一样全是网络信息安全有关规范,ISO 27001与等级保护测评有什么差异呢?我在下列三个层面解释一下二者的差别:
1、二者的规定特性不一样
等级保护测评有关规定主要是由《计算机信息系统安全保护条例》(1994年办公厅147号令)及《计算机信息系统安全保护等级划分准则》(GB17859-1999)以及他一系列现行政策、规范构成的。
从类型上说,等级保护测评的规定归属于中国法律、政策法规,是强制规范,换句话说是一定要遵从的。
ISO 27001是ISO 27000网络信息安全体系管理规范族中对网络信息安全体系管理规定的规范,从类型上而言,ISO 27001是国家标准不具备强制,公司还可以依据自己需要来挑选是不是要达到相应规定。
2、二者的管理职能不一样
等级保护测评的管理职能是信息管理系统,等级保护测评全部的需求全是应对不一样级别的信息管理系统所提到的规定,理论上而言所实行的防护级别越高,相对应的信息管理系统的安全保障水准越高,信息管理系统的稳定性也越高。
ISO 27001的管理职能是机构,ISO 27001全部的需求全是对机构的管控流程的规定,理论上而言采取了ISO 27001规范,公司的网络信息安全管理方法全过程越标准,机构的数据安全管理水平水准愈来愈高。
3、二者的监管构思不一样
等级保护测评的调节标准都应属十分清晰的规定,依照等级保护测评的需求立即执行就可以,而27001中的需求基本都是要构建有关监督控制,实际采取哪些方式完成操纵沒有详细表明,采用哪些种类的操纵伴随着结构的风险性水准、管理方式、公司文化不一样而不一样。
了解了二者的优点与不一样,在具体应用中能够有效的充分发挥规范的高效功效,使规范变成公司标准化管理的推进器。
