ISO 27001 以外的信息安全相关标准​

在信息安全领域，ISO 27001 固然是广为人知且应用广泛的国际标准，但全球范围内还有众多其他信息安全相关标准，它们从不同角度、不同层面为组织的信息安全保障提供指引与规范。​

一、国际信息安全标准​

（一）ISO/IEC 27002: 信息安全控制实用规则​

ISO/IEC 27002 与 ISO 27001 紧密相关，是对 ISO 27001 中安全控制措施的详细解读与实践指南。该标准为组织在启动、实施、保持和改进信息安全管理时提供通用原则与指南，概述了信息安全管理领域普遍公认的目标。它包含众多控制目标与措施，旨在满足风险评估所识别出的要求。例如，在人员安全方面，详细规定了员工入职前的背景审查流程，以降低因人员引入而带来的潜在安全风险；在通信与操作管理中，对数据备份策略的制定与执行给出了具体建议，如明确备份频率、存储介质选择及异地存储要求等，确保数据在遭遇意外情况时可恢复 。ISO/IEC 27002 适用于各类组织，无论是企业、政府机构还是非营利组织，都能依据其内容构建自身的安全标准和有效的安全管理实践，增强组织间活动的信任度 。​

（二）ISO/IEC 27017: 云环境下的信息安全控制​

随着云计算技术的广泛应用，云环境中的信息安全问题愈发凸显。ISO/IEC 27017 应运而生，该标准为 ISO/IEC 27002 在云环境中的应用提供了具体实施指引，并针对云服务的特点，额外增加了特定的安全控制措施。例如，在数据安全方面，强调云服务提供商与客户之间数据所有权与控制权的明确界定，防止数据归属不清导致的安全风险；在访问控制上，要求云服务提供商提供细粒度的访问权限管理功能，满足不同客户对数据访问的差异化需求。此标准适用于所有涉及云服务的组织，无论是自建云服务的企业，还是购买云服务的客户，以及云服务提供商本身。通过遵循该标准，各方能够清晰划分责任，强化云服务的安全性，有效避免因责任不明确而产生的服务中断或数据泄露等问题 。​

（三）ISO/IEC 27018: 公有云个人隐私保护​

在公有云服务中，个人隐私保护至关重要。ISO/IEC 27018 作为公有云个人隐私保护的国际标准，为公有云中个人信息处理者提供了一套实用规则，使云服务供应商的个人信息安全控制更加标准化和透明化。该标准参考了 ISO/IEC 27002 的部分控制措施，并依据 ISO/IEC 29100 的隐私框架原则追加了特定控制措施。比如，明确要求云服务提供商在收集个人信息时，需向用户清晰告知信息用途、存储期限及共享对象等关键信息，确保用户知情权；同时，对用户个人信息的跨境传输进行严格管控，防止数据在传输过程中遭受未经授权的访问或泄露。通过实施该标准，公有云服务提供商能够在满足客户合约及相关法规要求的前提下，有效应对个人隐私保护方面的特定风险，增强用户对公有云服务的信任 。​

（四）通用准则 CC（Common Criteria）​

通用准则 CC 是国际上广泛认可的信息技术安全评估标准。它为信息技术产品和系统的安全功能及保证措施提供了统一的评估框架，涵盖了安全功能要求和安全保证要求两个主要部分。在安全功能方面，CC 定义了 11 个安全功能类，包括安全审计、通信安全、密码支持、用户数据保护、标识与鉴别等。例如，在标识与鉴别类中，详细规定了用户身份识别与验证的多种技术手段及相应的安全级别要求，以确保只有授权用户能够访问系统资源。安全保证部分则提出了 7 个评估保证级别（EALs），从 EAL1 的功能测试到 EAL7 的形式化验证的设计和测试，级别越高，对产品或系统的安全保证程度要求越高。各类组织在采购信息技术产品或构建信息系统时，可依据 CC 标准对产品或系统进行评估，选择符合自身安全需求的产品或方案，从而提升整个信息系统的安全性 。​

（五）NIST SP 800 系列（美国国家标准与技术研究院特殊出版物 800 系列）​

美国国家标准与技术研究院（NIST）发布的 SP 800 系列是一套全面且深入的信息安全指南。该系列涵盖众多主题，如风险管理（NIST SP 800 - 30）、密码技术（NIST SP 800 - 57）、网络安全框架（NIST SP 800 - 160）等。以 NIST SP 800 - 30 为例，它为组织提供了详细的风险管理流程，包括风险评估的方法、风险识别的技巧、风险分析与评价的工具等，帮助组织全面、系统地识别和管理信息安全风险。NIST SP 800 - 160 则构建了一个网络安全框架，指导组织如何描述自身的网络安全现状，设定改进目标，并选择合适的安全措施来提升网络安全防护能力。NIST SP 800 系列在美国国内广泛应用于政府机构、企业等各类组织，同时在国际上也具有较高的影响力，许多国家和组织在制定自身信息安全政策与标准时会参考该系列的内容 。​

二、国内信息安全标准​

（一）信息系统安全等级保护系列标准​

我国的信息系统安全等级保护系列标准是保障国家信息安全的重要举措。该系列标准依据信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益和公民、法人及其他组织合法权益的危害程度，将信息系统由低到高划分为五级。不同等级对应不同的安全保护能力要求，例如第一级安全保护能力应能防护系统免受来自个人、少量资源威胁源发起的恶意攻击及一般自然灾难等造成的关键资源损害，且在系统受损后能恢复部分功能；第四级则应能在统一安全策略下，防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击及严重自然灾难等造成的资源损害，并且在系统受损后能够迅速恢复所有功能。​

该系列标准包括基本技术要求和基本管理要求两大部分。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全等层面提出具体要求，如在物理安全层面，要求机房建筑设置避雷装置、采取防火防盗措施等；在数据安全方面，强调数据的保密性、完整性和可用性保护，以及数据备份与恢复策略的实施。基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面进行规范，例如建立日常管理活动中的安全管理制度，明确系统管理员、网络管理员、安全管理员等岗位的职责与人员配备，对系统投入运行、网络接入和重要资源访问等关键活动进行授权审批等 。信息系统安全等级保护系列标准适用于我国境内的各类信息系统，通过实施该系列标准，能够有效提升我国信息系统的整体安全防护水平，保护国家关键信息基础设施安全 。​

（二）GB/T 35273《个人信息安全规范》​

随着数字化进程的加速，个人信息的保护愈发受到重视。GB/T 35273《个人信息安全规范》是我国在个人信息保护领域的重要标准。该标准对个人信息的收集、存储、使用、共享、转让、公开披露等全生命周期的各个环节都做出了详细规定。在收集环节，要求个人信息控制者应向个人信息主体明确告知收集目的、方式、范围等信息，并获得其明示同意；在存储方面，规定应采取加密等安全措施确保个人信息的保密性和完整性，同时明确存储期限，避免过度存储。当涉及个人信息共享、转让或公开披露时，必须经过个人信息主体的授权同意，并对接收方的安全保障能力进行评估。例如，某互联网企业在收集用户个人信息用于个性化推荐服务时，需严格按照该标准要求，向用户清晰说明信息收集的用途、范围及共享情况，在存储用户信息时采用加密技术防止数据泄露，若要将用户信息共享给第三方合作伙伴，必须事先获得用户同意，并审查合作伙伴的信息安全管理能力。GB/T 35273 适用于各类处理个人信息的组织和机构，通过规范个人信息处理行为，有效保护了公民的个人信息权益，促进了数字经济的健康发展 。​

这些国内外的信息安全相关标准，从不同角度为组织提供了全面的信息安全管理思路和方法，组织可根据自身业务特点、行业要求以及法律法规遵循需求，选择适合的标准来构建和完善自身的信息安全管理体系，提升信息安全防护能力，应对日益复杂多变的信息安全挑战 。​