400-88-27001
service@aryasec.com

ISO27001信息安全管理体系与等级保护对比映射

来源:    发布日期:   点击量:

等级保护与ISO/IEC 27001概念对比


信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性,实行分级、分类、分阶段实施保护,确保信息安全和系统安全正常运行,其核心是对信息系统安全分等级、按标准进行建设、管理和监督。


等级保护的主要内容涉及四个方面:


(1)对信息系统按重要性实行分级保护;


(2)对系统中使用的信息安全产品实行按分级许可管理;


(3)对等级系统的安全服务资质分级许可管理;


(4)对信息系统中发生的信息安全事件分等级响应、处置。


信息安全管理体系国际标准起源于英国的BS 7799标准,后逐渐形成国际标准ISO/IEC 27001,该标准主要由两大部分组成:ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO/IEC 27002即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施。


信息安全等级保护制度与ISO 27001标准的差异


从信息安全等级保护制度和ISO 27001标准的内容来看,两者既有相同的地方又有不同之处:


二者的要求性质不同


等级保护相关要求主要是由《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)及《计算机信息系统安全保护等级划分准则》(GB17859-1999)及其他一系列政策、标准组成的。从性质上说,等级保护的要求属于国家法律、法规,是具有强制性必须要遵守的。


ISO 27001是ISO 27000信息安全管理体系标准族中对信息安全管理体系要求的标准,从性质上来说,ISO 27001是国际标准不具有强制性,企业可以根据自身需求来选择是否要要满足相关要求。


二者的管理对象不同


等级保护的管理对象是信息系统,等级保护所有的要求都是针对不同等级的信息系统所提出的要求,理论上来讲所采取的保护等级越高,相应的信息系统的安全防护水平越高,信息系统的安全性也越高。


ISO 27001的管理对象是组织,ISO 27001所有的要求都是对组织的管理过程的要求,理论上来讲采纳了ISO 27001标准,企业的信息安全管理过程越规范,组织的信息安全管理能力水平越来越高。


二者的管理思路不同


等级保护的控制要求都属于非常明确的要求,按照等级保护的要求直接实施即可,而27001中的要求都是要建立相关管理控制,具体采用什么手段进行控制没有具体说明,采取什么类型的控制随着组织的风险水平、管理方式、企业文化不同而不同。
?

分享到:

相关知识: