网络安全等级保护:哪些国家标准等同国际ISO 27000标准?
在昨天的公众号中,我们提到了有关等同标准。因为ISO 27000系列挂着个“国际”的名号,对于不太了解国标的朋友很容易被唬住,好像是非常难以理解的东西。这个,在我工作中已经和众多安全从业人员甚至单位领导接触中深有体会,而在我和冀老师交流中,我曾给冀老师说过我在整理国标中等同27000相关标准的事情,说来这已经是三年前的事情了。从中,也看到我的拖延症有多严重!可能了解过27000系列的人都知道,27000系列是以信息安全管理体系标准族(InformationSecurity Management System,简称ISMS标准族)作为国际信息安全技术标准化组织(ISO/IECJTCl SC27)制定的信息安全管理体系系列国际标准。根据我初步整理的国家标准,我做了一个简单列表,左侧为国家标准,右侧为ISO 27000系列标准。由于个人属于脚踩西瓜皮,加之精力有限,仓促整理,应该不是太全面。只是通过这种方式,期盼大家更加容易的去理解27000系列,破除迷信让每一个看到该文的朋友不在感到神秘。当然,我并不是否认标准的价值以及理解难度,只是希望大家别纠结27000这个词。在表格后,我将根据整理的内容简单介绍信息安全管理体系标准族以及27000系列的知识。
表格如下,供大家参考。国家标准等同国际标准GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000)GB/T 22080 信息技术 安全技术 信息安全管理体系要求(ISO/IEC 27001)GB/T 22081 信息技术 安全技术 信息安全管理实用规则(ISO/IEC 27002)GB/T 31496 信息技术 安全技术 信息安全管理体系实施指南(ISO/IEC 27003)GB/T 31497 信息技术 安全技术 信息安全管理测量(ISO/IEC 27004)GB/T 31722 信息技术 安全技术 信息安全管理风险(ISO/IEC 27005)GB/T 25067 信息技术 安全技术 信息安全管理体系审核认证机构的要求(ISO/IEC 27006)GB/T 38631 信息技术 安全技术 GBT22080具体行业应用要求 (ISO/IEC 27009)
信息安全管理体系标准族从BS 7799到ISO 17799再到今天我们谈ISO 27000系列,他是一个变化发展的过程,变化发展是基于原来的优秀经验创新发展的。在有关材料中介绍,我国的等级保护1.0充分借鉴了ISO 17799这个国际标准,现在等级保护2.0阶段的安全管理制度要求,是在1.0的基础进行了优化,这么你也可以理解我国等级保护制度在管理制度测评中,是充分借鉴了ISO 27000标准的。但是,27000是一个系列标准族系,完全借鉴也是不太现实的。我们通过整理的材料,简单介绍一下27000系列部分标准的名称。其在《信息技术 安全技术》通用标题下,ISMS标准族,我们按照按标准号排序,由下列标准组成:注:以下第一行为冒号前为标准号,冒号后为中文翻译名称,通过加粗字体显示,第二行为英文名称。 -ISO/IEC 27000:信息安全管理体系 概述和词汇(Information security management systems Overview and vocabulary)-ISO/IEC 27001:信息安全管理体系 要求(Information security management systems Requirements)-ISO/IEC 27002:信息安全管理体系 信息安全控制实践指南(Codeof practice for information security controls)-ISO/IEC27003:信息安全管理体系实施指南(Information security managenent system im-plementation guidance)-ISO/IEC27004:信息安全管理 测量(Information security management—Measurement)ISO/IEC27005:信息安全风险管理(Information security risk management)-ISO/IEC27006:信息安全管理体系审核认证机构的要求(Requirements for bodies providing audit and certification of information security management systems)-ISO/IEC27007:信息安全管理体系审核指南(Guidelines for information security management systems auditing)-ISO/IECTR:27008 信息安全控制措施审核员指南(Guidelines for auditors on information security controls)-ISO/IEC 27009:ISO/IEC27001的行业特定应用 要求(Sector-specificapplication of ISO/IEC 27001-Requirements)-ISO/IEC27010:行业间和组织间通信的信息安全管理(Information security management for inter-sector and inter-organizational communications)-ISO/IEC27011:基于ISO/IEC27002的电信组织信息安全管理指南(Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002)-ISO/IEC 27013:ISO/IEC 27001和ISO/IEC 20000-1综合实施指南(Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)-ISO/IEC 27014:信息安全治理(Governance of information security)-ISO/IEC TR 27015:金融服务信息安全管理指南(Information security management guideLines for financial services)-ISO/IEC TR 27016:信息安全管理 组织经济学(Information security management-Organizational economics)-ISO/IEC 27017:基于ISO/IEC 27002的云服务信息安全控制实践指南(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)ISO/IEC 27018:可识别个人信息(PII)处理者在公有云中保护PII的实践指南(Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors)ISO/IEC 27019:基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry)我国的网络安全等级保护是充分借鉴国外优秀经验的基础上,创新发展而来。然而,若要充分理解等级保护需要对国内外安全标准发展以及我国标准发展有一定的了解,很多安全要求在某一个标准中相对是孤立的,而其定义或要求内在的含义却需要在其他标准里去寻找。有些标准解决某项内容的有无,而有无之后还涉及到一个质量标准,那么质量标准则由另一个标准给出。另外,有些术语在一个标准中,是未进行诠释是需要到另外标准中寻找答案,切不可望文生义。如27000系列之ISO/IEC 27000专门讲词汇,在其他27000系列标准中可能就不在专门提及其定义,在这个过程中若不看ISO/IEC 27000,就容易犯望文生义的毛病。这个毛病既是我个人犯过的毛病,相信也有很多人见过望文生义却自以为是高手吧。网络安全等级保护:网络安全等级保护和信息安全技术国家标准列表网络安全等级保护:网络安全等级保护与关键信息基础设施保护五个环节网络安全等级保护:什么是关键信息基础设施网络安全等级保护:什么是等级保护?