信息安全等級保護是否可以與ISO 27001標(biāo)準(zhǔn)同步實施

根據(jù)比較，信息安全等級保護制度和ISO 27001信息安全管理國際標(biāo)準(zhǔn)既存在著差異又有共性，等級保護是一個宏觀的信息安全政策，而ISO 27001標(biāo)準(zhǔn)是一個具體的信息安全管理標(biāo)準(zhǔn)，兩者是否可以同步實施呢？
ISO 17799標(biāo)準(zhǔn)的條款之一“法律法規(guī)符合性”規(guī)定了組織在實施信息安全過程中要與當(dāng)?shù)氐姆煞ㄒ?guī)相符合。等級保護作為我們國家的信息安全的基本國策，當(dāng)然是組織實施信息安全管理需要符合的。同樣等級保護也應(yīng)該借鑒國際標(biāo)準(zhǔn)的先進管理思想，在實現(xiàn)整體的信息安全水平過程中，推進組織的信息安全能力，等級保護的測評記錄也可作為實施ISO 27001標(biāo)準(zhǔn)的文檔依據(jù)。
從兩者的對照關(guān)系來看，三級以下的組織實施了ISO 27001標(biāo)準(zhǔn)，基本能夠符合信息安全等級保護制度的要求；但是對于承載國家安全的信息系統(tǒng)而言，僅實施ISO 27001標(biāo)準(zhǔn)還遠遠達不到等級保護的要求，所以筆者認(rèn)為：

三級以下的組織以ISO 27001標(biāo)準(zhǔn)為主線落實等級保護制度。
等級保護的工作重點在二、三、四級上，而三級的安全要求也基本和ISO 27001標(biāo)準(zhǔn)內(nèi)容匹配，所以兩者還是可以協(xié)同完成的。等級保護檢查準(zhǔn)則基本和ISO 17799的條款類似，都從管理和技術(shù)兩個方面入手，橫向的IT系統(tǒng)的整個生命周期，縱向的分層次安全。等級保護的檢查和ISO 27001的審查也比較類似。可以把等級保護看作組織實施信息安全管理的一個里程碑，而實施ISO 27001 標(biāo)準(zhǔn)的文檔又可以是組織落實等級保護制度的依據(jù)。

三級以上的組織以等級保護為主線借鑒ISO 27001標(biāo)準(zhǔn)。
三級以上的等級保護要求又超過了ISO 27001標(biāo)準(zhǔn)，僅僅實施ISO 27001標(biāo)準(zhǔn)還達不到等級保護的要求，所以必須以等級保護作為主線來推進組織的信息安全管理。在落實等級保護的過程中可以借鑒ISO 27001的標(biāo)準(zhǔn)的流程框架，將等級保護的檢查準(zhǔn)則和ISO 27001標(biāo)準(zhǔn)的實施指南結(jié)合起來，相互借鑒共同實施。

相關(guān)文章：

ISO27001信息安全管理體系建立過程 申請ISO27001信息安全管理體系認(rèn)證的基本條件 等保制度與ISO27001的區(qū)別 信息安全等級保護制度與ISO27001標(biāo)準(zhǔn)的差異