如何分辨信息安全的优缺点

等级保护、风险评估、建立信息安全管理体系这3种实现信息安全的方法都是当前国家信息安全保障体系建设中的热点话题。在这里，我们对这3种信息安全保障方法进行分析和比较，以了解其优缺点。
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。

2)优点
等级保护适用于宏观层面，是一种大范围“基线安全”，适用于行业主管部门对信息安全的总体把握与监控。

3)缺点
具体到某个组织的信息安全保护而言，等级保护的粒度划分较粗，在满足组织对信息安全的精细控制要求方面还存在不足。因此，在满足监管部门的等级保护要求之后，组织还可进一步把等级细化到各种层次的安全域，直至对一个个的信息资产进行有效管理。

2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平，按照ISO27001的要求，在整体或特定范围内监理的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

2)优点
ISMS涉及了信息安全的11个领域，133个控制措施，基本涵盖了信息安全的方方面面，适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设，通过建立统一的方针、策略，以及规范化安全规则，使ISMS实施主体能有效地识别风险，持续不断地采取管控措施，以把风险降低到组织可接受的程度。

3)缺点
它只是描述了建立ISMS的思想、框架，但对如何建立ISMS并没有一个详细明确的定义，也没有描述ISMS的终形态;没有确定建立信息安全体系的具体方法与技术。因此，ISMS对实施者来说留下来很大的可操作空间，不同的组织和不同实施着对ISMS标准的把握可能差别很大，ISMS总体水平也会有高下之分。

027-87867257      
Q Q：737337900（龙老师）      
网络安全培训 http://www.h***/      
地址：湖北省洪山区雄楚大道珞狮路449号狮城名居2栋1单元904室