信息安全等級保護制度與ISO27001標準的差異

從信息安全等級保護制度和ISO27001標準的內容來看，兩者既有相同的地方又有不同之處：
兩者的出發點不同。
信息安全等級保護制度是以國家安全、社會秩序和公共利益為出發點，從宏觀上指導全國的信息安全工作，目的是構建國家整體的信息安全保障體系，ISO 27001標準是以保證組織業務的連續性，縮減業務風險，最大化投資收益為出發點，目的是保證組織的業務連續性。

兩者的分級標準不同。
等級保護實施的前提是分級，針對不同的等級，提出了不同的安全要求；ISO 27001標準的第一步也是風險評估，根據資產的價值和所面臨的風險進行分級，然后針對不同的風險選擇相應的風險處置措施。雖然都是從分級入手，但是兩者的分級標準不同。等級保護的分級主要考慮四個方面的風險，即信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益所造成的影響，按照影響程度大小分為五級，等級保護的分級以組織外部影響為依據。而ISO 27001標準的分級是根據資產、威脅、脆弱點、影響、風險等各個因素之間的關系，采取定量或者定性的方法進行分級分類，采取何種風險處置措施，也是組織根據自己對風險的接受程度而決定。ISO 27001標準以組織內部業務影響為依據。

兩者的安全分類不同。
等級保護和ISO 27001標準都從技術和管理兩個方面提出了信息安全的具體要求。等級保護有10個方面的要求，技術方面有：物理安全、網絡安全、主機系統安全、應用安全、數據安全，管理方面有：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理；而ISO 27001標準有11個方面，分別是：安全策略、組織信息安全、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理、符合性。而且兩者在各個大分類下面又規定了若干的小項目。

相關文章：

ISO27001信息安全管理體系建立過程 等保制度與ISO27001的區別 信息安全等級保護制度與ISO27001標準的共性 ISO27001信息安全管理體系與等級保護管理要求