時(shí)至今日，越來越多的企業(yè)參照ISO 27001標(biāo)準(zhǔn)，來建立符合自身需求的信息安全管理體系，并最終獲得ISO 27001認(rèn)證證書；同時(shí)，很多單位又面臨著等級保護(hù)的合規(guī)要求，對信息系統(tǒng)進(jìn)行定級、備案、檢查與測評。

同樣都是信息安全相關(guān)標(biāo)準(zhǔn)，ISO 27001與等級保護(hù)有哪些不同呢？我從以下三個方面解釋一下二者的區(qū)別：

1、二者的要求性質(zhì)不同

等級保護(hù)相關(guān)要求主要是由《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年國務(wù)院147號令）及《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）及其他一系列政策、標(biāo)準(zhǔn)組成的。從性質(zhì)上說，等級保護(hù)的要求屬于國家法律、法規(guī)，是強(qiáng)制性標(biāo)準(zhǔn)，也就是說是必須要遵守的。

ISO 27001是ISO 27000信息安全管理體系標(biāo)準(zhǔn)族中對信息安全管理體系要求的標(biāo)準(zhǔn)，從性質(zhì)上來說，ISO 27001是國際標(biāo)準(zhǔn)不具有強(qiáng)制性，企業(yè)可以根據(jù)自身需求來選擇是否要要滿足相關(guān)要求。

2、二者的管理對象不同

等級保護(hù)的管理對象是信息系統(tǒng)，等級保護(hù)所有的要求都是針對不同等級的信息系統(tǒng)所提出的要求，理論上來講所采取的保護(hù)等級越高，相應(yīng)的信息系統(tǒng)的安全防護(hù)水平越高，信息系統(tǒng)的安全性也越高。

ISO 27001的管理對象是組織，ISO 27001所有的要求都是對組織的管理過程的要求，理論上來講采納了ISO 27001標(biāo)準(zhǔn)，企業(yè)的信息安全管理過程越規(guī)范，組織的信息安全管理能力水平越來越高。

3、二者的管理思路不同

等級保護(hù)的控制要求都屬于非常明確的要求，按照等級保護(hù)的要求直接實(shí)施即可，而27001中的要求都是要建立相關(guān)管理控制，具體采用什么手段進(jìn)行控制沒有具體說明，采取什么類型的控制隨著組織的風(fēng)險(xiǎn)水平、管理方式、企業(yè)文化不同而不同。

理解了二者的特點(diǎn)與不同，在實(shí)際運(yùn)用中才能很好的發(fā)揮標(biāo)準(zhǔn)的有效作用，使標(biāo)準(zhǔn)成為企業(yè)規(guī)范化管理的助推器。