关于等级保护初级问答题的一个解析
等级保护的安全管理测评与其他管理测评有以下不同,二者的要求性质不同,从性质上说,等级保护的要求属于国家法律、法规,是强制性标准,也就是说是必须要遵守的;从性质上来说,其他管理测评(如27001)是国际标准不具有强制性,企业可以根据自身需求来选择是否要要满足相关要求。二者的管理对象不同,等级保护的管理对象是信息系统,等级保护所有的要求都是针对不同等级的信息系统所提出的要求,理论上来讲所采取的保护等级越高,相应的信息系统的安全防护水平越高,信息系统的安全性也越高。其他管理测评的管理对象是组织,它们所有的要求都是对组织的管理过程的要求。二者的管理思路不同,等级保护的控制要求都属于非常明确的要求,按照等级保护的要求直接实施即可,而其他管理测评要求都是要建立相关管理控制,具体采用什么手段进行控制没有具体说明。
但是两者的风险处理思想相同,不追求百分之百安全,目标是达到低于可接受风险的相对安全。两者的体系均认识到,信息系统分布于各个组织内部,国家整体安全体现在各个组织微观能力上,组织的风险同时来自与内部和外部。
在认识到两者的区别与联系之后,就能明白等级保护安全管理测评和其他管理测评是互相补充促进的。两体系融合形成全面细致的要求,两体系互补形成新控制集合。
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
网友评论