信息安全等級(jí)保護(hù)是否可以與ISO 27001標(biāo)準(zhǔn)同步實(shí)施

Date21 9 月 2017

Comment0

根據(jù)比較，信息安全等級(jí)保護(hù)制度和ISO 27001信息安全管理國(guó)際標(biāo)準(zhǔn)既存在著差異又有共性，等級(jí)保護(hù)是一個(gè)宏觀的信息安全政策，而ISO 27001標(biāo)準(zhǔn)是一個(gè)具體的信息安全管理標(biāo)準(zhǔn)，兩者是否可以同步實(shí)施呢？
ISO 17799標(biāo)準(zhǔn)的條款之一“法律法規(guī)符合性”規(guī)定了組織在實(shí)施信息安全過(guò)程中要與當(dāng)?shù)氐姆煞ㄒ?guī)相符合。等級(jí)保護(hù)作為我們國(guó)家的信息安全的基本國(guó)策，當(dāng)然是組織實(shí)施信息安全管理需要符合的。同樣等級(jí)保護(hù)也應(yīng)該借鑒國(guó)際標(biāo)準(zhǔn)的先進(jìn)管理思想，在實(shí)現(xiàn)整體的信息安全水平過(guò)程中，推進(jìn)組織的信息安全能力，等級(jí)保護(hù)的測(cè)評(píng)記錄也可作為實(shí)施ISO 27001標(biāo)準(zhǔn)的文檔依據(jù)。
從兩者的對(duì)照關(guān)系來(lái)看，三級(jí)以下的組織實(shí)施了ISO 27001標(biāo)準(zhǔn)，基本能夠符合信息安全等級(jí)保護(hù)制度的要求；但是對(duì)于承載國(guó)家安全的信息系統(tǒng)而言，僅實(shí)施ISO 27001標(biāo)準(zhǔn)還遠(yuǎn)遠(yuǎn)達(dá)不到等級(jí)保護(hù)的要求，所以筆者認(rèn)為：

三級(jí)以下的組織以ISO 27001標(biāo)準(zhǔn)為主線落實(shí)等級(jí)保護(hù)制度。
等級(jí)保護(hù)的工作重點(diǎn)在二、三、四級(jí)上，而三級(jí)的安全要求也基本和ISO 27001標(biāo)準(zhǔn)內(nèi)容匹配，所以兩者還是可以協(xié)同完成的。等級(jí)保護(hù)檢查準(zhǔn)則基本和ISO 17799的條款類(lèi)似，都從管理和技術(shù)兩個(gè)方面入手，橫向的IT系統(tǒng)的整個(gè)生命周期，縱向的分層次安全。等級(jí)保護(hù)的檢查和ISO 27001的審查也比較類(lèi)似?？梢园训燃?jí)保護(hù)看作組織實(shí)施信息安全管理的一個(gè)里程碑，而實(shí)施ISO 27001 標(biāo)準(zhǔn)的文檔又可以是組織落實(shí)等級(jí)保護(hù)制度的依據(jù)。

三級(jí)以上的組織以等級(jí)保護(hù)為主線借鑒ISO 27001標(biāo)準(zhǔn)。
三級(jí)以上的等級(jí)保護(hù)要求又超過(guò)了ISO 27001標(biāo)準(zhǔn)，僅僅實(shí)施ISO 27001標(biāo)準(zhǔn)還達(dá)不到等級(jí)保護(hù)的要求，所以必須以等級(jí)保護(hù)作為主線來(lái)推進(jìn)組織的信息安全管理。在落實(shí)等級(jí)保護(hù)的過(guò)程中可以借鑒ISO 27001的標(biāo)準(zhǔn)的流程框架，將等級(jí)保護(hù)的檢查準(zhǔn)則和ISO 27001標(biāo)準(zhǔn)的實(shí)施指南結(jié)合起來(lái)，相互借鑒共同實(shí)施。