2021年ISO/IEC 27000标准族的进展1）

谢宗晓 董坤祥 甄杰

信息安全管理系列之七十二

自2017年开始，我们在每年的年初，都会介绍过去一年中ISO/IEC 27000标准族的开发进展情况，在下文中，我们按照相同的架构介绍2021年ISO/IEC 27000标准族的进展。

谢宗晓（特约编辑）

摘要：介绍了ISO/IEC 27000标准族的最新开发进展，尤其是2020年改版和新增的标准。

关键词：ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Development of ISO/IEC 27000 Standards Family in 2021

Xie Zongxiao （China Financial Certification Authority）

Dong Kunxiang （Shandong University of Finance and Economics）

Zhen Jie （Chongqing Technology and Business University）

Abstract： This paper introduces the latest development of ISO/IEC 27000 standards family， especially the revision and new standards in 2021.

Key words：  ISO/IEC 27000， ISO/IEC 27001， ISO/IEC 27002

1 ISO/IEC 27000 信息安全管理體系 概述与词汇

现行版本为ISO/IEC 27000：2018，第5版。在2021年该标准无变化。

对应的现行国家标准为GB/T 29246—2017 / ISO/IEC 27000： 2016，其中ISO/IEC 27000： 2016为第4版。

2 ISO/IEC 27001 信息安全管理体系 要求

现行版本为2013年发布的第2版，之后发布有ISO/IEC 27001：2013/Cor 1：2014和ISO/IEC 27001：2013/Cor 2：2015。在2021年该标准无变化。

ISO/IEC 27001：2013被等同采用为GB/T 22080—2016。

3 ISO/IEC 27002 信息安全控制实践指南

现行版本为2013年发布的第2版，之后发布有ISO/IEC 27002：2013/Cor 1：2014和ISO/IEC 27002：2013/Cor 2：2015。在2021年该标准无变化。

ISO/IEC 27002： 2013被等同采用为GB/T 22081—2016。

4 ISO/IEC 27003 信息安全管理体系 指南

现行版本依然为2017年3月发布的第2版。在2021年该标准无变化。

对应的现行国家标准版本为：GB/T 31496—2015 / ISO/IEC 27003：2010。

5 ISO/IEC 27004 信息安全管理 监视、测量、分析和评价

现行版本为2016年12月发布的第2版。在2021年该标准无变化。

对应的现行国家标准版本为：GB/T 31497—2015 / ISO/IEC 27004：2009。

6 ISO/IEC 27005 信息安全风险管理

现行版本为2018年7月发布的第3版。在2021年该标准无变化。

对应的现行国家标准版本为GB/T 31722—2015 / ISO/IEC 27005：2008。

7 ISO/IEC 27006 信息安全管理体系审核和认证机构要求

现行版本为2015版，第3版，之后发布有ISO/IEC 27006：2015/Amd 1：2020。

对应的现行国家标准为GB/T 25067—2020/ISO/IEC 27006：2015。

目前新发布ISO/IEC TS 27006-2：2021《信息安全管理体系审核和认证机构要求 第2部分：隐私信息管理体系》。该部分尚未采标。

8 ISO/IEC 27007 信息安全管理体系审核指南

现行版本为2020年1月发布的第3版。在2021年该标准无变化。

对应的国家标准为GB/T 28450—2020/ISO/IEC 27007：2017。

9 ISO/IEC TS 27008 信息安全控制评估指南

现行版本为2019年1月发布的第1版。该标准在2021年无变化。

10 ISO/IEC 27009 特定行业应用ISO/IEC 27001 要求

现行版本为2020年4月发布的第2版，之前版本为2016版。该标准在2021年无变化。

11 ISO/IEC 27010 信息安全管理跨行业和跨组织的通信

现行版本为2015年发布的第2版，在2021年无变化。

对应的现行国家标准为GB/T 32920—2016 / ISO/IEC 27010：2012。

12 ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实用规则

现行版本为2016版，第2版，之前有2008版。发布有ISO/IEC 27011：2016 / Cor 1：2018。

13 ISO/IEC 27013 信息安全管理体系与服务管理整合

现行版本为2021年11月发布的第3版。之前发布有2016年的第2版。

14 ISO/IEC 27014 信息安全治理

现行版本为2020年12月发布的第2版。之前发布有2013年的第1版。

对应的现行国家标准为GB/T 32923—2016 / ISO/IEC 27014：2013。

15 ISO/IEC TR 27016 信息安全管理 组织经济学

现行版本为2014发布的第1版，在2021年无变化。

16 ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实用规则

现行版本为2015年发布的第1版，在2021年无变化。

17 ISO/IEC 27018 公有云中作为个人身份信息处理者保护个人身份信息的实用规则

现行版本为2019年1月发布的第2版，在2021年无变化。

18 ISO/IEC 27019 能源公共事业行业的信息安全控制

现行版本为2017年10月发布的第1版，之前发布有ISO/IEC TR 27019：2013。

19 ISO/IEC 27021 信息安全管理体系专业人员能力要求

现行版本为2017年10月发布的第1版，在2021年度发布有ISO/IEC 27021：2017 / AMD1：2021。

20 ISO/IEC TS 27022 信息技术 信息安全管理体系过程指南

新增标准，发布于2021年3月，第1版。

21 ISO/IEC TR 27023 ISO/IEC 27001与ISO/IEC 27002版本映射

现行版本是发布于2015年7月的第1版。在2021年无变化。

22 ISO/IEC 27031 ICT业务连续性指南

现行版本为发布于2011年的第1版。在2021年无變化。

23 ISO/IEC 27032 网络空间安全

现行版本为发布于2012年的第1版。在2021年无变化。

24 ISO/IEC 27033 网络安全

由于ISO/IEC 27033之前为较为成熟的ISO/IEC 18028系列，在近两年，其中的6个部分，均没有大的变化，说明该标准开发也比较成熟了。

25 ISO/IEC 27034 应用安全

ISO/IEC 27034有7部分，其中：ISO/IEC 27034-1、ISO/IEC 27034-2和ISO/IEC 27034-3均无变化;ISO/IEC 27034-5、ISO/IEC 27034-6和ISO/IEC 27034-7均无变化;ISO/IEC TS 27034-5-1在2021年也无变化。

26 ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035的前2部分，现行版本都为2016年发布。第3部分，现行版本为2020年发布。以上部分在2021年都无变化。

27 ISO/IEC 27036 供应商关系中的信息安全

ISO/IEC 27036一共有4部分，在2021年都无变化。

28 ISO/IEC 27037 数字证据识别、收集、获取与保护指南

现行版本为2012版。在2021年无变化。

29 ISO/IEC 27038 数字编校指南

现行版本为2014版。在2021年无变化。

30 ISO/IEC 27039 入侵检测系统的选择、部署和操作

现行版本为2015版。在2021年无变化。

31 ISO/IEC 27040 存储安全

现行版本为2015版。在2021年无变化。

32 ISO/IEC 27041 事件调查方法的适宜性与充分性保证指南

现行版本为2015版。在2021年无变化。

33 ISO/IEC 27042 数字证据分析与解释指南

现行版本为2015版。在2021年无变化。

34 ISO/IEC 27043 事件调查原则与过程

现行版本为2015版。在2021年无变化。

35 ISO/IEC 27050 电子数据取证

ISO/IEC 27050分为4部分，其中：

· 现行版本ISO/IEC 27050-1：2019，第2版，无变化，之前为2016年版本。

· 现行版本为ISO/IEC 27050-2：2018，无变化;

· 现行版本为ISO/IEC 27050-3：2020，第2版，无变化，之前为2017年版本。

· 2021年4月发布ISO/IEC 27050-4：2021技术准备。

36 ISO/IEC 27070 建立虚拟信任根要求

新增标准，发布于2021年12月。

37 ISO/IEC TS 27100 信息技术 网络安全 概述与词汇

新增标准，发布于2021年12月。

38 ISO/IEC 27102 信息安全管理 网络保险指南

现行标准发布于2019年8月，第1版。在2021年无变化。

39 ISO/IEC TR 27103 网络安全与ISO及IEC标准

现行标准在2018年2月发布，第1版。在2021年无变化。

40 ISO/IEC TS 27110 信息技术、网络安全和隐私保护 网络安全框架开发指南

新增标准，发布于2021年12月。

41 ISO/IEC 27550 系统生命周期过程的隐私工程

现行标准发布于2019年9月，第1版，隐私类标准。在2021年无变化。

42 ISO/IEC 27551 信息技术、网络安全和隐私保护 基于属性的不可链接实体鉴别要求

新增标准，发布于2021年9月。

43 ISO/IEC 27555 信息技术、网络安全和隐私保护 个人可识别信息（PII）删除指南

新增标准，发布于2021年10月。

44 ISO/IEC TS 27570 隐私保护 智慧城市隐私指南

新增标准，发布于2021年1月。

45 ISO/IEC 27701 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南

现行标准发布于2019年8月。在2021年无变化。

46 ISO 27799 应用ISO/IEC 27002的健康信息安全管理

ISO 27799最新版为2016年发布的第2版，之前版本为2008版，在2021年无变化。

综上所述，2021年ISO/IEC 27000标准族，有效的标准及其版本如表1所示。