来源: 发布日期:2019.08.09 点击量:
什么是ISMS?
信息安全管理体系(Information Security Management System,简称ISMS)起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用,后形成国际标准ISO/IEC 17799和ISO/IEC 27001。ISMS信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。ISO 27001根植于PDCA管理体系改善模式,指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施,以帮助组织解决信息安全问题,实现信息安全目标。
什么是等保2.0?
2019年5月13日下午,国家市场监督管理总局召开新闻发布会颁布《信息安全技术 网络安全等级保护基本要求》即等保2.0,对《信息安全技术 信息系统安全等级保护基本要求》(等保1.0)进行了拓展与优化升级。等保2.0指对等级保护对象实行等级化保护和等级化管理。根据等级保护对象重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。其核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。
ISMS与等保2.0的差异?
①出发点不同
ISO 27001标准的出发点是保证企业业务的连续性,降低业务风险,提高投资收益比。信息安全等级保护制度的出发点是从国家安全、社会秩序和公共利益考虑,宏观上指导全国的信息安全工作,构建国家整体信息安全保障体系。
②分级标准不同
ISO 27001标准的第一步是风险评估,先根据资产价值和风险进行分级,再针对不同风险级别选择相应的风险处理办法,ISO 27001标准以企业内部业务影响为分级依据。信息安全等级保护实施的前提是分级,针对不同等级,提出不同的安全要求,主要考虑信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,等级保护的分级以企业外部影响为分级依据。
③实施过程不同
ISMS的实施过程贯穿企业管理体系的整个生命周期,可以与企业的管理体系同步进行或在已完成的企业管理体系基础上进行。ISMS可以作为管理体系的一部分,通过风险分析来建立、实施、运行、监视、评审、保持和改进企业的信息安全管理体系。等级保护的实施过程贯穿信息系统的整个生命周期,对于新建系统,从启动系统建设项目时确定其安全保护等级,到运行维护阶段进行等保安全运行维护管理,或者对于信息系统已建立好的企业来说,等保的系统定级、安全规划设计、实施和运行维护管理等都在系统运行维护阶段完成。
ISMS与等保2.0的联系?
无论是ISO 27001还是等级保护都强调了分级分类,抓住企业信息安全保护的薄弱点和重点,将有限的资源投入关键部位。ISMS与等级保护的风险处置思想部分相同,虽然ISMS和等级保护的分级标准不同,但许多安全措施存在共性,如等保的安全管理制度对应ISMS的信息安全方针和符合性要求,等保的人员安全管理对应ISMS的人力资源安全。信息系统分布于各个组织内部,整体由部分构成,万物互联,国家整体信息安全的基础是企业内部的信息安全,一个组织的信息系统发生中断,犹如蝴蝶效应会引起一系列的信息安全连锁问题,同样企业的信息安全也受到外部网络环境的影响,企业要能够安然无恙地面对内部外部的信息安全风险,ISMS与等级保护相辅相成是十分重要的。
已经建立ISMS的企业可以将等保2.0中的管理部分结合ISMS一起建设,信息安全等级保护对每一级都提出了不同的安全保护能力要求,管理部分可以取等级保护和ISMS的并集,协同建设。对于等级保护对象的安全保护技术,则需要参考等级保护来建设,从物理环境、通信网络、应用安全和数据安全等方面来进行,注意涉及云计算、移动互联网、物联网、工业控制系统的拓展要求。
更多关于ISMS与等保2.0的相关内容或业务需求请持续关注我们。
详情请咨询:
电话:021-62101209-811/17721199231
邮件:mkt@aryasec.com
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015