1.2　ISO/IEC 27000標準族

與信息安全管理體系的ISO 9000系列和環境管理體系的ISO 14000系列標準類似，ISO/IEC 27000是ISO衍生的一個信息安全管理標準族。ISO/IEC 27000標準系列包含十幾個“成員”，截至2018年12月，ISO/IEC 27000標準族中在用標準及其版本如表1.1所示。

ISO/IEC 27000標準族大致可以分為3類：第一類是ISO/IEC 27000至ISO/IEC 27008，這些標準是純粹關于ISMS的，從不同的方面定義了ISMS；第二類是ISO/IEC 27009至ISO/IEC 27030，包括了分行業應用，以及更外圍的方面，或者與其他體系的整合問題；第三類是ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如包括了信息安全事件管理和業務連續性管理等各個方面。圖1.3至圖1.5分別是這3類標準的大體架構。

ISO/IEC 27000標準族從行業、技術、應用等角度涵蓋了信息安全的方方面面，其中，ISO/IEC 27001具有核心作用，ISO/IEC 27000標準族中最主要的幾個標準如圖1.6所示。

下面針對這幾個核心標準做進一步介紹：

1．《信息技術　安全技術　信息安全管理體系　概述與詞匯》（ISO/IEC 27000）

ISO/IEC 27000主要介紹各種標準如何組合在一起，即各個標準的適用范圍、角色、功能和相互之間的關系，最新版本是2018年發布的第五版。ISO/IEC 27000：2018概述了信息安全管理系統（ISMS）和ISMS ISO/IEC 27001系列標準中常用的術語及定義，旨在適用于從跨國企業到中小企業等各種類型、各種規模的組織。

2．《信息技術　安全技術　信息安全管理體系　要求》（ISO/IEC 27001）

2005年10月，ISO/IEC 27001標準了發布第一版，主要提出了ISMS的基本要求，用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系提供模型。最新版本為2013年10月19日發布的ISO/IEC 27001：2013。2013版本使各個規模的企業、各個行業能夠順應信息管理領域的飛速變化與日益增加的復雜性，并從容應對網絡安全所面臨的新挑戰。2013版本充分考慮了與其他管理體系標準之間的融合問題，對風險管理與業務連續性管理等方面的問題也做了進一步考量。

是否建立信息安全管理體系是一個組織的戰略性決策，應當依據組織的業務需求和安全需求進行信息安全管理體系的設計和實施，但也會受到組織規模和結構的影響。ISO/IEC 27001標準可以用于評估組織是否滿足組織本身、顧客及法律法規的信息安全要求，也可以作為獨立第三方認證的依據。

3．《信息技術　安全技術　信息安全控制實踐指南》（ISO/IEC 27002）

ISO/IEC 27002標準源于ISO/IEC 17799：2005，于2007年4月實施。目前應用的版本是ISO/IEC 27002：2013版。

ISO/IEC 27002標準為在組織內啟動、實施、保持和改進信息安全管理提供指南和通用的原則。本標準為組織提供了有關信息安全管理通常公認的目標的通用指南，即通過對ISO/IEC 27000標準控制目標和控制措施的實施，以滿足組織對信息安全風險進行評估和識別的要求。

ISO/IEC 27000標準可以作為組織建設信息安全管理體系的實踐指南，標準包含的實施規則可視為組織具體指南的起點。需要注意的是，標準中的實施規則對于某一具體組織來說并非全部適用，而組織也可能會需要該標準中未包含的附加控制措施。如果建立了包括附加控制和指南的文件時，可對本標準適用的相關條款進行交叉引用，以方便核查符合性。

4．《信息技術　安全技術　信息安全管理體系實施指南》（ISO/IEC 27003）

ISO/IEC 27003標準第一版發布于2010年2月。ISO/IEC 27003標準為按照ISO/IEC 27001建立信息安全管理體系提供應用指南。ISO/IEC 27003標準最新版本是2017年3月發布的第二版。

5．《信息技術　安全技術　信息安全管理　測量》（ISO/IEC 27004）

ISO/IEC 27004標準第一版發布于2009年12月。ISO/IEC 27004標準旨在幫助組織測量、報告及系統性地改進其信息安全管理體系的有效性。ISO/IEC 27004標準為制定測量項、實施測量提供指南，用于評估信息安全管理體系及ISO/IEC 27001標準規定控制措施的實施效果。ISO/IEC 27004標準最新版本為2016年12月發布的第二版。

6．《信息技術　安全技術　信息安全風險管理》（ISO/IEC 27005）

ISO/IEC 27005標準第一版于2008年6月正式發布，該標準以BS 7799-3和ISO 13335為基礎，描述了信息安全風險管理的要求。ISO/IEC 27005標準可以用于風險評估、識別安全要求、支撐信息安全管理體系的建立和運行。ISO/IEC 27005標準于2018年7月發布了第三版。

7．《信息技術　安全技術　信息安全管理體系審核和認證機構要求》（ISO/IEC 27006）

ISO/IEC 27006標準第一版于2007年2月發布。ISO/IEC 27006標準針對信息安全管理體系的認證機構提出要求——所有提供ISMS認證服務的機構，需要按照ISO/IEC 27006標準的要求證明其認證的能力及可靠性。ISO/IEC 27006標準最新版本為2015年發布的第三版。

8．《信息技術　安全技術　信息安全管理體系審核指南》（ISO/IEC 27007）

ISO/IEC 27007標準為審核指南，即為按照ISO/IEC 27001標準要求對信息安全管理體系進行內部審核、外部審核（相關方或第三方）和認證機構開展的認證審核活動提供指南。ISO/IEC 27007標準最新版本為2017年10月發布的第二版。

9．《信息技術　安全技術　基于ISO/IEC 27002的電信組織信息安全控制實用規則》（ISO/IEC 27011）

ISO/IEC 27011標準于2008年12月正式發布。ISO/IEC 27011標準專門針對電信組織，是由國際電信聯盟電信標準化部門（ITU Telecommunication Standardization Sector，ITU-T）和ISO/IEC聯合技術委員會信息安全分技術委員會（ISO/IEC JTC1/SC27）共同制定并聯合發布。

通信設施、網絡和線路是電信機構的重要信息資產，信息安全對于電信機構管理其信息資產、保持業務連續性至關重要。ISO/IEC 27011標準規定了電信企業在建立、實施、運行、監視、評審、維持和改進其文件化信息安全管理體系方面的具體要求。

10．《信息技術　安全技術　金融服務用信息安全管理導則》（ISO/IEC 27015）

ISO/IEC 27015標準旨在幫助金融服務行業的組織（如銀行、保險公司、證券公司等）使用ISO/IEC 27000系列標準實施信息安全管理體系。ISO/IEC 27015同樣由ISO/IEC JTC1/SC27于2012年12月正式發布。相比金融業其他已出臺的標準而言，ISO/IEC 27015更能直接地體現ISO/IEC 27001和ISO/IEC 27002的要求。

11．《信息技術　安全技術　基于ISO/IEC 27002的云服務信息安全控制實用規則》（ISO/IEC 27017）

ISO/IEC 27017標準需要與ISO/IEC 27001系列標準配合使用，為云服務提供商和云服務客戶加強控制提供條件。與許多其他技術相關標準不同的是，ISO/IEC 27017標準闡明了雙方在幫助確保云服務與認證信息管理系統中所包含的其他數據同樣安全可靠方面所扮演的角色和所承擔的責任。

ISO/IEC 27017標準不僅提供了ISO/IEC 27002標準中37個控制基于云端的指導方針，還介紹了7個全新云控制以解決以下問題：

1）負責云服務提供商和云客戶之間關系的人是誰。

2）當合同終止時，資產的移除／歸還。

3）客戶虛擬環境的保護和分離。

4）虛擬機配置。

5）與云環境相關的管理操作和程序。

6）云客戶監控云中活動。

7）虛擬和云網絡環境的對接。

12．《健康信息學應用ISO/IEC 27002的健康信息安全管理》（ISO 27799）

ISO 27799標準是由ISO負責健康信息學的技術委員會TC215發布的，TC215的職能范圍是健康信息領域的標準化、健康信息和通信技術（ICT）。ISO 27799標準為在健康信息領域理解和實施ISO/IEC 27002提供支持。

除上述標準外，ISO/IEC 27000族中的其他標準針對在信息安全管理問題中面臨的不同情形，分別規定了相關實施細則或實施指南。例如，針對網絡空間安全，ISO/IEC 27000標準族中的《信息技術　安全技術　網絡空間安全指南》（ISO/IEC 27032），闡述了“網絡空間”所面臨的獨特的安全問題。“網絡空間”在標準中定義為：不以任何物理方式存在的，通過技術設施和網絡互相連接的因特網中人員、軟件、服務相互作用所導致的復雜環境。網絡空間存在信息安全、互聯網安全、網絡安全和ICT安全所不能涵蓋的安全問題，原因是這些安全領域之間存在差距。網絡空間安全可解決在網絡空間中由于不同的安全領域差距導致的安全問題，而ISO/IEC 27033為實施ISO/IEC 27002所介紹的網絡安全控制提供詳細指南。