浅谈信息安全等级保护与ISO27000系列标准的异同_信息安全管理要求ISO

　　摘要：信息安全等级保护和ISO27000系列标准是目前国内主流的两个信息安全标准体系，在党政机关及企事业单位运用非常广泛。在建立单位内部信息安全体系的时候往往会遇到需要同时满足两个标准体系要求的难题。该文先简单介绍两个体系的历史及相关标准，然后对这两个标准进行对比研究，从出发点、实施流程、安全分类标准及风险处置方法等方面分析两者之间的差异性及共性。
　　关键词：信息安全等级保护；ISO27000；信息安全标准
　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2012)20-4841-02
　　Integrated Application of The Classified Protection and ISO27000 Series
　　LI Wen-jing
　　(Guangzhou South China Information Technology Security Evaluation Center, Guangzhou 510050, China)
　　Abstract: The Classified Protection and ISO27000 series are the two current popular security standards in China, which are extensively ap plied by the Party and government departments , enterprises and institutions. Meeting the requirements of both standards is a usual problem in establishing internal security system. The essay introduces the history and relative standards of two system, and makes a comparative study of the two standards, analyses their differences and similarity in purpose, implementation process, security classification standard and risk handling and summaries the problems in implementing the two standards.
　　Key words: the classified protection; ISO27000; information security standard
　　从第一个信息安全评估标准(TCSEC)发布以来，信息安全相关标准经过二十多年的发展，在体系建设与工程等方面都有不同的标准出现，促进了信息安全工作的规范化和发展。ISO27000系列标准作为国际知名的信息安全管理标准，己在全球多个国家应用和实施。信息安全等级保护制度从1994年提出，从引进国外标准到提出符合国情的“分级保护”制度，标准体系越来越成熟，可行性也逐步加强。2006年6月公安部、国家保密局、国家密码管理局和国信办发布了《关于开展信息安全等级保护试点工作的通知》，试点单位包括北京、山西、上海等十三个省、市、自治区以及中联部、中组部、航天科技集团等三个部门[1]。信息安全等级保护在保护国家安全、公共利益和社会秩序等方面扮演了至关重要的角色。信息安全工作者在实际工作中经常需要同时按照两种标准开展相关工作。下面笔者将从概念、出发点、分级标准及安全分类等角度来分析两者的异同点。
　　 1信息安全等级保护制度和ISO 27000系列标准的概念
　　1.1信息安全等级保护制度
　　我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》，成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个，涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度，保障重要信息资源和重要信息系统的安全[2]。
　　1.2 ISO 27000系列标准
　　ISO 27000起源于英国的BS 7799标准系列，其中ISO 27001是“信息安全管理体系要求”（Specification for Information Security Management Systems），是在组织内部建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求，可用来指导相关人员应用ISO 27002，其最终目的，通过规范的过程，建立适合组织实际要求的信息安全管理体系[3]。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则，包括11个要素，39个控制目标和133种控制措施[4]；
　　 2等级保护系列标准与ISO/IEC27000系列标准的对比分析
　　从信息安全等级保护制度和ISO 27001系列标准的内容来看，两者既有相同的地方又有不同之处，下面就分别分析两者之间的
　　差异性及共性。
　　2.1两者的差异性
　　2.1.1两者的出发点不同
　　信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点，从宏观上指导全国的信息安全工作，目的是构建国家整体的信息安全保障体系，ISO 27000系列标准是以保证组织业务的连续性，缩减业务风险，最大化投资收益为目的，目的是保证组织的业务安全。