等保制度與ISO27001的區別
信息安全等級保護制度從1994年提出,到現在也有10個年頭了,為什么持續許久,“天時”未到。隨著信息網絡應用加深和安全事件的增多,企業和政府都面臨著信息安全的問題,“天時”具備了。
作為資產的擁有者企業首先走出了信息安全管理的第一步。目前企業在進行信息安全實施的過程中主要依照的是ISO 27001國際信息安全管理體系標準,“地利”具備了。
等級保護制度“十年一劍”,從引進國外標準到提出符合國情的“分級保護”制度,思想也越來越成熟,從分級標準到檢查準則都相繼出臺,可行性也逐步加強,得到了企業的普遍認可,“人和”的條件也具備了。
但是一個是國際的信息安全標準,一個是國家的信息安全政策,如何協調兩者的關系,做到“一箭雙雕”,而不是重復投資,需要企業和政府在實施標準和履行政策上加一協調,統籌安排。下面作者將結合自己的實踐和理解,提出對信息安全等級保護的個人看法。
一、信息安全等級保護制度和ISO 27001標準的概念
1.1 什么是信息安全等級保護制度?
信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。根據信息系統應用業務重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障信息安全和系統安全正常運行,維護國家利益、公共利益和社會穩定。其核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點,保障重要信息資源和重要信息系統的安全。
等級保護的主要內容有4點,(1)對信息系統按業務安全應用域和區實行分級保護。(2)對系統中使用的信息安全產品實行按分級許可管理。(3)對等級系統的安全服務資質分級許可管理。(4)對信息系統中發生的信息安全事件分等級響應、處置。
1.2 什么是ISO 27001標準?
信息安全管理體系國際標準起源于英國的BS 7799標準系列,后形成國際標準ISO/IEC 17799和ISO/IEC 27001。該標準主要由兩大部分組成:ISO17799即“信息安全管理實施指南” (Code of practice for Information Security Management Systems),提出了在組織內部啟動、實施、保持和改進信息安全管理的指南和一般原則,包括11個要素,39個控制目標和133種控制措施;ISO 27001是“信息安全管理體系要求” (Specification for Information Security Management Systems),是在組織內部建立信息安全管理體系(ISMS)的一套規范,其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求,可用來指導相關人員應用ISO/IEC 17799,其最終目的,通過規范的過程,建立適合組織實際要求的信息安全管理體系。
從標準的兩個部分來理解,ISO 27001是一個總的指導思想,依據是“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明環”管理思想,是一個整體的信息安全管理框架,強調的是建立一個持續循環的長效管理機制;而ISO 17799就是具體的信息安全管理流程,是在ISO 27001整體框架指導下具體的信息安全細節。組織通過若干管理和技術措施,形成一個以體系文檔為保證的控制流程,從而保證組織業務的連續性,并可以通過國際認證機構的嚴格審核,獲得國際信息安全認證證書。
