信息安全等级保护是否可以与ISO 27001标准同步实施
根据比较,信息安全等级保护制度和ISO 27001信息安全管理国际标准既存在着差异又有共性,等级保护是一个宏观的信息安全政策,而ISO 27001标准是一个具体的信息安全管理标准,两者是否可以同步实施呢?
ISO 17799标准的条款之一“法律法规符合性”规定了组织在实施信息安全过程中要与当地的法律法规相符合。等级保护作为我们国家的信息安全的基本国策,当然是组织实施信息安全管理需要符合的。同样等级保护也应该借鉴国际标准的先进管理思想,在实现整体的信息安全水平过程中,推进组织的信息安全能力,等级保护的测评记录也可作为实施ISO 27001标准的文档依据。
从两者的对照关系来看,三级以下的组织实施了ISO 27001标准,基本能够符合信息安全等级保护制度的要求;但是对于承载国家安全的信息系统而言,仅实施ISO 27001标准还远远达不到等级保护的要求,所以笔者认为:
三级以下的组织以ISO 27001标准为主线落实等级保护制度。
等级保护的工作重点在二、三、四级上,而三级的安全要求也基本和ISO 27001标准内容匹配,所以两者还是可以协同完成的。等级保护检查准则基本和ISO 17799的条款类似,都从管理和技术两个方面入手,横向的IT系统的整个生命周期,纵向的分层次安全。等级保护的检查和ISO 27001的审查也比较类似。可以把等级保护看作组织实施信息安全管理的一个里程碑,而实施ISO 27001 标准的文档又可以是组织落实等级保护制度的依据。
三级以上的组织以等级保护为主线借鉴ISO 27001标准。
三级以上的等级保护要求又超过了ISO 27001标准,仅仅实施ISO 27001标准还达不到等级保护的要求,所以必须以等级保护作为主线来推进组织的信息安全管理。在落实等级保护的过程中可以借鉴ISO 27001的标准的流程框架,将等级保护的检查准则和ISO 27001标准的实施指南结合起来,相互借鉴共同实施。
