一、要求性质不同。
等级保护的相关要求主要由《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)、《计算机信息系统安全保护等级划分标准》(GB17859-1999)等一系列政策和标准组成。本质上,等级保护的要求属于国家法律、法规,要强制遵守。
ISO27001是ISO27000信息安全管理系统标准系中信息安全管理系统要求的标准。本质上,ISO27001是国际标准,不是强制性的。企业可以根据自己的需要选择是否满足相关要求。
二是管理对象不同。
等级保护的管理对象是信息系统。等级保护的所有要求都是针对不同等级信息系统的要求。理论上,保护等级越高,相应信息系统的安全保护水平越高,信息系统的安全性越高。
ISO27001的管理对象是组织,ISO27001的所有要求都是对组织管理过程的要求。理论上采用了ISO27001标准。企业信息安全管理过程越规范,组织信息安全管理能力越高。
三、管理思路不同。
等级保护的控制要求非常明确,可以根据等级保护的要求直接实施。27001年的要求是建立相关的管理控制。没有具体说明采用什么手段进行控制。随着组织风险水平、管理模式和企业文化的不同,采用什么类型的控制是不同的。