公司派专家参加第117届ISMS国际标准化工作组会议

2024年3月25日至28日，网络安全国际标准化技术委员会信息安全管理体系（ISMS）标准工作组（ISO/IEC JTC1/SC27/WG1）在英国伦敦召开了第117届工作组会议，这是自新冠疫情以来该工作组组织召开的第一次线下会议。作为中国代表团成员，时代新威派代表参加了本次线下会议。现场出席本次会议的其他国家代表团还包括英国、法国、德国、瑞典、印度、丹麦、加拿大、日本、意大利、爱尔兰、瑞士等。本次会议同时开启了线上参会模式，线上线下共有超过126位各国专家出席了会议。

 

 

根据会议议程，本次会议先后召开了8次ISMS系列标准项目专题会议，在最后一天的全会上形成了16项主要决议。下面是这个8个ISMS标准项目在本次会议的进展情况。

 

ISO/IEC 27019能源领域信息安全控制措施（INFORMATION SECURITY CONTROLS FOR THE ENERGY UTILITY INDUSTRY）。与会专家对该标准的国际标准草案（DIS）意见进行了讨论处理，并形成了新的文本。本次会议形成决议，将最新文本推向最终国际标准草案阶段（FDIS）。

 

ISO/IEC 27016信息安全管理组织经济学（INFORMATION SECURITY MANAGEMENT- ORGANIZATIONAL ECONOMICS）。与会专家就该标准项目的修订项目立项的需求和可行性进行了讨论，会议决定继续开展该标准项目修订预研（PWI）工作。

 

ISO/IEC 27024政府/法规要求中使用ISO/IEC 27001系列标准（USE OF ISO/IEC 27001 FAMILY OF STANDARDS IN GOVERNMENTAL / REGULATORY REQUIREMENTS）。经过与会专家研讨，将该标准的名称修改为“Reference list of the use of ISO/IEC 27000 series of standards in Government / Regulatory requirements” ，同时要求该标准项目编辑在2024年4月23日之前向WG1提交基于本次会议意见处理结果的工作组草案（WD）文本。即该标准项目进入下一个版本的工作组草案阶段。

 

ISO/IEC 27008信息安全控制措施评估指南（GUIDELINES FOR THE ASSESSMENT OF INFORMATION SECURITY CONTROLS）。本次会议形成决议，建立该标准修订立项，修订周期为24个月。初步计划2024年5月1日发布委员会草案（CD）文本，2025年5月1日提交国际标准草案（DIS）文本，2026年5月1日发布该国际标准（IS）新版本。

 

ISO/IEC 27017基于ISO/IEC27002的云计算服务的信息安全控制实用规则（CODE OF PRACTICE FOR INFORMATION SECURITY CONTROLS BASED ON ISO/IEC 27002 FOR CLOUD SERVICES）。在此次会议之前，该标准项目已进入委员会草案（CD）阶段，本次会议对该CD文本的意见和建议进行的处理，会议要求该项目编辑在2024年4月23日前提交新版的CD文本，并推进该文本的CD投票批准程序。

 

ISO/IEC 27003信息安全管理体系-指南（INFORMATION SECURITY MANAGEMENT SYSTEMS – Guidance）。本次会议对该标准项目的预研（PWI）结果进行了讨论，最终决定设立新修订项目（NWIP），使该标准进入下一个修订周期，以确保与ISO/IEC 27001和ISO/IEC 27002最新版本（2022年版）保持一致。初步计划修订周期36个月，2024年5月1日发布工作组草案（WD），2025年5月1日发布委员会草案（CD），2026年5月1日发布国际标准草案（DIS），2027年5月1日发布该国际标准（IS）新版本。

 

ISO/IEC 27004信息安全管理-监视，测量，分析和评估（INFORMATION SECURITY MANAGEMENT- MONITORING, MEASUREMENT, ANALYSIS AND EVALUATION）。本次会议决定继续该标准的修订预研（PWI），发出向专家征集该标准修订文本贡献和建议的通知。

 

ISO/IEC 27022信息安全管理体系过程指南（GUIDANCE ON INFORMATION SECURITY MANAGEMENT SYSTEM PROCESSES）。本次会议决定继续该标准的修订预研（PWI），发出向专家征集该标准修订文本贡献和建议的通知。

 

本次会议期间，公司参会专家就信息安全管理体系（ISMS）标准化现状和ISMS未来的发展趋势等热点问题，与ISO/IEC JTC1/SC27/WG1主席爱德华.汉弗莱斯（Edward Humphreys）先生进行了深入交流和探讨。爱德华.汉弗莱斯先生被网络安全业界尊称为“27001之父”，享有很高的声誉。因其三十年多年在国际标准化中的突出贡献，被ISO授予“ISO终身荣誉奖”。爱德华.汉弗莱斯先生也是公司的老朋友，曾多次到访公司，并亲自为公司同事讲授和答疑信息安全管理体系（ISMS）标准、信息安全风险管理等专业内容。

 

 

SC27是国际标准化组织（ISO）和国际电工委员会（IEC）第一联合技术委员会信息技术委员会（JTC1）第二十七个分技术委员会，专门负责“信息安全、网络安全和隐私保护”国际标准化工作。该分技术委员会于1990年正式成立，截止2024年3月，该分技术委员会已经正式发布国际标准241项，正在进行中的标准项目65项。这些国际标准覆盖“信息安全管理体系”“密码和安全机制”“安全评估、测试和规范”“安全控制措施和服务”“身份管理和隐私技术”等五大方面，分属五个工作组。其中第一工作组（SC27/WG1）负责信息安全管理体系（ISMS）系列标准。

 

信息安全管理体系（ISMS）系列标准以ISO/IEC 27001信息安全管理体系-要求（Information security management systems — Requirements）为核心，自2005年第一版正式发布以来，已经形成了基础和术语、控制措施集、实施指南、度量和审核、特定行业指南和要求、专业技术领域指南和要求、ISMS专业人员能力要求、ISMS认证机构要求等系列国际标准近百项。为各类行业、各技术领域、各种规模的组织建立和实施信息安全管理体系（ISMS）提供了全方位、强大的标准支持。

 

时代新威自2003年成立以来，就以信息安全管理体系（ISMS）建设实施和认证咨询为核心业务，2007年起正式参与信息安全管理体系（ISMS）国际标准化工作，提出了“信息安全管理体系审核指南”（ISO/IEC 27007）国际标准提案，编著出版了第一本《国家注册信息安全管理体系审核员培训教程》，参与和支持国家认监委2003年开展实施的信息安全管理体系认证试点工作，为赛西、赛宝、上海质量审核中心和北京华夏认证中心培养了我国第一批信息安全管理体系审核员。二十多年来，时代新威始终奋斗在信息安全管理体系国际标准化、国家标准化、建设和认证咨询等工作第一线，通过信息安全管理体系的落地实施为用户网络安全和国家网络安全贡献力量。

 

如果您对信息安全管理体系（ISMS）建设和认证，对ISO/IEC 27001系列国际标准和国家标准有兴趣，对上述标准文本有需要，欢迎交流和研讨。