謝宗曉（南開大學(xué) 商學(xué)院） 王靜漪（天津移動通信公司）

ISO/IEC 27001與ISO/IEC 27002標(biāo)準(zhǔn)的演變

謝宗曉（南開大學(xué) 商學(xué)院） 王靜漪（天津移動通信公司）

本文按照時間順序梳理了ISO/IEC 27001和ISO/IEC 27002的發(fā)展過程，其中包括這兩個標(biāo)準(zhǔn)成為國際標(biāo)準(zhǔn)的開發(fā)過程以及被等同采用為我國國家標(biāo)準(zhǔn)的過程。

ISO/IEC 27001 ISO/IEC 27002 信息安全

專欄

信息安全管理系列之六

ISO/IEC 27000 族標(biāo)準(zhǔn)成為信息安全業(yè)界最重要的標(biāo)準(zhǔn)之一，在全世界范圍內(nèi)得到了廣泛應(yīng)用，其中諸多標(biāo)準(zhǔn)也已經(jīng)被等同或修改采用為我國國家標(biāo)準(zhǔn)。了解ISO/IEC 27000族標(biāo)準(zhǔn)的開發(fā)與推廣過程有助于組織更高效地部署信息安全管理體系。本文重點介紹了ISO/IEC 27000族標(biāo)準(zhǔn)中最重要的兩個標(biāo)準(zhǔn)ISO/IEC 27001 和ISO/IEC 27002 的版本演變過程。

謝宗曉（特約編輯）

ISO/IEC 27000族標(biāo)準(zhǔn)目前已經(jīng)發(fā)展成為一個很龐大的體系，包括從ISO/IEC 27000開始至ISO/IEC 27059的60個標(biāo)準(zhǔn)，或者說，ISO/IEC JCT1 SC271）ISO（International Organization for Standardization，國際標(biāo)準(zhǔn)化組織）是全世界最大的推薦性國際標(biāo)準(zhǔn)開發(fā)組織（world’s largest developer of voluntary international standards）；IEC（International Electrotechnical Commission，國際電工委員會）是制定和發(fā)布國際電工電子標(biāo)準(zhǔn)的非政府國際組織。ISO/IEC JCT1成立于1987年，是ISO與IEC的聯(lián)合技術(shù)委員會，即信息技術(shù)（information technology）標(biāo)準(zhǔn)委員會，SC27是其中一個分技術(shù)委員會（subcommittee），信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)委員會（IT Security Techniques）。）發(fā)布的絕大部分關(guān)于信息安全的標(biāo)準(zhǔn)都被統(tǒng)一編號了。ISO/IEC 27000族標(biāo)準(zhǔn)經(jīng)歷了一個漫長的演變過程，其中最具代表性的就是ISO/IEC 27001和ISO/IEC 27002。有些標(biāo)準(zhǔn)，例如，ISO/IEC 27006和ISO/IEC 27007等以此為標(biāo)準(zhǔn)新制定;還有一部分標(biāo)準(zhǔn)，例如，ISO/IEC 27005等則是由本已現(xiàn)存的標(biāo)準(zhǔn)據(jù)此修訂并重新編號而來。本文按照時間順序梳理了ISO/IEC 27001 和ISO/IEC 27002 的發(fā)展過程，其中包括這兩個標(biāo)準(zhǔn)成為國際標(biāo)準(zhǔn)的開發(fā)過程以及等同采用為我國國家標(biāo)準(zhǔn)的過程。

1 需要說明的兩個問題

ISO/IEC 27001：2005在引言中指出：本標(biāo)準(zhǔn)為OECD 指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則提供了一個強(qiáng)健的模型2）注意，這段話在2013版本中刪除了。）。第一個問題，為什么這么多信息安全文獻(xiàn)，單單強(qiáng)調(diào)了OECD3）經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Cooperation and Development，OECD）。）指南，還在標(biāo)準(zhǔn)的附錄中專門給出了兩者之間的映射？

在1990 年， OECD 就公布了《信息系統(tǒng)安全指南》4）2002 年改版為《信息系統(tǒng)與網(wǎng)絡(luò)安全指南》（Guidelines for the security of information systems and networks）。），標(biāo)準(zhǔn)的前身BS 7799于1993年公布，在當(dāng)時強(qiáng)調(diào)OECD指南可能是為了獲取“合法性”。OECD的《信息系統(tǒng)安全指南》提出了9條原則，這些原則基本是期望性質(zhì)的，不具備可操作性。因此，該標(biāo)準(zhǔn)對其中的某些原則即“風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則”提供了“（其中）一個”“強(qiáng)健的”模型。對于其他原則，例如民主（Democracy, The security of information systems and networks should be compatible with essential values of a democratic society），顯然不是標(biāo)準(zhǔn)討論的重點。

第二個問題，注意ISO/IEC 27001和ISO/IEC 27002的關(guān)系。

在業(yè)界討論信息安全管理體系（Information System Management System，ISMS），涉及最多的是ISO/IEC 27001，而且ISO/IEC 27001的規(guī)范性附錄A，從A.5 編號，與ISO/IEC 27002的正文第5 章開始一一對應(yīng)。但是，這兩個標(biāo)準(zhǔn)的產(chǎn)生順序卻是先有ISO/IEC 27002，后有ISO/IEC 27001。實際上從邏輯上講，后公布的標(biāo)準(zhǔn)會覆蓋或兼容先公布的標(biāo)準(zhǔn)，而不是相反的順序。

其中，ISO/IEC 27001的前身是BS 7799-2，ISO/ IEC 27002 的前身是BS 7799-1。從本文的表1也可以看出，ISO/IEC 27002起源于一個技術(shù)報告，在推廣過程中才加入的認(rèn)證框架BS 7799-2。加入第三方認(rèn)證是這個標(biāo)準(zhǔn)能夠被成功接受的因素之一。

2 成為國際標(biāo)準(zhǔn)前的主要開發(fā)過程

Backhouse等描述了1989年開始的英國工業(yè)與貿(mào)易部（Department of Trade and Industry，DTI）信息安全意識提高項目，DTI 下屬的商業(yè)計算機(jī)安全中 心（Commercial Computer Security Centre，CCSC）產(chǎn)生ISO/IEC 27002（當(dāng)時還是BS 7799）的過程，如表1 所示。

表1 成為國際標(biāo)準(zhǔn)前的主要過程

續(xù)表

3 成為國際標(biāo)準(zhǔn)后的版本演化及國標(biāo)化

2005年，在BS 7799-2 成為國際標(biāo)準(zhǔn)之后，ISO/IEC JCT1 對標(biāo)準(zhǔn)進(jìn)行了重新編號，并且2013年對ISO/IEC 27001 和ISO/IEC 27002 進(jìn)行了一次大規(guī)模的改版。具體過程如表2 所示。

表2 成為國際標(biāo)準(zhǔn)后的主要過程

4 結(jié)語

目前在用的等同采用ISO/IEC 27001和ISO/IEC 27002的國家標(biāo)準(zhǔn)版本為：

· GB/T 22080—2008/ISO/IEC 27001：2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（Information technology—Security techniques—Information security management systems—Requirements）；

· GB/T 22081—2008/ISO/IEC 27002：2005《信息技術(shù) 安全技術(shù) 信息安全管理 實用規(guī)則》（Information technology—Security techniques—Code of practice for information security management）。

2015 年2 月24 日，根據(jù)2013 版的國家標(biāo)準(zhǔn)升級版本已經(jīng)發(fā)布了征求意見稿，征求意見在2015年3 月30 日前結(jié)束。其中，ISO/IEC 27002：2013的標(biāo)題修改為：《信息技術(shù) 安全技術(shù) 信息安全控制 實用規(guī)則》 （Information technology—Security techniques—Code of practice for information security controls）。

綜上所述，ISO/IEC 27001和ISO/IEC 27002標(biāo)準(zhǔn)的主要版本演變與事件如圖1 所示。

圖1 ISO/IEC 27001與ISO/IEC 27002主要版本演變與事件

[1] James Backhouse, Carol W. Hsu, Leiser Silva: Circuits of Power in Creating de jure Standards: Shaping an International Information Systems Security Standard. MIS Quarterly 2006（30）: 143-438.

[2] 謝宗曉. 信息安全管理體系實施指南[M]. 北京: 中國質(zhì)檢出版社，中國標(biāo)準(zhǔn)出版社，2012.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理 理論與實踐[M]. 北京: 中國質(zhì)檢出版社，中國標(biāo)準(zhǔn)出版社，2015.

Introduction of ISO/IEC 27001 and ISO/IEC 27002

Xie Zongxiao ( Business School, Nankai University ) Wang Jingyi ( China Mobile Tianjin)

We reorganized history of ISO/IEC 27001 and ISO/IEC 27002 in chronological order, includingdevelopment process before becoming international standard and the process of adoption as Chinese standards.

ISO/IEC 27001, ISO/IEC 27002, information security