• 典型用户
  • 联系我们
  • 网络安全法、等保制度、ISO27001三者的联系

    网络安全法、等保制度、ISO27001,可以看到我国的网络信息安全管理体系的发展正在逐步完善。一部法律、一条政策、一个标准,这三者之间又有什么联系呢?企业在实施标准和履行政策法规时又该注意什么?这里小编先抛个砖。


    1、概念

    网络安全法(中华人民共和国网络安全法)

    2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法于2017年6月1日就开始正式实施。《网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。这是我国第一部关于网络安全的专门法律。一旦开始实施就具有法律效力,任何违法法律的行为都要受到处罚。

    等保制度(信息安全等级保护制度)

    信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。信息系统的安全保护等级分为五级,根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

    ISO27001(ISO/IEC 27001)

    信息安全管理体系国际标准起源于英国的BS 7799标准系列,后形成国际标准ISO/IEC 17799和ISO/IEC 27001。该标准主要由两大部分组成:ISO17799即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO/IEC 17799,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。组织通过若干管理和技术措施,形成一个以体系文档为保证的控制流程,从而保证组织业务的连续性,并可以通过国际认证机构的严格审核,获得国际信息安全认证证书。


    2、区别

    从《网络安全法》、信息安全等级保护制度和ISO 27001标准的内容来看,三者有哪些不同之处:

    《网络安全法》和信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系,ISO 27001标准是以保证组织业务的连续性,缩减业务风险,最大化投资收益为出发点,目的是保证组织的业务连续性。

    《网络安全法》做为一部基础性法律,为网络安全与信息化发展工作提供了切实的法律保障;等级保护实施的前提是分级,针对不同的等级,提出了不同的安全要求;ISO 27001标准的第一步也是风险评估,根据资产的价值和所面临的风险进行分级,然后针对不同的风险选择相应的风险处置措施。《网络安全法》在细则上明确要求网络运营者应当按照网络安全等级保护制度的要求,切实履行安全保护义务。旗帜鲜明地指出等级保护制度的重要性,由此看来等级保护制度是网络安全法实施的重要补充。

    等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。等级保护有10个方面的要求,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全,管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。等级保护的出发点跟《网络安全法》是一致的。

    ISO 27001标准的分级是根据资产、威胁、脆弱点、影响、风险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自己对风险的接受程度而决定。ISO 27001标准以组织内部业务影响为依据。

    ISO 27001标准有11个方面,分别是:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。


    3、联系

    尽管三者在很多内容上都存在着差异,但是三者之间也有很多共同之处:

    信息系统都是分布于各个组织内部,组织内部的信息安全是国家整体信息安全的基础,网络的互联和信息的共享,一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全连锁反应,国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响,组织的风险来自内部也来自外部,一个组织要和外界互联共享就必然面临风险,很难想象一个组织能够在一个不安全的信息网络环境中安然无恙。《网络安全法》、等级保护制度和ISO 27001标准三者之间相互补充,共同促进社会网络信息安全的健康发展。

    信息安全没有百分之百的安全,所以无论是等级保护还是ISO 27001标准都要在《网络安全法》的指导下实施分级分类,只有找出信息安全保护的重点,才能把有限的资源投入到信息安全的关键部位,做到统筹安排,而不是“眉毛胡子一把抓”。

    虽然等级保护和ISO 27001标准在安全措施分类上存在差别,但是很多项目都是共通的,如等级保护对“网络安全”的要求,就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施,它们都或多或少的存在共性。

    《网络安全法》和等级保护制度作为我们国家的信息安全的基本法律和政策,ISO 27001标准在实施过程中当然也需要合规。由于标准的建立是一个动态的过程,只有不断完善、革新,才能解决企业快速发展与标准落后之间的矛盾。在实现整体的信息安全水平过程中,推进组织的信息安全能力,等级保护的测评记录也可作为实施ISO 27001标准的文档依据。

    客服中心:

  • 技术咨询
  • 技术咨询
  • 技术咨询
  • 客户投诉
  • 关注利谱

    公众号

    贵州快3