“等保”即网络安全信息等级保护,随着时间的推移,在等保2.0的相关规定发布后,一些“触觉”灵敏的企业也都纷纷进入状态。信息安全已经成为每一个国关注的焦点,因此逐渐这已经不单单是关系到企业和个人用户的信息和资产的安全,更是关系到国家的安全、社会的稳定。
目前国际还是以ISO27001为主流的信息安全标准,而国内的是以信息安全等级保护相关条例为准则。
信息安全管理要求ISO27001的前身是BS7799标准,由信息安全管理实施规则和信息安全管理体系规范两个部分组成。
ISO-27001和“等保”一个是国际的信息安全标准,一个是国家的信息安全政策,两者之间的关系又该如何协调,广汇联合在这给大家讲讲个人的看法。
1、首相辅相成:每个信息系统都是分布在各组织的内部,组织内部的信息安全又关乎国家整体信息安全,网络的互联和信息的共享的安全。一个组织内部的信息系统一旦遇到风险业务中断,就可能会导致一系列信息安全的连锁反应,所以一个国家整体的信息安全水平就体现在每个组织的信息安全能力上。
同样组织的信息安全也会遭受外部信息网络环境的影响,组织的风险不仅来自内部也来自外部,如果任意组织要和其外界互联共享就必然面临风险。
2、风险处理思想相同:世界上不存在百分之百的信息安全,所以无论是等保还是ISO27001标准,它们都在强调分级分类。只有摸清信息安全保护的重点,才能统筹安排,将有限的资源投入到关键部位。
3、安全分类相同:虽然等保和ISO27001标准在安全措施的分类有所区别,但是有很多地方又是共通的,比如等级保护对“网络安全”的要求就是ISO27001标准中的“访问控制”、“通信和操作管理”等。无论是在技术还是管理的安全措施中,两者都存在着共性。
因此,依靠着ISO27001的经验,企业就可以更加快速、有效的完成“等保”工作。
相关阅读:为什么要做等级保护?
1. 法律法规要求
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
2. 行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。
3. 企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
简单来说,《网络安全法》一直对网站、信息系统、APP有等级保护要求,中小型企业通常是行业要求才意识到问题。