2017-09-25
等级保护与ISO/IEC 27001概念对比信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性,实行分级、分类、分阶段实施保护,确保信息安全和系统安全正常运行,其核心是对信息系统安全分等级、按标准进行建设、管理和监督。等级保护的主要内容涉及四个方面:(1)对信息系统按重要性实行分级保护;(2)对系统中使用的信息安全产品实行按分级许可管理;(3)对等级系统的安全服务资质分级许可管理;(4)对信息系统中发生的信息安全事件分等级响应、处置。信息安全管理体系国际标准起源于英国的BS 7799标准,后逐渐形成国际标准ISO/IEC 27001,该标准主要由两大部分组成:ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO/IEC 27002即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提...