信息安全等級保護(hù)制度與ISO27001標(biāo)準(zhǔn)的共性

Date21 9 月 2017

Comment0

盡管信息安全等級保護(hù)制度與ISO27001標(biāo)準(zhǔn)兩者在很多內(nèi)容上都存在著差異，但是兩者也有很多共同之處：

兩者是相輔相成的。
信息系統(tǒng)都是分布于各個組織內(nèi)部，組織內(nèi)部的信息安全是國家整體信息安全的基礎(chǔ)，網(wǎng)絡(luò)的互聯(lián)和信息的共享，一個組織內(nèi)部的信息系統(tǒng)遇到風(fēng)險業(yè)務(wù)中斷，就可能導(dǎo)致一系列的信息安全連鎖反應(yīng)，國家整體的信息安全水平體現(xiàn)在每個組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網(wǎng)絡(luò)環(huán)境的影響，組織的風(fēng)險來自內(nèi)部也來自外部，一個組織要和外界互聯(lián)共享就必然面臨風(fēng)險，很難想象一個組織能夠在一個不安全的信息網(wǎng)絡(luò)環(huán)境中安然無恙。

兩者風(fēng)險處理思想相同。
信息安全沒有百分之百的安全，所以無論是等級保護(hù)還是ISO 27001標(biāo)準(zhǔn)都在實(shí)施之前強(qiáng)調(diào)分級分類，只有找出信息安全保護(hù)的重點(diǎn)，才能把有限的資源投入到信息安全的關(guān)鍵部位，做到統(tǒng)籌安排，而不是“眉毛胡子一把抓”。

兩者在安全分類上的共同點(diǎn)。
雖然等級保護(hù)和ISO 27001標(biāo)準(zhǔn)在安全措施分類上存在差別，但是很多項(xiàng)目都是共通的，如等級保護(hù)對“網(wǎng)絡(luò)安全”的要求，就分別體現(xiàn)在ISO 27001標(biāo)準(zhǔn)的“訪問控制”、“通信和操作管理”、“信息安全事件管理”等各個項(xiàng)目中。無論是技術(shù)還是管理上的安全措施，兩者都或多或少的存在共性。