《信息技术 安全技术 行业间和组织间通信的信息安全管理》编制说明

ISMSGB-PM-1404-001

日期：2014-4-28

《信息技术安全技术行业间和组织间通信的信息安全管理》

国家标准编制项目组

信息安全管理国家标准

秘书处：山东省标准化研究院

文档类型：管理文件

标题：《信息技术安全技术行业间和组织间通信的信息安全管理》（征

求意见稿）国家标准编制说明

来源：《信息技术安全技术行业间和组织间通信的信息安全管理》国

家标准编制项目组秘书处

项目：全国信息安全标准化技术委员会标准项目

状态：Version4

注意：

截止日期：2014-12-31

分发范围：《信息技术安全技术行业间和组织间通信的信息安全管理》国

家标准编制项目组

归口：全国信息安全标准化技术委员会

页数：9页（包含本页）

《行业间和组织间通信的信息安全管理》国家标准编制项目组秘书处：山东省标准化研究院

地址：山东省济南市历山路146-6号；电话

E-Mail：wangqs@,gongwei@；网址：

目录

一、任务来源....................................................................................................................................3

二、编制目的....................................................................................................................................3

三、编制原则....................................................................................................................................3

四、主要工作....................................................................................................................................3

五、标准的主要内容........................................................................................................................4

六、信息安全管理标准国内外研究现状........................................................................................5

七、国际标准等同采用说明............................................................................................................7

八、本标准同ISO/IEC27000标准族中其他标准关系................................................................7

一、任务来源

《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准制定项目由全国

信息安全标准化技术委员会（SAC/TC260）提出并归口（国标计划编号：20130347-T-469），

并委托山东省标准化研究院负责牵头组织标准编制工作。

二、编制目的

深入分析我国行业间和组织间通信的信息安全管理需求，借鉴ISO/IEC27010:2012《信

息技术安全技术行业间和组织间通信的信息安全管理》国际标准，结合我国信息安全管理

体系建设工作实际，制定《信息技术安全技术行业间和组织间通信的信息安全管理》国家

标准，进一步完善我国信息安全管理体系。

三、编制原则

本标准属于信息安全管理体系标准族中标准之一，以等同采用国际标准方式完成。主要

编制原则为：

1.等同采用ISO/IEC27010:2012标准内容；

2.标准格式符合GB/T1.1-2009标准要求；

3.翻译准确，符合中文语言习惯。

四、主要工作

(一)标准制定的主要工作过程如下：

1)2013年8月成立了以山东省标准化研究院为牵头单位，包括中国信息安全认证中

心、厦门市美亚柏科信息股份有限公司、江苏省电子产品质量监督检验研究院、济南云顶信

息技术有限公司、江苏常州富国科技有限公司、贵州大学、青岛大学等八家单位组成项目组。

2013年8月29日在山东济南举办了《信息技术安全技术行业间和组织间通信的信

息安全管理》国家标准项目启动会，初步形成《信息技术安全技术行业间和组织间通信的

信息安全管理》草案初稿，各项目参与单位也对标准内容提出了自己的意见。

2013年9月对标准按照项目组成员意见进行了修改（参见标准草案稿意见汇总处理表

的第1部分），形成《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第

一稿）。

2)2013年9月22日，参加安标委WG7组标准研制项目检查会议，会议领导和专家

包括宿忠民、崔书昆、赵战生、王立福、吴源俊、闵京华、曲成义、WG7秘书上官晓丽。

会议评议了《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第一稿），

各位专家提出了一些意见和建议。

3)2013年10月-2013年11月，在修改《信息技术安全技术行业间和组织间通信

的信息安全管理》草案（第一稿）专家意见（参见标准草案稿意见汇总处理表的第2部分）

和建议基础上，研讨并完善《信息技术安全技术行业间和组织间通信的信息安全管理》草

案，2013年11月向安标委WG7提交《信息技术安全技术行业间和组织间通信的信息安

全管理》草案（第二稿）。

2013年11月16日，参加安标委WG7组标准研制项目研讨会，会议领导和专家包括

宿忠民、陈冠直、赵战生、王立福、吴源俊、闵京华、WG7秘书上官晓丽。会议评议了《信

息技术安全技术行业间和组织间通信的信息安全管理》草案（第二稿），各位专家提出了

一些意见和建议。

4)2013年11月-2014年1月，按照安标委WG7开会专家的意见对标准进行修改（参

见标准草案稿意见汇总处理表的第3部分），2014年1月形成并提交《信息技术安全技术

行业间和组织间通信的信息安全管理》草案（第三稿）。

2014年1月17日，参加安标委WG7工作组专家审查会，《信息技术安全技术行业

间和组织间通信的信息安全管理》草案（第三稿）通过了审查。出席审查会的专家包括赵战

生（组长）、吴源俊、林柏钢、郭东辉、赵庸、上官晓丽、梁博。会后，根据审查会专家意

见进行修改（参见标准草案稿意见汇总处理表的第4部分），形成并提交《信息安全技术安

全域名系统实施指南》草案（第四稿）。

5)2014年3月18日，WG7组织了工作组全体成员大会对《信息技术安全技术行

业间和组织间通信的信息安全管理》草案（第四稿）进行投票表决，以100%投票率通过了

工作组全体成员单位的投票。会后，根据反馈意见进行了修改（参见标准草案稿意见汇总处

理表的第5部分），2014年3月形成并提交《信息技术安全技术行业间和组织间通信的

信息安全管理》征求意见稿。

(二)标准征求意见的落实情况如下：

1)发送《标准草案稿》的单位包括工作组专家（评审）、全体工作组成员（投票）；回

函的单位数为全体工作组成员，有建议或意见的单位数共计18个；没有回函的单位数为0

个。

2)共汇集反馈意见103条，其中未采纳的意见10条，其余意见为采纳或部分采纳，

具体参见意见汇总处理表。

五、标准的主要内容

本标准等同采用国际标准ISO/IEC27010-2012《信息技术安全技术行业间和组织间

通信的信息安全管理》。本标准主要框架如下：

1范围

2规范性引用文件

3术语和定义

4概念和释义

5安全方针

6信息安全组织

7资产管理

8人力资源安全

9物理和环境安全

10通信和操作管理

11访问控制

12信息系统获取、开发和维护

13信息安全事件管理

14业务连续性管理

15符合性

附录A（资料性附录）共享敏感信息

附录B（资料性附录）信息交换中的信息建立

附录C（资料性附录）交通信号灯协议

附录D（资料性附录）组织一个信息共享团体的模型

参考文献

六、信息安全管理标准国内外研究现状

国际方面，ISO/IECJTC1/SC27（信息安全分技术委员会）WG1(信息安全管理体系工作

组)目前主要负责信息安全管理标准的制定，目前已发布正式标准23项，在研标准12项。

自2000年，ISO/IEC17799:2000《信息技术-信息安全管理实施细则》正式发布以来，信

息安全管理体系（ISMS）日益被世界各国普遍认可和接受，发展成为ISO/IEC27000系列标

准族。ISO/IEC27000系列标准族由如表1所示系列标准组成。

表1ISO/IEC27000标准族

标准号标准名称版本状态版本说明

ISO/IEC27000信息安全管理体系的概述和词汇IS国际标准

IISO/IEC27001信息安全管理体系的要求IS国际标准

ISO/IEC27002信息安全管理实用规则IS国际标准

ISO/IEC27003信息安全管理实施指南IS国际标准

ISO/IEC27004信息安全管理的信息安全测量IS国际标准

ISO/IEC27005信息安全管理的风险管理IS国际标准

ISO/IEC27006信息安全管理对认证机构的认可要求IS国际标准

ISO/IEC27007信息安全管理的审核指南IS国际标准

ISO/IEC27008信息安全管理的控制措施审核员指南IS国际标准

ISO/IEC27009使用或应用ISO/IEC27001对行业或WD工作组草案

特定服务第三方可信任认证

ISO/IEC27010行业间和组织间通信的信息安全管理IS国际标准

ISO/IEC27011电信业信息安全管理指南IS国际标准

ISO/IEC27012电子政务的信息安全管理（已取消）NP工作组草案

ISO/IEC27013ISMS和ITSM整合实施指南IS国际标准

ISO/IEC27014信息安全治理框架IS国际标准

ISO/IEC27015金融业信息安全管理指南IS国际标准

ISO/IEC27016信息安全管理体系的组织经济学IS国际标准

基于27002的云计算服务的信息安全

ISO/IEC27017CD委员会草案

控制时间的编码

在作为PII保护的PII公共云上PII保

ISO/IEC27018DIS国际标准草案

护的实践编码

基于27002对特定能源公用行业的过

ISO/IEC27019IS国际标准

程控制系统的信息安全管理指南

ISO/IEC27031信息通信技术的业务连续性管理IS国际标准

ISO/IEC27032网络安全指南IS国际标准

ISO/IEC27033

网络安全IS国际标准

（1-6）

ISO/IEC27034

应用安全IS国际标准

（1-6）

ISO/IEC27035信息安全事件管理IS国际标准

ISO/IEC27036

外包安全指南IS国际标准

（1-4）

身份鉴别，数字证据的收集、获得和

ISO/IEC27037IS国际标准

保存指南

最终国际标准

ISO/IEC27038数字编制规范FDIS

草案

ISO/IEC27039IDPS的选择部署和操作DIS国际标准草案

ISO/IEC27040存储安全DIS国际标准草案

确保事件调查方法适用性和准确性指

ISO/IEC27041DIS国际标准草案

南

ISO/IEC27042分析和解释数字证据指南DIS国际标准草案

ISO/IEC27043事件调查规范和流程DIS国际标准草案

ISO/IEC27044安全信息和事件管理指南WD工作组草案

ISO/IEC27050电子发现WD工作组草案

ISO27799利用27002进行健康的信息安全管理IS国际标准

国内方面，全国信息安全标准化管理委员会WG7（信息安全管理工作组）主要参照ISO

标准以及根据国内实际，组织制定了部分信息安全国家标准，主要包括GB/T22080-2008《信

息技术安全技术信息安全体系要求》、GB/T22081-2008《信息技术安全技术信息安全管

理实用规则》、GB/T29245-2012《信息技术安全技术政府部门信息安全管理基本要求》、

GB/T29246-2012《信息技术安全技术信息安全管理体系概述和词汇》、GB/T28450-2012

《信息技术安全技术信息安全管理体系审核指南》、GB/T25067-2010《信息技术安全技

术信息安全管理体系审核认证机构的要求》等。以上标准的发布实施，虽然距离形成信息

安全管理体系标准族还有一定的差距，但这些标准的研究将有助于本标准的制定，并随着此

标准的发展，进一步推动信息安全管理体系标准族的完善。

七、国际标准等同采用说明

此标准是对国际标准的等同采用，之所以如此主要有如下几方面的原因：

1、ISO27000标准族中大部分标准适用于我国信息安全管理，可采用等同转化

ISO27000标准族中采用等同转化的有GB/T22080-2008/ISO/IEC27001:2005、GB/T

22081-2008/ISO/IEC27002:2005、GB/T29246-2012/ISO/IEC27000:2009等。

2、国际贸易的要求

我国在加入国际贸易组织WTO时，对ISO承诺，以不低于一定比例采用国际标准，而等

同转化国际标准作为采用国际标准的一种形式，符合上述承诺。

3、国际业务发展的需要

企业在进行国际业务拓展时，需要达到国际标准的要求，本标准等同转化国际标准，可

保证应用本标准的企业符合国际合作的信息安全通信要求。

4、对发达国家信息安全管理最佳实践的应用

ISO27000系列标准是发达国家信息安全管理的最佳实践，应用表明这些标准符合我国

基本国情，因此对该国际标准等同转化有利于我国应用信息安全管理最佳实践。

5、推动等保及信息安全工作实施

ISO27000系列标准的控制项都是有机结合在一起的，应用等同转化后的国家标准符合

我国等保及信息安全工作的要求，有利于该工作的实施。

6、贯彻世界标准日“一个标准，一次检验，全球接受”

第33届国际标准日提出“一个标准，一次检验，全球接受”，通过一个标准即可获得国

际国内通行的认证，并为国内外的组织所接受，这是符合世界标准发展要求的。

八、本标准同ISO/IEC27000标准族中其他标准关系

本标准是对ISO/IEC27001:2005和ISO/IEC27002:2005的一个补充，主要是对

ISO/IEC27001:2005和ISO/IEC27002:2005在信息共享团体中使用的补充，以满足在行

业间和组织间交换和共享敏感信息的需要。本标准与GB/T22081（ISO/IEC27002,IDT）

相比，增加控制的章节如表2所示：

表2增加控制的章节

增加控制的章节备注

5安全方针信息安全方针

6信息安全组织外部各方

对资产负责

7资产管理信息分类

信息交换保护新添章节

8人力资源安全任用之前

9物理和环境安全未补充控制

防范恶意和移动代码

10通信和操作管理信息的交换

监视

11访问控制未补充控制

12信息系统获取、开发和维护密码控制

新添小章节早期预