淺析ISO/IEC27001（ISMS Requirements）發展及兼容性

王文君 朱健序 劉歡 魯俊皓 高琛陽

摘 要：隨著全球經濟的飛速發展，各領域信息化的廣泛應用，以獲取各類信息為直接作案目的犯罪數量直線上升，信息安全則顯得尤為重要。本文通過對國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求（ISMS Requiremenas）》的起源發展以及新版特性進行介紹，并對標準的在不同時期的修改變化進行分析。同時對標準體系與其他標準的兼容性使用進行了舉例說明。

關鍵詞：ISO/IEC 27001；安全信息兼容

國際標準化組織（ISO）和國際電工委員會（IEC）于2005年10月15日聯合發布了國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求（ISMS Requirements）》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等，在建立、實施、運行、監視、評審、保持和改進信息安全管理體系時提供模型，并規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業操作指南和原則，并可以用作第三方認證的依據。

一、ISO/IEC27001

（一）ISO/IEC 27000標準家族

ISO/IEC 27000是一個系列編號，類似于質量管理體系的ISO 9000系列和環境管理體系的ISO 14000系列標準。當初ISO/IEC規劃的ISO27000系列包含下列標準：

ISO 27000 原理與術語Principles and vocabulary

ISO 27001 信息安全管理體系—要求 ISMS Requirements

ISO 27002 信息技術—安全技術—信息安全管理實踐規范

ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines

ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement

ISO 27005 信息安全管理體系—風險管理ISMS Risk management

ISO 27006 信息安全管理體系—認證機構的認可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技術-安全技術-信息安全管理體系審核員指南

Information technology_Securitytechniques_ISMS auditor guidelines

（二）ISO/IEC 27001的基本概念及標準內容概述

ISO/IEC 27001標準通篇就在講一件事，ISMS（信息安全管理系統）。本標準用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系（InformationSecurity Management System，簡稱ISMS）提供模型。采用ISMS應當是一個組織的一項戰略性決策。一個組織的ISMS的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規模和結構的影響，上述因素及其支持系統會不斷發生變化。按照組織的需要實施ISMS，是本標準所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。

該標準分為三個部分，分別為引言、正文和附錄。引言介紹了建立信息安全管理體系（簡稱ISMS）的意義和原則；描述了體系建設過程中使用的過程方法和PDCA模型；說明了ISMS與其他管理體系的兼容性。正文的前三章介紹了標準的基本情況和涉及的術語和定義，從第四章開始，正式提出了ISMS的要求。標準也指出：“組織聲稱符合本標準時，對于第4章、第5章、第6章、第7章和第8章的要求不能刪減?！睒藴视?個附錄，其中附錄A是規范性附錄，根據標準要求，依據附錄A的控制目標和控制措施的選擇和實施是標準正文的一部分。ISO 27001的審核依據主要集中在標準的第4到第8章和附錄。

二、ISO/IEC 27001：2013的新版特性

（一）采用新構架。在新版中采用ISO導則83做結構性要求，從8個章節拓展到10個章節，重新構建了ISO標準PDCA的章節架構，這個結構在已發布的IS022301中已經進行了應用，未來將在ISO其他標準改版中會普遍采用（包括IS09000，IS020000等）。

（二）控制更精益。從舊版11個領域更新為14個領域。密碼學、供應關系成為一個獨立領域（A10，A15）。通訊與操作管理被劃分到操作安全（A12）和通信安全（A13）。

新增或調整了一些控制措施，涉及信息系統開發、信息安全事件管理、業務連續性管理等部分；刪除了一些舊版中重復的和操作級的控制項；附錄A的調整并沒有顛覆原有的結構，只是在原有控制項結構的基礎上，進行了優化，較舊版來說的確更清晰了，相信這樣的變化可以更容易的讓組織去實現它們。

（三）引入新重點。將原分布在各領域的加密及供應鏈管理控制項級別提升，組成新領域，形成新重點，以反映目前信息安全的發展趨勢。新增了智能型裝置管理的控制項強化IC丁供應鏈委外管理的要求完善了系統開發項目管理的信息安全要求

三、ISO/IEC27001的兼容性

（一）PDCA（戴明環）。PDCA（Plan、Do、Check 和Act）是管理學慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19 世紀30 年代構想的，后來被戴明（Edwards Deming）采納、宣傳并運用于持續改善產品質量的過程當中。

1.P（Plan）--計劃，確定方針和目標，確定活動計劃；

2.D（Do）--執行。實地去做，實現計劃中的內容；

3.C（Check）--檢查，總結執行計劃的結果，注意效果，找出問題；

4.A（Action）--行動，對總結檢查的結果進行處理，成功的經驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現，未解決的問題放到下一個PDCA循環。

（二）戴明環的特點。

1.大環套小環，小環保大環，推動大循環。大環是小環的母體和依據，小環是大環的分解和保證。各級部門的小環都圍繞著企業的總目標朝著同一方向轉動。通過循環把企業上下或工程項目的各項工作有機地聯系起來，彼此協同，互相促進。

2.不斷前進、不斷提高。PDCA循環就像爬樓梯一樣，一個循環運轉結束，生產的質量就會提高一步，然后再制定下一個循環，再運轉、再提高，不斷前進，不斷提高，是一個螺旋式上升的過程。

作者簡介：王文君（1993-），女，重慶人，中國人民公安大學2011級安全防范工程專業。

朱健序（1991-），男，山東人，中國人民公安大學2011級安全防范工程專業。

劉歡（1992-），男，陜西人，中國人民公安大學2012網絡保衛學院。

魯俊皓（1993-），男，河南人，中國人民公安大學2012級警務戰術指揮。

高琛陽（1994-），男，山東人，中國人民公安大學2012級安全防范工程專業。