在国家标准中,强制标准冠以“GB”。推荐标准冠以“GB/T”。 指导性国家标准(GB/Z),“Z”在此读“指”。与很多ISO国际标准相比,很多国家标准等同采用(IDT,identical to 其他标准)、修改采用(MOD,modified in relation to 其他标准;2000年以前称作“等效采用,EQV, equivalent to 其他标准)或非等效采用(NEQ,not equivalent to 其他标准)。还有常见的“采标”是“采用国际标准的简称”。所以,因为是采用国际标准,涉及到版权,我们在查相关国标时,官方正规渠道是不允许预览的。
根据查阅资料,IDT是英文“identical”的缩写是“等同”的意思,就是国家标准等同于国际标准,仅有或没有编辑性修改。所谓编辑性修改,是指不改变标准技术的内容的修改,如纠正排版或印刷错误,标点符号的改变,增加不改变技术内容的说明、指示等。
IDT等同采用就是指国家标准与国际标准相同,不做或稍作编辑性修改。如GB/T 29246-2017/ISO/IEC 27000:2016(ISO/IEC 27000:2016,IDT),也就是GB/T 29246-2017等同于ISO/IEC 27000:2016,也就是国际标准ISO 27000其实就是我国国标GB/T 29246。
另外一个词MOD英文“modified”的缩写是“修改”的意思,修改采用的国标与国际标准之间是存在技术性差异的,在标准中会表明差异以及解释差异产生的原因,修改采用不包括保留国际标准中少量或者不重要的条款的情况,可以理解成有增删情况。如GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作即ISO/IEC 27039:2015,MOD。其中前言部分说明“本标准与ISO/IEC 27039:2015相比,在结构上增加了第2章“规范性应用文件”和第4章“缩略语”,将7.3.1和7.3.2的内容进行调序。……”
可能了解过27000系列的人都知道,27000系列是以信息安全管理体系标准族(InformationSecurity Management System,简称ISMS标准族)作为国际信息安全技术标准化组织(ISO/IECJTCl SC27)制定的信息安全管理体系系列国际标准。根据我初步整理的国家标准,我做了一个简单列表,左侧为国家标准,右侧为ISO 27000系列标准。
由于个人属于脚踩西瓜皮,加之精力有限,仓促整理,应该不是太全面。只是通过这种方式,期盼大家更加容易的去理解27000系列,破除迷信让每一个看到该文的朋友不再感到神秘。当然,我并不是否认标准的价值以及理解难度,只是希望大家别纠结27000这个词。在表格后,我将根据整理的内容简单介绍信息安全管理体系标准族以及27000系列的知识。
表格如下,供大家参考。
信息安全管理体系标准族
从BS 7799两部分分别发展成为ISO 17799和ISO 27001系列,他是一个变化发展的过程,变化发展是基于原来的优秀经验创新发展的。
我们通过整理的材料,简单介绍一下27000系列部分标准的名称。其在《信息技术 安全技术》通用标题下,ISMS标准族,我们按照按标准号排序,由下列标准组成:
-ISO/IEC 27000:信息安全管理体系 概述和词汇
-ISO/IEC 27001:信息安全管理体系 要求
-ISO/IEC 27002:信息安全管理体系 信息安全控制实践指南
-ISO/IEC 27003:信息安全管理体系实施指南
-ISO/IEC 27004:信息安全管理 测量
ISO/IEC 27005:信息安全风险管理
(Information security risk management)
-ISO/IEC 27006:信息安全管理体系审核认证机构的要求
(Requirements for bodies providing audit and certification of information security management systems)
-ISO/IEC 27007:信息安全管理体系审核指南
(Guidelines for information security management systems auditing)
-ISO/IECTR 27008 :信息安全控制措施审核员指南
(Guidelines for auditors on information security controls)
-ISO/IEC 27009:ISO/IEC27001的行业特定应用 要求
(Sector-specificapplication of ISO/IEC 27001-Requirements)
-ISO/IEC 27010:行业间和组织间通信的信息安全管理
(Information security management for inter-sector and inter-organizational communications)
-ISO/IEC 27011:基于ISO/IEC27002的电信组织信息安全管理指南
(Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002)
-ISO/IEC 27013:ISO/IEC 27001和ISO/IEC 20000-1综合实施指南
(Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)
-ISO/IEC 27014:信息安全治理
(Governance of information security)
-ISO/IEC TR 27015:金融服务信息安全管理指南
(Information security management guideLines for financial services)
-ISO/IEC TR 27016:信息安全管理 组织经济学
(Information security management-Organizational economics)
-ISO/IEC 27017:基于ISO/IEC 27002的云服务信息安全控制实践指南
(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
ISO/IEC 27018:可识别个人信息(PII)处理者在公有云中保护PII的实践指南
(Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors)
ISO/IEC 27019:基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南
(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry)
我国的网络安全等级保护是充分借鉴国外优秀经验的基础上,创新发展而来。然而,若要充分理解等级保护需要对国内外安全标准发展以及我国标准发展有一定的了解,很多安全要求在某一个标准中相对是孤立的,而其定义或要求内在的含义却需要在其他标准里去寻找。有些标准解决某项内容的有无,而有无之后还涉及到一个质量标准,那么质量标准则由另一个标准给出。另外,有些术语在一个标准中,是未进行诠释是需要到另外标准中寻找答案,切不可望文生义。
如27000系列之ISO/IEC 27000专门讲词汇,在其他27000系列标准中可能就不在专门提及其定义,在这个过程中若不看ISO/IEC 27000,就容易犯望文生义的毛病。这个毛病我个人犯过,相信有部分朋友也犯过。
GB/T25067—2020/ISO/IEC27006:2015
GB/T 19716-2005
GB/T 22080、22081等系列标准
ISO官网等
