時(shí)至今日,越來越多的企業(yè)參照ISO27001標(biāo)準(zhǔn),來建立符合自身需求的信息安全管理體系,并最終獲得ISO27001認(rèn)證證書;同時(shí),很多單位又面臨著等級(jí)保護(hù)的合規(guī)要求,對(duì)信息系統(tǒng)進(jìn)行定級(jí)、備案、檢查與測(cè)評(píng)。
同樣都是信息安全相關(guān)標(biāo)準(zhǔn),ISO27001與等級(jí)保護(hù)有哪些不同呢?我從以下三個(gè)方面解釋一下二者的區(qū)別:
1、二者的要求性質(zhì)不同
等級(jí)保護(hù)相關(guān)要求主要是由《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(1994年國(guó)務(wù)院147號(hào)令)及《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)及其他一系列政策、標(biāo)準(zhǔn)組成的。從性質(zhì)上說,等級(jí)保護(hù)的要求屬于國(guó)家法律、法規(guī),是強(qiáng)制性標(biāo)準(zhǔn),也就是說是必須要遵守的。
ISO 27001是ISO 27000信息安全管理體系標(biāo)準(zhǔn)族中對(duì)信息安全管理體系要求的標(biāo)準(zhǔn),從性質(zhì)上來說,ISO 27001是國(guó)際標(biāo)準(zhǔn)不具有強(qiáng)制性,企業(yè)可以根據(jù)自身需求來選擇是否要要滿足相關(guān)要求。
2、二者的管理對(duì)象不同
等級(jí)保護(hù)的管理對(duì)象是信息系統(tǒng),等級(jí)保護(hù)所有的要求都是針對(duì)不同等級(jí)的信息系統(tǒng)所提出的要求,理論上來講所采取的保護(hù)等級(jí)越高,相應(yīng)的信息系統(tǒng)的安全防護(hù)水平越高,信息系統(tǒng)的安全性也越高。
ISO 27001的管理對(duì)象是組織,ISO 27001所有的要求都是對(duì)組織的管理過程的要求,理論上來講采納了ISO 27001標(biāo)準(zhǔn),企業(yè)的信息安全管理過程越規(guī)范,組織的信息安全管理能力水平越來越高。
3、二者的管理思路不同
等級(jí)保護(hù)的控制要求都屬于非常明確的要求,按照等級(jí)保護(hù)的要求直接實(shí)施即可,而27001中的要求都是要建立相關(guān)管理控制,具體采用什么手段進(jìn)行控制沒有具體說明,采取什么類型的控制隨著組織的風(fēng)險(xiǎn)水平、管理方式、企業(yè)文化不同而不同。
理解了二者的特點(diǎn)與不同,在實(shí)際運(yùn)用中才能很好的發(fā)揮標(biāo)準(zhǔn)的有效作用,使標(biāo)準(zhǔn)成為企業(yè)規(guī)范化管理的助推器。
科泰集團(tuán)(qiyeqqexmail.cn) 成立13年來,致力于提供高新技術(shù)企業(yè)認(rèn)定、名優(yōu)高新技術(shù)產(chǎn)品認(rèn)定、省市工程技術(shù)研究中心認(rèn)定、省市企業(yè)技術(shù)中心認(rèn)定、省市工業(yè)設(shè)計(jì)中心認(rèn)定、省市重點(diǎn)實(shí)驗(yàn)室認(rèn)定、專精特新中小企業(yè)、專精特新“小巨人”、專利軟著申請(qǐng)、研發(fā)費(fèi)用加計(jì)扣除、兩化融合貫標(biāo)認(rèn)證、科技型中小企業(yè)評(píng)價(jià)入庫(kù)、專利獎(jiǎng)、科學(xué)技術(shù)獎(jiǎng)、科技成果評(píng)價(jià)、科技成果轉(zhuǎn)化、ISO體系認(rèn)證等服務(wù)。關(guān)注【科小泰】公眾號(hào),及時(shí)獲取最新科技項(xiàng)目資訊!