時(shí)至今日,越來(lái)越多的企業(yè)參照ISO27001標準,來(lái)建立符合自身需求的信息安全管理體系,并最終獲得ISO27001認證證書(shū);同時(shí),很多單位又面臨著(zhù)等級保護的合規要求,對信息系統進(jìn)行定級、備案、檢查與測評。
同樣都是信息安全相關(guān)標準,ISO27001與等級保護有哪些不同呢?我從以下三個(gè)方面解釋一下二者的區別:
1、二者的要求性質(zhì)不同
等級保護相關(guān)要求主要是由《中華人民共和國計算機信息系統安全保護條例》(1994年國務(wù)院147號令)及《計算機信息系統安全保護等級劃分準則》(GB17859-1999)及其他一系列政策、標準組成的。從性質(zhì)上說(shuō),等級保護的要求屬于國家法律、法規,是強制性標準,也就是說(shuō)是必須要遵守的。
ISO 27001是ISO 27000信息安全管理體系標準族中對信息安全管理體系要求的標準,從性質(zhì)上來(lái)說(shuō),ISO 27001是國際標準不具有強制性,企業(yè)可以根據自身需求來(lái)選擇是否要要滿(mǎn)足相關(guān)要求。
2、二者的管理對象不同
等級保護的管理對象是信息系統,等級保護所有的要求都是針對不同等級的信息系統所提出的要求,理論上來(lái)講所采取的保護等級越高,相應的信息系統的安全防護水平越高,信息系統的安全性也越高。
ISO 27001的管理對象是組織,ISO 27001所有的要求都是對組織的管理過(guò)程的要求,理論上來(lái)講采納了ISO 27001標準,企業(yè)的信息安全管理過(guò)程越規范,組織的信息安全管理能力水平越來(lái)越高。
3、二者的管理思路不同
等級保護的控制要求都屬于非常明確的要求,按照等級保護的要求直接實(shí)施即可,而27001中的要求都是要建立相關(guān)管理控制,具體采用什么手段進(jìn)行控制沒(méi)有具體說(shuō)明,采取什么類(lèi)型的控制隨著(zhù)組織的風(fēng)險水平、管理方式、企業(yè)文化不同而不同。
理解了二者的特點(diǎn)與不同,在實(shí)際運用中才能很好的發(fā)揮標準的有效作用,使標準成為企業(yè)規范化管理的助推器。
科泰集團(m.qiyeqqexmail.cn) 成立13年來(lái),致力于提供高新技術(shù)企業(yè)認定、名優(yōu)高新技術(shù)產(chǎn)品認定、省市工程技術(shù)研究中心認定、省市企業(yè)技術(shù)中心認定、省市工業(yè)設計中心認定、省市重點(diǎn)實(shí)驗室認定、專(zhuān)精特新中小企業(yè)、專(zhuān)精特新“小巨人”、專(zhuān)利軟著(zhù)申請、研發(fā)費用加計扣除、兩化融合貫標認證、科技型中小企業(yè)評價(jià)入庫、專(zhuān)利獎、科學(xué)技術(shù)獎、科技成果評價(jià)、科技成果轉化、ISO體系認證等服務(wù)。關(guān)注【科小泰】公眾號,及時(shí)獲取最新科技項目資訊!