1.2　ISO/IEC 27000標(biāo)準(zhǔn)族

與信息安全管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)類似，ISO/IEC 27000是ISO衍生的一個(gè)信息安全管理標(biāo)準(zhǔn)族。ISO/IEC 27000標(biāo)準(zhǔn)系列包含十幾個(gè)“成員”，截至2018年12月，ISO/IEC 27000標(biāo)準(zhǔn)族中在用標(biāo)準(zhǔn)及其版本如表1.1所示。

ISO/IEC 27000標(biāo)準(zhǔn)族大致可以分為3類：第一類是ISO/IEC 27000至ISO/IEC 27008，這些標(biāo)準(zhǔn)是純粹關(guān)于ISMS的，從不同的方面定義了ISMS；第二類是ISO/IEC 27009至ISO/IEC 27030，包括了分行業(yè)應(yīng)用，以及更外圍的方面，或者與其他體系的整合問題；第三類是ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如包括了信息安全事件管理和業(yè)務(wù)連續(xù)性管理等各個(gè)方面。圖1.3至圖1.5分別是這3類標(biāo)準(zhǔn)的大體架構(gòu)。

ISO/IEC 27000標(biāo)準(zhǔn)族從行業(yè)、技術(shù)、應(yīng)用等角度涵蓋了信息安全的方方面面，其中，ISO/IEC 27001具有核心作用，ISO/IEC 27000標(biāo)準(zhǔn)族中最主要的幾個(gè)標(biāo)準(zhǔn)如圖1.6所示。

下面針對(duì)這幾個(gè)核心標(biāo)準(zhǔn)做進(jìn)一步介紹：

1．《信息技術(shù)　安全技術(shù)　信息安全管理體系　概述與詞匯》（ISO/IEC 27000）

ISO/IEC 27000主要介紹各種標(biāo)準(zhǔn)如何組合在一起，即各個(gè)標(biāo)準(zhǔn)的適用范圍、角色、功能和相互之間的關(guān)系，最新版本是2018年發(fā)布的第五版。ISO/IEC 27000：2018概述了信息安全管理系統(tǒng)（ISMS）和ISMS ISO/IEC 27001系列標(biāo)準(zhǔn)中常用的術(shù)語及定義，旨在適用于從跨國企業(yè)到中小企業(yè)等各種類型、各種規(guī)模的組織。

2．《信息技術(shù)　安全技術(shù)　信息安全管理體系　要求》（ISO/IEC 27001）

2005年10月，ISO/IEC 27001標(biāo)準(zhǔn)了發(fā)布第一版，主要提出了ISMS的基本要求，用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供模型。最新版本為2013年10月19日發(fā)布的ISO/IEC 27001：2013。2013版本使各個(gè)規(guī)模的企業(yè)、各個(gè)行業(yè)能夠順應(yīng)信息管理領(lǐng)域的飛速變化與日益增加的復(fù)雜性，并從容應(yīng)對(duì)網(wǎng)絡(luò)安全所面臨的新挑戰(zhàn)。2013版本充分考慮了與其他管理體系標(biāo)準(zhǔn)之間的融合問題，對(duì)風(fēng)險(xiǎn)管理與業(yè)務(wù)連續(xù)性管理等方面的問題也做了進(jìn)一步考量。

是否建立信息安全管理體系是一個(gè)組織的戰(zhàn)略性決策，應(yīng)當(dāng)依據(jù)組織的業(yè)務(wù)需求和安全需求進(jìn)行信息安全管理體系的設(shè)計(jì)和實(shí)施，但也會(huì)受到組織規(guī)模和結(jié)構(gòu)的影響。ISO/IEC 27001標(biāo)準(zhǔn)可以用于評(píng)估組織是否滿足組織本身、顧客及法律法規(guī)的信息安全要求，也可以作為獨(dú)立第三方認(rèn)證的依據(jù)。

3．《信息技術(shù)　安全技術(shù)　信息安全控制實(shí)踐指南》（ISO/IEC 27002）

ISO/IEC 27002標(biāo)準(zhǔn)源于ISO/IEC 17799：2005，于2007年4月實(shí)施。目前應(yīng)用的版本是ISO/IEC 27002：2013版。

ISO/IEC 27002標(biāo)準(zhǔn)為在組織內(nèi)啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理提供指南和通用的原則。本標(biāo)準(zhǔn)為組織提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南，即通過對(duì)ISO/IEC 27000標(biāo)準(zhǔn)控制目標(biāo)和控制措施的實(shí)施，以滿足組織對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估和識(shí)別的要求。

ISO/IEC 27000標(biāo)準(zhǔn)可以作為組織建設(shè)信息安全管理體系的實(shí)踐指南，標(biāo)準(zhǔn)包含的實(shí)施規(guī)則可視為組織具體指南的起點(diǎn)。需要注意的是，標(biāo)準(zhǔn)中的實(shí)施規(guī)則對(duì)于某一具體組織來說并非全部適用，而組織也可能會(huì)需要該標(biāo)準(zhǔn)中未包含的附加控制措施。如果建立了包括附加控制和指南的文件時(shí)，可對(duì)本標(biāo)準(zhǔn)適用的相關(guān)條款進(jìn)行交叉引用，以方便核查符合性。

4．《信息技術(shù)　安全技術(shù)　信息安全管理體系實(shí)施指南》（ISO/IEC 27003）

ISO/IEC 27003標(biāo)準(zhǔn)第一版發(fā)布于2010年2月。ISO/IEC 27003標(biāo)準(zhǔn)為按照ISO/IEC 27001建立信息安全管理體系提供應(yīng)用指南。ISO/IEC 27003標(biāo)準(zhǔn)最新版本是2017年3月發(fā)布的第二版。

5．《信息技術(shù)　安全技術(shù)　信息安全管理　測(cè)量》（ISO/IEC 27004）

ISO/IEC 27004標(biāo)準(zhǔn)第一版發(fā)布于2009年12月。ISO/IEC 27004標(biāo)準(zhǔn)旨在幫助組織測(cè)量、報(bào)告及系統(tǒng)性地改進(jìn)其信息安全管理體系的有效性。ISO/IEC 27004標(biāo)準(zhǔn)為制定測(cè)量項(xiàng)、實(shí)施測(cè)量提供指南，用于評(píng)估信息安全管理體系及ISO/IEC 27001標(biāo)準(zhǔn)規(guī)定控制措施的實(shí)施效果。ISO/IEC 27004標(biāo)準(zhǔn)最新版本為2016年12月發(fā)布的第二版。

6．《信息技術(shù)　安全技術(shù)　信息安全風(fēng)險(xiǎn)管理》（ISO/IEC 27005）

ISO/IEC 27005標(biāo)準(zhǔn)第一版于2008年6月正式發(fā)布，該標(biāo)準(zhǔn)以BS 7799-3和ISO 13335為基礎(chǔ)，描述了信息安全風(fēng)險(xiǎn)管理的要求。ISO/IEC 27005標(biāo)準(zhǔn)可以用于風(fēng)險(xiǎn)評(píng)估、識(shí)別安全要求、支撐信息安全管理體系的建立和運(yùn)行。ISO/IEC 27005標(biāo)準(zhǔn)于2018年7月發(fā)布了第三版。

7．《信息技術(shù)　安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》（ISO/IEC 27006）

ISO/IEC 27006標(biāo)準(zhǔn)第一版于2007年2月發(fā)布。ISO/IEC 27006標(biāo)準(zhǔn)針對(duì)信息安全管理體系的認(rèn)證機(jī)構(gòu)提出要求——所有提供ISMS認(rèn)證服務(wù)的機(jī)構(gòu)，需要按照ISO/IEC 27006標(biāo)準(zhǔn)的要求證明其認(rèn)證的能力及可靠性。ISO/IEC 27006標(biāo)準(zhǔn)最新版本為2015年發(fā)布的第三版。

8．《信息技術(shù)　安全技術(shù)　信息安全管理體系審核指南》（ISO/IEC 27007）

ISO/IEC 27007標(biāo)準(zhǔn)為審核指南，即為按照ISO/IEC 27001標(biāo)準(zhǔn)要求對(duì)信息安全管理體系進(jìn)行內(nèi)部審核、外部審核（相關(guān)方或第三方）和認(rèn)證機(jī)構(gòu)開展的認(rèn)證審核活動(dòng)提供指南。ISO/IEC 27007標(biāo)準(zhǔn)最新版本為2017年10月發(fā)布的第二版。

9．《信息技術(shù)　安全技術(shù)　基于ISO/IEC 27002的電信組織信息安全控制實(shí)用規(guī)則》（ISO/IEC 27011）

ISO/IEC 27011標(biāo)準(zhǔn)于2008年12月正式發(fā)布。ISO/IEC 27011標(biāo)準(zhǔn)專門針對(duì)電信組織，是由國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門（ITU Telecommunication Standardization Sector，ITU-T）和ISO/IEC聯(lián)合技術(shù)委員會(huì)信息安全分技術(shù)委員會(huì)（ISO/IEC JTC1/SC27）共同制定并聯(lián)合發(fā)布。

通信設(shè)施、網(wǎng)絡(luò)和線路是電信機(jī)構(gòu)的重要信息資產(chǎn)，信息安全對(duì)于電信機(jī)構(gòu)管理其信息資產(chǎn)、保持業(yè)務(wù)連續(xù)性至關(guān)重要。ISO/IEC 27011標(biāo)準(zhǔn)規(guī)定了電信企業(yè)在建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、維持和改進(jìn)其文件化信息安全管理體系方面的具體要求。

10．《信息技術(shù)　安全技術(shù)　金融服務(wù)用信息安全管理導(dǎo)則》（ISO/IEC 27015）

ISO/IEC 27015標(biāo)準(zhǔn)旨在幫助金融服務(wù)行業(yè)的組織（如銀行、保險(xiǎn)公司、證券公司等）使用ISO/IEC 27000系列標(biāo)準(zhǔn)實(shí)施信息安全管理體系。ISO/IEC 27015同樣由ISO/IEC JTC1/SC27于2012年12月正式發(fā)布。相比金融業(yè)其他已出臺(tái)的標(biāo)準(zhǔn)而言，ISO/IEC 27015更能直接地體現(xiàn)ISO/IEC 27001和ISO/IEC 27002的要求。

11．《信息技術(shù)　安全技術(shù)　基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)用規(guī)則》（ISO/IEC 27017）

ISO/IEC 27017標(biāo)準(zhǔn)需要與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶加強(qiáng)控制提供條件。與許多其他技術(shù)相關(guān)標(biāo)準(zhǔn)不同的是，ISO/IEC 27017標(biāo)準(zhǔn)闡明了雙方在幫助確保云服務(wù)與認(rèn)證信息管理系統(tǒng)中所包含的其他數(shù)據(jù)同樣安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針，還介紹了7個(gè)全新云控制以解決以下問題：

1）負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰。

2）當(dāng)合同終止時(shí)，資產(chǎn)的移除／歸還。

3）客戶虛擬環(huán)境的保護(hù)和分離。

4）虛擬機(jī)配置。

5）與云環(huán)境相關(guān)的管理操作和程序。

6）云客戶監(jiān)控云中活動(dòng)。

7）虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接。

12．《健康信息學(xué)應(yīng)用ISO/IEC 27002的健康信息安全管理》（ISO 27799）

ISO 27799標(biāo)準(zhǔn)是由ISO負(fù)責(zé)健康信息學(xué)的技術(shù)委員會(huì)TC215發(fā)布的，TC215的職能范圍是健康信息領(lǐng)域的標(biāo)準(zhǔn)化、健康信息和通信技術(shù)（ICT）。ISO 27799標(biāo)準(zhǔn)為在健康信息領(lǐng)域理解和實(shí)施ISO/IEC 27002提供支持。

除上述標(biāo)準(zhǔn)外，ISO/IEC 27000族中的其他標(biāo)準(zhǔn)針對(duì)在信息安全管理問題中面臨的不同情形，分別規(guī)定了相關(guān)實(shí)施細(xì)則或?qū)嵤┲改稀＠纾槍?duì)網(wǎng)絡(luò)空間安全，ISO/IEC 27000標(biāo)準(zhǔn)族中的《信息技術(shù)　安全技術(shù)　網(wǎng)絡(luò)空間安全指南》（ISO/IEC 27032），闡述了“網(wǎng)絡(luò)空間”所面臨的獨(dú)特的安全問題。“網(wǎng)絡(luò)空間”在標(biāo)準(zhǔn)中定義為：不以任何物理方式存在的，通過技術(shù)設(shè)施和網(wǎng)絡(luò)互相連接的因特網(wǎng)中人員、軟件、服務(wù)相互作用所導(dǎo)致的復(fù)雜環(huán)境。網(wǎng)絡(luò)空間存在信息安全、互聯(lián)網(wǎng)安全、網(wǎng)絡(luò)安全和ICT安全所不能涵蓋的安全問題，原因是這些安全領(lǐng)域之間存在差距。網(wǎng)絡(luò)空間安全可解決在網(wǎng)絡(luò)空間中由于不同的安全領(lǐng)域差距導(dǎo)致的安全問題，而ISO/IEC 27033為實(shí)施ISO/IEC 27002所介紹的網(wǎng)絡(luò)安全控制提供詳細(xì)指南。