ISOIEC27000 27001 27017 27018 27002体系标准族的介绍与进展！

信息安全体系
1 ISO/IEC27000信息安全管理体系概述和词汇 2016

ISO/IEC27000：2009被等同采用为GB/T29246—2012，具体信息为：GB/T29246—2012/ISO/IEC27000：2009《信息技术安全技术信息安全管理体系概述和词汇》

2 ISO/IEC27001信息安全管理体系要求 2013

ISO/IEC27001被等同采用为国家标准：GB/T22080—2016/ISO/IEC27001：2013《信息技术安全技术信息安全管理体系要求》

3 ISO/IEC27002信息安全控制实践指南 2013

ISO/IEC27002被等同采用为国家标准：GB/T22081—2016/ISO/IEC27002：2013《信息技术安全技术信息安全控制实践指南》

4 ISO/IEC27003信息安全管理体系实施指南 2017

ISO/IEC27003主要是描述如何在组织内实施ISO/IEC27001，于2017年3月1日发布第二版的ISO/IEC 27003取消并取代第二版（ISO/IEC27003：2010），这是一个较小的修订。

5 ISO/IEC27004信息安全管理测量

ISO/IEC27004是提供了信息安全管理测量的方法，当然，主要是针对ISO/IEC27001，最新版本为：ISO/IEC27004：2009Informationtechnology—Securitytechniques—Informationsecuritymanagement—Measurement（《信息技术安全技术信息安全管理测量》）尚无国家标准与之对应。

6 ISO/IEC27005信息安全风险管理

ISO/IEC27005是专门讨论信息安全风险管理的，基本与通用的风险管理标准ISO31000保持了一致。现在的版本是第2版，发布于2011年，之前版本为2008年版，且被等同采用为GB/T31722—2015，具体参考信息为：最新版本为：ISO/IEC27005：2011Informationtechnology—Securitytechniques—Informationsecurityriskmanagement  ISO/IEC27005应该来源于1998年版本的ISO/IECTR13335-3，但是没有官方文献确认，以我们的阅读来看，就整个框架而言，与ISO/IECTR13335-3：1998差别不大。

更多资料，可参考《信息安全风险评估——概念、方法和实践（第2版）》的附录中有GB/T31722—2015/ISO/IEC27005：2008全文。

7ISO/IEC27006认证机构要求

ISO/IEC27006是一个认可标准（accreditationstandard）。认证和认可是两码事。认证，指的是第三方组织去审核企业，然后发证。认可，指的是国家主管机构审核第三方组织，以确认他们是否有认证资质。类比一下，认证就是学校给学生发毕业证，认可就是教育部检查学校。显然，这个标准受众，是个小众群体，即第三方认证组织。但是内容基本都是规定性的，改版频繁，目前已经是第3版了，之前为2007版、2011版，现在最新为2015版。

具体信息为：ISO/IEC27006：2015Informationtechnology—Securitytechniques—Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems

目前有国家标准：GB/T25067—2016/ISO/IEC27006：2011《信息技术安全技术信息安全管理体系审核和认证机构要求》

8 ISO/IEC27007通用的审核

ISO/IEC27007是为第三方认证机构审核企业提供指导的，ISO/IEC27007：2011Informationtechnology—Securitytechniques—Guidelinesforinformationsecuritymanagementsystemsauditing

目前被修改采用为：GB/T28450—2012《信息安全技术信息安全管理体系审核指南》

9ISO/IECTR27008控制措施审核

ISO/IECTR27008：2011是个技术报告，也是信息安全管理体系的特别之处，主要为ISO/IEC27001的附录Ａ提供审核指南。

目前最新版本为：ISO/IECTR27008：2011Informationtechnology—Securitytechniques—Guidelinesforauditorsoninformationsecuritycontrols（《信息技术安全技术信息安全控制审核指南》）

0x02 跨行业的信息安全体系
10ISO/IEC27009特定行业应用的要求

ISO/IEC27009用于组织如何在特定行业应用ISO/IEC27001，例如，如何提炼或增加相关的要求或控制。

目前最新版本为2016版，具体信息为：ISO/IEC27009：2016Informationtechnology—Securitytechniques—Sector-specificapplicationofISO/IEC27001—Requirements（《信息技术安全技术特定行业应用ISO/IEC27001要求》）

11SO/IEC27010跨行业和跨组织的通信

从ISO/IEC27010开始的编号，讨论行业应用。

ISO/IEC27010为不同行业以及不同国家间共享风险和事件等信息，提供信息安全管理指导，尤其是这些信息会影响到关键基础设施的时候（criticalinfrastructure）。

最早发布于2012年，目前已经发布第2版，具体信息为：ISO/IEC27010：2015Informationtechnology—Securitytechniques—Informationsecuritymanagementforinter-sectorandinter-organizationacommunications（《信息技术安全技术跨行业与跨组织通信的信息安全管理》）

其中的章节安排，从第5章到第18章，基本与ISO/IEC27002：2013保持了一致。

12ISO/IEC27011电信行业的应用

ISO/IEC27011是由ITU与ISO/IECJTC1/SC27联合开发，因此同时也发布为ITU-TX.1051。

这个标准最早发布于2008年，最新版本为2016版，具体信息为：

ISO/IEC27011：2016Informationtechnology—Securitytechniques—CodeofpracticeforInformationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations（《信息技术安全技术基于ISO/IEC27002的电信组织信息安全控制实用规则》）

特定行业的应用在框架上与ISO/IEC27002基本都是统一的。

0x03 信息安全与服务管理
13ISO/IEC27013信息安全管理体系与服务管理整合

在实践领域，ISMS与ITIL10）的整合是很常见的一种形式，由于信息安全多为控制点，IT服务多为流程，而且这两者的从业人员背景也比较相似，整合应用是不可避免的。ISO/IEC27013最早发布于2012年，现在最新版本为：

ISO/IEC27013：2015Informationtechnology—Securitytechniques—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1（《信息技术安全技术ISO/IEC27001与ISO/IEC20000-1的整合应用指南》）

ISO/IEC27011：2016由SC27和SC7合作开发，附录A中有ISO/IEC27001和ISO/IEC20000-1的对照。

14ISO/IEC27014信息安全治理

ISO/IEC27014是关于信息安全治理的，治理和管理的区别，在公司治理领域分得比较清楚。但是在信息安全领域，这两个词汇界限非常模糊。一般而言，治理是方向性的，关注如何在高层管理中梳理清楚利益关系，管理更多是控制性的，更关注如何实现组织的信息安全目标，更细节一些。

ISO/IEC27014也是ITU与ISO/IECJTC1/SC27合作开发的，因此同时发布为ITU-TX.1054，目前最新版本为：

ISO/IEC27014：2013Informationtechnology—Securitytechniques—Governanceofinformationsecurity

该标准已经被等同采用为国家标准：GB/T32923—2016/ISO/IEC27014：2013《信息技术安全技术信息安全治理》

0x04 金融行业的 信息安全
15ISO/IECTR27015金融服务信息安全管理

ISO/IECTR27015主要指导在金融企业内实施ISO/IEC27000标准族，目前最新版本为：

ISO/IECTR27015：2012Informationtechnology—Securitytechniques—Informationsecuritymanagementguidelinesforfinancialservices（《信息技术安全技术金融服务信息安全管理指南》）

从上文中，我们也已经看出，电信和金融对信息安全比较重视，除了这个标准，还有类似于：

ISO/TR13569：2005Financialservices—Informationsecurityguidelines（《金融服务信息安全指南》）

这个标准不是ISO/IECJTC1/SC27开发的，是ISO/TC68/SC212）发布的标准。这是真正从业务角度考虑信息安全，所以视角完全不同。ISO/TR13569已经是第3版了，之前有1997和1998版本。

原则上说，随着ISO/IEC27001和ISO/IEC27002的改版，ISO/IECTR27015：2012也需要改版了。到现在ISO标识的状态依然是60.60，没有改版的迹象。据说这个标准要被弃用，如果放弃开发也很正常，如果业务领域和信息安全领域的标准有竞争，最后被采用的肯定是业务领域推广的标准。

16ISO/IECTR27016安全经济学

ISO/IECTR27016用于指导企业如何在考虑经济因素条件下对信息安全投资做决策，在实践中这件事很重要。目前，ISO/IECTR27016的最新版本为：ISO/IECTR27016：2014Informationtechnology—Securitytechniques—Informationsecuritymanagement—Organizationaleconomics（《信息技术安全技术信息安全管理组织经济学》）

0x05 云服务与信息安全
17ISO/IEC27017云服务安全

ISO/IEC27017是在ISO/IEC27002及其他相关ISO/IEC27000标准族的基础上，提供云服务的信息安全控制，这个标准也是与ITU合作，因此同时发布为ITU-TX.1631。

目前最新版本为：

ISO/IEC27017：2015Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservices（《信息技术安全技术基于ISO/IEC27002的云服务信息安全控制实用规则》）

该标准与特定行业的应用架构基本是一致的，都与ISO/IEC27009保持兼容。

18ISO/IEC27018公有云中的隐私保护

ISO/IEC27018用来指导公有云的服务提供商，例如，微云、百度云等，如何保护个人隐私，该标准与ISO/IEC27017联系紧密。

目前，最新版本信息为：

ISO/IEC27018：2014Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation（PII）inpubliccloudsactingasPIIprocessors（《信息技术安全技术公有云中作为个人身份信息处理者保护个人身份信息的实用规则》）

通俗地讲，ISO/IEC27018是关于公有云服务个人资料处理者如何保护客户隐私的最佳实践，这些在特定领域应用的标准，架构基本都一致，因为都是基于通用的ISO/IEC27001和ISO/IEC27002。

0x06 能源行业与信息安全
19ISO/IECTR27019能源公共事业信息安全管理

ISO/IECTR27019是关于能源公用事业行业应用ISO/IEC27002及其相关的ISO/IEC27000标准族的指南，目前最新的版本为：

ISO/IECTR27019：2013Informationtechnology—Securitytechniques—InformationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsystemsspecifictotheenergyutilityindustry（《信息技术安全技术基于ISO/IEC27002用于能源公共事业行业过程控制的信息安全管理指南》）

ISO/IECTR27019目前所依据的还是ISO/IEC27002：2005，ISO最新标识的状态是90.9215）。

20  ISO 27799 健康领域应用
ISO 27799 目前是第 2 版，最初发布于 2008 年，具体信息为 ：ISO 27799 ：2016 Health informatics—Informationsecurity management in health using ISO/IEC 27002（《健康信息学 应用 ISO/IEC 27002 的健康信息安全管理》）
值得指出的是，ISO 27799 在引言中专门讨论了该标准与信息治理、公司治理以及临床治理之间的关系。其中认为，越来越多的医疗机构依赖于信息系统的支持，例如，利用决策支持系统使得诊断从“基于经验”转至“基于证据”，信息完整性、可用性和保密性的损失对诊疗产生显著的影响。因此，临床治理框架需要将有效的信息安全风险管理和护理治疗计划、传染病管理战略和其他“核心”临床管理事务同等重视。

这个标准实际与ISO/IEC 27010 等特定领域的应用都是差不多的，但是 ISO 27799 在国内推广得很一般。ISO 27799 没有按照顺序编号，可能是因为这个标准的开发组织并不是 ISO/IEC JTC1/SC 27，而是ISO/TC 215。