ISOIEC27000标准族-ISO27001关联体系

本文链接：https://blog.csdn.net/qq_29277155/article/details/80026108

0x01 技术要求

1 ISO/IEC 27031 ICT的业务连续性

ISO/IEC 27031 提供了 ICT 业务连续性概念及基本原则，对应到 ISO/IEC 27001 ：2013 的 A.17 业务连续性管理的信息安全方面。
ISO/IEC 27031 发布于 2011 年，与 ISO 22301 ：2012 联系紧密。目前版本信息为：ISO/IEC 27031 ：2011 Information technology—Security techniques—Guidelines for informationand communication technology readiness for businesscontinuity（《信息技术安全技术 ICT 业务连续性指南》）
如果不加限定词，业务连续性包括了很大的范畴，更广义的业务连续性的国际标准，如上文中的ISO 22301。
ISO 22301 ：2012 Societal security—Businesscontinuity management systems—Requirements（《社会安全业务连续性管理体系要求》）

ISO 22301 ：2012 是值得一读的标准，这个标准有一个“0.2 The Plan-Do-Check-Act （PDCA） model”非常精彩。ISO 22301 ：2012 与 ISO/IEC Directives,Part 1 3）保持了一致，当时，ISO/IEC 27001 还是 2005版，采用的 PDCA 模型。ISO 22301 ：2012 用了一节与 ISO/IEC 27001 ：2005 的 PDCA 框架进行了对应，为的是与管理体系标准族加强兼容。ISO 22301 ：2012 与 ISO/IEC 27001 ：2013 正文都是根据 ISO/IECDirectives, Part 1，且要比 ISO/IEC 27001 ：2013 出版得早。

2 ISO/IEC 27032 网络空间安全

ISO/IEC 27032 对网络安全 / 网络空间安全提供了指导，目前最新版本为：
ISO/IEC 27032 ：2012 Information technology—Security techniques —Guidelines for cybersecurity（《信息技术安全技术网络安全指南》）更多资料，可参考《网络空间安全管理》，其中有对ISO/IEC 27032 ：2012 的详细介绍。

3 ISO/IEC 27033 网络安全

ISO/IEC 27033 为网络安全，在 ISO/IEC 27001 ：2013 中对应到 A.13.1 网络安全管理，但在其中描述得非常简单。分别为：
ISO/IEC 27033-1 ：2015 Information technology—Security techniques—Network security—Part 1 ：Overview and concepts（《信息技术安全技术网络安全第 1 部分：综述和概念》）
ISO/IEC 27033-2 ：2012 Information technology—Security techniques—Network security—Part 2 ：Guidelines for the design and implementation of networksecurity（《信息技术安全技术网络安全第 2 部分：网络安全的设计与实现指南》）
ISO/IEC 27033-3 ：2010 Information technology—Security techniques—Network security—Part 3 ：Reference networking scenarios—Threats, designtechniques and control issues（《信息技术安全技术网络安全第 3 部分：参考网络方案威胁、设计技术和控制问题》）
ISO/IEC 27033-4 ：2014 Information technology—Security techniques—Network security—Part 4 ：Securing communications between networks usingsecurity gateways（《信息技术安全技术网络安全第 4 部分：使用安全网关保护网络之间的通信》）
ISO/IEC 27033-5 ：2013 Information technology—Security techniques—Network security—Part 5 ：Securing communications across networks using VirtualPrivate Networks （VPNs）（《信息技术安全技术网络安全第 5 部分：使用虚拟专用网的跨网通信安全保护》）
ISO/IEC 27033-6 ：2016 Information technology—Security techniques—Network security—Part 6 ：Securing wireless IP network access（《信息技术安全技术网络安全第 6 部分：无线 IP 网络访问保护》）

4 ISO/IEC 27034 应用安全

ISO/IEC 27034 为应用安全，在 ISO/IEC 27001 ：2013 中对应到 A.14 系统获取、开发和维护。

ISO/IEC 27034一共有7部分，已经公布的有3个，还有 4 个正在开发中。

公布的部分有：

ISO/IEC 27034-1 ：2011 Information technology—Security techniques—Application security—Part 1 ：Overview and concepts（《信息技术安全技术应用安全第 1 部分：综述与概念》）
ISO/IEC 27034-1 发布于 2011 年，当时的设计只有 5 部分，在其前言中，ISO/IEC 27034-6 和 ISO/IEC 27034-7 没有列入。
ISO/IEC 27034-2 ：2015 Information technology—Security techniques—Application security—Part 2 ：Organization normative framework（《信息技术安全技术应用安全第 2 部分：组织规范性框架》）
ISO/IEC 27034-6 ：2016 Information technology—Security techniques—Application security—Part 6 ：Case studies（《信息技术安全技术应用安全第6 部分：案例研究》）

目前正在开发的有：
ISO/IEC 27034-3 Information technology—Securitytechniques—Application security—Part 3 ：Applicationsecurity management process（《信息技术安全技术应用安全第 3 部分：应用安全管理过程》）
ISO/IEC 27034-4 Information technology—Security techniques—Application security—Part 4 ：Application security validation（《信息技术安全技术应用安全第 4 部分：应用安全验证》）
ISO/IEC 27034-5 Information technology—Security techniques—Application security—Part 5 ：Protocols and application security control data structure（《信息技术安全技术应用安全第 5 部分：协议与应用安全控制数据结构》）
ISO/IEC 27034-7 Information technology—Security techniques—Application security—Part 7 ：Application security assurance prediction framework（《信息技术安全技术应用安全第 7 部分：应用安全保障预测框架》）
ISO/IEC 27034 与 SDLC 6）进行了整合，建立了一个基于过程的方法，为定义、设计 / 选择实施信息安全控制提供了指导，适用于信息系统的内部开发、外部获取或外包等所有情形。这个标准与软件开发联系紧密。

5 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035 为信息安全事件管理，在 ISO/IEC 27001 ：2013 中为 A.16 信息安全事件管理。该标准之前为 ISO/IEC-TR-18044，发布于 2004 年，应用广泛。被修改采用为 GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》，可以作为参考。

现在ISO/IEC 27035 分成了 2 部分，分别为：
ISO/IEC 27035-1 ：2016 Information technology—Security techniques—Information security incidentmanagement—Part 1：Principles of incidentmanagement（《信息技术安全技术信息安全事件管理第 1 部分：事件管理原则》）
ISO/IEC 27035-2 ：2016 Information technology—Security techniques—Information security incidentmanagement—Part 2 ：Guidelines to plan and prepare forincident response（《信息技术安全技术信息安全事件管理第 2 部分：事件响应规划与准备指南》）

6 ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036 为供应商关系信息安全，在 ISO/IEC 27001 ：2013 中为 A.15 供应商关系。
该标准一共有4 部分，具体为：
ISO/IEC 27036-1 ：2014 Information technology—Security techniques—Information security for supplierrelationships—Part 1 ：Overview and concepts（《信息技术安全技术供应商关系中的信息安全第 1部分：综述和概念》）ISO/IEC 27036-2 ：2014Informationtechnology—Security techniques—Information securityfor supplier relationships—Part 2 ：Requirements（《信息技术安全技术供应商关系中的信息安全第 2部分：要求》）
ISO/IEC 27036-3 ：2013 Information technology—Security techniques—Information security for supplierrelationships—Part 3 ：Guidelines for information andcommunication technology supply chain security ICT（《信息技术安全技术供应商关系中的信息安全第3部分：供应链安全指南》）
ISO/IEC 27036-4 ：2016 Information technology—Security techniques—Information security for supplierrelationships—Part 4 ：Guidelines for security of cloudservices（《信息技术安全技术供应商关系中的信息安全第 4 部分：云服务安全指南》）
ISO/IEC 27036 所讨论的供应商关系中的信息安全是一个单独的领域，可以参考《中国标准导报》信息安全管理系列的相关文章。

7 ISO/IEC 27037 数字证据识别、收集、获取与保护

从ISO/IEC 27037 开始的后面这些标准，都比较细分领域，不太容易与 ISO/IEC 27001 ：2013 的附录A 对应，如果一定要对应，可以到 A.16.1.7 证据的收集。
ISO/IEC 27037 ：2012 Information technology—Security techniques—Guidelines for identification，collection, acquisition and preservation of digitalevidence（《信息技术安全技术数字证据的识别、收集、获取与保护指南》）
后续如ISO/IEC 27050 等还有数个关于数字证据的标准。

8 ISO/IEC 27038 数字编校

许多文档可能需要公开，而这其中又有一些涉密的信息，文件编辑描述的是去除某些部分、句子或段落等。这个过程叫做“redaction”。这个问题有点小众。
目前的最新版本为：
ISO/IEC 27038 ：2014 Information technology—Security techniques—Specification for digital redaction（《信息技术安全技术数字编校规范》）
ISO/IEC 27038 ：2014 的标准架构跟别的不太一样，我们也没有跟踪过这个标准，因此不做进一步介绍，后续会跟进。
9 ISO/IEC 27039 入侵防御
ISO/IEC 27039是一类关于信息安全产品的标准，之后会陆续出现，只是 ISO/IEC 27039 是比较早以ISO/IEC 27000 标准族编号的。
在IDS 10）时代，ISO/IEC 27039 发布为：
ISO/IEC 18043 ：2006 Information technology—Security techniques—Selection, deployment andoperations of intrusion detection systems（注意，已弃用）ISO/IEC 18043 ：2006 被修改采用为：

GB/T 28454—2012《信息技术安全技术入侵检测系统的选择、部署和操作》

现在已经是IPS 11）时代，因此，最新更新的ISO/IEC 27039 版本为：
ISO/IEC 27039 ：2015 Information technology—Security techniques—Selection, deployment andoperations of intrusion detection and prevention systems（IDPS）（《信息技术安全技术入侵防御系统选择、部署和操作》）

10 ISO/IEC 27040 存储安全

ISO/IEC 27040 提供了定义恰当的风险减缓级别并应用充分证明和一致的方法来规划、设计、记录与实施数据存储安全的详细的技术指导。目前，最新的版本信息为：

ISO/IEC 27040 ：2015 Information technology—Security techniques—Storage security《信息技术安全技术存储安全》）

0X02 事件处置

11 ISO/IEC 27041 事件调查保障

ISO/IEC 27041 也是与事件管理相关的标准，其中：ISO/IEC 27043 ：2015 定义了事件调查的原则与过程，ISO/IEC 27035-2 提供了事件响应的准备与规划，ISO/IEC 27037 ：2012 和 ISO/IEC 27042 ：2015描述了事件调查过程。
ISO/IEC 27041 的最新版本为：
ISO/IEC 27041 ：2015 Information technology—Security techniques—Guidance on assuring suitabilityand adequacy of incident investigative method（《信息技术安全技术保障时间调查方法的适宜性与充分性指南》）

12 ISO/IEC 27042 数字证据分析与解释

ISO/IEC 27042 为分析和解释信息系统安全事件处理提供了一个通用的框架，目前版本信息为：

ISO/IEC 27042 ：2015 Information technology—Security techniques—Guidelines for the analysis andinterpretation of digital evidence（《信息技术安全技术数字证据分析与解释指南》）

13 ISO/IEC 27043 事件调查过程

ISO/IEC 27043 也是与事件调查相关的，提供了一般的原则与过程。最新的版本信息为：
ISO/IEC 27043 ：2015 Information technology—Security techniques—Incident investigation principlesand processes（《信息技术安全技术事件调查原则与过程》）

14 ISO/IEC 27050 电子举证

最后一个跟事件调查相关的标准，ISO/IEC27050 分为 4 部分，目前正式发布的只有第 1 部分，具体信息如下：
ISO/IEC 27050-1 ：2016 Information technology—Security techniques—Electronic discovery—Part 1 ：Overview and concepts （《信息技术安全技术电子举证第 1 部分：综述和概念》）
其他3 个正在开发的标准为：
ISO/IEC 27050-2 Information technology—Security techniques—Electronic discovery—Part 2 ：Guidance for governance and management of electronicdiscovery （《信息技术安全技术电子举证第 2部分：电子举证治理与管理指南》）
ISO/IEC 27050-3 Information technology—Security techniques—Electronic discovery—Part 3 ：Code of practice for electronic discovery （《信息技术安全技术电子举证第 3 部分：电子举证实用规则》）

ISO/IEC 27050-4 Information technology—Security techniques—Electronic discovery—Part 4 ：ICTreadiness for electronic discovery （《信息技术安全技术电子举证第 4 部分：电子举证准备》）

欢迎大家分享更好的思路，热切期待^^_^^ !