中文

公司第九次参加ISO/IEC JTC1/SC27工作组会议

文章发布日期:2011-04-20

[摘要] 2011年4月11日至19日,信息安全国际标准化组织ISO/IEC JTC1/SC27第23届全体会议及相关工作组会议在新加坡召开。公司派员作为中国代表团成员参加了此次会议,这已是公司第九次连续派员参
2011年4月11日至19日,信息安全国际标准化组织ISO/IEC JTC1/SC27第23届全体会议及相关工作组会议在新加坡召开。公司派员作为中国代表团成员参加了此次会议,这已是公司第九次连续派员参加信息安全国际标准化工作会议。中国代表团成员共9人参加了本届会议。
本届会议由新加坡信息技术标准委员会(ITSC)承办,历时7天,其中前5天时间为SC27的5个工作组的专题会议,后2天为SC27全体会议。公司代表重点参加了SC27/WG1即第一工作组的会议。此次WG1会议已是第42届。来自澳大利亚、比利时、巴西、加拿大、中国、塞浦路斯、丹麦、爱沙尼亚、芬兰、法国、德国、拉丁美洲质量保障研究所(INLAC)、国际刑警组织(INTEPOL)、爱尔兰、信息系统审计和控制协会(ISACA)、意大利、日本、韩国、马来西亚、新西兰、挪威、波兰、俄罗斯、新加坡、南非、西班牙、瑞典、瑞士、英国、美国等30个国家和国际组织,共100多名的代表现场出席了会议。
本届WG1会议共召开专题会议28场次,其中包括WG1全会、WG1/WG4联合会议、编辑会议、标准制制修订项目会议等。具体包括:
1.  WG1全体会议
2.  WG1/WG4 联合会议
3.  27002信息安全管理实用规则修订工作会议
4.  27006ISMS认证机构要求修订工作会议
5.  27016信息安全管理经济学制定工作会议
6.  27007ISMS审核指南制定工作会议
7. 27001ISMS要求修订工作会议
8. JTCG管理体系标准研讨会议
9.  云计算安全研究项目工作会议
10. 27014信息安全治理框架制定工作会议
11. WG1编辑工作会议
12. 27015金融和保险业ISMS制定工作会议
13. 27010跨部门通信信息安全管理指南制定工作会议
14. 27000ISMS概述和词汇修订工作会议
15. WG1/SD1修订工作会议
16. 27008控制措施审核员指南制定工作会议
17. WG1决议起草会议
上述ISMS各标准项目均按计划如期进行,并达成了预期成果进入下一个项目阶段。个别研究项目因研究时间不足、研究内容复杂等原因导致项目延期。
本届会议期间,WG1共召开了4次全体会议,1次WG1/WG4联合会议。在4月15日下午召开的最后一次全体会议上,对本次会议的所有议题做出了决议,主要决议共计30项,其中WG1组内决议13项,提交SC27全会的决议17项。包括相关文档更新、后续会议安排、任命编辑、新项目提案、研究项目、CD/DIS文件注册等具体事项。
4月11日晚上还召开了2个专题会议,一个关于“JTCG MSS”,一个关于“云计算安全”。在JTCG MSS专题会议上,WG1派往JTCG的联络代表详细介绍了JTCG关于管理体系标准统一结构和同一文本项目工作的最新进展,及其对WG1 ISMS相关标准项目的影响。“云计算安全”专题会议由WG1、WG4和WG5三个工作组联合召开,云计算安全项目负责人做了报告,向与会代表介绍了之前六个月关于云计算安全标准项目的研究结果。经与会代表讨论,会议建议将该项目研究时间再延长六个月。
由公司代表于2007年3月参与提案的ISO/IEC27007-ISMS审核指南项目,在本届会议上进展顺利。4月12日召开了该项目的专题会议,来自瑞典、日本、德国以及我国的代表出席了会议。会议就该标准FCD(最终委员会草案)文件的来自澳大利亚、瑞典、德国、日本、美国等成员国的130多项意见和建议进行了讨论,并就具体意见和建议作出了接受、拒绝、修改接受等的处理意见。
根据本次专题会议的讨论结果和WG1本届会议决议,WG1将于2011年5月7日向SC27秘书处提交修改后的文本和前一版本的意见处理,并要求SC27秘书处将修改后的文件提交最终国际标准草案(FDIS)注册申请,并分发该文件,以供SC27成员国就是否将该文件注册成为FDIS进行投票。如果投票通过,该标准预计将于今年年底或明年年初发布。
通过参加本届会议,我们觉得以下两点值得国内同行重点关注:
(1)27001新版本的变化及对我国ISMS认证认可行业的影响
27001自2009年5月起开始进入新一轮修订周期,至本次会议已达第4个版本的工作组草案。期间恰逢国际标准化组织联合技术协调组ISO/JTCG(Joint Technical Coordination Group)对目前现行的“管理体系标准(MSS)”进行大刀阔斧的改变,其核心战略就是开发适用现行所有管理体系国际标准的“共同结构和同一文本”,并强制要求ISO相关技术委员会采用。
SC27别无选择,在27001修订过程中,已经采用JTCG发布的最新结构和文本。这样的选择对27001未来的影响是深远的。我国的信息安全标准化部门、管理体系认证认可管理部门、ISMS认证机构、实施27001的组织等应提前做好准备,积极应对这一变化。
我国信息安全标准化技术委员会应该设立工作项目,从现在起关注和研究这一新的变化,为我国国家标准GB/T22080-2008和GB/T22081-2008的修订,以及ISMS相关国际标准的采用作出战略规划和安排,为我国ISMS各相关组织快速应对这一变化做好准备。
(2)云计算安全
云计算安全研究项目于2010年10德国柏林42届WG1会议上设立,决定开展为期6个月的研究。在本届会议上,由该项目负责人就相关研究成果在4月11日晚上的专题会议上进行了报告,但与会代表并未就该项目是否应该进入新工作项目(NWIP)阶段达成一致,因此该项目被延长研究周期6个月。
无论如何,云计算安全的标准化工作已经引起了全球各国的重视。我国也应该重视这一项目,并能够组织力量对这一问题的进行跟踪和研究,积极参与到该项目的国际标准化工作中去。以避免未来标准对我国云计算产业的限制和不利影响。


时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部