信息安全管理体系(ISMS)相关标准介绍
说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。
龙源期刊网 http://www.qikan.com.cn 信息安全管理体系(ISMS)相关标准介绍 作者:陈磊 谢宗晓 来源:《中国质量与标准导报》2018年第10期 1 定义 信息安全管理体系(Information Security Management System,ISMS)并不是一个专用术语,满足其定义描述条件的应该都是。但实际情况是,由于这个术语起源于ISO/IEC 27002和ISO/IEC 27001的早期版本,属于新生词汇,其他文献中很少见到。所以在实践中,ISMS几乎成了一个专用术语。因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。由于ISO/IEC 27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:组织在做27001,意思是说,组织在部署ISMS,或者说,组织在根据ISO/IEC 27001部署信息安全。 换言之,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC 27000标准族,而这其中,ISO/IEC 27002和ISO/IEC 27001是最重要也是出现最早的2个标准。由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。因此,这几个词汇都认为是同义词: 信息安全管理体系(ISMS); ISO/IEC 27000标准族; ISO/IEC 27002或ISO/IEC 27001视上下文,也可能是指代ISMS。 2 相关国际标准的研发情况 负责开发ISO/IEC 27000标准族的机构为ISO/IEC JTC1 SC271),广义的ISO/IEC 27000标准族包括了以ISO/IEC 27×××编号的所有的标准,即ISO/IEC 27000至ISO/IEC 27059,还包括了新立项的ISO/IEC 27102与ISO/IEC 27103,更详细的信息请参考文献[1]。 ISO/IEC 27000标准族最早围绕ISO/IEC 27002发展而来,在后续的扩散过程中,ISO/IEC 27001起到了更基础的作用。文献[2]和[3]描述了ISO/IEC 27002和ISO/IEC 27001详细的版本演化过程。 3 相关国家标准简介 ISMS国家标准的主要研发机构为全国信息安全标准化技术委员会(SAC/TC 260)2),绝大部分标准主要等同采用或修改采用国际标准。在上述描述的国际标准中,截至2018年7月,有11项标准被采用为国家标准。 龙源期刊网 http://www.qikan.com.cn (1)GB/T 29246—2017《信息技术 安全技术 信息安全管理体系 概述和词汇》 该标准等同采用ISO/IEC 27000:2016,在标准的研发顺序中,ISO/IEC 27000是后加的标准,ISO/IEC 27000中的词汇是从较早版本的ISO/IEC 27002和ISO/IEC 27001中剪切过来的。ISO/IEC 27000的版本变化频繁,目前ISO/IEC 27000:2016已经被ISO/IEC 27000:2018代替。 (2)GB/T 22080—2016《信息技术 安全技术 信息安全管理体系 要求》 该标准等同采用ISO/IEC 27001:2013,为ISO/IEC 27000标准族的基础标准,应用广泛,主要定义了信息安全管理体系的要求,是认证的依据。 (3)GB/T 22081—2016《信息技术 安全技术 信息安全控制实践指南》 该标准等同采用ISO/IEC 27002:2013,为ISO/IEC 27000标准族的基础标准,应用广泛,给出了14个安全域,39个安全目标,以及114项安全控制。GB/T 22081—2016本质上是“良好實践(Good Practice)”。 (4)GB/T 31496—2015《信息技术 安全技术 信息安全管理体系实施指南》 该标准等同采用ISO/IEC 27003:2010,是针对ISO/IEC 27001:2013的实施指南。但是ISO/IEC 27003:2010已经被ISO/IEC 27003:2017所替代,新版标准变动非常大,标准名称也更改为《信息技术 安全技术 信息安全管理体系 指南》。 (5)GB/T 31497—2015《信息技术 安全技术 信息安全管理 测量》 该标准等同采用ISO/IEC 27004:2009,目前最新版为ISO/IEC 27004:2016,变化较大,标准名称更改为《信息技术 安全技术 信息安全管理 监视、测量、分析与评价》。 (6)GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》 该标准等同采用ISO/IEC 27005:2008,信息安全风险管理是ISMS的重要手段,也是基础框架。2018年7月,ISO已经发布了最新版的ISO/IEC 27005。 (7)GB/T 25067—2016《信息技术 安全技术 信息安全管理体系审核和认证机构要求》 这是一个认可标准,更类似于行政要求,等同采用ISO/IEC 27006:2011。 (8)GB/T 28450—2012《信息安全技术 信息安全管理体系审核指南》 龙源期刊网 http://www.qikan.com.cn 该标准同ISO/IEC 27007有一定的区别。国际标准最新版为ISO/IEC 27007:2017,之前版本为ISO/IEC 27007:2011。 (9)GB/Z 32916—2016《信息技术 安全技术 信息安全控制措施审核员指南》 该指导性技术文件等同采用ISO/IEC TR 27008:2011,是关于控制审核的技术报告,国际标准的最新状态是ISO/IEC PDTS 27008。 (10)GB/T 32920—2016《信息技术 安全技术 行业间和组织间通信的信息安全管理》 该标准等同采用ISO/IEC 27010:2012,目前该版本已经被替代为ISO/IEC 27010:2015。 (11)GB/T 32923—2016《信息技术 安全技术 信息安全治理》 该标准等同采用ISO/IEC 27014:2013,国际标准的最新状态为ISO/IEC NP 27014。治理与管理概念相近,但是有不同的管理学含义。 4 小结 如上文所述,信息安全管理体系国家标准的采标情况整体如表1所示。 参考文献 谢宗晓. 2017年ISO/IEC 27000标准族的进展[J]. 中国质量与标准导报,2018(1):42-46. 谢宗晓. 信息安全管理体系实施指南(第二版)[M]. 北 京:中国质检出版社/中国标准出版社,2017. 谢宗晓,王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报,2015(7):48-52. 本文来源:https://www.wddqw.com/doc/d0aecbda0a4e767f5acfa1c7aa00b52acec79ce1.html