等保制度與ISO27001的區別與聯繫

     信息安全等級保護制度從1994年提出，到現在也有10個年頭了，爲什麼持續許久，“天時”未到。隨着信息網絡應用加深和安全事件的增多，企業和政府都面臨着信息安全的問題，“天時”具備了。
作爲資產的擁有者企業首先走出了信息安全管理的第一步。目前企業在進行信息安全實施的過程中主要依照的是ISO 27001國際信息安全管理體系標準，“地利”具備了。
等級保護制度“十年一劍”，從引進國外標準到提出符合國情的“分級保護”制度，思想也越來越成熟，從分級標準到檢查準則都相繼出臺，可行性也逐步加強，得到了企業的普遍認可，“人和”的條件也具備了。
      但是一個是國際的信息安全標準，一個是國家的信息安全政策，如何協調兩者的關係，做到“一箭雙鵰”，而不是重複投資，需要企業和政府在實施標準和履行政策上加一協調，統籌安排。下面作者將結合自己的實踐和理解，提出對信息安全等級保護的個人看法。
一、信息安全等級保護制度和ISO 27001標準的概念
1.1 什麼是信息安全等級保護制度？
信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。根據信息系統應用業務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定。其核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規範逐級加強監管力度。突出重點，保障重要信息資源和重要信息系統的安全。
等級保護的主要內容有4點，（1）對信息系統按業務安全應用域和區實行分級保護。（2）對系統中使用的信息安全產品實行按分級許可管理。（3）對等級系統的安全服務資質分級許可管理。（4）對信息系統中發生的信息安全事件分等級響應、處置。
1.2 什麼是ISO 27001標準？
信息安全管理體系國際標準起源於英國的BS 7799標準系列，後形成國際標準ISO/IEC 17799和ISO/IEC 27001。該標準主要由兩大部分組成：ISO17799即“信息安全管理實施指南” （Code of practice for Information Security Management Systems），提出了在組織內部啓動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標和133種控制措施；ISO 27001是“信息安全管理體系要求” （Specification for Information Security Management Systems），是在組織內部建立信息安全管理體系（ISMS）的一套規範，其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求，可用來指導相關人員應用ISO/IEC 17799，其最終目的，通過規範的過程，建立適合組織實際要求的信息安全管理體系。
從標準的兩個部分來理解，ISO 27001是一個總的指導思想，依據是“PDCA”（PLAN、DO、CHECK、ACTION）的“戴明環”管理思想，是一個整體的信息安全管理框架，強調的是建立一個持續循環的長效管理機制；而ISO 17799就是具體的信息安全管理流程，是在ISO 27001整體框架指導下具體的信息安全細節。組織通過若干管理和技術措施，形成一個以體系文檔爲保證的控制流程，從而保證組織業務的連續性，並可以通過國際認證機構的嚴格審覈，獲得國際信息安全認證證書。
二、信息安全等級保護制度與ISO 27001標準的差異
從信息安全等級保護制度和ISO 27001標準的內容來看，兩者既有相同的地方又有不同之處：
2.1兩者的出發點不同。
信息安全等級保護制度是以國家安全、社會秩序和公共利益爲出發點，從宏觀上指導全國的信息安全工作，目的是構建國家整體的信息安全保障體系，ISO 27001標準是以保證組織業務的連續性，縮減業務風險，最大化投資收益爲出發點，目的是保證組織的業務連續性。
2.2兩者的分級標準不同。
等級保護實施的前提是分級，針對不同的等級，提出了不同的安全要求；ISO 27001標準的第一步也是風險評估，根據資產的價值和所面臨的風險進行分級，然後針對不同的風險選擇相應的風險處置措施。雖然都是從分級入手，但是兩者的分級標準不同。等級保護的分級主要考慮四個方面的風險，即信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益所造成的影響，按照影響程度大小分爲五級，等級保護的分級以組織外部影響爲依據。而ISO 27001標準的分級是根據資產、威脅、脆弱點、影響、風險等各個因素之間的關係，採取定量或者定性的方法進行分級分類，採取何種風險處置措施，也是組織根據自己對風險的接受程度而決定。ISO 27001標準以組織內部業務影響爲依據。
2.3兩者的安全分類不同。
等級保護和ISO 27001標準都從技術和管理兩個方面提出了信息安全的具體要求。等級保護有10個方面的要求，技術方面有：物理安全、網絡安全、主機系統安全、應用安全、數據安全，管理方面有：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理；而ISO 27001標準有11個方面，分別是：安全策略、組織信息安全、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理、符合性。而且兩者在各個大分類下面又規定了若干的小項目。
三、信息安全等級保護制度與ISO 27001標準的共性
儘管兩者在很多內容上都存在着差異，但是兩者也有很多共同之處：
3.1兩者是相輔相成的。
信息系統都是分佈於各個組織內部，組織內部的信息安全是國家整體信息安全的基礎，網絡的互聯和信息的共享，一個組織內部的信息系統遇到風險業務中斷，就可能導致一系列的信息安全連鎖反應，國家整體的信息安全水平體現在每個組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網絡環境的影響，組織的風險來自內部也來自外部，一個組織要和外界互聯共享就必然面臨風險，很難想象一個組織能夠在一個不安全的信息網絡環境中安然無恙。
3.2兩者風險處理思想相同。
信息安全沒有百分之百的安全，所以無論是等級保護還是ISO 27001標準都在實施之前強調分級分類，只有找出信息安全保護的重點，才能把有限的資源投入到信息安全的關鍵部位，做到統籌安排，而不是“眉毛鬍子一把抓”。
3.3兩者在安全分類上的共同點。
雖然等級保護和ISO 27001標準在安全措施分類上存在差別，但是很多項目都是共通的，如等級保護對“網絡安全”的要求，就分別體現在ISO 27001標準的“訪問控制”、“通信和操作管理”、“信息安全事件管理”等各個項目中。無論是技術還是管理上的安全措施，兩者都或多或少的存在共性。
四、信息安全等級保護是否可以與ISO 27001標準同步實施？
根據以上比較，信息安全等級保護制度和ISO 27001信息安全管理國際標準既存在着差異又有共性，等級保護是一個宏觀的信息安全政策，而ISO 27001標準是一個具體的信息安全管理標準，兩者是否可以同步實施呢？
ISO 17799標準的條款之一“法律法規符合性”規定了組織在實施信息安全過程中要與當地的法律法規相符合。等級保護作爲我們國家的信息安全的基本國策，當然是組織實施信息安全管理需要符合的。同樣等級保護也應該借鑑國際標準的先進管理思想，在實現整體的信息安全水平過程中，推進組織的信息安全能力，等級保護的測評記錄也可作爲實施ISO 27001標準的文檔依據。
從兩者的對照關係來看，三級以下的組織實施了ISO 27001標準，基本能夠符合信息安全等級保護制度的要求；但是對於承載國家安全的信息系統而言，僅實施ISO 27001標準還遠遠達不到等級保護的要求，所以筆者認爲：
4.1三級以下的組織以ISO 27001標準爲主線落實等級保護制度。
等級保護的工作重點在二、三、四級上，而三級的安全要求也基本和ISO 27001標準內容匹配，所以兩者還是可以協同完成的。等級保護檢查準則基本和ISO 17799的條款類似，都從管理和技術兩個方面入手，橫向的IT系統的整個生命週期，縱向的分層次安全。等級保護的檢查和ISO 27001的審查也比較類似。可以把等級保護看作組織實施信息安全管理的一個里程碑，而實施ISO 27001 標準的文檔又可以是組織落實等級保護制度的依據。
4.2三級以上的組織以等級保護爲主線借鑑ISO 27001標準。
三級以上的等級保護要求又超過了ISO 27001標準，僅僅實施ISO 27001標準還達不到等級保護的要求，所以必須以等級保護作爲主線來推進組織的信息安全管理。在落實等級保護的過程中可以借鑑ISO 27001的標準的流程框架，將等級保護的檢查準則和ISO 27001標準的實施指南結合起來，相互借鑑共同實施。