浅谈ISO-27001和“等保”

多一份网络防护技能

多一份信息安全保障

“等保”即网络安全信息等级保护，随着时间的推移，在等保2.0的相关规定发布后，一些“触觉”灵敏的企业也都纷纷进入状态。信息安全已经成为每一个国关注的焦点，逐渐这已经不单单是关系到企业和个人用户的信息和资产的安全，更是关系到国家的安全、社会的稳定。

目前国际还是以ISO27001为主流的信息安全标准，而国内的是以信息安全等级保护相关条例为准则。

信息安全管理要求ISO27001的前身是BS7799标准，由信息安全管理实施规则和信息安全管理体系规范两个部分组成。

ISO-27001和“等保”一个是国际的信息安全标准，一个是国家的信息安全政策，两者之间的关系又该如何协调，小星在这给大家讲讲个人的看法。

1、首相辅相成：每个信息系统都是分布在各组织的内部，组织内部的信息安全又关乎国家整体信息安全，网络的互联和信息的共享的安全。一个组织内部的信息系统一旦遇到风险业务中断，就可能会导致一系列信息安全的连锁反应，一个国家整体的信息安全水平就体现在每个组织的信息安全能力上。

同样组织的信息安全也会遭受外部信息网络环境的影响，组织的风险不仅来自内部也来自外部，如果任意组织要和其外界互联共享就必然面临风险。

2、风险处理思想相同：世界上不存在百分之百的信息安全，无论是等保还是ISO27001标准，它们都在强调分级分类。只有摸清信息安全保护的重点，才能统筹安排，将有限的资源投入到关键部位。

3、安全分类相同：等保和ISO27001标准在安全措施的分类有所区别，有很多地方又是共通的，比如等级保护对“网络安全”的要求就是ISO27001标准中的“访问控制”、“通信和操作管理”等。无论是在技术还是管理的安全措施中，两者都存在着共性。

依靠着ISO27001的经验，企业就可以更加快速、有效的完成“等保”工作。