信息安全等级保护制度与ISO27001标准的共性
尽管信息安全等级保护制度与ISO27001标准两者在很多内容上都存在着差异,但是两者也有很多共同之处:
两者是相辅相成的。
信息系统都是分布于各个组织内部,组织内部的信息安全是国家整体信息安全的基础,网络的互联和信息的共享,一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全连锁反应,国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响,组织的风险来自内部也来自外部,一个组织要和外界互联共享就必然面临风险,很难想象一个组织能够在一个不安全的信息网络环境中安然无恙。
两者风险处理思想相同。
信息安全没有百分之百的安全,所以无论是等级保护还是ISO 27001标准都在实施之前强调分级分类,只有找出信息安全保护的重点,才能把有限的资源投入到信息安全的关键部位,做到统筹安排,而不是“眉毛胡子一把抓”。
两者在安全分类上的共同点。
虽然等级保护和ISO 27001标准在安全措施分类上存在差别,但是很多项目都是共通的,如等级保护对“网络安全”的要求,就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施,两者都或多或少的存在共性。