|
|
|
|
|
|
來源: 發布日期: 點擊量:
等級保護與ISO/IEC 27001概念對比
信息系統安全等級保護是指對信息系統實行等級化的保護和管理。根據信息系統對國家利益、公共利益和社會穩定的重要性,實行分級、分類、分階段實施保護,確保信息安全和系統安全正常運行,其核心是對信息系統安全分等級、按標準進行建設、管理和監督。
等級保護的主要內容涉及四個方面:
(1)對信息系統按重要性實行分級保護;
(2)對系統中使用的信息安全產品實行按分級許可管理;
(3)對等級系統的安全服務資質分級許可管理;
(4)對信息系統中發生的信息安全事件分等級響應、處置。
信息安全管理體系國際標準起源于英國的BS 7799標準,后逐漸形成國際標準ISO/IEC 27001,該標準主要由兩大部分組成:ISO 27001是“信息安全管理體系要求” (Specification for Information Security Management Systems),是在組織內部建立信息安全管理體系(ISMS)的一套規范,其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求,其最終目的,通過規范的過程,建立適合組織實際要求的信息安全管理體系。ISO/IEC 27002即“信息安全管理實施指南” (Code of practice for Information Security Management Systems),提出了在組織內部啟動、實施、保持和改進信息安全管理的指南和一般原則,包括11個要素,39個控制目標和133種控制措施。
信息安全等級保護制度與ISO 27001標準的差異
從信息安全等級保護制度和ISO 27001標準的內容來看,兩者既有相同的地方又有不同之處:
二者的要求性質不同
等級保護相關要求主要是由《中華人民共和國計算機信息系統安全保護條例》(1994年國務院147號令)及《計算機信息系統安全保護等級劃分準則》(GB17859-1999)及其他一系列政策、標準組成的。從性質上說,等級保護的要求屬于國家法律、法規,是具有強制性必須要遵守的。
ISO 27001是ISO 27000信息安全管理體系標準族中對信息安全管理體系要求的標準,從性質上來說,ISO 27001是國際標準不具有強制性,企業可以根據自身需求來選擇是否要要滿足相關要求。
二者的管理對象不同
等級保護的管理對象是信息系統,等級保護所有的要求都是針對不同等級的信息系統所提出的要求,理論上來講所采取的保護等級越高,相應的信息系統的安全防護水平越高,信息系統的安全性也越高。
ISO 27001的管理對象是組織,ISO 27001所有的要求都是對組織的管理過程的要求,理論上來講采納了ISO 27001標準,企業的信息安全管理過程越規范,組織的信息安全管理能力水平越來越高。
二者的管理思路不同
相關知識: