信息安全等级保护制度与ISO 27001标准的差异

从信息安全等级保护制度和ISO 27001标准的内容来看，两者既有相同的地方又有不同之处：

2.1两者的出发点不同。

信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点，从宏观上指导全国的信息安全工作，目的是构建国家整体的信息安全保障体系，ISO 27001标准是以保证组织业务的连续性，缩减业务风险，最大化投资收益为出发点，目的是保证组织的业务连续性。

2.2两者的分级标准不同。

等级保护实施的前提是分级，针对不同的等级，提出了不同的安全要求；ISO 27001标准的第一步也是风险评估，根据资产的价值和所面临的风险进行分级，然后针对不同的风险选择相应的风险处置措施。虽然都是从分级入手，但是两者的分级标准不同。等级保护的分级主要考虑四个方面的风险，即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响，按照影响程度大小分为五级，等级保护的分级以组织外部影响为依据。而ISO 27001标准的分级是根据资产、威胁、脆弱点、影响、风险等各个因素之间的关系，采取定量或者定性的方法进行分级分类，采取何种风险处置措施，也是组织根据自己对风险的接受程度而决定。ISO 27001标准以组织内部业务影响为依据。

2.3两者的安全分类不同。

等级保护和ISO 27001标准都从技术和管理两个方面提出了信息安全的具体要求。等级保护有10个方面的要求，技术方面有：物理安全、网络安全、主机系统安全、应用安全、数据安全，管理方面有：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理；而ISO 27001标准有11个方面，分别是：安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。

网络安全等级保护

一样全是网络信息安全有关规范，ISO 27001与等级保护测评有什么差异呢？我在下列三个层面解释一下二者的差别：

1、二者的规定特性不一样

等级保护测评有关规定主要是由《中华人民共和国计算机信息系统安全保护条例》（1994年国务院办公厅147号令）及《计算机信息系统安全保护等级划分准则》（GB17859-1999）以及他一系列现行政策、规范构成的。

从类型上说，等级保护测评的规定归属于中国法律、政策法规，是强制规范，换句话说是一定要遵从的。

ISO 27001是ISO 27000网络信息安全体系管理规范族中对网络信息安全体系管理规定的规范，从类型上而言，ISO 27001是国家标准不具备强制，公司还可以依据自己需要来挑选是不是要达到相应规定。

2、二者的管理职能不一样

等级保护测评的管理职能是信息管理系统，等级保护测评全部的需求全是应对不一样级别的信息管理系统所提到的规定，理论上而言所实行的防护级别越高，相对应的信息管理系统的安全保障水准越高，信息管理系统的稳定性也越高。

ISO 27001的管理职能是机构，ISO 27001全部的需求全是对机构的管控流程的规定，理论上而言采取了ISO 27001规范，公司的网络信息安全管理方法全过程越标准，机构的数据安全管理水平水准愈来愈高。

3、二者的监管构思不一样

等级保护测评的调节标准都应属十分清晰的规定，依照等级保护测评的需求立即执行就可以，而27001中的需求基本都是要构建有关监督控制，实际采取哪些方式完成操纵沒有详细表明，采用哪些种类的操纵伴随着结构的风险性水准、管理方式、公司文化不一样而不一样。

了解了二者的优点与不一样，在具体应用中能够有效的充分发挥规范的高效功效，使规范变成公司标准化管理的推进器。