从等级保护到ISO 27001标准如果说顶层设计对于信息安全行业的发展有特别的重要性,那么其中的各种指导性或强制性合规标准便是一种具体体现。各种信息安全合规标准甫立之时应该还没有顶层设计这个概念。但对于其中常见如等级保护制度和IS02700l标准这两套成熟体系,我虽然既没有能力也没有必要去对其指手画脚,但是想一想对于这种解决同一件事存在两种相似方法还是很有趣的。因为一件事情,两套标准,这首先让我想到“一国两制”。彼时,邓公提出“一国两制”就是作为一种顶层设计去解决领土问题,两种相异的制度共存却能换来和谐,这个成功的政治策略是充满辨证哲学味道的。所以我上面说的有趣之处就是我担心假以时日这两套同样旨在提升安全水准的体系是否会出现神仙打的局面,尽管我希望这种担心是我的杞人忧天或者庸人自扰。信息安全等级保护制度和IS0 27001信息安全管理既存在着差异又有共性,等级保护是一个宏观的信息安全政策,ISO认证怎么办理,而IS0 27001标准是一个具体的信息安全管理标准。可能是因为两套标准的契合度较高且遵循的基本安全原理和措施都是相同的,所以迄今为止不但和谐共存,而且在实践中还总结出了很多如何把“两套标准揉在一起”的方法。我举一个有趣的例子。等级保护对恶意代码防御的要求是在网络和主机两个层面,在应用层则没有明确防范手段,而据ISO 27001在此处是要求具备应用层恶意代码防范的,这样比如就需要在方案中配备一台Web应用防火墙或防毒墙。就像过度医疗一样,如果此时我不惮以坏的恶意来推测的话,为什么要把这样的欠缺“在设计阶段补充好”,以及为什么要把“两套标准揉在一起”的原因也许就可以找到部分解释了。当然,站在行业的角度,不论是厂家为了追逐经济利益向用户多推设备还是考虑为用户提供更严密的保护或满足更苛刻的合规还是兼而有之都无可厚非。问题是,吉安ISO认证,在这样的“双重标准”之下执行这种把“两套标准揉在一起”的做法是不是具有可持续性?等级保护制度与ISO 2700l标准体系的区别决定了客户会产生态度的区别。IS0 27001强调过程,即要求通过PDCA(PLAN、DO、CHECK、ACTION)的戴明环思想去不断地改进提升,所以该标准的实施往往会得到客户主动迎合和自发支持。等级保护正好相反,因为其强调结果,而且规定了具体的强制措施,因而现实中不乏为了监管部门合规检查的迎合者。如果说等级保护是一个国产货,那么ISO 27001体系则是地道的舶来品。情理来说,能满足更多的安全合规标准肯定说明安全水准越高。从正面意义来说,如果能同时满足等级保护和IS027001标准体系的信息系统安全水准肯定是足够高的。这或许也是目前客户、安全厂家和监管方能在这种“双重标准”之下友好生存的逻辑前提。可是这样的蜜月期能持续多久?因为理性来看,随着综合国力不断增强,信息化程度不断加深,ISO认证报价,加上前期华为输出受阻的事例以及信息安全本身的特殊性表明,把信息安全主权提上议事日程是早晚的事。届时我们可能就很难再以纯技术观点来审视这两个安全标准了。当然这里我不是要暗示将来可能一定会有未知的麻烦,而是提醒大家思考可能发生的几种可能性。如果决策层——也就是顶层设计未来从信息安全主权的角度趋严思考,那么可能是将逐步摒弃泊来的ISO27001体系而代之以强调等级保护标准或者是吸纳了ISO27001体系优点的等级保护标准升级版,这是一种自上而下的变化。另一种可能是顶层设计从纯技术观点来看认为两种标准可以维系现状共存,而且也是为了避免前者动作过大授人以柄说政策设置安全贸易壁垒。不过这样人们终不禁会追问两种标准究竟的优劣异同并引发一场自下而上的改变。南昌森诺技术服务有限公司,是以阳光服务,绿色效益为质量方针的技术服务机构,自2003年以来,已经服务超过七百家企事业单位,是从事认证咨询的服务机构之一,其中以ISO认证,产品认证,管理培训,验厂等项目为主,客户群集中于华南,同时覆盖两岸三地及东南亚多个。 ISO14001与OHSAS18001体系的共同性1、两个体系均属于规范化、文件化、系统化的管理体系:ISO14001环境管理体系是化组织(ISO)在1996年9月发布的认证标准,后经我国有关部门等同转化为我国。OHSAS18001是英准协会(BS1)等12个组织在1999年发布的职业安全健康管理体系规范。也经我国有关部门转化成相应的认证试行标准。两个标准均为规范化的管理体系,由17个管理要素构成,并对各管理要素提出了明确的要求。这些要求绝大部分也是相似的。由于这二个体系从形式到内容均有非常多的共同性,对实现体系的一体化具有很好的基础。2、两个体系都遵循相同的管理模式:两个体系都共同遵循策划(P)—实施(D)—检查与纠正(C)—评审改进(A)的管理模式,通过PDCA的循环,ISO认证找哪里,实现管理体系和绩效的持续改进。3、两个体系均强调方针、目标、运行控制与环境因素(或危险源)的一致性。即方针要符合环境影响(或风险)的性质与规模,而所评价出的重要环境因素(或重大风险)均应通过目标、管理方案及运行控制程序进行控制。4、两个体系的管理要素极为相似:两个体系均包括五个部分、共17个管理要素,从方针到管理评审要素的设置完全相同。虽然个别要素的名称略有差别,但管理功能基本相同。南昌森诺技术服务有限公司,是以阳光服务,绿色效益为质量方针的技术服务机构,自2003年以来,已经服务超过七百家企事业单位,是从事认证咨询的服务机构之一,其中以ISO认证,产品认证,管理培训,验厂等项目为主,客户群集中于华南,同时覆盖两岸三地及东南亚多个。 南昌森诺认证ISO(图)_ISO认证怎么办理_吉安ISO认证由南昌森诺技术服务有限公司提供。南昌森诺认证ISO(图)_ISO认证怎么办理_吉安ISO认证是南昌森诺技术服务有限公司(www.jxhshy.com)今年全新升级推出的,以上图片仅供参考,请您拨打本页面或图片上的联系电话,索取新的信息,联系人:谢老师。 产品:南昌森诺ISO认证供货总量:不限产品价格:议定包装规格:不限物流说明:货运及物流交货说明:按订单
