一、要求性質(zhì)不同。

等級保護的相關(guān)要求主要由《中華人民共和國計算機信息系統(tǒng)安全保護條例》(1994年國務(wù)院147號令)、《計算機信息系統(tǒng)安全保護等級劃分標(biāo)準》(GB17859-1999)等一系列政策和標(biāo)準組成。本質(zhì)上，等級保護的要求屬于國家法律、法規(guī)，要強制遵守。

ISO27001是ISO27000信息安全管理系統(tǒng)標(biāo)準系中信息安全管理系統(tǒng)要求的標(biāo)準。本質(zhì)上，ISO27001是國際標(biāo)準，不是強制性的。企業(yè)可以根據(jù)自己的需要選擇是否滿足相關(guān)要求。

二是管理對象不同。

等級保護的管理對象是信息系統(tǒng)。等級保護的所有要求都是針對不同等級信息系統(tǒng)的要求。理論上，保護等級越高，相應(yīng)信息系統(tǒng)的安全保護水平越高，信息系統(tǒng)的安全性越高。

ISO27001的管理對象是組織，ISO27001的所有要求都是對組織管理過程的要求。理論上采用了ISO27001標(biāo)準。企業(yè)信息安全管理過程越規(guī)范，組織信息安全管理能力越高。

三、管理思路不同。

等級保護的控制要求非常明確，可以根據(jù)等級保護的要求直接實施。27001年的要求是建立相關(guān)的管理控制。沒有具體說明采用什么手段進行控制。隨著組織風(fēng)險水平、管理模式和企業(yè)文化的不同，采用什么類型的控制是不同的。