信息安全等級(jí)保護(hù)制度與ISO27001標(biāo)準(zhǔn)的差異

Date21 9 月 2017

Comment0

從信息安全等級(jí)保護(hù)制度和ISO27001標(biāo)準(zhǔn)的內(nèi)容來(lái)看，兩者既有相同的地方又有不同之處：
兩者的出發(fā)點(diǎn)不同。
信息安全等級(jí)保護(hù)制度是以國(guó)家安全、社會(huì)秩序和公共利益為出發(fā)點(diǎn)，從宏觀上指導(dǎo)全國(guó)的信息安全工作，目的是構(gòu)建國(guó)家整體的信息安全保障體系，ISO 27001標(biāo)準(zhǔn)是以保證組織業(yè)務(wù)的連續(xù)性，縮減業(yè)務(wù)風(fēng)險(xiǎn)，最大化投資收益為出發(fā)點(diǎn)，目的是保證組織的業(yè)務(wù)連續(xù)性。

兩者的分級(jí)標(biāo)準(zhǔn)不同。
等級(jí)保護(hù)實(shí)施的前提是分級(jí)，針對(duì)不同的等級(jí)，提出了不同的安全要求；ISO 27001標(biāo)準(zhǔn)的第一步也是風(fēng)險(xiǎn)評(píng)估，根據(jù)資產(chǎn)的價(jià)值和所面臨的風(fēng)險(xiǎn)進(jìn)行分級(jí)，然后針對(duì)不同的風(fēng)險(xiǎn)選擇相應(yīng)的風(fēng)險(xiǎn)處置措施。雖然都是從分級(jí)入手，但是兩者的分級(jí)標(biāo)準(zhǔn)不同。等級(jí)保護(hù)的分級(jí)主要考慮四個(gè)方面的風(fēng)險(xiǎn)，即信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益所造成的影響，按照影響程度大小分為五級(jí)，等級(jí)保護(hù)的分級(jí)以組織外部影響為依據(jù)。而ISO 27001標(biāo)準(zhǔn)的分級(jí)是根據(jù)資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)等各個(gè)因素之間的關(guān)系，采取定量或者定性的方法進(jìn)行分級(jí)分類，采取何種風(fēng)險(xiǎn)處置措施，也是組織根據(jù)自己對(duì)風(fēng)險(xiǎn)的接受程度而決定。ISO 27001標(biāo)準(zhǔn)以組織內(nèi)部業(yè)務(wù)影響為依據(jù)。

兩者的安全分類不同。
等級(jí)保護(hù)和ISO 27001標(biāo)準(zhǔn)都從技術(shù)和管理兩個(gè)方面提出了信息安全的具體要求。等級(jí)保護(hù)有10個(gè)方面的要求，技術(shù)方面有：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全，管理方面有：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理；而ISO 27001標(biāo)準(zhǔn)有11個(gè)方面，分別是：安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。而且兩者在各個(gè)大分類下面又規(guī)定了若干的小項(xiàng)目。