27000信息安全管理体系标准族及对应国标

这是第三次修订这篇公众号文章了，在以前的公众号中，我们提到了有关等同标准。因为ISO 27000系列挂着个“国际”的名号，对于不太了解国标的朋友很容易被唬住，好像是非常难以理解的东西。这个，在我工作中已经和众多安全从业人员甚至单位领导接触中深有体会，而在以前我和我们的安全顾问冀老师交流中，我曾给冀老师说过我在整理国标中等同27000相关标准的事情，说来这已经是四年多前的事情了。中间层在去年发布过一次，今天借此机会再做一次补充，算是和大家再做一次交流。

在国家标准中，强制标准冠以“GB”。推荐标准冠以“GB/T”。 指导性国家标准（GB/Z），“Z”在此读“指”。与很多ISO国际标准相比，很多国家标准等同采用（IDT，identical to 其他标准）、修改采用(MOD，modified in relation to 其他标准；2000年以前称作“等效采用，EQV, equivalent to 其他标准）或非等效采用(NEQ，not equivalent to 其他标准)。还有常见的“采标”是“采用国际标准的简称”。所以，因为是采用国际标准，涉及到版权，我们在查相关国标时，官方正规渠道是不允许预览的。

根据查阅资料，IDT是英文“identical”的缩写是“等同”的意思，就是国家标准等同于国际标准，仅有或没有编辑性修改。所谓编辑性修改，是指不改变标准技术的内容的修改，如纠正排版或印刷错误，标点符号的改变，增加不改变技术内容的说明、指示等。

IDT等同采用就是指国家标准与国际标准相同，不做或稍作编辑性修改。如GB/T 29246-2017/ISO/IEC 27000：2016（ISO/IEC 27000：2016，IDT），也就是GB/T  29246-2017等同于ISO/IEC 27000：2016，也就是国际标准ISO 27000其实就是我国国标GB/T  29246。

另外一个词MOD英文“modified”的缩写是“修改”的意思，修改采用的国标与国际标准之间是存在技术性差异的，在标准中会表明差异以及解释差异产生的原因，修改采用不包括保留国际标准中少量或者不重要的条款的情况，可以理解成有增删情况。如GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统（IDPS）的选择、部署和操作即ISO/IEC 27039:2015,MOD。其中前言部分说明“本标准与ISO/IEC 27039:2015相比，在结构上增加了第2章“规范性应用文件”和第4章“缩略语”，将7.3.1和7.3.2的内容进行调序。……”

可能了解过27000系列的人都知道，27000系列是以信息安全管理体系标准族(InformationSecurity Management System，简称ISMS标准族）作为国际信息安全技术标准化组织(ISO/IECJTCl SC27)制定的信息安全管理体系系列国际标准。根据我初步整理的国家标准，我做了一个简单列表，左侧为国家标准，右侧为ISO 27000系列标准。

由于个人属于脚踩西瓜皮，加之精力有限，仓促整理，应该不是太全面。只是通过这种方式，期盼大家更加容易地去理解27000系列，破除迷信让每一个看到该文的朋友不再感到神秘。当然，我并不是否认标准的价值以及理解难度，只是希望大家别纠结27000这个词。在表格后，我将根据整理的内容简单介绍信息安全管理体系标准族以及27000系列的知识。所以，理解27000标准族自然考虑的是其体系性的价值，而不能割裂的去思考。

在此前，我对27000了解知道其来自英标BS 7799，按照维基百科的说法，BS 7799的初始版本部分基于荷兰皇家/壳牌集团在 1980年代后期和1990 年代初开发的信息安全政策手册。1993 年，当时的贸易和工业部（英国）召集了一个小组来审查信息安全方面的现有做法，目标是制定一份标准文件。也就是说，BS 7799脱胎于壳牌的企业标准，进而上升到现在的国际标准。

1995 年，BSI 集团发布了第一版BS 7799。BS 7799 的主要作者之一回忆说，在 1993 年初，“DTI 决定迅速召集来自七个不同部门的行业代表小组：壳牌（[David Lacey] 和 Les Riley）、中银集团（Neil Twist )、BT (Dennis Willets)、Marks & Spencer (Steve Jones)、Midland Bank (Richard Hackworth)、Nationwide (John Bowles) 和联合利华 (Rolf Moulton)。” David Lacey 将Donn B. Parker归功于“建立一套信息安全控制的最初想法”，并在 1980 年代后期为“I -4 信息安全圈，由他构想并创立。

表格如下，供大家参考。

国家标准	等同国际标准
GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇	(ISO/IEC 27000)
GB/T 22080 信息技术 安全技术 信息安全管理体系要求	(ISO/IEC 27001)
GB/T 22081 信息技术 安全技术 信息安全管理实用规则	(ISO/IEC  27002)
GB/T 31496 信息技术 安全技术 信息安全管理体系实施指南	(ISO/IEC 27003)
GB/T 31497 信息技术 安全技术 信息安全管理测量	(ISO/IEC 27004)
GB/T 31722 信息技术 安全技术 信息安全管理风险	(ISO/IEC 27005）
GB/T 25067 信息技术 安全技术 信息安全管理体系审核认证机构的要求	(ISO/IEC 27006）
GB/T 38631 信息技术 安全技术 GBT22080具体行业应用要求	(ISO/IEC 27009）

信息安全管理体系标准族

从BS 7799两部分分别发展成为ISO 17799和ISO 27001系列，是一个变化发展的过程，变化发展是基于原来的优秀经验创新发展的。

我们通过整理的材料，简单介绍一下27000系列部分标准的名称。其在《信息技术 安全技术》通用标题下，ISMS标准族，我们按照按标准号排序，由下列标准组成：

---

注：以下第一行为冒号前为标准号，冒号后为中文翻译名称，通过加粗字体显示，第二行为英文名称。 

---

——ISO/IEC 27000：信息安全管理体系 概述和词汇

(Information security management systems Overview and vocabulary)

——ISO/IEC 27001：信息安全管理体系 要求

(Information security management systems Requirements)

——ISO/IEC 27002：信息安全管理体系 信息安全控制实践指南

(Codeof practice for information security controls)

——ISO/IEC 27003：信息安全管理体系实施指南

(Information security managenent system im-plementation guidance)

——ISO/IEC 27004：信息安全管理 测量

(Information security management—Measurement)

——ISO/IEC 27005：信息安全风险管理

(Information security risk management)

——ISO/IEC 27006：信息安全管理体系审核认证机构的要求

(Requirements for bodies providing audit and certification of information security management systems)

——ISO/IEC 27007：信息安全管理体系审核指南

(Guidelines for information security management systems auditing)

——ISO/IECTR 27008 ：信息安全控制措施审核员指南

(Guidelines for auditors on information security controls)

——ISO/IEC 27009：ISO/IEC27001的行业特定应用 要求

(Sector-specificapplication of ISO/IEC 27001-Requirements)

——ISO/IEC 27010：行业间和组织间通信的信息安全管理

(Information security management for inter-sector and inter-organizational communications)

——ISO/IEC 27011：基于ISO/IEC27002的电信组织信息安全管理指南

(Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002)

——ISO/IEC 27013：ISO/IEC 27001和ISO/IEC 20000-1综合实施指南

(Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)

——ISO/IEC 27014：信息安全治理

(Governance of information security)

——ISO/IEC TR 27015：金融服务信息安全管理指南

(Information security management guideLines for financial services)

——ISO/IEC TR 27016：信息安全管理 组织经济学

(Information security management-Organizational economics)

——ISO/IEC 27017：基于ISO/IEC 27002的云服务信息安全控制实践指南

(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)

——ISO/IEC 27018：可识别个人信息(PII)处理者在公有云中保护PII的实践指南

(Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors)

——ISO/IEC 27019：基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南

(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry)

我国的网络安全等级保护是充分借鉴国外优秀经验的基础上，创新发展而来。然而，若要充分理解等级保护需要对国内外安全标准发展以及我国标准发展有一定的了解，很多安全要求在某一个标准中相对是孤立的，而其定义或要求内在的含义却需要在其他标准里去寻找。有些标准解决某项内容的有无，而有无之后还涉及到一个质量标准，那么质量标准则由另一个标准给出。另外，有些术语在一个标准中，是未进行诠释是需要到另外标准中寻找答案，切不可望文生义。

如27000系列之ISO/IEC 27000专门讲词汇，在其他27000系列标准中可能就不再专门提及其定义，在这个过程中若不看ISO/IEC 27000，就容易犯望文生义的毛病。这个毛病我个人犯过，相信有部分朋友也犯过。

修改声明：本文其实已经编辑发布过一次，上次的内容有部分描述有些舛误，经一位老师指正后将其中描述错误部分删除，另外根据查阅网上资料后添加了IDT和MOD两个术语的解释。在此，感谢给予指正的老师以及关注我的朋友们。

后记：

根据维基百科信息，一起看看已发布的与“信息技术-安全技术”相关的 ISO27K 标准有：

1. ISO/IEC 27000 — 信息安全管理系统 — 概述和词汇
2. ISO/IEC 27001 — 信息技术 — 安全技术 — 信息安全管理系统 — 要求。2013 版标准以与其他 ISO 标准规定其他类型的管理系统相同的形式化、结构化和简洁的方式规定了信息安全管理系统。
3. ISO/IEC 27002 — 信息安全、网络安全和隐私保护 — 信息安全控制（本质上是可能通过 ‍ISMS 管理的信息安全控制的详细目录）
4. ISO/IEC 27003 — 信息安全管理体系实施指南
5. ISO/IEC 27004 — 信息安全管理 — 监控、测量、分析和评估‍‍‍‍‍‍‍‍
6. ISO/IEC 27005 — 信息安全风险管理
7. ISO/IEC 27006 — 对提供信息安全管理系统审核和认证的机构的要求
8. ISO/IEC 27007 — 信息安全管理体系审核指南（侧重于管理体系审核）
9. ISO/IEC TR 27008 — IS‍MS 控制审核员指南（侧重于审核信息安全控制）
10. ISO/IEC 27009 — 信息技术 — 安全技术 — ISO/IEC 27001 的特定行业应用 — 要求
11. ISO/IEC 27010 — 跨部门和跨组织通信的信息安全管理
12. ISO/IEC 27011 — 基于 ISO/IEC 27002 的电信组织信息安全管理指南
13. ISO/IEC 27013 — ISO/IEC 27001 和 ISO/IEC 20000-1 集成实施指南
14. ISO/IEC 27014 — 信息安全治理。（Mahncke 在澳大利亚电子健康的背景下评估了该标准。）
15. ISO/IEC TR 27015 — 金融服务信息安全管理指南（现已撤销）
16. ISO/IEC TR 27016 — 信息安全经济学
17. ISO/IEC 27017 — 基于 ISO/IEC 27002 的云服务信息安全控制实践代码
18. ISO/IEC 27018 — 在充当 PII 处理器的公共云中保护个人身份信息 (PII) 的实践代码
19. ISO/IEC 27019 — 能源行业过程控制的信息安全
20. ISO/IEC 27021 — 信息安全管理系统专业人员的能力要求
21. ISO/IEC TS 27022 — 信息安全管理系统流程指南 – 正在开发中
22. ISO/IEC TR 27023 — 映射 ISO/IEC 27001 和 ISO/IEC 27002 的修订版
23. ISO/IEC 27028 — ISO/IEC 27002 属性指南
24. ISO/IEC 27031 — 业务连续性信息和通信技术准备指南
25. ISO/IEC 27032 — 网络安全指南
26. ISO/IEC 27033  [ es ] — 信息技术 — 安全技术 — 网络安全
27. ISO/IEC 27033-1 — 网络安全 — 第 1 部分：概述和概念
28. ISO/IEC 27033-2 — 网络安全 – 第 2 部分：网络安全设计和实施指南
29. ISO/IEC 27033-3 - 网络安全 - 第 3 部分：参考网络场景 - 威胁、设计技术和控制问题
30. ISO/IEC 27033-4 - 网络安全 - 第 4 部分：使用安全网关保护网络之间的通信
31. ISO/IEC 27033-5 - 网络安全 - 第 5 部分：使用虚拟专用网络 (VPN) 保护跨网络通信
32. ISO/IEC 27033-6 - 网络安全 - 第 6 部分：保护无线 IP 网络访问
33. ISO/IEC 27033-7 — 网络安全 – 第 7 部分：网络虚拟化安全指南
34. ISO/IEC 27034-1 — 应用安全 – 第 1 部分：应用安全指南
35. ISO/IEC 27034-2 - 应用安全 - 第 2 部分：组织规范框架
36. ISO/IEC 27034-3 — 应用安全 – 第 3 部分：应用安全管理流程
37. ISO/IEC 27034-4 — 应用安全 — 第 4 部分：确认和验证（开发中）
38. ISO/IEC 27034-5 - 应用安全 - 第 5 部分：协议和应用安全控制数据结构
39. ISO/IEC 27034-5-1 — 应用程序安全 — 第 5-1 部分：协议和应用程序安全控制数据结构、XML 模式
40. ISO/IEC 27034-6 — 应用安全 — 第 6 部分：案例研究
41. ISO/IEC 27034-7 - 应用安全 - 第 7 部分：保证预测框架
42. ISO/IEC 27035-1 — 信息安全事件管理 — 第 1 部分：事件管理原则
43. ISO/IEC 27035-2 — 信息安全事件管理 — 第 2 部分：计划和准备事件响应的指南
44. ISO/IEC 27035-3 — 信息安全事件管理 — 第 3 部分：ICT 事件响应操作指南
45. ISO/IEC 27035-4 - 信息安全事件管理 - 第 4 部分：协调（开发中）
46. ISO/IEC 27036-1 - 供应商关系的信息安全 - 第 1 部分：概述和概念
47. ISO/IEC 27036-2 - 供应商关系的信息安全 - 第 2 部分：要求
48. ISO/IEC 27036-3 - 供应商关系的信息安全 - 第 3 部分：信息和通信技术供应链安全指南
49. ISO/IEC 27036-4 - 供应商关系的信息安全 - 第 4 部分：云服务安全指南
50. ISO/IEC 27037 — 数字证据的识别、收集、获取和保存指南
51. ISO/IEC 27038 — 数字文档数字编辑规范
52. ISO/IEC 27039 — 入侵防御
53. ISO/IEC 27040 — 存储安全
54. ISO/IEC 27041 — 调查保证
55. ISO/IEC 27042 — 分析数字证据
56. ISO/IEC 27043 — 事件调查
57. ISO/IEC 27050-1 — 电子发现 — 第 1 部分：概述和概念
58. ISO/IEC 27050-2 — 电子发现 — 第 2 部分：电子发现治理和管理指南
59. ISO/IEC 27050-3 — 电子发现 — 第 3 部分：电子发现的操作规范
60. ISO/IEC 27050-4 — 电子发现 — 第 4 部分：技术准备
61. ISO/IEC TS 27110 — 信息技术、网络安全和隐私保护 — 网络安全框架开发指南
62. ISO/IEC 27701 — 信息技术 — 安全技术 — 信息安全管理系统 — 隐私信息管理系统 (PIMS)。
63. ISO 27799 — 使用 ISO/IEC 27002 进行健康信息安全管理（指导健康行业组织如何使用 ISO/IEC 27002 保护个人健康信息）

维基百科部分为机翻内容，可能存在不准确的问题，仅供大家参考。

再次感谢大家的指正与分享！

参考文件：

• GB/T25067—2020/ISO/IEC27006:2015

• GB/T 19716-2005

• GB/T 22080、22081等系列标准

• ISO官网等

• 维基百科

---

往期更精彩：

开启等级保护之路：GB 17859网络安全等级保护上位标准 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号（祺印说信安）：27000信息安全管理体系标准族及对应国标