ISO27001信息安全管理體系與等級保護對比映射

來源：    發(fā)布日期：   點擊量：

等級保護與ISO/IEC 27001概念對比

信息系統(tǒng)安全等級保護是指對信息系統(tǒng)實行等級化的保護和管理。根據(jù)信息系統(tǒng)對國家利益、公共利益和社會穩(wěn)定的重要性，實行分級、分類、分階段實施保護，確保信息安全和系統(tǒng)安全正常運行，其核心是對信息系統(tǒng)安全分等級、按標準進行建設(shè)、管理和監(jiān)督。

等級保護的主要內(nèi)容涉及四個方面：

（1）對信息系統(tǒng)按重要性實行分級保護；

（2）對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理；

（3）對等級系統(tǒng)的安全服務資質(zhì)分級許可管理；

（4）對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

信息安全管理體系國際標準起源于英國的BS 7799標準，后逐漸形成國際標準ISO/IEC 27001，該標準主要由兩大部分組成：ISO 27001是“信息安全管理體系要求” （Specification for Information Security Management Systems），是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求，其最終目的，通過規(guī)范的過程，建立適合組織實際要求的信息安全管理體系。ISO/IEC 27002即“信息安全管理實施指南” （Code of practice for Information Security Management Systems），提出了在組織內(nèi)部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標和133種控制措施。

信息安全等級保護制度與ISO 27001標準的差異

從信息安全等級保護制度和ISO 27001標準的內(nèi)容來看，兩者既有相同的地方又有不同之處：

二者的要求性質(zhì)不同

等級保護相關(guān)要求主要是由《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年國務院147號令）及《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）及其他一系列政策、標準組成的。從性質(zhì)上說，等級保護的要求屬于國家法律、法規(guī)，是具有強制性必須要遵守的。

ISO 27001是ISO 27000信息安全管理體系標準族中對信息安全管理體系要求的標準，從性質(zhì)上來說，ISO 27001是國際標準不具有強制性，企業(yè)可以根據(jù)自身需求來選擇是否要要滿足相關(guān)要求。

二者的管理對象不同

等級保護的管理對象是信息系統(tǒng)，等級保護所有的要求都是針對不同等級的信息系統(tǒng)所提出的要求，理論上來講所采取的保護等級越高，相應的信息系統(tǒng)的安全防護水平越高，信息系統(tǒng)的安全性也越高。

ISO 27001的管理對象是組織，ISO 27001所有的要求都是對組織的管理過程的要求，理論上來講采納了ISO 27001標準，企業(yè)的信息安全管理過程越規(guī)范，組織的信息安全管理能力水平越來越高。

二者的管理思路不同

等級保護的控制要求都屬于非常明確的要求，按照等級保護的要求直接實施即可，而27001中的要求都是要建立相關(guān)管理控制，具體采用什么手段進行控制沒有具體說明，采取什么類型的控制隨著組織的風險水平、管理方式、企業(yè)文化不同而不同。

相關(guān)知識：