等保制度與ISO27001的區(qū)別

Date22 9 月 2017

Comment0

信息安全等級保護制度從1994年提出，到現(xiàn)在也有10個年頭了，為什么持續(xù)許久，“天時”未到。隨著信息網(wǎng)絡(luò)應(yīng)用加深和安全事件的增多，企業(yè)和政府都面臨著信息安全的問題，“天時”具備了。
作為資產(chǎn)的擁有者企業(yè)首先走出了信息安全管理的第一步。目前企業(yè)在進行信息安全實施的過程中主要依照的是ISO 27001國際信息安全管理體系標準，“地利”具備了。
等級保護制度“十年一劍”，從引進國外標準到提出符合國情的“分級保護”制度，思想也越來越成熟，從分級標準到檢查準則都相繼出臺，可行性也逐步加強，得到了企業(yè)的普遍認可，“人和”的條件也具備了。
但是一個是國際的信息安全標準，一個是國家的信息安全政策，如何協(xié)調(diào)兩者的關(guān)系，做到“一箭雙雕”，而不是重復(fù)投資，需要企業(yè)和政府在實施標準和履行政策上加一協(xié)調(diào)，統(tǒng)籌安排。下面作者將結(jié)合自己的實踐和理解，提出對信息安全等級保護的個人看法。
一、信息安全等級保護制度和ISO 27001標準的概念
1.1 什么是信息安全等級保護制度？
信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理。根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。其核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標準進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度。突出重點，保障重要信息資源和重要信息系統(tǒng)的安全。
等級保護的主要內(nèi)容有4點，（1）對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實行分級保護。（2）對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。（3）對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。（4）對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
1.2 什么是ISO 27001標準？
信息安全管理體系國際標準起源于英國的BS 7799標準系列，后形成國際標準ISO/IEC 17799和ISO/IEC 27001。該標準主要由兩大部分組成：ISO17799即“信息安全管理實施指南” （Code of practice for Information Security Management Systems），提出了在組織內(nèi)部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標和133種控制措施；ISO 27001是“信息安全管理體系要求” （Specification for Information Security Management Systems），是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求，可用來指導相關(guān)人員應(yīng)用ISO/IEC 17799，其最終目的，通過規(guī)范的過程，建立適合組織實際要求的信息安全管理體系。
從標準的兩個部分來理解，ISO 27001是一個總的指導思想，依據(jù)是“PDCA”（PLAN、DO、CHECK、ACTION）的“戴明環(huán)”管理思想，是一個整體的信息安全管理框架，強調(diào)的是建立一個持續(xù)循環(huán)的長效管理機制；而ISO 17799就是具體的信息安全管理流程，是在ISO 27001整體框架指導下具體的信息安全細節(jié)。組織通過若干管理和技術(shù)措施，形成一個以體系文檔為保證的控制流程，從而保證組織業(yè)務(wù)的連續(xù)性，并可以通過國際認證機構(gòu)的嚴格審核，獲得國際信息安全認證證書。