信息技術(shù) 安全技術(shù) 行業(yè)間和組織間通信的信息安全管理-編制說明

ISMSGB-PM-1404-001日期：2014-4-28《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)編制項目組信息安全管理國家標(biāo)準(zhǔn)秘書處：山東省標(biāo)準(zhǔn)化研究院文檔類型：管理文件標(biāo)題：《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》（征求意見稿）國家標(biāo)準(zhǔn)編制說明來源：《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)編制項目組秘書處項目：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會標(biāo)準(zhǔn)項目狀態(tài)：Version4注意：截止日期：2014-12-31分發(fā)范圍：《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)編制項目組歸口：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會頁數(shù)：9頁（包含本頁）《行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)編制項目組秘書處：山東省標(biāo)準(zhǔn)化研究院地址：山東省濟(jì)南市歷山路146-6號；電話E-Mail：wangqs@,gongwei@；網(wǎng)址：目錄一、任務(wù)來源 3二、編制目的 3三、編制原則 3四、主要工作 3五、標(biāo)準(zhǔn)的主要內(nèi)容 4六、信息安全管理標(biāo)準(zhǔn)國內(nèi)外研究現(xiàn)狀 5七、國際標(biāo)準(zhǔn)等同采用說明 7八、本標(biāo)準(zhǔn)同ISO/IEC27000標(biāo)準(zhǔn)族中其他標(biāo)準(zhǔn)關(guān)系 7

一、任務(wù)來源《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)制定項目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口（國標(biāo)計劃編號：20130347-T-469），并委托山東省標(biāo)準(zhǔn)化研究院負(fù)責(zé)牽頭組織標(biāo)準(zhǔn)編制工作。二、編制目的深入分析我國行業(yè)間和組織間通信的信息安全管理需求，借鑒ISO/IEC27010:2012《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國際標(biāo)準(zhǔn)，結(jié)合我國信息安全管理體系建設(shè)工作實際，制定《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)，進(jìn)一步完善我國信息安全管理體系。三、編制原則本標(biāo)準(zhǔn)屬于信息安全管理體系標(biāo)準(zhǔn)族中標(biāo)準(zhǔn)之一，以等同采用國際標(biāo)準(zhǔn)方式完成。主要編制原則為：等同采用ISO/IEC27010:2012標(biāo)準(zhǔn)內(nèi)容；標(biāo)準(zhǔn)格式符合GB/T1.1-2009標(biāo)準(zhǔn)要求；翻譯準(zhǔn)確，符合中文語言習(xí)慣。四、主要工作標(biāo)準(zhǔn)制定的主要工作過程如下：2013年8月成立了以山東省標(biāo)準(zhǔn)化研究院為牽頭單位，包括中國信息安全認(rèn)證中心、廈門市美亞柏科信息股份有限公司、江蘇省電子產(chǎn)品質(zhì)量監(jiān)督檢驗研究院、濟(jì)南云頂信息技術(shù)有限公司、江蘇常州富國科技有限公司、貴州大學(xué)、青島大學(xué)等八家單位組成項目組。2013年8月29日在山東濟(jì)南舉辦了《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》國家標(biāo)準(zhǔn)項目啟動會，初步形成《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案初稿，各項目參與單位也對標(biāo)準(zhǔn)內(nèi)容提出了自己的意見。2013年9月對標(biāo)準(zhǔn)按照項目組成員意見進(jìn)行了修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表的第1部分），形成《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第一稿）。2013年9月22日，參加安標(biāo)委WG7組標(biāo)準(zhǔn)研制項目檢查會議，會議領(lǐng)導(dǎo)和專家包括宿忠民、崔書昆、趙戰(zhàn)生、王立福、吳源俊、閔京華、曲成義、WG7秘書上官曉麗。會議評議了《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第一稿），各位專家提出了一些意見和建議。2013年10月-2013年11月，在修改《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第一稿）專家意見（參見標(biāo)準(zhǔn)草案稿意見匯總處理表的第2部分）和建議基礎(chǔ)上，研討并完善《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案，2013年11月向安標(biāo)委WG7提交《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第二稿）。2013年11月16日，參加安標(biāo)委WG7組標(biāo)準(zhǔn)研制項目研討會，會議領(lǐng)導(dǎo)和專家包括宿忠民、陳冠直、趙戰(zhàn)生、王立福、吳源俊、閔京華、WG7秘書上官曉麗。會議評議了《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第二稿），各位專家提出了一些意見和建議。2013年11月-2014年1月，按照安標(biāo)委WG7開會專家的意見對標(biāo)準(zhǔn)進(jìn)行修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表的第3部分），2014年1月形成并提交《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第三稿）。2014年1月17日，參加安標(biāo)委WG7工作組專家審查會，《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第三稿）通過了審查。出席審查會的專家包括趙戰(zhàn)生（組長）、吳源俊、林柏鋼、郭東輝、趙庸、上官曉麗、梁博。會后，根據(jù)審查會專家意見進(jìn)行修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表的第4部分），形成并提交《信息安全技術(shù)安全域名系統(tǒng)實施指南》草案（第四稿）。2014年3月18日，WG7組織了工作組全體成員大會對《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》草案（第四稿）進(jìn)行投票表決，以100%投票率通過了工作組全體成員單位的投票。會后，根據(jù)反饋意見進(jìn)行了修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表的第5部分），2014年3月形成并提交《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》征求意見稿。標(biāo)準(zhǔn)征求意見的落實情況如下：發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括工作組專家（評審）、全體工作組成員（投票）；回函的單位數(shù)為全體工作組成員，有建議或意見的單位數(shù)共計18個；沒有回函的單位數(shù)為0個。共匯集反饋意見103條，其中未采納的意見10條，其余意見為采納或部分采納，具體參見意見匯總處理表。五、標(biāo)準(zhǔn)的主要內(nèi)容本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27010-2012《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》。本標(biāo)準(zhǔn)主要框架如下：1范圍2規(guī)范性引用文件3術(shù)語和定義4概念和釋義5安全方針6信息安全組織7資產(chǎn)管理8人力資源安全9物理和環(huán)境安全10通信和操作管理11訪問控制12信息系統(tǒng)獲取、開發(fā)和維護(hù)13信息安全事件管理14業(yè)務(wù)連續(xù)性管理15符合性附錄A（資料性附錄）共享敏感信息附錄B（資料性附錄）信息交換中的信息建立附錄C（資料性附錄）交通信號燈協(xié)議附錄D（資料性附錄）組織一個信息共享團(tuán)體的模型參考文獻(xiàn)六、信息安全管理標(biāo)準(zhǔn)國內(nèi)外研究現(xiàn)狀國際方面，ISO/IECJTC1/SC27（信息安全分技術(shù)委員會）WG1(信息安全管理體系工作組)目前主要負(fù)責(zé)信息安全管理標(biāo)準(zhǔn)的制定，目前已發(fā)布正式標(biāo)準(zhǔn)23項，在研標(biāo)準(zhǔn)12項。自2000年，ISO/IEC17799:2000《信息技術(shù)-信息安全管理實施細(xì)則》正式發(fā)布以來，信息安全管理體系（ISMS）日益被世界各國普遍認(rèn)可和接受，發(fā)展成為ISO/IEC27000系列標(biāo)準(zhǔn)族。ISO/IEC27000系列標(biāo)準(zhǔn)族由如表1所示系列標(biāo)準(zhǔn)組成。表1ISO/IEC27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱版本狀態(tài)版本說明ISO/IEC27000信息安全管理體系的概述和詞匯IS國際標(biāo)準(zhǔn)IISO/IEC27001信息安全管理體系的要求IS國際標(biāo)準(zhǔn)ISO/IEC27002信息安全管理實用規(guī)則IS國際標(biāo)準(zhǔn)ISO/IEC27003信息安全管理實施指南IS國際標(biāo)準(zhǔn)ISO/IEC27004信息安全管理的信息安全測量IS國際標(biāo)準(zhǔn)ISO/IEC27005信息安全管理的風(fēng)險管理IS國際標(biāo)準(zhǔn)ISO/IEC27006信息安全管理對認(rèn)證機(jī)構(gòu)的認(rèn)可要求IS國際標(biāo)準(zhǔn)ISO/IEC27007信息安全管理的審核指南IS國際標(biāo)準(zhǔn)ISO/IEC27008信息安全管理的控制措施審核員指南IS國際標(biāo)準(zhǔn)ISO/IEC27009使用或應(yīng)用ISO/IEC27001對行業(yè)或特定服務(wù)第三方可信任認(rèn)證WD工作組草案ISO/IEC27010行業(yè)間和組織間通信的信息安全管理IS國際標(biāo)準(zhǔn)ISO/IEC27011電信業(yè)信息安全管理指南IS國際標(biāo)準(zhǔn)ISO/IEC27012電子政務(wù)的信息安全管理（已取消）NP工作組草案ISO/IEC27013ISMS和ITSM整合實施指南IS國際標(biāo)準(zhǔn)ISO/IEC27014信息安全治理框架IS國際標(biāo)準(zhǔn)ISO/IEC27015金融業(yè)信息安全管理指南IS國際標(biāo)準(zhǔn)ISO/IEC27016信息安全管理體系的組織經(jīng)濟(jì)學(xué)IS國際標(biāo)準(zhǔn)ISO/IEC27017基于27002的云計算服務(wù)的信息安全控制時間的編碼CD委員會草案ISO/IEC27018在作為PII保護(hù)的PII公共云上PII保護(hù)的實踐編碼DIS國際標(biāo)準(zhǔn)草案ISO/IEC27019基于27002對特定能源公用行業(yè)的過程控制系統(tǒng)的信息安全管理指南IS國際標(biāo)準(zhǔn)ISO/IEC27031信息通信技術(shù)的業(yè)務(wù)連續(xù)性管理IS國際標(biāo)準(zhǔn)ISO/IEC27032網(wǎng)絡(luò)安全指南IS國際標(biāo)準(zhǔn)ISO/IEC27033（1-6）網(wǎng)絡(luò)安全I(xiàn)S國際標(biāo)準(zhǔn)ISO/IEC27034（1-6）應(yīng)用安全I(xiàn)S國際標(biāo)準(zhǔn)ISO/IEC27035信息安全事件管理IS國際標(biāo)準(zhǔn)ISO/IEC27036（1-4）外包安全指南IS國際標(biāo)準(zhǔn)ISO/IEC27037身份鑒別，數(shù)字證據(jù)的收集、獲得和保存指南IS國際標(biāo)準(zhǔn)ISO/IEC27038數(shù)字編制規(guī)范FDIS最終國際標(biāo)準(zhǔn)草案ISO/IEC27039IDPS的選擇部署和操作DIS國際標(biāo)準(zhǔn)草案ISO/IEC27040存儲安全DIS國際標(biāo)準(zhǔn)草案ISO/IEC27041確保事件調(diào)查方法適用性和準(zhǔn)確性指南DIS國際標(biāo)準(zhǔn)草案ISO/IEC27042分析和解釋數(shù)字證據(jù)指南DIS國際標(biāo)準(zhǔn)草案ISO/IEC27043事件調(diào)查規(guī)范和流程DIS國際標(biāo)準(zhǔn)草案ISO/IEC27044安全信息和事件管理指南WD工作組草案ISO/IEC27050電子發(fā)現(xiàn)WD工作組草案ISO27799利用27002進(jìn)行健康的信息安全管理IS國際標(biāo)準(zhǔn)國內(nèi)方面，全國信息安全標(biāo)準(zhǔn)化管理委員會WG7（信息安全管理工作組）主要參照ISO標(biāo)準(zhǔn)以及根據(jù)國內(nèi)實際，組織制定了部分信息安全國家標(biāo)準(zhǔn)，主要包括GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全體系要求》、GB/T22081-2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》、GB/T29245-2012《信息技術(shù)安全技術(shù)政府部門信息安全管理基本要求》、GB/T29246-2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》、GB/T28450-2012《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》、GB/T25067-2010《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》等。以上標(biāo)準(zhǔn)的發(fā)布實施，雖然距離形成信息安全管理體系標(biāo)準(zhǔn)族還有一定的差距，但這些標(biāo)準(zhǔn)的研究將有助于本標(biāo)準(zhǔn)的制定，并隨著此標(biāo)準(zhǔn)的發(fā)展，進(jìn)一步推動信息安全管理體系標(biāo)準(zhǔn)族的完善。七、國際標(biāo)準(zhǔn)等同采用說明此標(biāo)準(zhǔn)是對國際標(biāo)準(zhǔn)的等同采用，之所以如此主要有如下幾方面的原因：1、ISO27000標(biāo)準(zhǔn)族中大部分標(biāo)準(zhǔn)適用于我國信息安全管理，可采用等同轉(zhuǎn)化ISO27000標(biāo)準(zhǔn)族中采用等同轉(zhuǎn)化的有GB/T22080-2008/ISO/IEC27001:2005、GB/T22081-2008/ISO/IEC27002:2005、GB/T29246-2012/ISO/IEC27000:2009等。2、國際貿(mào)易的要求我國在加入國際貿(mào)易組織WTO時，對ISO承諾，以不低于一定比例采用國際標(biāo)準(zhǔn)，而等同轉(zhuǎn)化國際標(biāo)準(zhǔn)作為采用國際標(biāo)準(zhǔn)的一種形式，符合上述承諾。3、國際業(yè)務(wù)發(fā)展的需要企業(yè)在進(jìn)行國際業(yè)務(wù)拓展時，需要達(dá)到國際標(biāo)準(zhǔn)的要求，本標(biāo)準(zhǔn)等同轉(zhuǎn)化國際標(biāo)準(zhǔn)，可保證應(yīng)用本標(biāo)準(zhǔn)的企業(yè)符合國際合作的信息安全通信要求。4、對發(fā)達(dá)國家信息安全管理最佳實踐的應(yīng)用ISO27000系列標(biāo)準(zhǔn)是發(fā)達(dá)國家信息安全管理的最佳實踐，應(yīng)用表明這些標(biāo)準(zhǔn)符合我國基本國情，因此對該國際標(biāo)準(zhǔn)等同轉(zhuǎn)化有利于我國應(yīng)用信息安全管理最佳實踐。5、推動等保及信息安全工作實施ISO27000系列標(biāo)準(zhǔn)的控制項都是有機(jī)結(jié)合在一起的，應(yīng)用等同轉(zhuǎn)化后的國家標(biāo)準(zhǔn)符合我國等保及信息安全工作的要求，有利于該工作的實施。6、貫徹世界標(biāo)準(zhǔn)日“一個標(biāo)準(zhǔn)，一次檢驗，全球接受”第33屆國際標(biāo)準(zhǔn)日提出“一個標(biāo)準(zhǔn)，一次檢驗，全球接受”，通過一個標(biāo)準(zhǔn)即可獲得國際國內(nèi)通行的認(rèn)證，并為國內(nèi)外的組織所接受，這是符合世界標(biāo)準(zhǔn)發(fā)展要求的。八、本標(biāo)準(zhǔn)同ISO/IEC27000標(biāo)準(zhǔn)族中其他標(biāo)準(zhǔn)關(guān)系本標(biāo)準(zhǔn)是對ISO/IEC27001:2005和ISO/IEC27002:2005的一個補(bǔ)充，主要是對ISO/IEC27001:2005和ISO/IEC27002:2005在信息共享團(tuán)體中使用的補(bǔ)充，以滿足在行業(yè)間和組織間交換和共享敏感信息的需要。本標(biāo)準(zhǔn)與GB/T22081（ISO/IEC27002,IDT）相比，增加控制的章節(jié)如表2所示：表2增加控制的章節(jié)增加控制的章節(jié)備注5安全方針信息安全方針6信息安全組織外部各方7資產(chǎn)管理對資產(chǎn)負(fù)責(zé)信息分類信息交換保護(hù)新添章節(jié)8人力資源安全任用之前9物理和環(huán)境安全未補(bǔ)充控制10通信和操作管理防范惡意和移動代碼信息的交換監(jiān)視11訪問控制未補(bǔ)充控制12信息系統(tǒng)獲取、開發(fā)和維護(hù)