浅谈ISO-27001如何助力企业落实“等保”

随着信息化建设和IT技术的快速发展，各种网络技术的应用更加广泛深入，同时出现很多信息安全问题，致使安全技术的重要性更加突出，信息安全已经成为各国关注的焦点，不仅关系到机构和个人用户的信息资源和资产风险，也关系到国家安全和社会稳定。目前国际的信息安全标准以ISO27001为主流，国内的以信息安全等级保护条例为准则。

英国标准协会在1995年提出的BS7799标准是信息安全管理要求ISO27001的前身，分为信息安全管理实施规则和信息安全管理体系规范两个部分。目前应用最广泛的是ISO27001;2005，当前的最新版本是ISO27001:2013

ISO27001样图

“等保”即信息安全等级保护，是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。

“等保”样图

一个是国际的信息安全标准，一个是国家的信息安全政策，如何协调两者的关系，如何借力ISO27001的实施经验帮助企业加快落实“等保”工作，小壹结合之前的实践和理解，谈谈自己的浅见。

1

首先二者是相辅相成的，信息系统都是分布于各个组织内部，组织内部的信息安全是国家整体信息安全的基础，网络的互联和信息的共享，一个组织内部的信息系统遇到风险业务中断，就可能导致一系列的信息安全连锁反应，国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响，组织的风险来自内部也来自外部，一个组织要和外界互联共享就必然面临风险，很难想象一个组织能够在一个不安全的信息网络环境中安然无恙。

2

其次二者风险处理思想相同，信息安全没有百分之百的安全，所以无论是等级保护还是ISO27001标准都在实施之前强调分级分类，只有找出信息安全保护的重点，才能把有限的资源投入到信息安全的关键部位，做到统筹安排，而不是“眉毛胡子一把抓”。

3

另外二者在安全分类上的共同点，虽然等级保护和ISO 27001标准在安全措施分类上存在差别，但是很多项目都是共通的，如等级保护对“网络安全”的要求，就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施，两者都或多或少的存在共性。

 

因此，借助ISO27001的成功部署经验，帮助企业加快落实“等保”工作还是非常有帮助的。

 

EDONG不仅通过了“等保”三级，通过了ISO27001信息安全管理体系认证、ISO9001质量管理体系认证，同时拥有高新技术企业、企业研发机构等诸多殊荣，有经验、有能力帮助更多企业省钱、省力、省时的情况下通过信息安全等级保护工作的测评。