信息安全等級(jí)保護(hù)制度與ISO27001標(biāo)準(zhǔn)的共性

Date21 9 月 2017

盡管信息安全等級(jí)保護(hù)制度與ISO27001標(biāo)準(zhǔn)兩者在很多內(nèi)容上都存在著差異，但是兩者也有很多共同之處：

兩者是相輔相成的。
信息系統(tǒng)都是分布于各個(gè)組織內(nèi)部，組織內(nèi)部的信息安全是國(guó)家整體信息安全的基礎(chǔ)，網(wǎng)絡(luò)的互聯(lián)和信息的共享，一個(gè)組織內(nèi)部的信息系統(tǒng)遇到風(fēng)險(xiǎn)業(yè)務(wù)中斷，就可能導(dǎo)致一系列的信息安全連鎖反應(yīng)，國(guó)家整體的信息安全水平體現(xiàn)在每個(gè)組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網(wǎng)絡(luò)環(huán)境的影響，組織的風(fēng)險(xiǎn)來(lái)自內(nèi)部也來(lái)自外部，一個(gè)組織要和外界互聯(lián)共享就必然面臨風(fēng)險(xiǎn)，很難想象一個(gè)組織能夠在一個(gè)不安全的信息網(wǎng)絡(luò)環(huán)境中安然無(wú)恙。

兩者風(fēng)險(xiǎn)處理思想相同。
信息安全沒(méi)有百分之百的安全，所以無(wú)論是等級(jí)保護(hù)還是ISO 27001標(biāo)準(zhǔn)都在實(shí)施之前強(qiáng)調(diào)分級(jí)分類，只有找出信息安全保護(hù)的重點(diǎn)，才能把有限的資源投入到信息安全的關(guān)鍵部位，做到統(tǒng)籌安排，而不是“眉毛胡子一把抓”。

兩者在安全分類上的共同點(diǎn)。
雖然等級(jí)保護(hù)和ISO 27001標(biāo)準(zhǔn)在安全措施分類上存在差別，但是很多項(xiàng)目都是共通的，如等級(jí)保護(hù)對(duì)“網(wǎng)絡(luò)安全”的要求，就分別體現(xiàn)在ISO 27001標(biāo)準(zhǔn)的“訪問(wèn)控制”、“通信和操作管理”、“信息安全事件管理”等各個(gè)項(xiàng)目中。無(wú)論是技術(shù)還是管理上的安全措施，兩者都或多或少的存在共性。