本文探讨了信息安全等级保护制度与ISO 27001标准的概念、差异和共性。两者出发点不同,等级保护立足国家安全,ISO 27001关注组织业务连续性。两者在分级标准和安全分类上有异同,但都是相辅相成的。对于三级以下的组织,ISO 27001可作为等级保护的主线,而三级以上则需以等级保护为主,借鉴ISO 27001标准。
目录
四、信息安全等级保护是否可以与ISO 27001标准同步实施?
4.1 三级以下的组织以ISO 27001标准为主线落实等级保护制度
4.2 三级以上的组织以等级保护为主线借鉴ISO 27001标准
信息安全等级保护制度从1994年提出,到现在也有10个年头了,为什么持续许久,“天时”未到。随着信息网络应用加深和安全事件的增多,企业和政府都面临着信息安全的问题,“天时”具备了。
作为资产的拥有者企业首先走出了信息安全管理的第一步。目前企业在进行信息安全实施的过程中主要依照的是ISO 27001国际信息安全管理体系标准,“地利”具备了。
等级保护制度“十年一剑”,从引进国外标准到提出符合国情的“分级保护”制度,思想也越来越成熟,从分级标准到检查准则都相继出台,可行性也逐步加强,得到了企业的普遍认可,“人和”的条件也具备了。
但是一个是国际的信息安全标准,一个是国家的信息安全政策,如何协调两者的关系,做到“一箭双雕”,而不是重复投资,需要企业和政府在实施标准和履行政策上加一协调,统筹安排。下面作者将结合自己的实践和理解,提出对信息安全等级保护的个人看法。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
