27000信息安全管理體系標(biāo)準(zhǔn)族及對應(yīng)國標(biāo)

在昨天的公眾號中，我們提到了有關(guān)等同標(biāo)準(zhǔn)。因為ISO 27000系列掛著個“國際”的名號，對于不太了解國標(biāo)的朋友很容易被唬住，好像是非常難以理解的東西。這個，在我工作中已經(jīng)和眾多安全從業(yè)人員甚至單位領(lǐng)導(dǎo)接觸中深有體會，而在我和冀老師交流中，我曾給冀老師說過我在整理國標(biāo)中等同27000相關(guān)標(biāo)準(zhǔn)的事情，說來這已經(jīng)是三年前的事情了。從中，也看到我的拖延癥有多嚴(yán)重!

在國家標(biāo)準(zhǔn)中，強制標(biāo)準(zhǔn)冠以“GB”。推薦標(biāo)準(zhǔn)冠以“GB/T”。 指導(dǎo)性國家標(biāo)準(zhǔn)(GB/Z)，“Z”在此讀“指”。與很多ISO國際標(biāo)準(zhǔn)相比，很多國家標(biāo)準(zhǔn)等同采用(IDT，identical to 其他標(biāo)準(zhǔn))、修改采用(MOD，modified in relation to 其他標(biāo)準(zhǔn);2000年以前稱作“等效采用，EQV, equivalent to 其他標(biāo)準(zhǔn))或非等效采用(NEQ，not equivalent to 其他標(biāo)準(zhǔn))。還有常見的“采標(biāo)”是“采用國際標(biāo)準(zhǔn)的簡稱”。所以，因為是采用國際標(biāo)準(zhǔn)，涉及到版權(quán)，我們在查相關(guān)國標(biāo)時，官方正規(guī)渠道是不允許預(yù)覽的。

根據(jù)查閱資料，IDT是英文“identical”的縮寫是“等同”的意思，就是國家標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改。所謂編輯性修改，是指不改變標(biāo)準(zhǔn)技術(shù)的內(nèi)容的修改，如糾正排版或印刷錯誤，標(biāo)點符號的改變，增加不改變技術(shù)內(nèi)容的說明、指示等。

IDT等同采用就是指國家標(biāo)準(zhǔn)與國際標(biāo)準(zhǔn)相同，不做或稍作編輯性修改。如GB/T 29246-2017/ISO/IEC 27000：2016(ISO/IEC 27000：2016.IDT)，也就是GB/T  29246-2017等同于ISO/IEC 27000：2016.也就是國際標(biāo)準(zhǔn)ISO 27000其實就是我國國標(biāo)GB/T  29246.

另外一個詞MOD英文“modified”的縮寫是“修改”的意思，修改采用的國標(biāo)與國際標(biāo)準(zhǔn)之間是存在技術(shù)性差異的，在標(biāo)準(zhǔn)中會表明差異以及解釋差異產(chǎn)生的原因，修改采用不包括保留國際標(biāo)準(zhǔn)中少量或者不重要的條款的情況，可以理解成有增刪情況。如GB/T 28454-2020 信息技術(shù) 安全技術(shù) 入侵檢測和防御系統(tǒng)(IDPS)的選擇、部署和操作即ISO/IEC 27039:2015.MOD。其中前言部分說明“本標(biāo)準(zhǔn)與ISO/IEC 27039:2015相比，在結(jié)構(gòu)上增加了第2章“規(guī)范性應(yīng)用文件”和第4章“縮略語”，將7.3.1和7.3.2的內(nèi)容進行調(diào)序。……”

可能了解過27000系列的人都知道，27000系列是以信息安全管理體系標(biāo)準(zhǔn)族(InformationSecurity Management System，簡稱ISMS標(biāo)準(zhǔn)族)作為國際信息安全技術(shù)標(biāo)準(zhǔn)化組織(ISO/IECJTCl SC27)制定的信息安全管理體系系列國際標(biāo)準(zhǔn)。根據(jù)我初步整理的國家標(biāo)準(zhǔn)，我做了一個簡單列表，左側(cè)為國家標(biāo)準(zhǔn)，右側(cè)為ISO 27000系列標(biāo)準(zhǔn)。

由于個人屬于腳踩西瓜皮，加之精力有限，倉促整理，應(yīng)該不是太全面。只是通過這種方式，期盼大家更加容易的去理解27000系列，破除迷信讓每一個看到該文的朋友不在感到神秘。當(dāng)然，我并不是否認(rèn)標(biāo)準(zhǔn)的價值以及理解難度，只是希望大家別糾結(jié)27000這個詞。在表格后，我將根據(jù)整理的內(nèi)容簡單介紹信息安全管理體系標(biāo)準(zhǔn)族以及27000系列的知識。

表格如下，供大家參考。

信息安全管理體系標(biāo)準(zhǔn)族

從BS 7799兩部分分別發(fā)展成為ISO 17799和ISO 27001系列，他是一個變化發(fā)展的過程，變化發(fā)展是基于原來的優(yōu)秀經(jīng)驗創(chuàng)新發(fā)展的。

我們通過整理的材料，簡單介紹一下27000系列部分標(biāo)準(zhǔn)的名稱。其在《信息技術(shù) 安全技術(shù)》通用標(biāo)題下，ISMS標(biāo)準(zhǔn)族，我們按照按標(biāo)準(zhǔn)號排序，由下列標(biāo)準(zhǔn)組成：

注：以下第一行為冒號前為標(biāo)準(zhǔn)號，冒號后為中文翻譯名稱，通過加粗字體顯示，第二行為英文名稱。

-ISO/IEC 27000：信息安全管理體系 概述和詞匯

(Information security management systems Overview and vocabulary)

-ISO/IEC 27001：信息安全管理體系 要求

(Information security management systems Requirements)

-ISO/IEC 27002：信息安全管理體系 信息安全控制實踐指南

(Codeof practice for information security controls)

-ISO/IEC 27003：信息安全管理體系實施指南

(Information security managenent system im-plementation guidance)

-ISO/IEC 27004：信息安全管理 測量

(Information security management—Measurement)

ISO/IEC 27005：信息安全風(fēng)險管理

(Information security risk management)

-ISO/IEC 27006：信息安全管理體系審核認(rèn)證機構(gòu)的要求

(Requirements for bodies providing audit and certification of information security management systems)

-ISO/IEC 27007：信息安全管理體系審核指南

(Guidelines for information security management systems auditing)

-ISO/IECTR 27008 ：信息安全控制措施審核員指南

(Guidelines for auditors on information security controls)

-ISO/IEC 27009：ISO/IEC27001的行業(yè)特定應(yīng)用 要求

(Sector-specificapplication of ISO/IEC 27001-Requirements)

-ISO/IEC 27010：行業(yè)間和組織間通信的信息安全管理

(Information security management for inter-sector and inter-organizational communications)

-ISO/IEC 27011：基于ISO/IEC27002的電信組織信息安全管理指南

(Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002)

-ISO/IEC 27013：ISO/IEC 27001和ISO/IEC 20000-1綜合實施指南

(Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)

-ISO/IEC 27014：信息安全治理

(Governance of information security)

-ISO/IEC TR 27015：金融服務(wù)信息安全管理指南

(Information security management guideLines for financial services)

-ISO/IEC TR 27016：信息安全管理 組織經(jīng)濟學(xué)

(Information security management-Organizational economics)

-ISO/IEC 27017：基于ISO/IEC 27002的云服務(wù)信息安全控制實踐指南

(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)

ISO/IEC 27018：可識別個人信息(PII)處理者在公有云中保護PII的實踐指南

(Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors)

ISO/IEC 27019：基于ISO/IEC 27002的能源供給行業(yè)過程控制系統(tǒng)信息安全管理指南

(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry)

我國的網(wǎng)絡(luò)安全等級保護是充分借鑒國外優(yōu)秀經(jīng)驗的基礎(chǔ)上，創(chuàng)新發(fā)展而來。然而，若要充分理解等級保護需要對國內(nèi)外安全標(biāo)準(zhǔn)發(fā)展以及我國標(biāo)準(zhǔn)發(fā)展有一定的了解，很多安全要求在某一個標(biāo)準(zhǔn)中相對是孤立的，而其定義或要求內(nèi)在的含義卻需要在其他標(biāo)準(zhǔn)里去尋找。有些標(biāo)準(zhǔn)解決某項內(nèi)容的有無，而有無之后還涉及到一個質(zhì)量標(biāo)準(zhǔn)，那么質(zhì)量標(biāo)準(zhǔn)則由另一個標(biāo)準(zhǔn)給出。另外，有些術(shù)語在一個標(biāo)準(zhǔn)中，是未進行詮釋是需要到另外標(biāo)準(zhǔn)中尋找答案，切不可望文生義。

如27000系列之ISO/IEC 27000專門講詞匯，在其他27000系列標(biāo)準(zhǔn)中可能就不在專門提及其定義，在這個過程中若不看ISO/IEC 27000.就容易犯望文生義的毛病。這個毛病我個人犯過，相信有部分朋友也犯過。

參考文件：

GB/T25067—2020/ISO/IEC27006:2015

GB/T 19716-2005

GB/T 22080、22081等系列標(biāo)準(zhǔn)

ISO官網(wǎng)等

網(wǎng)絡(luò)安全等級保護：什么是關(guān)鍵信息基礎(chǔ)設(shè)施

網(wǎng)絡(luò)安全等級保護：什么是等級保護？

信息安全標(biāo)準(zhǔn)體系思維導(dǎo)圖

1994-2017等級保護政策及法律發(fā)展歷程

一起簡單了解一下美國TCSEC分類及分級

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202112/ccaa_32716.html