信息安全等级保护制度从1994年提出，到现在也有10个年头了，为什么持续许久，“天时”未到。随着信息网络应用加深和安全事件的增多，企业和政府都面临着信息安全的问题，“天时”具备了。
作为资产的拥有者企业首先走出了信息安全管理的第一步。目前企业在进行信息安全实施的过程中主要依照的是ISO 27001国际信息安全管理体系标准，“地利”具备了。
等级保护制度“十年一剑”，从引进国外标准到提出符合国情的“分级保护”制度，思想也越来越成熟，从分级标准到检查准则都相继出台，可行性也逐步加强，得到了企业的普遍认可，“人和”的条件也具备了。
      但是一个是国际的信息安全标准，一个是国家的信息安全政策，如何协调两者的关系，做到“一箭双雕”，而不是重复投资，需要企业和政府在实施标准和履行政策上加一协调，统筹安排。下面作者将结合自己的实践和理解，提出对信息安全等级保护的个人看法。

信息安全管理体系是组织管理体系的一部分，用于管理相关信息安全方面的管理体系，以使组织履行合规义务，应对风险和机遇。在互联网的世界里，所有类型和规模的组织都要采用不同方式收集、处理、存储和传输信息。相关过程、系统、网络及其操作、处理和保护的信息安全具有固有的脆弱性，容易受到故意或意外的威胁，这些潜在的信息安全风险一直存在，并时常会发生。有效的信息安全管理可以降低各方的威胁和脆弱性，从而为社会持续地创造价值。

信息安全等级保护制度和ISO 27001标准的概念

1.1 什么是信息安全等级保护制度？

信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。其核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

等级保护的主要内容有4点，

（1）对信息系统按业务安全应用域和区实行分级保护。

（2）对系统中使用的信息安全产品实行按分级许可管理。

（3）对等级系统的安全服务资质分级许可管理。

（4）对信息系统中发生的信息安全事件分等级响应、处置。