| 细谈等级保护与ISO27000系列的区别与联系 | 您所在的位置:网站首页 › iso体系认证是什么等级 › 细谈等级保护与ISO27000系列的区别与联系 |
|
因为写这篇文章的初衷不是给大佬看的,所以有的地方写的不是很正式,就用常见的白话叙述方式来描述,便于各位阅读此文章。 信息安全等级保护和ISO27000系列标准是我国两大主流信息安全标准体系,广泛应用于党和政府机关、企业事业单位。属于安全行业的公司经常在实际使用标准用来建立内部信息安全体系时,遇到一些困难,有时候需要同时满足两个标准体系的要求。这篇文章我从初学者的角度来描写,会简要的介绍一下这两个体系的历史和相关标准,并且对这两个标准进行比较,从面向对象、出发点、实施过程的难点和安全分类标准等多个方面来分析两个标准之间的异同点。 - 信息安全等级保护制度和ISO 27000系列标准的概念以下概念摘自百度文库《等级保护与iso27000的比较》处 ##信息安全等级保护制度 我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》,成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个,涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。 ##ISO 27000系列标准 ISO 27000起源于英国的BS 7799标准系列,其中ISO 27001是“信息安全管理体系要求”(Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO 27002,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施; 概念中阐述了等级保护与ISO27000系列标准的起源与运用,在学习的过程中曾经因为两个标准的相似引发过为何要区分的疑惑,在熟悉二者之间关系并且运用后发现两个标准的相同和不同,写此文章的意义不仅在于与大家分享学习的心得,更在于我自身学习不足改正之处的记录&#x |
| CopyRight 2018-2019 实验室设备网 版权所有 |