信息安全等級保護制度與ISO27001標準的差異
從信息安全等級保護制度和ISO27001標準的內容來看,兩者既有相同的地方又有不同之處:
兩者的出發點不同。
信息安全等級保護制度是以國家安全、社會秩序和公共利益為出發點,從宏觀上指導全國的信息安全工作,目的是構建國家整體的信息安全保障體系,ISO 27001標準是以保證組織業務的連續性,縮減業務風險,最大化投資收益為出發點,目的是保證組織的業務連續性。
兩者的分級標準不同。
等級保護實施的前提是分級,針對不同的等級,提出了不同的安全要求;ISO 27001標準的第一步也是風險評估,根據資產的價值和所面臨的風險進行分級,然后針對不同的風險選擇相應的風險處置措施。雖然都是從分級入手,但是兩者的分級標準不同。等級保護的分級主要考慮四個方面的風險,即信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益所造成的影響,按照影響程度大小分為五級,等級保護的分級以組織外部影響為依據。而ISO 27001標準的分級是根據資產、威脅、脆弱點、影響、風險等各個因素之間的關系,采取定量或者定性的方法進行分級分類,采取何種風險處置措施,也是組織根據自己對風險的接受程度而決定。ISO 27001標準以組織內部業務影響為依據。
兩者的安全分類不同。
等級保護和ISO 27001標準都從技術和管理兩個方面提出了信息安全的具體要求。等級保護有10個方面的要求,技術方面有:物理安全、網絡安全、主機系統安全、應用安全、數據安全,管理方面有:安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理;而ISO 27001標準有11個方面,分別是:安全策略、組織信息安全、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理、符合性。而且兩者在各個大分類下面又規定了若干的小項目。
