行业新闻
你的位置:首页 > 新闻动态 > 行业新闻

从信息安全等级保护到iso27001认证

来源:成都ISO网      2012/5/23 14:44:37      点击:

    isowz.com' target='_blank'>成都景鸿咨询企业管理咨询有限公司是一家经国家工商局批准注册,专业服务于全国地区的企业管理咨询服务机构。景鸿管理咨询以“专业的方案设计能力、出色的方案实施能力 ”的咨询理念,依托有效的知识型组织和网络化资源,聚集一批业内管理咨询精英,不断推出专业化、精品化、个性化的高层次培训企划和管理咨询服务,致力于与企业建立一种互惠互利的关系。
从信息安全等级保护到iso27001认证
如果说顶层设计对于信息安全行业的发展有特别的重要性,那么其中的各种指导性或强制性合规标准便是一种具体体现。
    各种信息安全合规标准甫立之时应该还没有顶层设计这个概念。但对于其中常见如等级保护制度和IS02700l标准这两套成熟体系,景鸿咨询虽然既没有能力也没有必要去对其指手画脚,但是想一想对于这种解决同一件事存在两种相似方法还是很有趣的。

    因为一件事情,两套标准,这首先让景鸿咨询想到“一国两制”。彼时,邓公提出“一国两制”就是作为一种顶层设计去解决国家领土问题,两种相异的制度共存却能换来和谐,这个成功的政治策略是充满辨证哲学味道的。

    所以景鸿咨询上面说的有趣之处就是景鸿咨询担心假以时日这两套同样旨在提升安全水准的体系是否会出现神仙打架的局面,尽管景鸿咨询希望这种担心是景鸿咨询的杞人忧天或者庸人自扰。

    信息安全等级保护制度和IS0 27001信息安全管理国际标准既存在着差异又有共性,等级保护是一个宏观的信息安全政策,而IS0 27001标准是一个具体的信息安全管理标准。可能是因为两套标准的契合度较高且遵循的基本安全原理和措施都是相同的,所以迄今为止不但和谐共存,而且在实践中还总结出了很多如何把“两套标准揉在一起”的方法。

    景鸿咨询举一个有趣的例子。等级保护对恶意代码防御的要求是在网络和主机两个层面,在应用层则没有明确防范手段,而据iso27001在此处是要求具备应用层恶意代码防范的,这样比如就需要在方案中配备一台Web应用防火墙或防毒墙。
就像过度医疗一样,如果此时景鸿咨询不惮以最坏的恶意来推测的话,为什么要把这样的欠缺“在设计阶段补充好”,以及为什么要把“两套标准揉在一起”的原因也许就可以找到部分解释了。

    当然,站在行业的角度,不论是企业为了追逐经济利益向用户多推设备还是考虑为用户提供更严密的保护或满足更苛刻的合规还是兼而有之都无可厚非。问题是,在这样的“双重标准”之下执行这种把“两套标准揉在一起”的做法是不是具有可持续性?

    等级保护制度与iso27001认证体系的区别决定了客户会产生态度的区别。IS0 27001强调过程,即要求通过PDCA(PLAN、DO、CHECK、ACTION)的戴明环思想去不断地改进提升,所以该标准的实施往往会得到客户主动迎合和自发支持。等级保护正好相反,因为其强调结果,而且规定了具体的强制措施,因而现实中不乏为了监管部门合规检查的迎合者。

    如果说信息安全等级保护是一个国产货,那么iso27001体系则是地道的舶来品。情理来说,能满足更多的安全合规标准肯定说明安全水准越高。从正面意义来说,如果能同时满足等级保护和iso27001认证体系的信息系统安全水准肯定是足够高的。这或许也是目前客户、安全企业和监管方能在这种“双重标准”之下友好生存的逻辑前提。

    可是这样的蜜月期能持续多久?因为理性来看,随着综合国力不断增强,信息化程度不断加深,加上前期华为输出受阻的事例以及信息安全本身的特殊性表明,把信息安全主权提上议事日程是早晚的事。届时景鸿咨询们可能就很难再以纯技术观点来审视这两个安全标准了。

    当然这里景鸿咨询不是要暗示将来可能一定会有未知的麻烦,而是提醒大家思考可能发生的几种可能性。
    如果决策层——也就是顶层设计未来从信息安全主权的角度趋严思考,那么可能是将逐步摒弃泊来的ISO27001体系而代之以强调等级保护标准或者是吸纳了ISO27001体系优点的等级保护标准升级版,这是一种自上而下的变化。

    另一种可能是顶层设计从纯技术观点来看认为两种标准可以维系现状共存,而且也是为了避免前者动作过大授人以柄说政策设置安全贸易壁垒。不过这样人们最终不禁会追问两种标准究竟的优劣异同并最后引发一场自下而上的改变。