034有7部分，其中：

·ISO/IEC 27034-1和ISO/IEC 27034-2無變化;

·新發布ISO/IEC 27034-3：2018 應用安全管理過程;

·即將發布ISO/IEC CD 27034-4;

·ISO/IEC 27034-5：2017 在2018年沒有變化;

·? ISO/IEC 27034-6最新版本為2016年的第1版，目前無變化;

·新發布ISO/IEC 27034-7：2018 保證預測框架。

27 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，最新版本都為2016年版本，在2017年增加了ISO/IEC 27035-3，目前最新狀態為ISO/IEC NP 27035-3。

28 ISO/IEC 27036 供應商關系中的信息安全

ISO/IEC 27036一共有4部分，在2018年均無變化。

29 ISO/IEC 27037 數字證據識別、收集、獲取與保護指南

ISO/IEC 27037版本為2012年版，在2018年版本經過評審后依然有效。

30 ISO/IEC 27038 數字編校指南

ISO/IEC 27038最新版本為2014年版，在2018年無變化。

31 ISO/IEC 27039 入侵檢測系統的選擇、部署和操作

ISO/IEC 27039最新版本為2015年版，在2018年無變化。

32 ISO/IEC 27040 存儲安全

ISO/IEC 27040最新版本為2015年版，在2018年無變化。

33 ISO/IEC 27041 事件調查方法的適宜性與充分性保證指南

ISO/IEC 27041最新版本為2015年版，在2018年無變化。

34 ISO/IEC 27042 數字證據分析與解釋指南

ISO/IEC 27042最新版本為2015年版，在2018年無變化。

35 ISO/IEC 27043 事件調查原則與過程

ISO/IEC 27043最新版本為2015年版，在2018年無變化。

36 ISO/IEC 27050 電子舉證

ISO/IEC 27050分為4部分，其中：

·ISO/IEC 27050-1最新版本為2016年版;

· 新發布了ISO/IEC 27050-2：2018 電子舉證治理與管理指南;

· ISO/IEC 27050-3：2017為最新版本;

· ISO/IEC 27050-4依然在開發中，最新狀態為ISO/IEC NP 27050-4。

37 ISO/IEC 27070 建立虛擬信任根的安全要求

該標準在開發中，最新狀態為ISO/IEC NP 27070。

38 ISO/IEC 27101 框架開發指南

該標準尚在開發中，最新狀態為ISO/IEC AWI TS 27101。

39 ISO/IEC 27102 網絡保險信息安全管理指南

該標準的最新狀態為ISO/IEC DIS 27102。

40 ISO/IEC TR 27103 網絡安全與ISO及IEC標準

該標準在2018年2月發布第1版。

41 ISO/IEC 27550 隱私工程

該標準尚在開發中，最新狀態為ISO/IEC PDTR 27550 Privacy engineering（隱私工程）。

42 ISO/IEC 27551 基于屬性的非連接實體授權要求

該標準尚在開發中，最新狀態為ISO/IEC AWI 27551 Requirements for attribute-based unlinkable entity authentication（基于屬性的非連接實體授權要求）。

43 ISO/IEC 27552 隱私信息管理的擴展要求與指南

該標準尚在開發中，最新狀態為ISO/IEC DIS 27552 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines（基于ISO/IEC 27001和ISO/IEC 27002擴展的隱私信息管理 要求與指南）。

44 ISO/IEC 27570 智慧城市隱私指南

該標準尚在開發中，最新狀態為ISO/IEC WD TS 27570 Information Technology — Security Techniques —Privacy guidelines for Smart Cities（智慧城市隱私指南）。

45 ISO 27799 應用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版為2016年發布的第2版，在2018年無變化。

46 ISO/TR 13569 金融服務信息安全指南

ISO/TR 13569最新版本為2005年發布的第3版，在2013年經過評審后依然有效。該標準和ISO 27799類似，也沿用了ISO/IEC 27002的大致框架。

綜上所述，2018年ISO/IEC 27000標準族中，在用標準及其版本3）如下表所示。

參考文獻

[1]? 謝宗曉， 甄杰. 截至2016年底ISO/IEC 27000標準族的進展（下）[J]. 中國質量與標準導報，2017（2）： 34-38，41.

[2]? 謝宗曉， 董坤祥. 截至2016年底ISO/IEC 27000標準族的進展（上）[J].中國質量與標準導報，2017（1）： 36-40.

[3]? 謝宗曉.2017年ISO/IEC 27000標準族的進展[J]. 中國質量與標準導報，2018（1）：42-46.

[4]? 陳磊，謝宗曉.信息安全管理體系（ISMS）相關標準介紹[J]. 中國質量與標準導報，2018（10）：16-18

[5]? 謝宗曉，許定航. ISO/IEC 27005：2018解讀及其三次版本演化[J]. 中國質量與標準導報， 2018（9）：16-18.