Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27009:2020 — ISMS ISO/IEC 27001 的行业特定应用
创建扩展 ISO/IEC 27001 的行业特定 ISMS 标准的要求
ISO/IEC 27009:2020 定义了创建行业特定标准的要求,这些标准对特定行业的 ISO/IEC 27001 要求进行补充或细化。它通过提供一个通用框架来规定行业要求的结构方式、可添加的内容以及不得改变的内容,确保了所有行业特定 ISMS 标准之间的一致性。该标准是制定行业特定安全标准的行业机构、对此类标准进行审核的认证机构以及在适用行业特定 ISMS 标准的行业中运营的组织的必读物。如果没有 ISO/IEC 27009,每个行业都会以临时方式创建 ISMS 扩展,可能导致与基础标准冲突,并破坏使 ISO/IEC 27001 具有价值的全球互操作性。
ISO/IEC 27009 是”编写标准的标准”。它管理行业机构如何创建 ISMS 扩展,使每个行业特定的 ISMS 标准在解决独特行业风险的同时保持与核心 ISO/IEC 27001 框架的兼容性。
1. 目的和范围——为什么存在 ISO/IEC 27009
不同行业面临通用 ISO/IEC 27001 框架无法完整解决的独特信息安全挑战。医疗机构必须遵守患者数据保护法规(美国的 HIPAA、加拿大的 PIPEDA 以及各国的健康数据隐私法)。金融机构面临包括 PCI DSS、巴塞尔资本充足率标准和 SOX 合规在内的严格监管要求。电信提供商必须保护关键的国家通信基础设施并处理合法拦截要求。云服务提供商需要展示多租户安全控制并阐明共担责任模型。能源行业必须保护工业控制系统和智能电网基础设施。
如果没有 ISO/IEC 27009,每个行业都会独立开发其 ISMS 要求,导致碎片化、重复以及与 ISO/IEC 27001 的潜在冲突。ISO/IEC 27009 提供了一个规范、一致的框架来开发行业特定扩展,这些扩展增强而非取代基础标准,确保在行业特定标准下认证的组织也符合 ISO/IEC 27001 的要求。
| 行业标准 | 基于框架 | 行业 | 对 ISO/IEC 27001 的关键补充 |
|---|---|---|---|
| ISO/IEC 27011 | 27009 框架 | 电信 | 网络安全、合法拦截、用户隐私、电信特定资产管理 |
| ISO/IEC 27701 | 27009 框架 | 隐私信息 | 个人身份信息处理控制、同意管理、数据主体权利、隐私影响评估 |
| ISO/IEC 27019 | 27009 框架 | 能源公用事业 | SCADA/ICS 安全、电网可靠性、智能计量、运营技术控制 |
| ISO 21434 | 27009 原则 | 汽车 | 车辆网络安全工程、ECU 加固、空中升级安全 |
| ISO/IEC 27017 | 27009 框架 | 云服务 | 共担责任模型、租户隔离、CSP 特定控制、云服务级别协议 |
2. 创建行业特定标准的规则
ISO/IEC 27009 为行业特定标准建立了严格的行为规则。这些规则在允许有意义的行业特定适应的同时,保持了 ISO/IEC 27001 框架的完整性:
- 可以增加要求:行业标准可以在 ISO/IEC 27001 之外增加新的要求,前提是这些要求针对基础标准未充分覆盖的行业特定风险。例如,金融机构的强制性事件报告时限、医疗保健的特定患者数据保护控制,或额外的电信网络弹性要求。
- 不得降低要求:行业标准不能降低、豁免或稀释任何 ISO/IEC 27001 的要求。基础标准代表了全球 ISMS 实践的最低可接受水平——行业标准只能提高标准,绝不能降低标准。
- 必须保持条款结构:行业标准必须遵循与 ISO/IEC 27001 相同的条款编号和结构(第 4-10 条),以保持集成兼容性,使审核员和组织能够在基础标准和行业标准之间无缝工作。额外的行业特定控制应映射到相关的附录 A 类别。
- 必须精确界定范围:行业标准必须明确说明其适用范围——涵盖哪些类型的组织、流程、系统和数据,以及任何明确的排除项。模糊的范围定义会导致应用不一致和认证争议。
- 必须使用一致的术语:必须与 ISO/IEC 27000 术语保持一致。一致的术语确保接受过基础标准培训的审核员、认证机构和从业人员可以在不混淆或无需重新学习基本概念的情况下使用行业标准。
试图修改核心 ISO/IEC 27001 要求的行业标准——例如更改强制性的风险评估方法论、改变管理评审频率要求或放宽文件化信息要求——违反了 ISO/IEC 27009,并且不能声称与 ISO/IEC 27001 框架保持一致。这样的标准会在市场上造成混乱,削弱审核员信心,并损害作为 ISO 标准价值基础的全球互操作性。
3. 对使用行业标准的组织的实际影响
对于在适用行业特定标准的行业中运营的组织,ISO/IEC 27009 有几个影响认证策略、审核准备和合规管理的实际影响:
- 认证范围选择:组织可以选择仅依据 ISO/IEC 27001 进行认证(涵盖通用 ISMS 要求),或依据 ISO/IEC 27001 加上相关行业标准进行认证。后者展示了一种针对行业期望和监管要求量身定制的更高水平的合规性。这种双重认证在受监管市场中可以成为一个重要的竞争差异化因素。
- 审核工作量与成本:针对 ISO/IEC 27001 加上行业标准的认证审核通常需要额外的审核时间,以覆盖基础标准之外的行业特定要求。组织应与其认证机构合作,根据 ISO/IEC 27006-1 的基线时长表进行调整,以考虑增加的范围。
- 文档与 SOA:适用性声明应确定已包含哪些行业特定控制,并参考行业风险评估结果说明任何排除的理由。风险评估方法应纳入可能与其他行业组织无关的行业特定威胁场景。
- 监管对齐优势:许多行业标准旨在帮助组织满足特定的监管要求。例如,ISO/IEC 27701(隐私信息管理扩展)与 GDPR 要求保持一致,使组织能够比没有该标准时更容易地通过其 ISMS 证明 GDPR 合规性。
如果您的组织在适用基于 ISO/IEC 27009 的行业标准的行业中运营,采用该标准向客户、监管机构、保险公司和业务伙伴传递了强烈的信号。这表明您的 ISMS 不仅解决了通用的信息安全要求,还解决了您所在行业的特定威胁态势、监管环境和运营现实。在电信、金融、医疗保健和云服务等行业,这种行业特定认证越来越被期待,而非仅仅是偏好。
4. 常见问题解答
问:ISO/IEC 27009 本身是可认证的标准吗?
答:不是。ISO/IEC 27009 不是可认证的标准。它定义了创建其他标准的规则。组织是根据使用 ISO/IEC 27009 框架创建的行业特定标准(如电信行业的 ISO/IEC 27011、隐私信息管理的 ISO/IEC 27701)获得认证,而非针对 ISO/IEC 27009 本身。
答:不是。ISO/IEC 27009 不是可认证的标准。它定义了创建其他标准的规则。组织是根据使用 ISO/IEC 27009 框架创建的行业特定标准(如电信行业的 ISO/IEC 27011、隐私信息管理的 ISO/IEC 27701)获得认证,而非针对 ISO/IEC 27009 本身。
问:个别组织能否使用 ISO/IEC 27009 创建自己的行业特定扩展?
答:该方法论可供任何组织使用,但在实践中,行业特定标准由 ISO 技术委员会或公认的行业联盟在广泛的利益相关方参与和共识下制定。对于单独的组织,更好的方式是将自己的额外要求纳入 ISMS 范围和 SOA,而不是试图创建正式的行业标准。
答:该方法论可供任何组织使用,但在实践中,行业特定标准由 ISO 技术委员会或公认的行业联盟在广泛的利益相关方参与和共识下制定。对于单独的组织,更好的方式是将自己的额外要求纳入 ISMS 范围和 SOA,而不是试图创建正式的行业标准。
问:ISO/IEC 27009 引用的是 2013 版,它与 ISO/IEC 27001:2022 的关系是什么?
答:ISO/IEC 27009:2020 引用的是 ISO/IEC 27001:2013,但其建立的框架和规则的结构使其适用于未来版本。目前正在制定的行业特定标准以 ISO/IEC 27001:2022 为基础,并遵循相同的 ISO/IEC 27009 规则以保持兼容性和一致性。
答:ISO/IEC 27009:2020 引用的是 ISO/IEC 27001:2013,但其建立的框架和规则的结构使其适用于未来版本。目前正在制定的行业特定标准以 ISO/IEC 27001:2022 为基础,并遵循相同的 ISO/IEC 27009 规则以保持兼容性和一致性。
问:如果根据 ISO/IEC 27009 制定的行业特定标准与当地法规要求冲突怎么办?
答:法规要求始终具有法律优先权。根据 ISO/IEC 27009 制定的 ISO 行业标准旨在补充而非取代适用的法律法规义务。如果存在冲突,组织必须遵守当地法规,并在其 SOA 和风险评估中记录偏差,说明如何通过替代方式实现法规合规。
答:法规要求始终具有法律优先权。根据 ISO/IEC 27009 制定的 ISO 行业标准旨在补充而非取代适用的法律法规义务。如果存在冲突,组织必须遵守当地法规,并在其 SOA 和风险评估中记录偏差,说明如何通过替代方式实现法规合规。
