论文部分内容阅读
摘要:本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27031之后的标准开发进展情况,这些标准主要关注ISO/IEC 27001:2013附录A中不同的控制域。
关键词: ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
1 ISO/IEC 27031 ICT的业务连续性
ISO/IEC 27031提供了ICT业务连续性概念及基本原则,对应到ISO/IEC 27001:2013的A.17 业务连续性管理的信息安全方面。
ISO/IEC 27031发布于2011年,与ISO 22301:2012联系紧密。目前版本信息为:
ISO/IEC 27031:2011 Information technology —Security techniques—Guidelines for information and communication technology readiness for business continuity(《信息技术 安全技术 ICT业务连续性指南》)
之前发布过ISO/IEC 24762:2008,关于灾难恢复的,已经被撤销。
如果不加限定词,业务连续性包括了很大的范畴,更广义的业务连续性的国际标准,如上文中的ISO 22301。
ISO 22301:2012 Societal security—Business continuity management systems—Requirements(《社会安全 业务连续性管理体系 要求》)
ISO 22301:2012是值得一读的标准,这个标准有一个“0.2 The Plan-Do-Check-Act (PDCA) model”非常精彩。ISO 22301:2012与ISO/IEC Directives, Part 13)保持了一致,当时,ISO/IEC 27001还是2005版,采用的PDCA模型。ISO 22301:2012用了一节与ISO/IEC 27001:2005的PDCA框架进行了对应,为的是与管理体系标准族加强兼容。ISO 22301:2012与ISO/IEC 27001:2013正文都是根据ISO/IEC Directives, Part 1,且要比ISO/IEC 27001:2013出版得早。
2 ISO/IEC 27032 网络空间安全
ISO/IEC 27032 对网络安全/网络空间安全4)提供了指导,目前最新版本为:
ISO/IEC 27032:2012 Information technology— Security techniques —Guidelines for cybersecurity(《信息技术 安全技术 网络安全指南》)
更多资料,可参考《网络空间安全管理》5),其中有对ISO/IEC 27032:2012的详细介绍。
3 ISO/IEC 27033 网络安全
ISO/IEC 27033为网络安全,在ISO/IEC 27001:2013中对应到A.13.1网络安全管理,但在其中描述得非常简单。
该标准之前发布为ISO/IEC 18028,原来有5部分,现在成了6部分,分别为:
ISO/IEC 27033-1:2015 Information technology —Security techniques—Network security—Part 1:Overview and concepts(《信息技术 安全技术 网络安全 第1部分:综述和概念》)
ISO/IEC 27033-2:2012 Information technology —Security techniques—Network security—Part 2: Guidelines for the design and implementation of network security(《信息技术 安全技术 网络安全 第2部分:网络安全的设计与实现指南 》)
ISO/IEC 27033-3:2010 Information technology —Security techniques—Network security—Part 3: Reference networking scenarios—Threats, design techniques and control issues(《信息技术 安全技术 网络安全 第3部分:参考网络方案 威胁、设计技术和控制问题》)
ISO/IEC 27033-4:2014 Information technology —Security techniques—Network security—Part 4:Securing communications between networks using security gateways(《信息技术 安全技术 网络安全 第4部分:使用安全网关保护网络之间的通信》)
ISO/IEC 27033-5:2013 Information technology —Security techniques—Network security—Part 5:Securing communications across networks using Virtual Private Networks (VPNs)(《信息技術 安全技术 网络安全 第5部分:使用虚拟专用网的跨网通信安全保护》)
ISO/IEC 27033-6:2016 Information technology —Security techniques—Network security—Part 6:Securing wireless IP network access(《信息技术 安全技术 网络安全 第6部分:无线IP网络访问保护》) 4 ISO/IEC 27034 应用安全
ISO/IEC 27034为应用安全,在ISO/IEC 27001:2013中对应到A.14 系统获取、开发和维护。
ISO/IEC 27034一共有7部分,已經公布的有3个,还有4个正在开发中。
公布的部分有:
ISO/IEC 27034-1:2011 Information technology— Security techniques—Application security—Part 1:Overview and concepts(《信息技术 安全技术 应用安全 第1部分:综述与概念》)
ISO/IEC 27034-1发布于2011年,当时的设计只有5部分,在其前言中,ISO/IEC 27034-6和ISO/IEC 27034-7没有列入。
ISO/IEC 27034-2:2015 Information technology —Security techniques—Application security—Part 2: Organization normative framework(《信息技术 安全技术 应用安全 第2部分:组织规范性框架》)
ISO/IEC 27034-6:2016 Information technology— Security techniques—Application security—Part 6:Case studies(《信息技术 安全技术 应用安全 第6部分:案例研究》)
目前正在开发的有:
ISO/IEC 27034-3 Information technology—Security techniques—Application security—Part 3:Application security management process(《信息技术 安全技术 应用安全 第3部分:应用安全管理过程》)
ISO/IEC 27034-4 Information technology— Security techniques—Application security—Part 4:Application security validation(《信息技术 安全技术 应用安全 第4部分:应用安全验证》)
ISO/IEC 27034-5 Information technology—Security techniques—Application security—Part 5:Protocols and application security control data structure(《信息技术 安全技术 应用安全 第5部分:协议与应用安全控制数据结构》)
ISO/IEC 27034-7 Information technology— Security techniques—Application security—Part 7:Application security assurance prediction framework(《信息技术 安全技术 应用安全 第7部分:应用安全保障预测框架》)
ISO/IEC 27034与SDLC6)进行了整合,建立了一个基于过程的方法,为定义、设计/选择实施信息安全控制提供了指导,适用于信息系统的内部开发、外部获取或外包等所有情形。这个标准与软件开发联系紧密。
5 ISO/IEC 27035 信息安全事件管理
ISO/IEC 27035为信息安全事件管理,在ISO/IEC 27001:2013中为A.16 信息安全事件管理。该标准之前为ISO/IEC-TR-18044,发布于2004年,应用广泛。被修改采用为GB/Z 20985—2007《信息技术 安全技术 信息安全事件管理指南》,可以作为参考。
现在ISO/IEC 27035分成了2部分,分别为:
ISO/IEC 27035-1:2016 Information technology —Security techniques—Information security incident management—Part 1:Principles of incident management(《信息技术 安全技术 信息安全事件管理 第1部分:事件管理原则》)
ISO/IEC 27035-2:2016 Information technology —Security techniques—Information security incident management—Part 2:Guidelines to plan and prepare for incident response(《信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划与准备指南》)
6 ISO/IEC 27036 供应商关系中的信息安全
ISO/IEC 27036为供应商关系信息安全,在ISO/IEC 27001:2013中为A.15供应商关系。
该标准一共有4部分,具体为:
ISO/IEC 27036-1:2014 Information technology— Security techniques—Information security for supplier relationships—Part 1:Overview and concepts(《信息技术 安全技术 供应商关系中的信息安全 第1部分:综述和概念》)
ISO/IEC 27036-2:20147) Information technology—Security techniques—Information security for supplier relationships—Part 2:Requirements(《信息技术 安全技术 供应商关系中的信息安全 第2部分:要求》) ISO/IEC 27036-3:2013 Information technology—Security techniques—Information security for supplier relationships—Part 3:Guidelines for information and communication technology supply chain security ICT (《信息技術 安全技术 供应商关系中的信息安全
第3部分:供应链安全指南》)
ISO/IEC 27036-4:2016 Information technology—Security techniques—Information security for supplier relationships—Part 4:Guidelines for security of cloud services(《信息技术 安全技术 供应商关系中的信息安全 第4部分:云服务安全指南》)
ISO/IEC 27036所讨论的供应商关系中的信息安全是一个单独的领域,可以参考《中国标准导报》信息安全管理系列的相关文章8)。
7 ISO/IEC 27037 数字证据识别、收集、获取
与保护
从ISO/IEC 27037开始的后面这些标准,都比较细分领域,不太容易与ISO/IEC 27001:2013的附录A对应,如果一定要对应,可以到A.16.1.7证据的收集9)。
ISO/IEC 27037:2012 Information technology— Security techniques—Guidelines for identification, collection, acquisition and preservation of digital evidence(《信息技术 安全技术 数字证据的识别、收集、获取与保护指南》)
后续如ISO/IEC 27050等还有数个关于数字证据的标准。
8 ISO/IEC 27038 数字编校
许多文档可能需要公开,而这其中又有一些涉密的信息,文件编辑描述的是去除某些部分、句子或段落等。这个过程叫做“redaction”。这个问题有点小众。
目前的最新版本为:
ISO/IEC 27038:2014 Information technology—Security techniques—Specification for digital redaction (《信息技术 安全技术 数字编校规范》)
ISO/IEC 27038:2014的标准架构跟别的不太一样,我们也没有跟踪过这个标准,因此不做进一步介绍,后续会跟进。
9 ISO/IEC 27039 入侵防御
ISO/IEC 27039是一类关于信息安全产品的标准,之后会陆续出现,只是ISO/IEC 27039是比较早以ISO/IEC 27000标准族编号的。
在IDS10) 时代,ISO/IEC 27039发布为:
ISO/IEC 18043:2006 Information technology—Security techniques—Selection, deployment and operations of intrusion detection systems(注意,已弃用)
ISO/IEC 18043:2006被修改采用为:
GB/T 28454—2012《信息技术 安全技术 入侵检测系统的选择、部署和操作》
现在已经是IPS11)时代,因此,最新更新的ISO/IEC 27039版本为:
ISO/IEC 27039:2015 Information technology—Security techniques—Selection, deployment and operations of intrusion detection and prevention systems (IDPS)(《信息技术 安全技术 入侵防御系统选择、部署和操作》)
10 ISO/IEC 27040 存储安全
ISO/IEC 27040提供了定义恰当的风险减缓级别并应用充分证明和一致的方法来规划、设计、记录与实施数据存储安全的详细的技术指导。
目前,最新的版本信息为:
ISO/IEC 27040:2015 Information technology—Security techniques—Storage security《信息技术 安全技术 存储安全》)
11 ISO/IEC 27041 事件调查保障
ISO/IEC 27041也是与事件管理相关的标准,其中:ISO/IEC 27043:2015定义了事件调查的原则与过程,ISO/IEC 27035-2提供了事件响应的准备与规划,ISO/IEC 27037:2012和 ISO/IEC 27042:2015描述了事件调查过程。
ISO/IEC 27041的最新版本为:
ISO/IEC 27041:2015 Information technology—Security techniques—Guidance on assuring suitability and adequacy of incident investigative method(《信息技术 安全技术 保障时间调查方法的适宜性与充分性指南》)
12 ISO/IEC 27042 数字证据分析与解释 ISO/IEC 27042为分析和解释信息系统安全事件处理提供了一个通用的框架,目前版本信息为12):
ISO/IEC 27042:2015 Information technology—Security techniques—Guidelines for the analysis and interpretation of digital evidence(《信息技术 安全技术 数字证据分析与解释指南》)
13 ISO/IEC 27043 事件调查过程
ISO/IEC 27043也是与事件调查相关的,提供了一般的原则与过程。最新的版本信息为:
ISO/IEC 27043:2015 Information technology—Security techniques—Incident investigation principles and processes(《信息技术 安全技术 事件调查原则与过程》)
14 ISO/IEC 27050 电子举证
最后一个跟事件调查相关的标准,ISO/IEC 27050分为4部分,目前正式发布的只有第1部分,具体信息如下:
ISO/IEC 27050-1:2016 Information technology—Security techniques—Electronic discovery—Part 1: Overview and concepts (《信息技术 安全技术 电子举证 第1部分:综述和概念》)
其他3个正在开发的标准为:
ISO/IEC 27050-2 Information technology—Security techniques—Electronic discovery—Part 2:Guidance for governance and management of electronic discovery (《信息技术 安全技术 电子举证 第2部分:电子舉证治理与管理指南》)
ISO/IEC 27050-3 Information technology—Security techniques—Electronic discovery—Part 3:Code of practice for electronic discovery (《信息技术 安全技术 电子举证 第3部分:电子举证实用规则》)
ISO/IEC 27050-4 Information technology—Security techniques—Electronic discovery—Part 4:ICT readiness for electronic discovery (《信息技术 安全技术 电子举证 第4部分:电子举证准备》)
15 ISO 27799 健康领域应用
ISO 27799目前是第2版,最初发布于2008年,具体信息为:
关键词: ISO/IEC 27000标准族 ISO/IEC 27001 ISO/IEC 27002
1 ISO/IEC 27031 ICT的业务连续性
ISO/IEC 27031提供了ICT业务连续性概念及基本原则,对应到ISO/IEC 27001:2013的A.17 业务连续性管理的信息安全方面。
ISO/IEC 27031发布于2011年,与ISO 22301:2012联系紧密。目前版本信息为:
ISO/IEC 27031:2011 Information technology —Security techniques—Guidelines for information and communication technology readiness for business continuity(《信息技术 安全技术 ICT业务连续性指南》)
之前发布过ISO/IEC 24762:2008,关于灾难恢复的,已经被撤销。
如果不加限定词,业务连续性包括了很大的范畴,更广义的业务连续性的国际标准,如上文中的ISO 22301。
ISO 22301:2012 Societal security—Business continuity management systems—Requirements(《社会安全 业务连续性管理体系 要求》)
ISO 22301:2012是值得一读的标准,这个标准有一个“0.2 The Plan-Do-Check-Act (PDCA) model”非常精彩。ISO 22301:2012与ISO/IEC Directives, Part 13)保持了一致,当时,ISO/IEC 27001还是2005版,采用的PDCA模型。ISO 22301:2012用了一节与ISO/IEC 27001:2005的PDCA框架进行了对应,为的是与管理体系标准族加强兼容。ISO 22301:2012与ISO/IEC 27001:2013正文都是根据ISO/IEC Directives, Part 1,且要比ISO/IEC 27001:2013出版得早。
2 ISO/IEC 27032 网络空间安全
ISO/IEC 27032 对网络安全/网络空间安全4)提供了指导,目前最新版本为:
ISO/IEC 27032:2012 Information technology— Security techniques —Guidelines for cybersecurity(《信息技术 安全技术 网络安全指南》)
更多资料,可参考《网络空间安全管理》5),其中有对ISO/IEC 27032:2012的详细介绍。
3 ISO/IEC 27033 网络安全
ISO/IEC 27033为网络安全,在ISO/IEC 27001:2013中对应到A.13.1网络安全管理,但在其中描述得非常简单。
该标准之前发布为ISO/IEC 18028,原来有5部分,现在成了6部分,分别为:
ISO/IEC 27033-1:2015 Information technology —Security techniques—Network security—Part 1:Overview and concepts(《信息技术 安全技术 网络安全 第1部分:综述和概念》)
ISO/IEC 27033-2:2012 Information technology —Security techniques—Network security—Part 2: Guidelines for the design and implementation of network security(《信息技术 安全技术 网络安全 第2部分:网络安全的设计与实现指南 》)
ISO/IEC 27033-3:2010 Information technology —Security techniques—Network security—Part 3: Reference networking scenarios—Threats, design techniques and control issues(《信息技术 安全技术 网络安全 第3部分:参考网络方案 威胁、设计技术和控制问题》)
ISO/IEC 27033-4:2014 Information technology —Security techniques—Network security—Part 4:Securing communications between networks using security gateways(《信息技术 安全技术 网络安全 第4部分:使用安全网关保护网络之间的通信》)
ISO/IEC 27033-5:2013 Information technology —Security techniques—Network security—Part 5:Securing communications across networks using Virtual Private Networks (VPNs)(《信息技術 安全技术 网络安全 第5部分:使用虚拟专用网的跨网通信安全保护》)
ISO/IEC 27033-6:2016 Information technology —Security techniques—Network security—Part 6:Securing wireless IP network access(《信息技术 安全技术 网络安全 第6部分:无线IP网络访问保护》) 4 ISO/IEC 27034 应用安全
ISO/IEC 27034为应用安全,在ISO/IEC 27001:2013中对应到A.14 系统获取、开发和维护。
ISO/IEC 27034一共有7部分,已經公布的有3个,还有4个正在开发中。
公布的部分有:
ISO/IEC 27034-1:2011 Information technology— Security techniques—Application security—Part 1:Overview and concepts(《信息技术 安全技术 应用安全 第1部分:综述与概念》)
ISO/IEC 27034-1发布于2011年,当时的设计只有5部分,在其前言中,ISO/IEC 27034-6和ISO/IEC 27034-7没有列入。
ISO/IEC 27034-2:2015 Information technology —Security techniques—Application security—Part 2: Organization normative framework(《信息技术 安全技术 应用安全 第2部分:组织规范性框架》)
ISO/IEC 27034-6:2016 Information technology— Security techniques—Application security—Part 6:Case studies(《信息技术 安全技术 应用安全 第6部分:案例研究》)
目前正在开发的有:
ISO/IEC 27034-3 Information technology—Security techniques—Application security—Part 3:Application security management process(《信息技术 安全技术 应用安全 第3部分:应用安全管理过程》)
ISO/IEC 27034-4 Information technology— Security techniques—Application security—Part 4:Application security validation(《信息技术 安全技术 应用安全 第4部分:应用安全验证》)
ISO/IEC 27034-5 Information technology—Security techniques—Application security—Part 5:Protocols and application security control data structure(《信息技术 安全技术 应用安全 第5部分:协议与应用安全控制数据结构》)
ISO/IEC 27034-7 Information technology— Security techniques—Application security—Part 7:Application security assurance prediction framework(《信息技术 安全技术 应用安全 第7部分:应用安全保障预测框架》)
ISO/IEC 27034与SDLC6)进行了整合,建立了一个基于过程的方法,为定义、设计/选择实施信息安全控制提供了指导,适用于信息系统的内部开发、外部获取或外包等所有情形。这个标准与软件开发联系紧密。
5 ISO/IEC 27035 信息安全事件管理
ISO/IEC 27035为信息安全事件管理,在ISO/IEC 27001:2013中为A.16 信息安全事件管理。该标准之前为ISO/IEC-TR-18044,发布于2004年,应用广泛。被修改采用为GB/Z 20985—2007《信息技术 安全技术 信息安全事件管理指南》,可以作为参考。
现在ISO/IEC 27035分成了2部分,分别为:
ISO/IEC 27035-1:2016 Information technology —Security techniques—Information security incident management—Part 1:Principles of incident management(《信息技术 安全技术 信息安全事件管理 第1部分:事件管理原则》)
ISO/IEC 27035-2:2016 Information technology —Security techniques—Information security incident management—Part 2:Guidelines to plan and prepare for incident response(《信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划与准备指南》)
6 ISO/IEC 27036 供应商关系中的信息安全
ISO/IEC 27036为供应商关系信息安全,在ISO/IEC 27001:2013中为A.15供应商关系。
该标准一共有4部分,具体为:
ISO/IEC 27036-1:2014 Information technology— Security techniques—Information security for supplier relationships—Part 1:Overview and concepts(《信息技术 安全技术 供应商关系中的信息安全 第1部分:综述和概念》)
ISO/IEC 27036-2:20147) Information technology—Security techniques—Information security for supplier relationships—Part 2:Requirements(《信息技术 安全技术 供应商关系中的信息安全 第2部分:要求》) ISO/IEC 27036-3:2013 Information technology—Security techniques—Information security for supplier relationships—Part 3:Guidelines for information and communication technology supply chain security ICT (《信息技術 安全技术 供应商关系中的信息安全
第3部分:供应链安全指南》)
ISO/IEC 27036-4:2016 Information technology—Security techniques—Information security for supplier relationships—Part 4:Guidelines for security of cloud services(《信息技术 安全技术 供应商关系中的信息安全 第4部分:云服务安全指南》)
ISO/IEC 27036所讨论的供应商关系中的信息安全是一个单独的领域,可以参考《中国标准导报》信息安全管理系列的相关文章8)。
7 ISO/IEC 27037 数字证据识别、收集、获取
与保护
从ISO/IEC 27037开始的后面这些标准,都比较细分领域,不太容易与ISO/IEC 27001:2013的附录A对应,如果一定要对应,可以到A.16.1.7证据的收集9)。
ISO/IEC 27037:2012 Information technology— Security techniques—Guidelines for identification, collection, acquisition and preservation of digital evidence(《信息技术 安全技术 数字证据的识别、收集、获取与保护指南》)
后续如ISO/IEC 27050等还有数个关于数字证据的标准。
8 ISO/IEC 27038 数字编校
许多文档可能需要公开,而这其中又有一些涉密的信息,文件编辑描述的是去除某些部分、句子或段落等。这个过程叫做“redaction”。这个问题有点小众。
目前的最新版本为:
ISO/IEC 27038:2014 Information technology—Security techniques—Specification for digital redaction (《信息技术 安全技术 数字编校规范》)
ISO/IEC 27038:2014的标准架构跟别的不太一样,我们也没有跟踪过这个标准,因此不做进一步介绍,后续会跟进。
9 ISO/IEC 27039 入侵防御
ISO/IEC 27039是一类关于信息安全产品的标准,之后会陆续出现,只是ISO/IEC 27039是比较早以ISO/IEC 27000标准族编号的。
在IDS10) 时代,ISO/IEC 27039发布为:
ISO/IEC 18043:2006 Information technology—Security techniques—Selection, deployment and operations of intrusion detection systems(注意,已弃用)
ISO/IEC 18043:2006被修改采用为:
GB/T 28454—2012《信息技术 安全技术 入侵检测系统的选择、部署和操作》
现在已经是IPS11)时代,因此,最新更新的ISO/IEC 27039版本为:
ISO/IEC 27039:2015 Information technology—Security techniques—Selection, deployment and operations of intrusion detection and prevention systems (IDPS)(《信息技术 安全技术 入侵防御系统选择、部署和操作》)
10 ISO/IEC 27040 存储安全
ISO/IEC 27040提供了定义恰当的风险减缓级别并应用充分证明和一致的方法来规划、设计、记录与实施数据存储安全的详细的技术指导。
目前,最新的版本信息为:
ISO/IEC 27040:2015 Information technology—Security techniques—Storage security《信息技术 安全技术 存储安全》)
11 ISO/IEC 27041 事件调查保障
ISO/IEC 27041也是与事件管理相关的标准,其中:ISO/IEC 27043:2015定义了事件调查的原则与过程,ISO/IEC 27035-2提供了事件响应的准备与规划,ISO/IEC 27037:2012和 ISO/IEC 27042:2015描述了事件调查过程。
ISO/IEC 27041的最新版本为:
ISO/IEC 27041:2015 Information technology—Security techniques—Guidance on assuring suitability and adequacy of incident investigative method(《信息技术 安全技术 保障时间调查方法的适宜性与充分性指南》)
12 ISO/IEC 27042 数字证据分析与解释 ISO/IEC 27042为分析和解释信息系统安全事件处理提供了一个通用的框架,目前版本信息为12):
ISO/IEC 27042:2015 Information technology—Security techniques—Guidelines for the analysis and interpretation of digital evidence(《信息技术 安全技术 数字证据分析与解释指南》)
13 ISO/IEC 27043 事件调查过程
ISO/IEC 27043也是与事件调查相关的,提供了一般的原则与过程。最新的版本信息为:
ISO/IEC 27043:2015 Information technology—Security techniques—Incident investigation principles and processes(《信息技术 安全技术 事件调查原则与过程》)
14 ISO/IEC 27050 电子举证
最后一个跟事件调查相关的标准,ISO/IEC 27050分为4部分,目前正式发布的只有第1部分,具体信息如下:
ISO/IEC 27050-1:2016 Information technology—Security techniques—Electronic discovery—Part 1: Overview and concepts (《信息技术 安全技术 电子举证 第1部分:综述和概念》)
其他3个正在开发的标准为:
ISO/IEC 27050-2 Information technology—Security techniques—Electronic discovery—Part 2:Guidance for governance and management of electronic discovery (《信息技术 安全技术 电子举证 第2部分:电子舉证治理与管理指南》)
ISO/IEC 27050-3 Information technology—Security techniques—Electronic discovery—Part 3:Code of practice for electronic discovery (《信息技术 安全技术 电子举证 第3部分:电子举证实用规则》)
ISO/IEC 27050-4 Information technology—Security techniques—Electronic discovery—Part 4:ICT readiness for electronic discovery (《信息技术 安全技术 电子举证 第4部分:电子举证准备》)
15 ISO 27799 健康领域应用
ISO 27799目前是第2版,最初发布于2008年,具体信息为: