27000信息安全管理體系標(biāo)準(zhǔn)族及對(duì)應(yīng)國(guó)標(biāo)

在昨天的公眾號(hào)中，我們提到了有關(guān)等同標(biāo)準(zhǔn)。因?yàn)?a href="http://www.1cjaei.cn/zs/201908/ccaa_2272.html" target="_blank">ISO 27000系列掛著個(gè)“國(guó)際”的名號(hào)，對(duì)于不太了解國(guó)標(biāo)的朋友很容易被唬住，好像是非常難以理解的東西。這個(gè)，在我工作中已經(jīng)和眾多安全從業(yè)人員甚至單位領(lǐng)導(dǎo)接觸中深有體會(huì)，而在我和冀老師交流中，我曾給冀老師說(shuō)過(guò)我在整理國(guó)標(biāo)中等同27000相關(guān)標(biāo)準(zhǔn)的事情，說(shuō)來(lái)這已經(jīng)是三年前的事情了。從中，也看到我的拖延癥有多嚴(yán)重!

在國(guó)家標(biāo)準(zhǔn)中，強(qiáng)制標(biāo)準(zhǔn)冠以“GB”。推薦標(biāo)準(zhǔn)冠以“GB/T”。 指導(dǎo)性國(guó)家標(biāo)準(zhǔn)(GB/Z)，“Z”在此讀“指”。與很多ISO國(guó)際標(biāo)準(zhǔn)相比，很多國(guó)家標(biāo)準(zhǔn)等同采用(IDT，identical to 其他標(biāo)準(zhǔn))、修改采用(MOD，modified in relation to 其他標(biāo)準(zhǔn);2000年以前稱(chēng)作“等效采用，EQV, equivalent to 其他標(biāo)準(zhǔn))或非等效采用(NEQ，not equivalent to 其他標(biāo)準(zhǔn))。還有常見(jiàn)的“采標(biāo)”是“采用國(guó)際標(biāo)準(zhǔn)的簡(jiǎn)稱(chēng)”。所以，因?yàn)槭遣捎脟?guó)際標(biāo)準(zhǔn)，涉及到版權(quán)，我們?cè)诓橄嚓P(guān)國(guó)標(biāo)時(shí)，官方正規(guī)渠道是不允許預(yù)覽的。

根據(jù)查閱資料，IDT是英文“identical”的縮寫(xiě)是“等同”的意思，就是國(guó)家標(biāo)準(zhǔn)等同于國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改。所謂編輯性修改，是指不改變標(biāo)準(zhǔn)技術(shù)的內(nèi)容的修改，如糾正排版或印刷錯(cuò)誤，標(biāo)點(diǎn)符號(hào)的改變，增加不改變技術(shù)內(nèi)容的說(shuō)明、指示等。

IDT等同采用就是指國(guó)家標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)相同，不做或稍作編輯性修改。如GB/T 29246-2017/ISO/IEC 27000：2016(ISO/IEC 27000：2016.IDT)，也就是GB/T  29246-2017等同于ISO/IEC 27000：2016.也就是國(guó)際標(biāo)準(zhǔn)ISO 27000其實(shí)就是我國(guó)國(guó)標(biāo)GB/T  29246.

另外一個(gè)詞MOD英文“modified”的縮寫(xiě)是“修改”的意思，修改采用的國(guó)標(biāo)與國(guó)際標(biāo)準(zhǔn)之間是存在技術(shù)性差異的，在標(biāo)準(zhǔn)中會(huì)表明差異以及解釋差異產(chǎn)生的原因，修改采用不包括保留國(guó)際標(biāo)準(zhǔn)中少量或者不重要的條款的情況，可以理解成有增刪情況。如GB/T 28454-2020 信息技術(shù) 安全技術(shù) 入侵檢測(cè)和防御系統(tǒng)(IDPS)的選擇、部署和操作即ISO/IEC 27039:2015.MOD。其中前言部分說(shuō)明“本標(biāo)準(zhǔn)與ISO/IEC 27039:2015相比，在結(jié)構(gòu)上增加了第2章“規(guī)范性應(yīng)用文件”和第4章“縮略語(yǔ)”，將7.3.1和7.3.2的內(nèi)容進(jìn)行調(diào)序。……”

可能了解過(guò)27000系列的人都知道，27000系列是以信息安全管理體系標(biāo)準(zhǔn)族(InformationSecurity Management System，簡(jiǎn)稱(chēng)ISMS標(biāo)準(zhǔn)族)作為國(guó)際信息安全技術(shù)標(biāo)準(zhǔn)化組織(ISO/IECJTCl SC27)制定的信息安全管理體系系列國(guó)際標(biāo)準(zhǔn)。根據(jù)我初步整理的國(guó)家標(biāo)準(zhǔn)，我做了一個(gè)簡(jiǎn)單列表，左側(cè)為國(guó)家標(biāo)準(zhǔn)，右側(cè)為ISO 27000系列標(biāo)準(zhǔn)。

由于個(gè)人屬于腳踩西瓜皮，加之精力有限，倉(cāng)促整理，應(yīng)該不是太全面。只是通過(guò)這種方式，期盼大家更加容易的去理解27000系列，破除迷信讓每一個(gè)看到該文的朋友不在感到神秘。當(dāng)然，我并不是否認(rèn)標(biāo)準(zhǔn)的價(jià)值以及理解難度，只是希望大家別糾結(jié)27000這個(gè)詞。在表格后，我將根據(jù)整理的內(nèi)容簡(jiǎn)單介紹信息安全管理體系標(biāo)準(zhǔn)族以及27000系列的知識(shí)。

表格如下，供大家參考。

信息安全管理體系標(biāo)準(zhǔn)族

從BS 7799兩部分分別發(fā)展成為ISO 17799和ISO 27001系列，他是一個(gè)變化發(fā)展的過(guò)程，變化發(fā)展是基于原來(lái)的優(yōu)秀經(jīng)驗(yàn)創(chuàng)新發(fā)展的。

我們通過(guò)整理的材料，簡(jiǎn)單介紹一下27000系列部分標(biāo)準(zhǔn)的名稱(chēng)。其在《信息技術(shù) 安全技術(shù)》通用標(biāo)題下，ISMS標(biāo)準(zhǔn)族，我們按照按標(biāo)準(zhǔn)號(hào)排序，由下列標(biāo)準(zhǔn)組成：

注：以下第一行為冒號(hào)前為標(biāo)準(zhǔn)號(hào)，冒號(hào)后為中文翻譯名稱(chēng)，通過(guò)加粗字體顯示，第二行為英文名稱(chēng)。

-ISO/IEC 27000：信息安全管理體系 概述和詞匯

(Information security management systems Overview and vocabulary)

-ISO/IEC 27001：信息安全管理體系 要求

(Information security management systems Requirements)

-ISO/IEC 27002：信息安全管理體系 信息安全控制實(shí)踐指南

(Codeof practice for information security controls)

-ISO/IEC 27003：信息安全管理體系實(shí)施指南

(Information security managenent system im-plementation guidance)

-ISO/IEC 27004：信息安全管理 測(cè)量

(Information security management—Measurement)

ISO/IEC 27005：信息安全風(fēng)險(xiǎn)管理

(Information security risk management)

-ISO/IEC 27006：信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

(Requirements for bodies providing audit and certification of information security management systems)

-ISO/IEC 27007：信息安全管理體系審核指南

(Guidelines for information security management systems auditing)

-ISO/IECTR 27008 ：信息安全控制措施審核員指南

(Guidelines for auditors on information security controls)

-ISO/IEC 27009：ISO/IEC27001的行業(yè)特定應(yīng)用 要求

(Sector-specificapplication of ISO/IEC 27001-Requirements)

-ISO/IEC 27010：行業(yè)間和組織間通信的信息安全管理

(Information security management for inter-sector and inter-organizational communications)

-ISO/IEC 27011：基于ISO/IEC27002的電信組織信息安全管理指南

(Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002)

-ISO/IEC 27013：ISO/IEC 27001和ISO/IEC 20000-1綜合實(shí)施指南

(Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)

-ISO/IEC 27014：信息安全治理

(Governance of information security)

-ISO/IEC TR 27015：金融服務(wù)信息安全管理指南

(Information security management guideLines for financial services)

-ISO/IEC TR 27016：信息安全管理 組織經(jīng)濟(jì)學(xué)

(Information security management-Organizational economics)

-ISO/IEC 27017：基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)踐指南

(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)

ISO/IEC 27018：可識(shí)別個(gè)人信息(PII)處理者在公有云中保護(hù)PII的實(shí)踐指南

(Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors)

ISO/IEC 27019：基于ISO/IEC 27002的能源供給行業(yè)過(guò)程控制系統(tǒng)信息安全管理指南

(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry)

我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)是充分借鑒國(guó)外優(yōu)秀經(jīng)驗(yàn)的基礎(chǔ)上，創(chuàng)新發(fā)展而來(lái)。然而，若要充分理解等級(jí)保護(hù)需要對(duì)國(guó)內(nèi)外安全標(biāo)準(zhǔn)發(fā)展以及我國(guó)標(biāo)準(zhǔn)發(fā)展有一定的了解，很多安全要求在某一個(gè)標(biāo)準(zhǔn)中相對(duì)是孤立的，而其定義或要求內(nèi)在的含義卻需要在其他標(biāo)準(zhǔn)里去尋找。有些標(biāo)準(zhǔn)解決某項(xiàng)內(nèi)容的有無(wú)，而有無(wú)之后還涉及到一個(gè)質(zhì)量標(biāo)準(zhǔn)，那么質(zhì)量標(biāo)準(zhǔn)則由另一個(gè)標(biāo)準(zhǔn)給出。另外，有些術(shù)語(yǔ)在一個(gè)標(biāo)準(zhǔn)中，是未進(jìn)行詮釋是需要到另外標(biāo)準(zhǔn)中尋找答案，切不可望文生義。

如27000系列之ISO/IEC 27000專(zhuān)門(mén)講詞匯，在其他27000系列標(biāo)準(zhǔn)中可能就不在專(zhuān)門(mén)提及其定義，在這個(gè)過(guò)程中若不看ISO/IEC 27000.就容易犯望文生義的毛病。這個(gè)毛病我個(gè)人犯過(guò)，相信有部分朋友也犯過(guò)。

參考文件：

GB/T25067—2020/ISO/IEC27006:2015

GB/T 19716-2005

GB/T 22080、22081等系列標(biāo)準(zhǔn)

ISO官網(wǎng)等

網(wǎng)絡(luò)安全等級(jí)保護(hù)：什么是關(guān)鍵信息基礎(chǔ)設(shè)施

網(wǎng)絡(luò)安全等級(jí)保護(hù)：什么是等級(jí)保護(hù)？

信息安全標(biāo)準(zhǔn)體系思維導(dǎo)圖

1994-2017等級(jí)保護(hù)政策及法律發(fā)展歷程

一起簡(jiǎn)單了解一下美國(guó)TCSEC分類(lèi)及分級(jí)

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202112/ccaa_32716.html