云南昆明iso27001认证

更新:2016-12-2 13:48:28点击:
  • 产品品牌 景鸿咨询
  • 产品型号
  • 在线订购
产品介绍
云南景鸿
电话:0871-66379969 
地址:昆明盘龙区北京路延长线万科金城缇香2801

信息安全等级保护是否可以与iso27001:2013标准同步实施?
根据以上比较,信息安全等级保护制度和iso27001:2013信息安全管理国际标准既存在着差异又有共性,等级保护是一个宏观的信息安全政策,而iso27001:2013标准是一个具体的信息安全管理标准,两者是否可以同步实施呢?
ISO 17799标准的条款之一“法律法规符合性”规定了组织在实施信息安全过程中要与当地的法律法规相符合。等级保护作为我们国家的信息安全的基本国策,当然是组织实施信息安全管理需要符合的。同样等级保护也应该借鉴国际标准的先进管理思想,在实现整体的信息安全水平过程中,推进组织的信息安全能力,等级保护的测评记录也可作为实施iso27001:2013标准的文档依据。

从两者的对照关系来看,三级以下的组织实施了iso27001:2013标准,基本能够符合信息安全等级保护制度的要求;但是对于承载国家安全的信息系统而言,仅实施iso27001:2013标准还远远达不到等级保护的要求,所以笔者认为:

1三级以下的组织以iso27001:2013标准为主线落实等级保护制度。
等级保护的工作重点在二、三、四级上,而三级的安全要求也基本和iso27001:2013标准内容匹配,所以两者还是可以协同完成的。等级保护检查准则基本和ISO 17799的条款类似,都从管理和技术两个方面入手,横向的IT系统的整个生命周期,纵向的分层次安全。等级保护的检查和iso27001:2013的审查也比较类似。可以把等级保护看作组织实施信息安全管理的一个里程碑,而实施iso27001:2013 标准的文档又可以是组织落实等级保护制度的依据。

2三级以上的组织以等级保护为主线借鉴iso27001:2013标准。
三级以上的等级保护要求又超过了iso27001:2013标准,仅仅实施iso27001:2013标准还达不到等级保护的要求,所以必须以等级保护作为主线来推进组织的信息安全管理。在落实等级保护的过程中可以借鉴iso27001:2013的标准的流程框架,将等级保护的检查准则和iso27001:2013标准的实施指南结合起来,相互借鉴共同实施。









更多产品