对于ISO27001和ISO13335区别

ISO（国际标准化组织）和IEC（国际电工委员会）一起形成了全世界标准化的专门体系。作为ISO或IEC成员的国家机构，通过相应组织所建立的涉及技术活动特定领域的委员会参国际标准所制定。而对于ISO27001和ISO13335就是这个组织所指定的标准。

经过几天的理解，我发现ISO27001主要是为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（ISMS）提供了模型。对于ISMS来说，ISMS是采用组织的战略性决策，ISMS的设计和实施是受组织的需求、目标、安全需求、应用的过程以及组织规模和结构的影响。所以，ISO27001说的是，如何做，怎么做，怎么实施，从内容上来说就有些晦涩难懂，毕竟对于我这个刚工作不久的同志理解起来还是比较困难的。所幸，还有ISO13335，相比较于ISO27001来说，ISO13335就显得不那么专一性了，就如同是网络安全方面一本小百科全书，无论是对于IT安全的概念和模型，还是对于IT安全管理与策划，安全管理技术和防护措施的选择等等，都写的十分详细和清楚。ISO13335在以下几个方面是表现的比较突出的：

第一， 对安全的概念和模型的描述非常独特，具有很大的借鉴意义。在全面考虑安全问题、进行安全教育、普及安全理念的时候，完全可以将其中的多种概念和模型结合起来。

第二， 对安全管理的过程描述得非常细致，而且完全可以操作。一个企业的信息安全主管机构安全可以参照这个完整的过程规划自己的管理计划和实施步骤。

第三， 对安全管理过程中最关键的环节——风险分析和管理有非常细致的描述。包括基线方法、非正式方法、详细分析方法和综合分析方法等风险管理策略的阐述，以及对风险分析过程细节的描述都很有参考价值。

第四， 在标准的第4部分，有比较完整的针对6种安全需求的防护措施的介绍。将世界构件一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。

所以，就目前对于我的工作来说，ISO27001是一种方法，一种如何构建我们安全网络的方法，是一种先提出我们目前的网络环境和所需要的安全要求，针对性的提出一种方案。这种方案，从计划开始，首先是建立ISMS，然后是实施和运行ISMS，接着是监视和评审ISMS，最后再进行保持和改进ISMS。是一个循环的过程，历经计划——实施——检查——改进，在过程中，不断的用信息安全要求和期望以及被管理的信息安全来考核、改进，最终形成一个成熟的决策。而在这个过程中，自然也包括有风险评估、文件管理、完整性、记录控制、管理职责等一系列的方法和措施。

对于ISO13335来说，各种方法和措施，就显的详细了很多，从五大类，三十多个小类方面详细的描写了各种安全的概览和模型。对于我目前的工作来说，最重要的无疑是第四大类。对于第四大类，主要是关于防护措施的选择方面。在这部分中，先是众所周知的各种范围和标准、定义。然后就是从基本评估开始，先是识别IT系统的类型，然后就是识别物理、环境条件，最后评估已存在和计划的防护措施，然后工作就开始了！

开始是组织和物理方面的防护措施，有：安全符合性检查，事故处置，人员管理，操作问题，业务中断计划，物理安全。然后是IT系统特有的防护措施，包括：识别和鉴权，逻辑访问控制和审计，防范恶意代码，网络管理和加密。然后就是基于这两种类型的系统来选择防护措施。

接着就是评估工作，从保密性防护措施（窃听、电磁干扰、恶意代码、伪装用户身份、消息的错误路由、软件失效、盗窃、对计算机和各种服务的未授权访问、对存储介质的未授权访问），到完整性防护措施（存储介质的老化、维护错误、恶意代码、伪装用户身份、消息的错误路由、抗抵赖性、软件失效、电力和空调供应中断、技术性失、传输错误、对计算机和服务的未授权访问、使用未经授权的程序和数据、对存储介质的未授权访问、用户错误），再到可用性的防护措施（破坏性攻击、存储介质的老化、通讯设备和服务中断、水灾火灾、维护错误、恶意代码、伪装用户身份、消息的错误路由、资源滥用、自然灾害、软件失效、电力和空调供应中断、技术性失效、盗窃、流量过载、传输错误、对计算机和服务的未授权访问、使用未经授权的程序和数据、对存储介质的未授权访问、用户错误），最后进行可审计性，鉴权和可靠性防护措施的总评估，来得到最后结论。所以对于我们的工作来说，这方面的工作无疑是重中之重。