等保制度與ISO27001的區(qū)別
信息安全等級保護制度從1994年提出,到現(xiàn)在也有10個年頭了,為什么持續(xù)許久,“天時”未到。隨著信息網(wǎng)絡(luò)應(yīng)用加深和安全事件的增多,企業(yè)和政府都面臨著信息安全的問題,“天時”具備了。
作為資產(chǎn)的擁有者企業(yè)首先走出了信息安全管理的第一步。目前企業(yè)在進行信息安全實施的過程中主要依照的是ISO 27001國際信息安全管理體系標(biāo)準(zhǔn),“地利”具備了。
等級保護制度“十年一劍”,從引進國外標(biāo)準(zhǔn)到提出符合國情的“分級保護”制度,思想也越來越成熟,從分級標(biāo)準(zhǔn)到檢查準(zhǔn)則都相繼出臺,可行性也逐步加強,得到了企業(yè)的普遍認(rèn)可,“人和”的條件也具備了。
但是一個是國際的信息安全標(biāo)準(zhǔn),一個是國家的信息安全政策,如何協(xié)調(diào)兩者的關(guān)系,做到“一箭雙雕”,而不是重復(fù)投資,需要企業(yè)和政府在實施標(biāo)準(zhǔn)和履行政策上加一協(xié)調(diào),統(tǒng)籌安排。下面作者將結(jié)合自己的實踐和理解,提出對信息安全等級保護的個人看法。
一、信息安全等級保護制度和ISO 27001標(biāo)準(zhǔn)的概念
1.1 什么是信息安全等級保護制度?
信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理。根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障信息安全和系統(tǒng)安全正常運行,維護國家利益、公共利益和社會穩(wěn)定。其核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度。突出重點,保障重要信息資源和重要信息系統(tǒng)的安全。
等級保護的主要內(nèi)容有4點,(1)對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實行分級保護。(2)對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。(3)對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。(4)對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
1.2 什么是ISO 27001標(biāo)準(zhǔn)?
信息安全管理體系國際標(biāo)準(zhǔn)起源于英國的BS 7799標(biāo)準(zhǔn)系列,后形成國際標(biāo)準(zhǔn)ISO/IEC 17799和ISO/IEC 27001。該標(biāo)準(zhǔn)主要由兩大部分組成:ISO17799即“信息安全管理實施指南” (Code of practice for Information Security Management Systems),提出了在組織內(nèi)部啟動、實施、保持和改進信息安全管理的指南和一般原則,包括11個要素,39個控制目標(biāo)和133種控制措施;ISO 27001是“信息安全管理體系要求” (Specification for Information Security Management Systems),是在組織內(nèi)部建立信息安全管理體系(ISMS)的一套規(guī)范,其中詳細(xì)說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求,可用來指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC 17799,其最終目的,通過規(guī)范的過程,建立適合組織實際要求的信息安全管理體系。
從標(biāo)準(zhǔn)的兩個部分來理解,ISO 27001是一個總的指導(dǎo)思想,依據(jù)是“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明環(huán)”管理思想,是一個整體的信息安全管理框架,強調(diào)的是建立一個持續(xù)循環(huán)的長效管理機制;而ISO 17799就是具體的信息安全管理流程,是在ISO 27001整體框架指導(dǎo)下具體的信息安全細(xì)節(jié)。組織通過若干管理和技術(shù)措施,形成一個以體系文檔為保證的控制流程,從而保證組織業(yè)務(wù)的連續(xù)性,并可以通過國際認(rèn)證機構(gòu)的嚴(yán)格審核,獲得國際信息安全認(rèn)證證書。
