27000信息安全管理體系標準族及對應國標
在昨天的公眾號中,我們提到了有關等同標準。因為ISO 27000系列掛著個“國際”的名號,對于不太了解國標的朋友很容易被唬住,好像是非常難以理解的東西。這個,在我工作中已經和眾多安全從業(yè)人員甚至單位領導接觸中深有體會,而在我和冀老師交流中,我曾給冀老師說過我在整理國標中等同27000相關標準的事情,說來這已經是三年前的事情了。從中,也看到我的拖延癥有多嚴重!
在國家標準中,強制標準冠以“GB”。推薦標準冠以“GB/T”。 指導性國家標準(GB/Z),“Z”在此讀“指”。與很多ISO國際標準相比,很多國家標準等同采用(IDT,identical to 其他標準)、修改采用(MOD,modified in relation to 其他標準;2000年以前稱作“等效采用,EQV, equivalent to 其他標準)或非等效采用(NEQ,not equivalent to 其他標準)。還有常見的“采標”是“采用國際標準的簡稱”。所以,因為是采用國際標準,涉及到版權,我們在查相關國標時,官方正規(guī)渠道是不允許預覽的。
根據查閱資料,IDT是英文“identical”的縮寫是“等同”的意思,就是國家標準等同于國際標準,僅有或沒有編輯性修改。所謂編輯性修改,是指不改變標準技術的內容的修改,如糾正排版或印刷錯誤,標點符號的改變,增加不改變技術內容的說明、指示等。
IDT等同采用就是指國家標準與國際標準相同,不做或稍作編輯性修改。如GB/T 29246-2017/ISO/IEC 27000:2016(ISO/IEC 27000:2016.IDT),也就是GB/T 29246-2017等同于ISO/IEC 27000:2016.也就是國際標準ISO 27000其實就是我國國標GB/T 29246.
另外一個詞MOD英文“modified”的縮寫是“修改”的意思,修改采用的國標與國際標準之間是存在技術性差異的,在標準中會表明差異以及解釋差異產生的原因,修改采用不包括保留國際標準中少量或者不重要的條款的情況,可以理解成有增刪情況。如GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統(IDPS)的選擇、部署和操作即ISO/IEC 27039:2015.MOD。其中前言部分說明“本標準與ISO/IEC 27039:2015相比,在結構上增加了第2章“規(guī)范性應用文件”和第4章“縮略語”,將7.3.1和7.3.2的內容進行調序。……”
可能了解過27000系列的人都知道,27000系列是以信息安全管理體系標準族(InformationSecurity Management System,簡稱ISMS標準族)作為國際信息安全技術標準化組織(ISO/IECJTCl SC27)制定的信息安全管理體系系列國際標準。根據我初步整理的國家標準,我做了一個簡單列表,左側為國家標準,右側為ISO 27000系列標準。
由于個人屬于腳踩西瓜皮,加之精力有限,倉促整理,應該不是太全面。只是通過這種方式,期盼大家更加容易的去理解27000系列,破除迷信讓每一個看到該文的朋友不在感到神秘。當然,我并不是否認標準的價值以及理解難度,只是希望大家別糾結27000這個詞。在表格后,我將根據整理的內容簡單介紹信息安全管理體系標準族以及27000系列的知識。
表格如下,供大家參考。
| 國家標準 | 等同國際標準 |
| GB/T 29246 信息技術 安全技術 信息安全管理體系 概述和詞匯 | (ISO/IEC 27000) |
| GB/T 22080 信息技術 安全技術 信息安全管理體系要求 | (ISO/IEC 27001) |
| GB/T 22081 信息技術 安全技術 信息安全管理實用規(guī)則 | (ISO/IEC 27002) |
| GB/T 31496 信息技術 安全技術 信息安全管理體系實施指南 | (ISO/IEC 27003) |
| GB/T 31497 信息技術 安全技術 信息安全管理測量 | (ISO/IEC 27004) |
| GB/T 31722 信息技術 安全技術 信息安全管理風險 | (ISO/IEC 27005) |
| GB/T 25067 信息技術 安全技術 信息安全管理體系審核認證機構的要求 | (ISO/IEC 27006) |
| GB/T 38631 信息技術 安全技術 GBT22080具體行業(yè)應用要求 | (ISO/IEC 27009) |
信息安全管理體系標準族
從BS 7799兩部分分別發(fā)展成為ISO 17799和ISO 27001系列,他是一個變化發(fā)展的過程,變化發(fā)展是基于原來的優(yōu)秀經驗創(chuàng)新發(fā)展的。
我們通過整理的材料,簡單介紹一下27000系列部分標準的名稱。其在《信息技術 安全技術》通用標題下,ISMS標準族,我們按照按標準號排序,由下列標準組成:
注:以下第一行為冒號前為標準號,冒號后為中文翻譯名稱,通過加粗字體顯示,第二行為英文名稱。
-ISO/IEC 27000:信息安全管理體系 概述和詞匯
(Information security management systems Overview and vocabulary)
-ISO/IEC 27001:信息安全管理體系 要求
(Information security management systems Requirements)
-ISO/IEC 27002:信息安全管理體系 信息安全控制實踐指南
(Codeof practice for information security controls)
-ISO/IEC 27003:信息安全管理體系實施指南
(Information security managenent system im-plementation guidance)
-ISO/IEC 27004:信息安全管理 測量
(Information security management—Measurement)
ISO/IEC 27005:信息安全風險管理
(Information security risk management)
-ISO/IEC 27006:信息安全管理體系審核認證機構的要求
(Requirements for bodies providing audit and certification of information security management systems)
-ISO/IEC 27007:信息安全管理體系審核指南
(Guidelines for information security management systems auditing)
-ISO/IECTR 27008 :信息安全控制措施審核員指南
(Guidelines for auditors on information security controls)
-ISO/IEC 27009:ISO/IEC27001的行業(yè)特定應用 要求
(Sector-specificapplication of ISO/IEC 27001-Requirements)
-ISO/IEC 27010:行業(yè)間和組織間通信的信息安全管理
(Information security management for inter-sector and inter-organizational communications)
-ISO/IEC 27011:基于ISO/IEC27002的電信組織信息安全管理指南
(Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002)
-ISO/IEC 27013:ISO/IEC 27001和ISO/IEC 20000-1綜合實施指南
(Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)
-ISO/IEC 27014:信息安全治理
(Governance of information security)
-ISO/IEC TR 27015:金融服務信息安全管理指南
(Information security management guideLines for financial services)
-ISO/IEC TR 27016:信息安全管理 組織經濟學
(Information security management-Organizational economics)
-ISO/IEC 27017:基于ISO/IEC 27002的云服務信息安全控制實踐指南
(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
ISO/IEC 27018:可識別個人信息(PII)處理者在公有云中保護PII的實踐指南
(Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors)
ISO/IEC 27019:基于ISO/IEC 27002的能源供給行業(yè)過程控制系統信息安全管理指南
(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry)
我國的網絡安全等級保護是充分借鑒國外優(yōu)秀經驗的基礎上,創(chuàng)新發(fā)展而來。然而,若要充分理解等級保護需要對國內外安全標準發(fā)展以及我國標準發(fā)展有一定的了解,很多安全要求在某一個標準中相對是孤立的,而其定義或要求內在的含義卻需要在其他標準里去尋找。有些標準解決某項內容的有無,而有無之后還涉及到一個質量標準,那么質量標準則由另一個標準給出。另外,有些術語在一個標準中,是未進行詮釋是需要到另外標準中尋找答案,切不可望文生義。
如27000系列之ISO/IEC 27000專門講詞匯,在其他27000系列標準中可能就不在專門提及其定義,在這個過程中若不看ISO/IEC 27000.就容易犯望文生義的毛病。這個毛病我個人犯過,相信有部分朋友也犯過。
參考文件:
GB/T25067—2020/ISO/IEC27006:2015
GB/T 19716-2005
GB/T 22080、22081等系列標準
ISO官網等
網絡安全等級保護:什么是關鍵信息基礎設施
網絡安全等級保護:什么是等級保護?
信息安全標準體系思維導圖
1994-2017等級保護政策及法律發(fā)展歷程
一起簡單了解一下美國TCSEC分類及分級
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
