因为写这篇文章的初衷不是给大佬看的,所以有的地方写的不是很正式,就用常见的白话叙述方式来描述,便于各位阅读此文章。

信息安全等级保护和ISO27000系列标准是我国两大主流信息安全标准体系,广泛应用于党和政府机关、企业事业单位。属于安全行业的公司经常在实际使用标准用来建立内部信息安全体系时,遇到一些困难,有时候需要同时满足两个标准体系的要求。这篇文章我从初学者的角度来描写,会简要的介绍一下这两个体系的历史和相关标准,并且对这两个标准进行比较,从面向对象、出发点、实施过程的难点和安全分类标准等多个方面来分析两个标准之间的异同点。

- 信息安全等级保护制度和ISO 27000系列标准的概念

以下概念摘自百度文库《等级保护与iso27000的比较》处
##信息安全等级保护制度
我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》,成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个,涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。

##ISO 27000系列标准
ISO 27000起源于英国的BS 7799标准系列,其中ISO 27001是“信息安全管理体系要求”(Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO 27002,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;

概念中阐述了等级保护与ISO27000系列标准的起源与运用,在学习的过程中曾经因为两个标准的相似引发过为何要区分的疑惑,在熟悉二者之间关系并且运用后发现两个标准的相同和不同,写此文章的意义不仅在于与大家分享学习的心得,更在于我自身学习不足改正之处的记录,如有不足之处请指明。详细标准于文章最下方。

首先来看二者标准的不同之处:

  • 1.面向对象
    等级保护面向的对象是组织外部(国家安全、社会秩序和公共利益),是自外而内的信息安全建设工作。
    ISO 27000系列面向的对象是组织内部(业务),是自内而外的信息安全建设工作。

  • 2.出发点
    等级保护的最终目的是保护国家安全、社会秩序和公共利益,指导全国安全工作,构建国家整体安全保障体系,需要达到合规性要求、政策性要求、基本安全要求。
    ISO 27000系列的最终目的是保证组织业务连续性,缩减业务风险,得到最大化投资收益,需要达到的要求是承诺相对安全、内生性需求、额外安全要求。

  • 3.分级标准差异
    等级保护首先是定级问题,根据问题的级别提出相应的安全要求,影响定级的主要因素有三方面:公民法人及其他组织、合法权益社会秩序、公共利益、国家安全,等级保护有固定的级别划分,最终以组织外部影响为依据。
    ISO 27000系列首先是对企业进行风险评估,根据企业的资产、威胁、脆弱性、现有安全控制措施来进行定量或定性分级,是由组织自行决定风险评估可接受程度来划分的,最终以组织内部影响为依据。

  • 4.安全控制项、控制点差异
    等级保护和ISO 27000系列都从技术和管理两个方面提出了信息安全的要求。不同的是等级保护(2.0)有十个方面的要求:安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
    ISO 27000系列有11个方面:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。

  • 5.安全需求分析流程差异 等级保护:信息系统描述→信息系统划分→确定顶级对象→初步确定等级→一般安全需求/额外安全需求→综合指标评价/综合风险分析→需求分析报告。
    ISO 27000:确定ISMS范围→选择风险评估方法→识别风险→分析评价风险→选择控制目标和措施→准备适用性声明。

  • 6.实施流程和难点
    流程不同
    等级保护首先对信息系统进行定级,定级之后再结合不同等级的安全要求进行安全需求分析。在定级之前,首先要对信息系统进行描述,主要包括系统边界、网络拓补、设备部署等,对于大型的信息系统要在综合分析的基础上进行划分,确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定,通过综合判定客体的受侵害程度来确定系统的安全保护等级。安全等级确定之后,从信息系统安全等级保护基本要求中选择相应的等级评价指标,通过现场观察、询问、检查、测试等方式进行评估,确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产,其安全需求分析则采用风险评估的方法来进行。
    ISO27000系列标准通过风险评估来识别风险和威胁,进而确定组织的信息安全需求,选择风险控制措施。在风险评估之前首先根据组织业务特征、资产和技术来确定ISMS范围和ISMS方针,然后选择使用于组织的风险评估方法,识别ISMS范围内的资产、资产所有者、资产的威胁、可能被资产利用的脆弱点、资产损失可能造成的影响,对风险进行分析和评价,评估安全失效可能造成的影响及后果、威胁和脆弱性发生的可能性,进而确定风险的等级。整个风险评估的过程就是对组织信息安全需求分析的过程。

    难点不同
    等级保护虽然预留特殊安全保护需求,但对大型系统,宏观分级无法细化到具体要求,以国家安全,社会秩序和公共利益为出发点的时候对特定行业单位内生性需求未考虑,导致管理者对推动等保落地的意愿不足
    ISO 27000实施中风险评估方法选择困难、实施难度大、耗时长、成本高,而如何选择控制措施困难,如何有重点针对性的选择控制措施更难

接下来看二者标准的相同之处:

  • 1.风险处理思想相同
    “安全是相对的,不安全是绝对的”
    在网络安全行业,信息安全不可能保证百分之百的安全,所及等级保护和ISO 27000系列的最终目的是保护信息达到低于可接受风险的相对安全。两个标准在实施的过程中都是遵循PDCA模型来进行安全保护的建设,在实施之前强调分级分类来找出信息安全保护的重点和要点,二者标准的思想中都存在木桶原理:保护木桶最短的几块木板。

  • 2.安全分类共同点
    不论是等级保护,还是ISO 27000系列标准,二者都发布了基本要求,在ISO 27000系列中提供了14个控制域的114个控制措施,而等级保护2.0提供了技术要求和管理要求两个大类下的10个子类的安全要求,只要是使用过这两个标准的,就不难发现其中等级保护2.0版与ISO系列 27002标准在控制措施或安全子类层面的安全要求在一些方面是互通的,比如等级保护中的‘网络安全’与27002标准中的‘访问控制‘、‘信息安全事件管理’

  • 3.宏观与微观角度
    信息系统分布于各个组织内部,组织内部的信息安全是国家整体信息安全的基础,而国家整体安全体现在各个组织微观能力上,网络的互联和信息的共享,一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全连锁反应,国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响,组织的风险来自内部也来自外部,可以说没有国家宏观信息安全也没有组织内部信息安全

总结

单个拆开来看,等级保护或者ISO 27000系列都有自己的优势与不足。企业安全保障需要两个标准的双管齐下,等级保护基本要求内容细致,ISO 27000适用范围广,两个体系融合形成全面细致的可操作要求。从控制点来看,结合等级保护运维建设、ISO 27000安全事件管理、ISO 27000业务连续性管理形成新运维控制措施结合,二者内容的互相补充将使企业的网络安全得到更加有效的保障

在实施的过程中,一般方法是融合等级保护与风险评估,先分析资产,列出资产清单后使用等保控制点来识别脆弱性,在进行威胁识别后开始一个总的风险分析,并给相关单位提出安全整改方案,指导安全体系的建立,最后还要进行定期的复查,大致的风评流程就是如此,等级保护与ISO 27000融合实施,信息安全保障一箭双雕。

本文部分引用:

1.ISO 27000百度百科
2.信息安全等级保护百度百科
3.浅谈信息安全等级保护与ISO27000系列标准的异同(http://www.toberp.com/html/support/1112156114.html)
4.ISMS信息安全管理体系与信息系统安全等级保护标准的异同点(CSDN博主:运维个西瓜)
5.百度文库《等级保护与iso27000的比较》

等级保护标准:
十大重要标准
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

ISO 27000系列标准:
ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南

细谈等级保护与ISO27000系列的区别与联系相关推荐

  1. 浅谈信息安全等级保护与ISO27000系列标准的异同

    摘要:信息安全等级保护和ISO27000系列标准是目前国内主流的两个信息安全标准体系,在党政机关及企事业单位运用非常广泛.在建立单位内部信息安全体系的时候往往会遇到需要同时满足两个标准体系要求的难题. ...

  2. 针对服务器操作系统安全,浅谈等级保护中的服务器操作系统安全

    服务器操作系统加固 现在信息系统中服务器上运行的主流操作系统基本上都是弱访问控制,操作系统管理员一权独大,没有相关的审计措施与权限制约,不能满足等级保护安全标记保护级三级的要求.现在向大家介绍一种服务 ...

  3. windows server 2003 DNS 细谈系列之(二)记录类型、数据库

    windows server 2003 DNS 细谈系列之(二)记录类型.数据库<?xml:namespace prefix = o ns = "urn:schemas-microso ...

  4. 等保合规2022系列 | 一个中心+三重防护,助力企业等级保护建设更科学

    2022等保合规指南 第二篇 山石网科带你科学开展[等保] 上一篇短文--<等保合规2022系列 | 今年,关于等保你该了解什么?>中介绍了我国等级保护制度的相关内容,相信各位通过四个核心 ...

  5. 等保合规2022系列 | 等级保护技术防护体系该怎样构建(上)

    2022等保合规指南 第四篇 山石网科带你深入走进[等保] 通过<等保合规2022系列 | 今年,关于等保你该了解什么?>.<等保合规2022系列 | 一个中心+三重防护,助力企业等 ...

  6. 【系列更新】等级保护2.0标准正式实施

    2019年12月1日,网络安全等级保护标准2.0正式开始实施,网络等保建设从被动防御进入主动防御新时代. 2019年5月13日,国家市场监督管理总局.国家标准化管理委员会召开新闻发布会,正式发布了等保 ...

  7. 细谈Struts2 详解

    (一)自己实现struts2框架 Struts最早是作为Apache Jakarta项目的组成部分,项目的创立者希望通过对该项目的研究,改进和提高JavaServer Pages .Servlet.标 ...

  8. 三个角度细谈:如何发挥朋友圈广告的威力

    加入腾讯理财通一年以来,我已经亲自操刀投过9个朋友圈广告,单次广告多则2000万,少则300万均有涉猎.此文,是我对于过去一年投放的总结与沉淀,回顾过去投放历史,沉淀做好朋友圈广告的方法.从广告主的角 ...

  9. 【等保实践】等级保护仅仅是合规吗?

    等保的前世今生 数一数,等级保护从提出到应用已经有二十多年了,各行各业的信息化系统都发生了翻天覆地的变化. 记忆回到2000年,那一年单位引进了互联网,新建的微机室中整整齐齐摆放着50台电脑,等待着检 ...

  10. 细谈JVM垃圾回收与部分底层实现

    JVM系列文章目录 初识JVM 深入理解JVM内存区域 玩转JVM对象和引用 JVM分代回收机制和垃圾回收算法 细谈JVM垃圾回收与部分底层实现 Class文件结构及深入字节码指令 玩转类加载和类加载 ...

最新文章

  1. AI 芯片的分类及技术
  2. python ssh模块有哪些_Python paramiko模块(实现ssh)
  3. 企业号微信支付 公众号支付 H5调起支付API示例代码 JSSDK C# .NET
  4. python爬虫成果_Python爬虫(小练习)
  5. android ImageButton的图片怎么定义?
  6. 信息系统项目管理师优秀论文:项目采购管理
  7. HDU - 6153 A Secret(KMP的next数组性质/扩展KMP)
  8. scala命令行运行spark代码
  9. 由更改密码引发的状况..(alter user xxx identified by password)
  10. 华为云原生数据仓库GaussDB(DWS)深度技术解读:融、快、大、稳、易
  11. Android系统(96)---Android 数据交换解析框架Gson使用详解
  12. VB 6.0使用api
  13. webpack.config.js====CSS相关:插件optimize-css-assets-webpack-plugin
  14. 批处理向FTP上传指定属性的文件 批处理增量备份的例子
  15. html 获取当前url,js获取当前页面url信息的方法
  16. mysql5.7 dmg安装
  17. [K.O.]安装iTunes提示此Windows Installer软件包有一个问题…!
  18. Imagination开放PowerVR光线追踪技术授权
  19. Obsidian基本使用
  20. 「MBR」- 主引导记录(Master Boot Record) @20210315

热门文章

  1. 小米笔记本12.5java_小米12.5笔记本系统
  2. ITU-R BT.709
  3. 机房巡检知识点(一)
  4. 深度学习图像识别笔记(二):红外图像
  5. 前沿重器[25] | 聊聊对话系统:多轮对话
  6. Linux共享文件夹打不开,Linux 共享文件夹失败
  7. php汉字转换拼音插件,汉字转换拼音的PHP库
  8. 破防了,原来这才是机房运维的正确方法
  9. UCF-101视频数据分类资源
  10. 魅族 刷机android 6.0,魅族mx6 flyme6