信息技术 安全技术 行业间和组织间通信的信息安全管理-编制说明

ISMSGB-PM-1404-001日期：2014-4-28《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准编制项目组信息安全管理国家标准秘书处：山东省标准化研究院文档类型：管理文件标题：《信息技术安全技术行业间和组织间通信的信息安全管理》（征求意见稿）国家标准编制说明来源：《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准编制项目组秘书处项目：全国信息安全标准化技术委员会标准项目状态：Version4注意：截止日期：2014-12-31分发范围：《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准编制项目组归口：全国信息安全标准化技术委员会页数：9页（包含本页）《行业间和组织间通信的信息安全管理》国家标准编制项目组秘书处：山东省标准化研究院地址：山东省济南市历山路146-6号；电话E-Mail：wangqs@,gongwei@；网址：目录一、任务来源 3二、编制目的 3三、编制原则 3四、主要工作 3五、标准的主要内容 4六、信息安全管理标准国内外研究现状 5七、国际标准等同采用说明 7八、本标准同ISO/IEC27000标准族中其他标准关系 7

一、任务来源《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准制定项目由全国信息安全标准化技术委员会（SAC/TC260）提出并归口（国标计划编号：20130347-T-469），并委托山东省标准化研究院负责牵头组织标准编制工作。二、编制目的深入分析我国行业间和组织间通信的信息安全管理需求，借鉴ISO/IEC27010:2012《信息技术安全技术行业间和组织间通信的信息安全管理》国际标准，结合我国信息安全管理体系建设工作实际，制定《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准，进一步完善我国信息安全管理体系。三、编制原则本标准属于信息安全管理体系标准族中标准之一，以等同采用国际标准方式完成。主要编制原则为：等同采用ISO/IEC27010:2012标准内容；标准格式符合GB/T1.1-2009标准要求；翻译准确，符合中文语言习惯。四、主要工作标准制定的主要工作过程如下：2013年8月成立了以山东省标准化研究院为牵头单位，包括中国信息安全认证中心、厦门市美亚柏科信息股份有限公司、江苏省电子产品质量监督检验研究院、济南云顶信息技术有限公司、江苏常州富国科技有限公司、贵州大学、青岛大学等八家单位组成项目组。2013年8月29日在山东济南举办了《信息技术安全技术行业间和组织间通信的信息安全管理》国家标准项目启动会，初步形成《信息技术安全技术行业间和组织间通信的信息安全管理》草案初稿，各项目参与单位也对标准内容提出了自己的意见。2013年9月对标准按照项目组成员意见进行了修改（参见标准草案稿意见汇总处理表的第1部分），形成《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第一稿）。2013年9月22日，参加安标委WG7组标准研制项目检查会议，会议领导和专家包括宿忠民、崔书昆、赵战生、王立福、吴源俊、闵京华、曲成义、WG7秘书上官晓丽。会议评议了《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第一稿），各位专家提出了一些意见和建议。2013年10月-2013年11月，在修改《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第一稿）专家意见（参见标准草案稿意见汇总处理表的第2部分）和建议基础上，研讨并完善《信息技术安全技术行业间和组织间通信的信息安全管理》草案，2013年11月向安标委WG7提交《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第二稿）。2013年11月16日，参加安标委WG7组标准研制项目研讨会，会议领导和专家包括宿忠民、陈冠直、赵战生、王立福、吴源俊、闵京华、WG7秘书上官晓丽。会议评议了《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第二稿），各位专家提出了一些意见和建议。2013年11月-2014年1月，按照安标委WG7开会专家的意见对标准进行修改（参见标准草案稿意见汇总处理表的第3部分），2014年1月形成并提交《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第三稿）。2014年1月17日，参加安标委WG7工作组专家审查会，《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第三稿）通过了审查。出席审查会的专家包括赵战生（组长）、吴源俊、林柏钢、郭东辉、赵庸、上官晓丽、梁博。会后，根据审查会专家意见进行修改（参见标准草案稿意见汇总处理表的第4部分），形成并提交《信息安全技术安全域名系统实施指南》草案（第四稿）。2014年3月18日，WG7组织了工作组全体成员大会对《信息技术安全技术行业间和组织间通信的信息安全管理》草案（第四稿）进行投票表决，以100%投票率通过了工作组全体成员单位的投票。会后，根据反馈意见进行了修改（参见标准草案稿意见汇总处理表的第5部分），2014年3月形成并提交《信息技术安全技术行业间和组织间通信的信息安全管理》征求意见稿。标准征求意见的落实情况如下：发送《标准草案稿》的单位包括工作组专家（评审）、全体工作组成员（投票）；回函的单位数为全体工作组成员，有建议或意见的单位数共计18个；没有回函的单位数为0个。共汇集反馈意见103条，其中未采纳的意见10条，其余意见为采纳或部分采纳，具体参见意见汇总处理表。五、标准的主要内容本标准等同采用国际标准ISO/IEC27010-2012《信息技术安全技术行业间和组织间通信的信息安全管理》。本标准主要框架如下：1范围2规范性引用文件3术语和定义4概念和释义5安全方针6信息安全组织7资产管理8人力资源安全9物理和环境安全10通信和操作管理11访问控制12信息系统获取、开发和维护13信息安全事件管理14业务连续性管理15符合性附录A（资料性附录）共享敏感信息附录B（资料性附录）信息交换中的信息建立附录C（资料性附录）交通信号灯协议附录D（资料性附录）组织一个信息共享团体的模型参考文献六、信息安全管理标准国内外研究现状国际方面，ISO/IECJTC1/SC27（信息安全分技术委员会）WG1(信息安全管理体系工作组)目前主要负责信息安全管理标准的制定，目前已发布正式标准23项，在研标准12项。自2000年，ISO/IEC17799:2000《信息技术-信息安全管理实施细则》正式发布以来，信息安全管理体系（ISMS）日益被世界各国普遍认可和接受，发展成为ISO/IEC27000系列标准族。ISO/IEC27000系列标准族由如表1所示系列标准组成。表1ISO/IEC27000标准族标准号标准名称版本状态版本说明ISO/IEC27000信息安全管理体系的概述和词汇IS国际标准IISO/IEC27001信息安全管理体系的要求IS国际标准ISO/IEC27002信息安全管理实用规则IS国际标准ISO/IEC27003信息安全管理实施指南IS国际标准ISO/IEC27004信息安全管理的信息安全测量IS国际标准ISO/IEC27005信息安全管理的风险管理IS国际标准ISO/IEC27006信息安全管理对认证机构的认可要求IS国际标准ISO/IEC27007信息安全管理的审核指南IS国际标准ISO/IEC27008信息安全管理的控制措施审核员指南IS国际标准ISO/IEC27009使用或应用ISO/IEC27001对行业或特定服务第三方可信任认证WD工作组草案ISO/IEC27010行业间和组织间通信的信息安全管理IS国际标准ISO/IEC27011电信业信息安全管理指南IS国际标准ISO/IEC27012电子政务的信息安全管理（已取消）NP工作组草案ISO/IEC27013ISMS和ITSM整合实施指南IS国际标准ISO/IEC27014信息安全治理框架IS国际标准ISO/IEC27015金融业信息安全管理指南IS国际标准ISO/IEC27016信息安全管理体系的组织经济学IS国际标准ISO/IEC27017基于27002的云计算服务的信息安全控制时间的编码CD委员会草案ISO/IEC27018在作为PII保护的PII公共云上PII保护的实践编码DIS国际标准草案ISO/IEC27019基于27002对特定能源公用行业的过程控制系统的信息安全管理指南IS国际标准ISO/IEC27031信息通信技术的业务连续性管理IS国际标准ISO/IEC27032网络安全指南IS国际标准ISO/IEC27033（1-6）网络安全IS国际标准ISO/IEC27034（1-6）应用安全IS国际标准ISO/IEC27035信息安全事件管理IS国际标准ISO/IEC27036（1-4）外包安全指南IS国际标准ISO/IEC27037身份鉴别，数字证据的收集、获得和保存指南IS国际标准ISO/IEC27038数字编制规范FDIS最终国际标准草案ISO/IEC27039IDPS的选择部署和操作DIS国际标准草案ISO/IEC27040存储安全DIS国际标准草案ISO/IEC27041确保事件调查方法适用性和准确性指南DIS国际标准草案ISO/IEC27042分析和解释数字证据指南DIS国际标准草案ISO/IEC27043事件调查规范和流程DIS国际标准草案ISO/IEC27044安全信息和事件管理指南WD工作组草案ISO/IEC27050电子发现WD工作组草案ISO27799利用27002进行健康的信息安全管理IS国际标准国内方面，全国信息安全标准化管理委员会WG7（信息安全管理工作组）主要参照ISO标准以及根据国内实际，组织制定了部分信息安全国家标准，主要包括GB/T22080-2008《信息技术安全技术信息安全体系要求》、GB/T22081-2008《信息技术安全技术信息安全管理实用规则》、GB/T29245-2012《信息技术安全技术政府部门信息安全管理基本要求》、GB/T29246-2012《信息技术安全技术信息安全管理体系概述和词汇》、GB/T28450-2012《信息技术安全技术信息安全管理体系审核指南》、GB/T25067-2010《信息技术安全技术信息安全管理体系审核认证机构的要求》等。以上标准的发布实施，虽然距离形成信息安全管理体系标准族还有一定的差距，但这些标准的研究将有助于本标准的制定，并随着此标准的发展，进一步推动信息安全管理体系标准族的完善。七、国际标准等同采用说明此标准是对国际标准的等同采用，之所以如此主要有如下几方面的原因：1、ISO27000标准族中大部分标准适用于我国信息安全管理，可采用等同转化ISO27000标准族中采用等同转化的有GB/T22080-2008/ISO/IEC27001:2005、GB/T22081-2008/ISO/IEC27002:2005、GB/T29246-2012/ISO/IEC27000:2009等。2、国际贸易的要求我国在加入国际贸易组织WTO时，对ISO承诺，以不低于一定比例采用国际标准，而等同转化国际标准作为采用国际标准的一种形式，符合上述承诺。3、国际业务发展的需要企业在进行国际业务拓展时，需要达到国际标准的要求，本标准等同转化国际标准，可保证应用本标准的企业符合国际合作的信息安全通信要求。4、对发达国家信息安全管理最佳实践的应用ISO27000系列标准是发达国家信息安全管理的最佳实践，应用表明这些标准符合我国基本国情，因此对该国际标准等同转化有利于我国应用信息安全管理最佳实践。5、推动等保及信息安全工作实施ISO27000系列标准的控制项都是有机结合在一起的，应用等同转化后的国家标准符合我国等保及信息安全工作的要求，有利于该工作的实施。6、贯彻世界标准日“一个标准，一次检验，全球接受”第33届国际标准日提出“一个标准，一次检验，全球接受”，通过一个标准即可获得国际国内通行的认证，并为国内外的组织所接受，这是符合世界标准发展要求的。八、本标准同ISO/IEC27000标准族中其他标准关系本标准是对ISO/IEC27001:2005和ISO/IEC27002:2005的一个补充，主要是对ISO/IEC27001:2005和ISO/IEC27002:2005在信息共享团体中使用的补充，以满足在行业间和组织间交换和共享敏感信息的需要。本标准与GB/T22081（ISO/IEC27002,IDT）相比，增加控制的章节如表2所示：表2增加控制的章节增加控制的章节备注5安全方针信息安全方针6信息安全组织外部各方7资产管理对资产负责信息分类信息交换保护新添章节8人力资源安全任用之前9物理和环境安全未补充控制10通信和操作管理防范恶意和移动代码信息的交换监视11访问控制未补充控制12信息系统获取、开发和维护