欢迎访问博天亚集团官方网站!
 ISO27000与信息安全等级保护的不同点 - 新闻动态
您现在的位置:首页 > 新闻动态 > 认证百科 > ISO27000与信息安全等级保护的不同点

ISO27000与信息安全等级保护的不同点

博天亚 | 2019年03月12日 浏览次数:1511

 


信息安全等级保护和ISO27000系列标准是目前国内主流的两个信息安全标准体系,在党政机关及企事业单位运用非常广泛。在建立单位内部信息安全体系的时候往往会遇到需要同时满足两个标准体系要求的难题。该文先简单介绍两个体系的历史及相关标准,然后对这两个标准进行对比研究,从出发点、实施流程、安全分类标准及风险处置方法等方面分析两者之间的差异性及共性。
    从第一个信息安全评估标准(TCSEC)发布以来,信息安全相关标准经过二十多年的发展,在体系建设与工程等方面都有不同的标准出现,促进了信息安全工作的规范化和发展。ISO27000系列标准作为国际知名的信息安全管理标准,己在全球多个国家应用和实施。信息安全等级保护制度从1994年提出,从引进国外标准到提出符合国情的“分级保护”制度,标准体系越来越成熟,可行性也逐步加强。2006年6月公安部、国家保密局、国家密码管理局和国信办发布了《关于开展信息安全等级保护试点工作的通知》,试点单位包括北京、山西、上海等十三个省、市、自治区以及中联部、中组部、航天科技集团等三个部门。信息安全等级保护在保护国家安全、公共利益和社会秩序等方面扮演了至关重要的角色。信息安全工作者在实际工作中经常需要同时按照两种标准开展相关工作。下面笔者将从概念、出发点、分级标准及安全分类等角度来分析两者的异同点。
    信息安全等级保护制度和ISO 27000系列标准的概念
    1.1信息安全等级保护制度
    我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》,成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个,涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理。

1.2 ISO 27000系列标准
    ISO 27000起源于英国的BS 7799标准系列,其中ISO 27001是“信息安全管理体系要求”(Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO 27002,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;

2 等级保护系列标准与ISO/IEC27000系列标准的对比分析

从信息安全等级保护制度和ISO 27001系列标准的内容来看,两者既有相同的地方又有不同之处,下面就分别分析两者之间的差异性及共性。
    2.1两者的差异性
      2.1.1两者的出发点不同
    信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系,ISO 27000系列标准是以保证组织业务的连续性,缩减业务风险,最大化投资收益为目的,目的是保证组织的业务安全。
      2.1.2两者的分级标准的差异
    等级保护实施首先是定级问题,针对不同的级别,提出了不同的等级安全要求;ISO 27000系列标准的第一步是风险评估,根据资产的价值和所面临的风险进行分类,然后针对不同的风险选择相应的风险处置措施。虽然都是从分级或分类入手,但是两者的分级标准不同。等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。而ISO 27000系列标准的分级是根据资产、威胁、脆弱点、影响、风险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自己对风险的接受程度而决定。ISO 27000标准以组织内部业务影响为依据。
      2.1.3两者的安全分类的差异
    等级保护和ISO 27000系列标准都从技术和管理两个方面提出了信息安全的要求。等级保护有10个方面的要求,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全,管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理;而ISO 27001标准有11个方面,分别是:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。
      2.1.4两者实施流程的差异
    等级保护首先对信息系统进行定级,定级之后再结合不同等级的安全要求进行安全需求分析。在定级之前,首先要对信息系统进行描述,主要包括系统边界、网络拓补、设备部署等,对于大型的信息系统要在综合分析的基础上进行划分,确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定,通过综合判定客体的受侵害程度来确定系统的安全保护等级。安全等级确定之后,从信息系统安全等级保护基本要求中选择相应的等级评价指标,ISO27000认证机构通过现场观察、询问、检查、测试等方式进行评估,确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产,其安全需求分析则采用风险评估的方法来进行。



服务热线

400-998-2355

微信服务号