一、要求性质不同。

等级保护的相关要求主要由《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)、《计算机信息系统安全保护等级划分标准》(GB17859-1999)等一系列政策和标准组成。本质上，等级保护的要求属于国家法律、法规，要强制遵守。

ISO27001是ISO27000信息安全管理系统标准系中信息安全管理系统要求的标准。本质上，ISO27001是国际标准，不是强制性的。企业可以根据自己的需要选择是否满足相关要求。

二是管理对象不同。

等级保护的管理对象是信息系统。等级保护的所有要求都是针对不同等级信息系统的要求。理论上，保护等级越高，相应信息系统的安全保护水平越高，信息系统的安全性越高。

ISO27001的管理对象是组织，ISO27001的所有要求都是对组织管理过程的要求。理论上采用了ISO27001标准。企业信息安全管理过程越规范，组织信息安全管理能力越高。

三、管理思路不同。

等级保护的控制要求非常明确，可以根据等级保护的要求直接实施。27001年的要求是建立相关的管理控制。没有具体说明采用什么手段进行控制。随着组织风险水平、管理模式和企业文化的不同，采用什么类型的控制是不同的。