等级保护的核心标准是GB/T 22239。
等级保护是一项基本国策,定级为三级和三级以上系统必须每年进行一次测评,当然三级系统有大有小,小的可能就是一个城市的政府门户网站,大的可能是拥有海量计算资源和网络节点的阿里云。
同样是三级,负责给阿里云做三级等保测评的机构投入的工作量可能是前者的好多倍。
2、机构普适类
顾名思义,这类认证可以适用于大多数企业和机构,而且这类认证大多数是国际认证。
我这里分别介绍安全类认证ISO/IEC 27001-2013和IT服务类认证ISO/IEC 20000:1-2011。
ISO27001是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证,算是安全管理体系认证的开山之作,一直到今天仍是各大企业信息安全认证的首选。
如果今天有人咨询我想通过认证来提升企业信息安全能力,我的回答肯定是27001。
ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。
通过ISO27001的实施,为企业建立和执行各类安全管理措施和流程。
形象一点描述,自从上了ISO27001,员工安全意识强了,安全工作更规范了,安全问题更少了,企业变得更安全了。
ISO20000是目前最权威的认证企业IT运营和IT服务提供能力的国际标准。
它的目标是以合适的成本提供满足客户质量要求的IT服务,从流程、人员和技术三方面提升IT的效率和效用。
一言以蔽之,就是告诉你一套方法,教你采用什么流程满足客户和业务的需要。
让类似某订票网发生过的员工误操作不再发生,让各类投诉处理得更快,让企业内部安全漏洞修补的效率更高,让混乱不再存在,让救火队卸甲归田,这就是ISO20000的职责所在。
如果把企业比作一辆汽车,ISO27001就是保证汽车更安全,ISO20000就是保证汽车跑得更快而且问题更少,这就是合规的力量。
阿里云在保持业务高速发展的同时,还能保证服务的安全交付,ISO27001功不可没。
如何确保云计算业务在跑得稳的同时,还能更快更高效,这也是最近阿里云一举通过ISO20000认证的原因所在。
3、行业增强类
这类认证是针对特定行业的安全认证,像支付卡行业的国际安全认证PCI-DSS标准,国内少数支付企业就会通过获得认证来增强自己产品和服务的安全性,比如支付宝。