信息安全等級保護(hù)制度與ISO27001標(biāo)準(zhǔn)的共性
盡管信息安全等級保護(hù)制度與ISO27001標(biāo)準(zhǔn)兩者在很多內(nèi)容上都存在著差異,但是兩者也有很多共同之處:
兩者是相輔相成的。
信息系統(tǒng)都是分布于各個組織內(nèi)部,組織內(nèi)部的信息安全是國家整體信息安全的基礎(chǔ),網(wǎng)絡(luò)的互聯(lián)和信息的共享,一個組織內(nèi)部的信息系統(tǒng)遇到風(fēng)險業(yè)務(wù)中斷,就可能導(dǎo)致一系列的信息安全連鎖反應(yīng),國家整體的信息安全水平體現(xiàn)在每個組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網(wǎng)絡(luò)環(huán)境的影響,組織的風(fēng)險來自內(nèi)部也來自外部,一個組織要和外界互聯(lián)共享就必然面臨風(fēng)險,很難想象一個組織能夠在一個不安全的信息網(wǎng)絡(luò)環(huán)境中安然無恙。
兩者風(fēng)險處理思想相同。
信息安全沒有百分之百的安全,所以無論是等級保護(hù)還是ISO 27001標(biāo)準(zhǔn)都在實(shí)施之前強(qiáng)調(diào)分級分類,只有找出信息安全保護(hù)的重點(diǎn),才能把有限的資源投入到信息安全的關(guān)鍵部位,做到統(tǒng)籌安排,而不是“眉毛胡子一把抓”。
兩者在安全分類上的共同點(diǎn)。
雖然等級保護(hù)和ISO 27001標(biāo)準(zhǔn)在安全措施分類上存在差別,但是很多項目都是共通的,如等級保護(hù)對“網(wǎng)絡(luò)安全”的要求,就分別體現(xiàn)在ISO 27001標(biāo)準(zhǔn)的“訪問控制”、“通信和操作管理”、“信息安全事件管理”等各個項目中。無論是技術(shù)還是管理上的安全措施,兩者都或多或少的存在共性。