题目：ISO27000与等级保护系列标准对比研究

信息安全是国家安全的重要组成部分，为国家政治安全、经济安全、文化安全、军事安全提供重要保障。信息技术的蓬勃发展和互联网的广泛应用促进了全球信息化的发展，同时也带来了很多问题，威胁着国家、社会和公共网络的信息安全。我国在加速发展信息化的同时，也高度重视信息安全问题，信息安全战略已经成为国家安全战略的基石与核心。
信息安全标准在规范信息安全建设以及促进信息安全防护措施的实施方面起了很大的作用。从1983年美国制定第一个信息安全评估标准（TCSEC）以来，信息安全相关标准经过二十多年的发展，在技术与工程、安全与控制等方面都有不同的标准出现，促进了信息安全工作的规范和发展。鉴于信息安全涉及国家保密信息，影响重大，在信息安全标准的制定方面应该在学习和借鉴国外先进标准的基础上自主研制。我国的信息安全标准研究起步较晚，主要是吸收和转化几个国际通用标准，在此基础上也开发了包括等级保护系列标准在内的信息安全标准，但是与国际信息安全标准的发展和研究相比还存在一定的差距。
ISO/IEC27001作为国际知名的信息安全管理标准，已在全球多个国家应用和实施，国际标准化组织也已将其纳入ISO27000系列标准族并作为主要的标准之一。本文对ISO27000系列标准与我国等级保护系列标准进行对比研究并为其相互补充提供借鉴意义，有利于我国自主制定信息安全标准研究工作的进展和等级保护系列标准的进一步完善。本文主要依据ISO/IEC27001、ISO/IEC27002以及ISO/IEC27005进行对比研究，等级保护系列标准包括计算机等级保护划分准则、定级指南、实施指南、测评准则等。首先研究了两大系列标准的内容及其实施流程：ISO27000系列标准的实施是ISMS建立、实施运行、监视和评审、保持和改进的过程，其中关键的流程有ISMS方针和目标的确定、资产识别、威胁和脆弱性识别、风险评估、选择控制措施、内部审核、持续改进等。等级保护系列标准的实施流程包括信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、安全测评、信息系统终止等。
通过两大系列标准在产生背景、标准体系、实施流程、涵盖范围、应用现状等方面的差异，最终为标准的互相借鉴提出思路。研究发现，ISO27000系列标准最初是为了建立贸易伙伴间彼此信任的认证要求而产生的，等级保护系列标准则是出于国家整体信息安全需求。ISO27000系列标准目前的标准体系比较完善，但是有几个相关的标准还不是很成熟，如指南类标准ISO/IEC27003、测量类标准ISO/IEC 27004还处于草案或在研阶段，应用较广泛的还是ISO/IEC27001与ISO/IEC27002两个标准。等级保护系列标准已形成完善的标准体系，包括划分准则、定级指南、基本要求、实施指南、测评准则以及与之配套的详细技术要求类标准。在实施流程方面，二者的差异主要体现在信息安全需求分析方面：ISO27000系列标准主要通过风险评估来确定安全需求，等级保护则主要通过信息系统遭到破坏所造成的影响来确定信息系统安全等级，再结合各等级基本要求来确定信息系统的安全需求。结论得出：ISO27000系列标准在风险评估、最佳控制实践、全面安全管理等方面具有优势，等级保护系列标准则在信息安全实施过程中突出重点、体现重点保护原则等方面有借鉴意义。二者可以在标准内容、标准实施流程方面进行融合。