ISO 27001 标准概述

ISO 27001 是国际上被广泛接受和应用的信息安全管理体系（ISMS）可认证标准 ，其前身为英国标准 BS7799，后经国际标准化组织（ISO）改版转化为国际标准。该标准以信息资产及业务风险管理建设为核心，采用 PDCA 过程方法和基于风险评估的风险管理理念，全面系统地帮助组织持续改进信息安全管理。通过建立信息安全管理体系规范和实施规则，为企业建立、实施、保持和持续改进信息安全管理体系提出全面标准和细化要求，从而系统化规范企业及其产品和服务的信息安全管理活动 。获得 ISO 27001 认证，代表着组织在信息安全管理领域达到国际水准，具备科学、有效的信息安全管理能力。

我国信息安全等级保护制度

我国依据《中华人民共和国信息安全等级保护管理办法》实行信息安全等级保护制度。该制度按照信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度等因素，将信息系统的安全保护等级分为五级 ：

第一级（自主保护级）：信息系统受到破坏后，仅对公民、法人和其他组织的合法权益造成损害，不损害国家安全、社会秩序和公共利益。如部分个人或小型企业的网站、博客、论坛等。此类系统运营、使用单位依据国家有关管理规范和技术标准自行保护。

第二级（指导保护级）：信息系统受到破坏后，对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。像一些政府部门或大型企业的内部管理系统、电子商务平台、网络支付系统等。运营、使用单位在依据国家有关管理规范和技术标准进行保护的同时，国家信息安全监管部门对该级信息系统信息安全等级保护工作予以指导。

第三级（监督保护级）：信息系统受到破坏后，对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。例如涉及国民经济命脉或社会公共服务的系统，如电力调度系统、铁路运输系统、航空管制系统、医疗卫生系统等。运营、使用单位依据国家有关管理规范和技术标准保护，国家信息安全监管部门对其信息安全等级保护工作进行监督、检查。

第四级（强制保护级）：信息系统受到破坏后，对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。如涉及国防建设或外交活动的系统，像军事指挥系统、外交通信系统、国家领导人专用通信系统等。运营、使用单位需依据国家有关管理规范、技术标准和业务专门需求进行保护，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级（专控保护级）：信息系统受到破坏后，对国家安全造成特别严重损害。比如涉及核心机密或最高决策层面的系统，例如核武器控制系统、最高领导人紧急联络系统等。运营、使用单位依据国家管理规范、技术标准和业务特殊安全需求进行保护，国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查 。

ISO 27001 与我国信息安全等级的联系

目标一致

两者的核心目标都是保障信息安全，防止信息泄露、篡改和破坏，确保信息系统的可用性、保密性和完整性。无论是遵循 ISO 27001 标准构建信息安全管理体系，还是依据我国信息安全等级保护制度对不同等级信息系统进行安全防护，都是为了维护信息资产的安全，降低信息安全风险，保障组织正常运转和国家、社会、公民的利益 。

风险管理理念相通

ISO 27001 基于风险评估的理念，识别、评估和处理信息安全风险，确定控制目标和控制措施；我国信息安全等级保护制度同样强调对不同安全等级的信息系统进行风险评估，根据风险程度采取相应的安全保护措施，二者都将风险管理作为信息安全保障的重要手段 。

ISO 27001 与我国信息安全等级的区别

适用范围不同

ISO 27001 是国际通用标准，适用于全球各类组织，无论其所在国家、行业、规模大小，只要关注信息安全管理，都可采用该标准来规范自身信息安全管理活动；而我国信息安全等级保护制度主要针对我国境内的信息系统，根据信息系统对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的重要程度和危害程度划分等级并实施保护，具有明显的国家主权管辖范围特性 。

侧重点不同

ISO 27001 侧重于信息安全管理体系的建立、实施、保持和持续改进，通过一套完整的管理流程和控制措施，涵盖人员、流程、技术等多方面，强调信息安全管理的系统性和规范性；我国信息安全等级保护制度更注重根据信息系统的重要性和潜在危害程度，对不同等级的信息系统提出差异化的安全技术和管理要求，重点在于保障不同等级信息系统的安全保护能力与等级相匹配，更突出对国家关键信息基础设施和重要信息系统的重点保护 。