信息安全等级保护制度与ISO27001标准的差异
从信息安全等级保护制度和ISO27001标准的内容来看,两者既有相同的地方又有不同之处:
两者的出发点不同。
信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系,ISO 27001标准是以保证组织业务的连续性,缩减业务风险,最大化投资收益为出发点,目的是保证组织的业务连续性。
两者的分级标准不同。
等级保护实施的前提是分级,针对不同的等级,提出了不同的安全要求;ISO 27001标准的第一步也是风险评估,根据资产的价值和所面临的风险进行分级,然后针对不同的风险选择相应的风险处置措施。虽然都是从分级入手,但是两者的分级标准不同。等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。而ISO 27001标准的分级是根据资产、威胁、脆弱点、影响、风险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自己对风险的接受程度而决定。ISO 27001标准以组织内部业务影响为依据。
两者的安全分类不同。
等级保护和ISO 27001标准都从技术和管理两个方面提出了信息安全的具体要求。等级保护有10个方面的要求,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全,管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理;而ISO 27001标准有11个方面,分别是:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。
