一、要求性質(zhì)不同。

等級保護(hù)的相關(guān)要求主要由《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(1994年國務(wù)院147號令)、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分標(biāo)準(zhǔn)》(GB17859-1999)等一系列政策和標(biāo)準(zhǔn)組成。本質(zhì)上，等級保護(hù)的要求屬于國家法律、法規(guī)，要強(qiáng)制遵守。

ISO27001是ISO27000信息安全管理系統(tǒng)標(biāo)準(zhǔn)系中信息安全管理系統(tǒng)要求的標(biāo)準(zhǔn)。本質(zhì)上，ISO27001是國際標(biāo)準(zhǔn)，不是強(qiáng)制性的。企業(yè)可以根據(jù)自己的需要選擇是否滿足相關(guān)要求。

二是管理對象不同。

等級保護(hù)的管理對象是信息系統(tǒng)。等級保護(hù)的所有要求都是針對不同等級信息系統(tǒng)的要求。理論上，保護(hù)等級越高，相應(yīng)信息系統(tǒng)的安全保護(hù)水平越高，信息系統(tǒng)的安全性越高。

ISO27001的管理對象是組織，ISO27001的所有要求都是對組織管理過程的要求。理論上采用了ISO27001標(biāo)準(zhǔn)。企業(yè)信息安全管理過程越規(guī)范，組織信息安全管理能力越高。

三、管理思路不同。

等級保護(hù)的控制要求非常明確，可以根據(jù)等級保護(hù)的要求直接實(shí)施。27001年的要求是建立相關(guān)的管理控制。沒有具體說明采用什么手段進(jìn)行控制。隨著組織風(fēng)險(xiǎn)水平、管理模式和企業(yè)文化的不同，采用什么類型的控制是不同的。