时迄今日，愈来愈多的公司参考ISO 27001规范，来构建满足自己需要的数据安全体系管理，并最后得到ISO 27001产品认证证书；与此同时，许多企业又面对着等级保护测评的合法合规规定，对信息化系统开展评定、办理备案、查验与评测。

信息安全等级保护制度和ISO 27000系列标准的概念

以下概念摘自百度文库《等级保护与iso27000的比较》处

信息安全等级保护制度

我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》，成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个，涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度，保障重要信息资源和重要信息系统的安全。

ISO 27000系列标准

ISO 27000起源于英国的BS 7799标准系列，其中ISO 27001是“信息安全管理体系要求”（Specification for Information Security Management Systems），是在组织内部建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求，可用来指导相关人员应用ISO 27002，其最终目的，通过规范的过程，建立适合组织实际要求的信息安全管理体系。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则，包括11个要素，39个控制目标和133种控制措施；

概念中阐述了等级保护与ISO27000系列标准的起源与运用，在学习的过程中曾经因为两个标准的相似引发过为何要区分的疑惑，在熟悉二者之间关系并且运用后发现两个标准的相同和不同，写此文章的意义不仅在于与大家分享学习的心得，更在于我自身学习不足改正之处的记录，如有不足之处请指明。详细标准于文章最下方。

首先来看二者标准的不同之处：

1.面向对象

等级保护面向的对象是组织外部（国家安全、社会秩序和公共利益），是自外而内的信息安全建设工作。

ISO 27000系列面向的对象是组织内部（业务），是自内而外的信息安全建设工作。

2.出发点

等级保护的最终目的是保护国家安全、社会秩序和公共利益，指导全国安全工作，构建国家整体安全保障体系，需要达到合规性要求、政策性要求、基本安全要求。

ISO 27000系列的最终目的是保证组织业务连续性，缩减业务风险，得到最大化投资收益，需要达到的要求是承诺相对安全、内生性需求、额外安全要求。

3.分级标准差异

等级保护首先是定级问题，根据问题的级别提出相应的安全要求，影响定级的主要因素有三方面：公民法人及其他组织、合法权益社会秩序、公共利益、国家安全，等级保护有固定的级别划分，最终以组织外部影响为依据。

ISO 27000系列首先是对企业进行风险评估，根据企业的资产、威胁、脆弱性、现有安全控制措施来进行定量或定性分级，是由组织自行决定风险评估可接受程度来划分的，最终以组织内部影响为依据。

4.安全控制项、控制点差异

等级保护和ISO 27000系列都从技术和管理两个方面提出了信息安全的要求。不同的是等级保护（2.0）有十个方面的要求：安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

ISO 27000系列有11个方面：安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。

5.安全需求分析流程差异 等级保护：信息系统描述→信息系统划分→确定**对象→初步确定等级→一般安全需求/额外安全需求→综合指标评价/综合风险分析→需求分析报告。

ISO 27000：确定ISMS范围→选择风险评估方法→识别风险→分析评价风险→选择控制目标和措施→准备适用性声明。

6.实施流程和难点

流程不同

等级保护首先对信息系统进行定级，定级之后再结合不同等级的安全要求进行安全需求分析。在定级之前，首先要对信息系统进行描述，主要包括系统边界、网络拓补、设备部署等，对于大型的信息系统要在综合分析的基础上进行划分，确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定，通过综合判定客体的受侵害程度来确定系统的安全保护等级。安全等级确定之后，从信息系统安全等级保护基本要求中选择相应的等级评价指标，通过现场观察、询问、检查、测试等方式进行评估，确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产，其安全需求分析则采用风险评估的方法来进行。

ISO27000系列标准通过风险评估来识别风险和威胁，进而确定组织的信息安全需求，选择风险控制措施。在风险评估之前首先根据组织业务特征、资产和技术来确定ISMS范围和ISMS方针，然后选择使用于组织的风险评估方法，识别ISMS范围内的资产、资产所有者、资产的威胁、可能被资产利用的脆弱点、资产损失可能造成的影响，对风险进行分析和评价，评估安全失效可能造成的影响及后果、威胁和脆弱性发生的可能性，进而确定风险的等级。整个风险评估的过程就是对组织信息安全需求分析的过程。

难点不同

等级保护虽然预留特殊安全保护需求，但对大型系统，宏观分级无法细化到具体要求，以国家安全，社会秩序和公共利益为出发点的时候对特定行业单位内生性需求未考虑，导致管理者对推动等保落地的意愿不足

ISO 27000实施中风险评估方法选择困难、实施难度大、耗时长、成本高，而如何选择控制措施困难，如何有重点针对性的选择控制措施更难

接下来看二者标准的相同之处：

1.风险处理思想相同

“安全是相对的，不安全是绝对的”

在网络安全行业，信息安全不可能保证百分之百的安全，所及等级保护和ISO 27000系列的最终目的是保护信息达到低于可接受风险的相对安全。两个标准在实施的过程中都是遵循PDCA模型来进行安全保护的建设，在实施之前强调分级分类来找出信息安全保护的重点和要点，二者标准的思想中都存在木桶原理：保护木桶最短的几块木板。

2.安全分类共同点

不论是等级保护，还是ISO 27000系列标准，二者都发布了基本要求，在ISO 27000系列中提供了14个控制域的114个控制措施，而等级保护2.0提供了技术要求和管理要求两个大类下的10个子类的安全要求，只要是使用过这两个标准的，就不难发现其中等级保护2.0版与ISO系列 27002标准在控制措施或安全子类层面的安全要求在一些方面是互通的，比如等级保护中的‘网络安全’与27002标准中的‘访问控制‘、‘信息安全事件管理’

3.宏观与微观角度

信息系统分布于各个组织内部，组织内部的信息安全是国家整体信息安全的基础，而国家整体安全体现在各个组织微观能力上，网络的互联和信息的共享，一个组织内部的信息系统遇到风险业务中断，就可能导致一系列的信息安全连锁反应，国家整体的信息安全水平体现在每个组织的信息安**力上。同样组织的信息安全也受到整体外部信息网络环境的影响，组织的风险来自内部也来自外部，可以说没有国家宏观信息安全也没有组织内部信息安全

总结

单个拆开来看，等级保护或者ISO 27000系列都有自己的优势与不足。企业安全保障需要两个标准的双管齐下，等级保护基本要求内容细致，ISO 27000适用范围广，两个体系融合形成全面细致的可操作要求。从控制点来看，结合等级保护运维建设、ISO 27000安全事件管理、ISO 27000业务连续性管理形成新运维控制措施结合，二者内容的互相补充将使企业的网络安全得到更加有效的保障

在实施的过程中，一般方法是融合等级保护与风险评估，先分析资产，列出资产清单后使用等保控制点来识别脆弱性，在进行威胁识别后开始一个总的风险分析，并给相关单位提出安全整改方案，指导安全体系的建立，最后还要进行定期的复查，大致的风评流程就是如此，等级保护与ISO 27000融合实施，信息安全保障一箭双雕。