信息安全等級保護是否可以與ISO 27001標準同步實施
根據比較,信息安全等級保護制度和ISO 27001信息安全管理國際標準既存在著差異又有共性,等級保護是一個宏觀的信息安全政策,而ISO 27001標準是一個具體的信息安全管理標準,兩者是否可以同步實施呢?
ISO 17799標準的條款之一“法律法規符合性”規定了組織在實施信息安全過程中要與當地的法律法規相符合。等級保護作為我們國家的信息安全的基本國策,當然是組織實施信息安全管理需要符合的。同樣等級保護也應該借鑒國際標準的先進管理思想,在實現整體的信息安全水平過程中,推進組織的信息安全能力,等級保護的測評記錄也可作為實施ISO 27001標準的文檔依據。
從兩者的對照關系來看,三級以下的組織實施了ISO 27001標準,基本能夠符合信息安全等級保護制度的要求;但是對于承載國家安全的信息系統而言,僅實施ISO 27001標準還遠遠達不到等級保護的要求,所以筆者認為:
三級以下的組織以ISO 27001標準為主線落實等級保護制度。
等級保護的工作重點在二、三、四級上,而三級的安全要求也基本和ISO 27001標準內容匹配,所以兩者還是可以協同完成的。等級保護檢查準則基本和ISO 17799的條款類似,都從管理和技術兩個方面入手,橫向的IT系統的整個生命周期,縱向的分層次安全。等級保護的檢查和ISO 27001的審查也比較類似。可以把等級保護看作組織實施信息安全管理的一個里程碑,而實施ISO 27001 標準的文檔又可以是組織落實等級保護制度的依據。
三級以上的組織以等級保護為主線借鑒ISO 27001標準。
三級以上的等級保護要求又超過了ISO 27001標準,僅僅實施ISO 27001標準還達不到等級保護的要求,所以必須以等級保護作為主線來推進組織的信息安全管理。在落實等級保護的過程中可以借鑒ISO 27001的標準的流程框架,將等級保護的檢查準則和ISO 27001標準的實施指南結合起來,相互借鑒共同實施。
