虽然信息安全管理体系和信息安全服务资质都是信息安全认证,但是它们有着本质的不同。接下来,随颐卓咨询一起来看看
ISO27001是信息安全管理体系和国际标准,而信息安全服务资质是信息安全服务组织提供安全服务的资格。一个是国际的,另一个是国内的,主要用于参与投标。民营企业使用27001比较多,政府银行部门使用更多的信息安全服务资格,用途基本一样。客户根据业务类型来选择信息安全服务资质认证方向,一般是集成、运维、开发比较多。
一、概念不同
ISO27001一种信息安全管理体系,其实就是一种信息安全管理体系标准,通过这种体系贯标可有效保护信息资源,保护信息化进程健康、有序、可持续发展。
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求,适用于任何企业或组织,不受地域、产业类别和公司规模限制。
信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价;
通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求,同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
两种资质还有一个明确区别就是一个在信息安全管理方面,一个是在信息安全服务这块,管理和服务不同的两个领域。
二、作用不同
1、通过ISO27001信息安全管理体系认证,可以有效保护信息资源,保护信息化进程健康、有序、可持续发展;
2、通过信息系统安全服务分类分级的资质(CCRC)认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求,同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
三、人员要求不同
信息系统安全服务资质(CCRC)对于人员有严格的要求,对于申请不同类别和级别的相关安全保障人员数量、毕业学历、毕业时间、信息安全保障人员认证证书都有明确的要求。
四、侧重不同
1、ISO27001信息安全管理体系侧重信息安全管理领域;
2、信息系统安全服务资质(CCRC)侧重在信息安全服务领域,管理和服务属于不同的两个领域。
当然,信息系统安全服务资质在导入标准的时候,更多的参考了ISO27001体系建设的内容,使其更适合我们国内的管理。