《网络安全法》 VS ISO/IEC 27001

1.《网络安全法》简介

网络安全法》是我国网络安全领域的基础性法律,它明确了部门、企业、社会组织和个人的权利、义务和法律责任,规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念。

2.ISO/IEC 27001简介

ISO/IEC 27001是国际信息安全管理标准,它着眼于组织的整体业务风险,通过对业务进行风险评估来建立、实施、运行、监视、评审、保持和改进其信息安全管理体系,确保其信息资产的保密性、可用性和完整性。

3.差异分析,明确“底线 ”与“高线”

《网络安全法》和ISO/IEC 27001在性质、针对对象、适用的范围、制定的目的存在一定差异:

性质不同

《网络安全法》是一部法律,法律是国家制定或认可的,以国家强制力保证实施的,以行为和社会关系为调整对象的,以权利和义务为内容的,具有普遍约束力的,反映、维护一定社会历史时期掌握国家政权的阶级的意志和利益的社会规范体系,具有强制性,违反法律规定需要承担相应法律责任,是“底线”。

ISO/IEC 27001是一部国际标准,国际标准是指国际标准化组织(ISO)、国际电工委员会(IEC)和国际电信联盟(ITU)制定的标准,以及国际标准化组织确认并公布的其他国际组织制定的标准。本标准为组织建立、实施、维护和持续改进信息安全管理体系(ISMS)提出相关要求,不具备强制性,采用ISMS与否是企业的一项战略决策,企业可根据自身实际情况进行适当遵守,是“高线”。

针对对象不同

《网络安全法》主要针对国内政府部门、企业、社会组织和个人;

ISO/IEC 27001主要针对企业和组织。

适用范围不同

《网络安全法》适用于在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理; ISO/IEC 27001是通用标准,适用于国际各种类型的组织;

制定目的不同

制定《网络安全法》的目的是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。

制定ISO/IEC 27001的目的是为信息安全管理体系的建立、实施、运行和保持改进提供有效的参考。

4.融合互鉴,共促信息安全建设

虽然《网络安全法》和ISO/IEC 27001存在一定差异,但两者都是为了推动企业、组织、国家的信息安全建设工作的开展,促进经济社会信息化健康发展。

《网络安全法》的制定一定程度上会进一步推动国际标准ISO/IEC 27001和国家标准的完善:

《网络安全法》第十五条规定:“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”

根据上述条款要求,国家将积极开展网络技术研发和标准制定,鼓励并支持相关组织和机构参与行业标准的制定。ISO/IEC 27001作为国际标准,可以为这些标准的制定提供很好的参考借鉴,而根据ISO/IEC 27001持续改进(PDCA)的要求,相关行业标准的制定也将推动ISO/IEC 27001的进一步完善,从而形成良性循环,实现互利共赢的局面。

ISO/IEC 27001的实施必须充分考虑《网络安全法》因素:

ISO/IEC 27001在多个章节都提到需要考虑到法律的因素,比如“理解组织环境”章节要求:“组织应确定与其总体目标相关的内部和外部环境因素,相关因素将影响其实现信息安全管理体系的预期成果”,其中外部环境包括但不限于:文化、政治、法律、规章、金融、技术、经济、自然环境、竞争环境等。

“理解相关方的需求和期望”章节要求:“相关方的要求包括法律法规要求和合同规定的义务。”

“信息安全风险评估”章节要求“组织应定义和实施信息安全风险评估流程”,而在进行风险评估之前,最重要的就是确定风险评估方法,风险评估方法应满足ISMS的要求、易识别的业务信息安全和法律法规的要求。

“信息安全风险处置”章节要求“组织应定义和实施信息安全风险处置流程”,风险处置在选择控制措施的时候,需要满足法律法规和合同的要求。

因此,企业在参考ISO/IEC 27001建立信息安全管理体系时,一定需要充分考虑到法律因素,尤其《网络安全法》是我国网络安全领域的基础性法律,《网络安全法》的规定将为ISO/IEC 27001标准提供进一步补充。



blog comments powered by Disqus