ISO27001和等級保護標準的區(qū)別有哪些？

一、要求性質不同

　　等級保護相關要求主要是由《中華人民共和國計算機信息系統(tǒng)安全保護條例》(1994年國務院147號令)及《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)及其他一系列政策、標準組成的。從性質上說，等級保護的要求屬于國家法律、法規(guī)，是具有強制性必須要遵守的。

　　ISO 27001是ISO 27000信息安全管理體系標準族中對信息安全管理體系要求的標準，從性質上來說，ISO 27001是國際標準不具有強制性，企業(yè)可以根據自身需求來選擇是否要要滿足相關要求。

　　二、管理對象不同

　　等級保護的管理對象是信息系統(tǒng)，等級保護所有的要求都是針對不同等級的信息系統(tǒng)所提出的要求，理論上來講所采取的保護等級越高，相應的信息系統(tǒng)的安全防護水平越高，信息系統(tǒng)的安全性也越高。

　　ISO 27001的管理對象是組織，ISO 27001所有的要求都是對組織的管理過程的要求，理論上來講采納了ISO 27001標準，企業(yè)的信息安全管理過程越規(guī)范，組織的信息安全管理能力水平越來越高。

　　三、管理思路不同

　　等級保護的控制要求都屬于非常明確的要求，按照等級保護的要求直接實施即可，而27001中的要求都是要建立相關管理控制，具體采用什么手段進行控制沒有具體說明，采取什么類型的控制隨著組織的風險水平、管理方式、企業(yè)文化不同而不同。