目錄

一、信息安全等級保護制度和ISO 27001標準的概念

1.1 什么是信息安全等級保護制度？

1.2 什么是ISO 27001標準？

二、信息安全等級保護制度與ISO 27001標準的差異

2.1 兩者的出發(fā)點不同

2.2 兩者的分級標準不同

2.3 兩者的安全分類不同

三、信息安全等級保護制度與ISO 27001標準的共性

3.1 兩者是相輔相成的

3.2 兩者風險處理思想相同

3.3 兩者在安全分類上的共同點

四、信息安全等級保護是否可以與ISO 27001標準同步實施？

4.1 三級以下的組織以ISO 27001標準為主線落實等級保護制度

4.2 三級以上的組織以等級保護為主線借鑒ISO 27001標準

---

?????信息安全等級保護制度從1994年提出，到現(xiàn)在也有10個年頭了，為什么持續(xù)許久，“天時”未到。隨著信息網(wǎng)絡應用加深和安全事件的增多，企業(yè)和政府都面臨著信息安全的問題，“天時”具備了。
? ? ?作為資產(chǎn)的擁有者企業(yè)首先走出了信息安全管理的第一步。目前企業(yè)在進行信息安全實施的過程中主要依照的是ISO 27001國際信息安全管理體系標準，“地利”具備了。
等級保護制度“十年一劍”，從引進國外標準到提出符合國情的“分級保護”制度，思想也越來越成熟，從分級標準到檢查準則都相繼出臺，可行性也逐步加強，得到了企業(yè)的普遍認可，“人和”的條件也具備了。
??????但是一個是國際的信息安全標準，一個是國家的信息安全政策，如何協(xié)調(diào)兩者的關系，做到“一箭雙雕”，而不是重復投資，需要企業(yè)和政府在實施標準和履行政策上加一協(xié)調(diào)，統(tǒng)籌安排。下面作者將結(jié)合自己的實踐和理解，提出對信息安全等級保護的個人看法。

一、信息安全等級保護制度和ISO 27001標準的概念

1.1 什么是信息安全等級保護制度？

? ? ? 信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理。根據(jù)信息系統(tǒng)應用業(yè)務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。其核心是對信息系統(tǒng)特別是對業(yè)務應用系統(tǒng)安全分等級、按標準進行建設、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術規(guī)范逐級加強監(jiān)管力度。突出重點，保障重要信息資源和重要信息系統(tǒng)的安全。
等級保護的主要內(nèi)容有4點：

• （1）對信息系統(tǒng)按業(yè)務安全應用域和區(qū)實行分級保護。
• （2）對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。
• （3）對等級系統(tǒng)的安全服務資質(zhì)分級許可管理。
• （4）對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

1.2 什么是ISO 27001標準？

? ? ? 信息安全管理體系國際標準起源于英國的BS 7799標準系列，后形成國際標準ISO/IEC 17799和ISO/IEC 27001。該標準主要由兩大部分組成：ISO17799即“信息安全管理實施指南” （Code of practice for Information Security Management Systems），提出了在組織內(nèi)部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標和133種控制措施；ISO 27001是“信息安全管理體系要求” （Specification for Information Security Management Systems），是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求，可用來指導相關人員應用ISO/IEC 17799，其最終目的，通過規(guī)范的過程，建立適合組織實際要求的信息安全管理體系。
從標準的兩個部分來理解，ISO 27001是一個總的指導思想，依據(jù)是“PDCA”（PLAN、DO、CHECK、ACTION）的“戴明環(huán)”管理思想，是一個整體的信息安全管理框架，強調(diào)的是建立一個持續(xù)循環(huán)的長效管理機制；而ISO 17799就是具體的信息安全管理流程，是在ISO 27001整體框架指導下具體的信息安全細節(jié)。組織通過若干管理和技術措施，形成一個以體系文檔為保證的控制流程，從而保證組織業(yè)務的連續(xù)性，并可以通過國際認證機構(gòu)的嚴格審核，獲得國際信息安全認證證書。

二、信息安全等級保護制度與ISO 27001標準的差異

從信息安全等級保護制度和ISO 27001標準的內(nèi)容來看，兩者既有相同的地方又有不同之處：

2.1 兩者的出發(fā)點不同

? ? ? 信息安全等級保護制度是以國家安全、社會秩序和公共利益為出發(fā)點，從宏觀上指導全國的信息安全工作，目的是構(gòu)建國家整體的信息安全保障體系，ISO 27001標準是以保證組織業(yè)務的連續(xù)性，縮減業(yè)務風險，最大化投資收益為出發(fā)點，目的是保證組織的業(yè)務連續(xù)性。

2.2 兩者的分級標準不同

? ? ? 等級保護實施的前提是分級，針對不同的等級，提出了不同的安全要求；ISO 27001標準的第一步也是風險評估，根據(jù)資產(chǎn)的價值和所面臨的風險進行分級，然后針對不同的風險選擇相應的風險處置措施。雖然都是從分級入手，但是兩者的分級標準不同。等級保護的分級主要考慮四個方面的風險，即信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益所造成的影響，按照影響程度大小分為五級，等級保護的分級以組織外部影響為依據(jù)。而ISO 27001標準的分級是根據(jù)資產(chǎn)、威脅、脆弱點、影響、風險等各個因素之間的關系，采取定量或者定性的方法進行分級分類，采取何種風險處置措施，也是組織根據(jù)自己對風險的接受程度而決定。ISO 27001標準以組織內(nèi)部業(yè)務影響為依據(jù)。

2.3 兩者的安全分類不同

? ? ? 等級保護和ISO 27001標準都從技術和管理兩個方面提出了信息安全的具體要求。等級保護有10個方面的要求，技術方面有：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全、數(shù)據(jù)安全，管理方面有：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理；而ISO 27001標準有11個方面，分別是：安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、業(yè)務連續(xù)性管理、符合性。而且兩者在各個大分類下面又規(guī)定了若干的小項目。

三、信息安全等級保護制度與ISO 27001標準的共性

盡管兩者在很多內(nèi)容上都存在著差異，但是兩者也有很多共同之處：

3.1 兩者是相輔相成的

? ? ? 信息系統(tǒng)都是分布于各個組織內(nèi)部，組織內(nèi)部的信息安全是國家整體信息安全的基礎，網(wǎng)絡的互聯(lián)和信息的共享，一個組織內(nèi)部的信息系統(tǒng)遇到風險業(yè)務中斷，就可能導致一系列的信息安全連鎖反應，國家整體的信息安全水平體現(xiàn)在每個組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網(wǎng)絡環(huán)境的影響，組織的風險來自內(nèi)部也來自外部，一個組織要和外界互聯(lián)共享就必然面臨風險，很難想象一個組織能夠在一個不安全的信息網(wǎng)絡環(huán)境中安然無恙。

3.2 兩者風險處理思想相同

? ? ? 信息安全沒有百分之百的安全，所以無論是等級保護還是ISO 27001標準都在實施之前強調(diào)分級分類，只有找出信息安全保護的重點，才能把有限的資源投入到信息安全的關鍵部位，做到統(tǒng)籌安排，而不是“眉毛胡子一把抓”。

3.3 兩者在安全分類上的共同點

? ? ? 雖然等級保護和ISO 27001標準在安全措施分類上存在差別，但是很多項目都是共通的，如等級保護對“網(wǎng)絡安全”的要求，就分別體現(xiàn)在ISO 27001標準的“訪問控制”、“通信和操作管理”、“信息安全事件管理”等各個項目中。無論是技術還是管理上的安全措施，兩者都或多或少的存在共性。

四、信息安全等級保護是否可以與ISO 27001標準同步實施？

? ? ? 根據(jù)以上比較，信息安全等級保護制度和ISO 27001信息安全管理國際標準既存在著差異又有共性，等級保護是一個宏觀的信息安全政策，而ISO 27001標準是一個具體的信息安全管理標準，兩者是否可以同步實施呢？
? ? ? ISO 17799標準的條款之一“法律法規(guī)符合性”規(guī)定了組織在實施信息安全過程中要與當?shù)氐姆煞ㄒ?guī)相符合。等級保護作為我們國家的信息安全的基本國策，當然是組織實施信息安全管理需要符合的。同樣等級保護也應該借鑒國際標準的先進管理思想，在實現(xiàn)整體的信息安全水平過程中，推進組織的信息安全能力，等級保護的測評記錄也可作為實施ISO 27001標準的文檔依據(jù)。
? ? ? 從兩者的對照關系來看，三級以下的組織實施了ISO 27001標準，基本能夠符合信息安全等級保護制度的要求；但是對于承載國家安全的信息系統(tǒng)而言，僅實施ISO 27001標準還遠遠達不到等級保護的要求，所以筆者認為：

4.1 三級以下的組織以ISO 27001標準為主線落實等級保護制度

等級保護的工作重點在二、三、四級上，而三級的安全要求也基本和ISO 27001標準內(nèi)容匹配，所以兩者還是可以協(xié)同完成的。等級保護檢查準則基本和ISO 17799的條款類似，都從管理和技術兩個方面入手，橫向的IT系統(tǒng)的整個生命周期，縱向的分層次安全。等級保護的檢查和ISO 27001的審查也比較類似。可以把等級保護看作組織實施信息安全管理的一個里程碑，而實施ISO 27001 標準的文檔又可以是組織落實等級保護制度的依據(jù)。

4.2 三級以上的組織以等級保護為主線借鑒ISO 27001標準

三級以上的等級保護要求又超過了ISO 27001標準，僅僅實施ISO 27001標準還達不到等級保護的要求，所以必須以等級保護作為主線來推進組織的信息安全管理。在落實等級保護的過程中可以借鑒ISO 27001的標準的流程框架，將等級保護的檢查準則和ISO 27001標準的實施指南結(jié)合起來，相互借鑒共同實施。

總結(jié)

以上是生活随笔為你收集整理的等保制度与ISO27001的区别与联系的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。