信息安全等級保護制度與ISO27001標準的差異

Date21 9 月 2017

Comment0

從信息安全等級保護制度和ISO27001標準的內(nèi)容來看，兩者既有相同的地方又有不同之處：
兩者的出發(fā)點不同。
信息安全等級保護制度是以國家安全、社會秩序和公共利益為出發(fā)點，從宏觀上指導(dǎo)全國的信息安全工作，目的是構(gòu)建國家整體的信息安全保障體系，ISO 27001標準是以保證組織業(yè)務(wù)的連續(xù)性，縮減業(yè)務(wù)風險，最大化投資收益為出發(fā)點，目的是保證組織的業(yè)務(wù)連續(xù)性。

兩者的分級標準不同。
等級保護實施的前提是分級，針對不同的等級，提出了不同的安全要求；ISO 27001標準的第一步也是風險評估，根據(jù)資產(chǎn)的價值和所面臨的風險進行分級，然后針對不同的風險選擇相應(yīng)的風險處置措施。雖然都是從分級入手，但是兩者的分級標準不同。等級保護的分級主要考慮四個方面的風險，即信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益所造成的影響，按照影響程度大小分為五級，等級保護的分級以組織外部影響為依據(jù)。而ISO 27001標準的分級是根據(jù)資產(chǎn)、威脅、脆弱點、影響、風險等各個因素之間的關(guān)系，采取定量或者定性的方法進行分級分類，采取何種風險處置措施，也是組織根據(jù)自己對風險的接受程度而決定。ISO 27001標準以組織內(nèi)部業(yè)務(wù)影響為依據(jù)。

兩者的安全分類不同。
等級保護和ISO 27001標準都從技術(shù)和管理兩個方面提出了信息安全的具體要求。等級保護有10個方面的要求，技術(shù)方面有：物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全，管理方面有：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理；而ISO 27001標準有11個方面，分別是：安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。而且兩者在各個大分類下面又規(guī)定了若干的小項目。