等保制度与ISO27001的区别
信息安全等级保护制度从1994年提出,到现在也有10个年头了,为什么持续许久,“天时”未到。随着信息网络应用加深和安全事件的增多,企业和政府都面临着信息安全的问题,“天时”具备了。
作为资产的拥有者企业首先走出了信息安全管理的第一步。目前企业在进行信息安全实施的过程中主要依照的是ISO 27001国际信息安全管理体系标准,“地利”具备了。
等级保护制度“十年一剑”,从引进国外标准到提出符合国情的“分级保护”制度,思想也越来越成熟,从分级标准到检查准则都相继出台,可行性也逐步加强,得到了企业的普遍认可,“人和”的条件也具备了。
但是一个是国际的信息安全标准,一个是国家的信息安全政策,如何协调两者的关系,做到“一箭双雕”,而不是重复投资,需要企业和政府在实施标准和履行政策上加一协调,统筹安排。下面作者将结合自己的实践和理解,提出对信息安全等级保护的个人看法。
一、信息安全等级保护制度和ISO 27001标准的概念
1.1 什么是信息安全等级保护制度?
信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。其核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
等级保护的主要内容有4点,(1)对信息系统按业务安全应用域和区实行分级保护。(2)对系统中使用的信息安全产品实行按分级许可管理。(3)对等级系统的安全服务资质分级许可管理。(4)对信息系统中发生的信息安全事件分等级响应、处置。
1.2 什么是ISO 27001标准?
信息安全管理体系国际标准起源于英国的BS 7799标准系列,后形成国际标准ISO/IEC 17799和ISO/IEC 27001。该标准主要由两大部分组成:ISO17799即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO/IEC 17799,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。
从标准的两个部分来理解,ISO 27001是一个总的指导思想,依据是“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明环”管理思想,是一个整体的信息安全管理框架,强调的是建立一个持续循环的长效管理机制;而ISO 17799就是具体的信息安全管理流程,是在ISO 27001整体框架指导下具体的信息安全细节。组织通过若干管理和技术措施,形成一个以体系文档为保证的控制流程,从而保证组织业务的连续性,并可以通过国际认证机构的严格审核,获得国际信息安全认证证书。
