信息安全等级保护制度与ISO 27001标准的共性

尽管两者在很多内容上都存在着差异，但是两者也有很多共同之处：

3.1两者是相辅相成的。

信息系统都是分布于各个组织内部，组织内部的信息安全是国家整体信息安全的基础，网络的互联和信息的共享，一个组织内部的信息系统遇到风险业务中断，就可能导致一系列的信息安全连锁反应，国家整体的信息安全水平体现在每个组织的信息安**力上。同样组织的信息安全也受到整体外部信息网络环境的影响，组织的风险来自内部也来自外部，一个组织要和外界互联共享就必然面临风险，很难想象一个组织能够在一个不安全的信息网络环境中安然无恙。

3.2两者风险处理思想相同。

信息安全没有百分之百的安全，所以无论是等级保护还是ISO 27001标准都在实施之前强调分级分类，只有找出信息安全保护的重点，才能把有限的资源投入到信息安全的关键部位，做到统筹安排，而不是“眉毛胡子一把抓”。

3.3两者在安全分类上的共同点。

虽然等级保护和ISO 27001标准在安全措施分类上存在差别，但是很多项目都是共通的，如等级保护对“网络安全”的要求，就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施，两者都或多或少的存在共性。

四、信息安全等级保护是否可以与ISO 27001标准同步实施？

根据以上比较，信息安全等级保护制度和ISO 27001信息安全管理国际标准既存在着差异又有共性，等级保护是一个宏观的信息安全政策，而ISO 27001标准是一个具体的信息安全管理标准，两者是否可以同步实施呢？

ISO 17799标准的条款之一“法律法规符合性”规定了组织在实施信息安全过程中要与当地的法律法规相符合。等级保护作为我们国家的信息安全的基本国策，当然是组织实施信息安全管理需要符合的。同样等级保护也应该借鉴国际标准的先进管理思想，在实现整体的信息安全水平过程中，推进组织的信息安**力，等级保护的测评记录也可作为实施ISO 27001标准的文档依据。
从两者的对照关系来看，三级以下的组织实施了ISO 27001标准，基本能够符合信息安全等级保护制度的要求；但是对于承载国家安全的信息系统而言，仅实施ISO 27001标准还远远达不到等级保护的要求，