因为写这篇文章的初衷不是给大佬看的，所以有的地方写的不是很正式，就用常见的白话叙述方式来描述，便于各位阅读此文章。
信息安全等级保护和ISO27000系列标准是我国两大主流信息安全标准体系，广泛应用于党和政府机关、企业事业单位。属于安全行业的公司经常在实际使用标准用来建立内部信息安全体系时，遇到一些困难，有时候需要同时满足两个标准体系的要求。这篇文章我从初学者的角度来描写，会简要的介绍一下这两个体系的历史和相关标准，并且对这两个标准进行比较，从面向对象、出发点、实施过程的难点和安全分类标准等多个方面来分析两个标准之间的异同点。
- 信息安全等级保护制度和ISO 27000系列标准的概念
以下概念摘自百度文库《等级保护与iso27000的比较》处

##信息安全等级保护制度

我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》，成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个，涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度，保障重要信息资源和重要信息系统的安全。
##ISO 27000系列标准

ISO 27000起源于英国的BS 7799标准系列，其中ISO 27001是“信息安全管理体系要求”（Specification for Information Security Management Systems），是在组织内部建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求，可用来指导相关人员应用ISO 27002，其最终目的，通过规范的过程，建立适合组织实际要求的信息安全管理体系。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则，包括11个要素，39个控制目标和133种控制措施；
概念中阐述了等级保护与ISO27000系列标准的起源与运用，在学习的过程中曾经因为两个标准的相似引发过为何要区分的疑惑，在熟悉二者之间关系并且运用后发现两个标准的相同和不同，写此文章的意义不仅在于与大家分享学习的心得，更在于我自身学习不足改正之处的记录，如有不足之处请指明。详细标准于文章最下方。
首先来看二者标准的不同之处：


1.面向对象

等级保护面向的对象是组织外部（国家安全、社会秩序和公共利益），是自外而内的信息安全建设工作。

ISO 27000系列面向的对象是组织内部（业务），是自内而外的信息安全建设工作。


2.出发点

等级保护的最终目的是保护国家安全、社会秩序和公共利益，指导全国安全工作，构建国家整体安全保障体系，需要达到合规性要求、政策性要求、基本安全要求。

ISO 27000系列的最终目的是保证组织业务连续性，缩减业务风险，得到最大化投资收益，需要达到的要求是承诺相对安全、内生性需求、额外安全要求。


3.分级标准差异

等级保护首先是定级问题，根据问题的级别提出相应的安全要求，影响定级的主要因素有三方面：公民法人及其他组织、合法权益社会秩序、公共利益、国家安全，等级保护有固定的级别划分，最终以组织外部影响为依据。

ISO 27000系列首先是对企业进行风险评估，根据企业的资产、威胁、脆弱性、现有安全控制措施来进行定量或定性分级，是由组织自行决定风险评估可接受程度来划分的，最终以组织内部影响为依据。


4.安全控制项、控制点差异

等级保护和ISO 27000系列都从技术和管理两个方面提出了信息安全的要求。不同的是等级保护（2.0）有十个方面的要求：安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

ISO 27000系列有11个方面：安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。


5.安全需求分析流程差异   等级保护：信息系统描述→信息系统划分→确定顶级对象→初步确定等级→一般安全需求/额外安全需求→综合指标评价/综合风险分析→需求分析报告。

ISO 27000：确定ISMS范围→选择风险评估方法→识别风险→分析评价风险→选择控制目标和措施→准备适用性声明。


6.实施流程和难点

流程不同

等级保护首先对信息系统进行定级，定级之后再结合不同等级的安全要求进行安全需求分析。在定级之前，首先要对信息系统进行描述，主要包括系统边界、网络拓补、设备部署等，对于大型的信息系统要在综合分析的基础上进行划分，确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定，通过综合判定客体的受侵害程度来确定系统的安全保护等级。安全等级确定之后，从信息系统安全等级保护基本要求中选择相应的等级评价指标，通过现场观察、询问、检查、测试等方式进行评估，确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产，其安全需求分析则采用风险评估的方法来进行。

ISO27000系列标准通过风险评估来识别风险和威胁，进而确定组织的信息安全需求，选择风险控制措施。在风险评估之前首先根据组织业务特征、资产和技术来确定ISMS范围和ISMS方针，然后选择使用于组织的风险评估方法，识别ISMS范围内的资产、资产所有者、资产的威胁、可能被资产利用的脆弱点、资产损失可能造成的影响，对风险进行分析和评价，评估安全失效可能造成的影响及后果、威胁和脆弱性发生的可能性，进而确定风险的等级。整个风险评估的过程就是对组织信息安全需求分析的过程。
难点不同

等级保护虽然预留特殊安全保护需求，但对大型系统，宏观分级无法细化到具体要求，以国家安全，社会秩序和公共利益为出发点的时候对特定行业单位内生性需求未考虑，导致管理者对推动等保落地的意愿不足

ISO 27000实施中风险评估方法选择困难、实施难度大、耗时长、成本高，而如何选择控制措施困难，如何有重点针对性的选择控制措施更难


接下来看二者标准的相同之处：


1.风险处理思想相同

“安全是相对的，不安全是绝对的”

在网络安全行业，信息安全不可能保证百分之百的安全，所及等级保护和ISO 27000系列的最终目的是保护信息达到低于可接受风险的相对安全。两个标准在实施的过程中都是遵循PDCA模型来进行安全保护的建设，在实施之前强调分级分类来找出信息安全保护的重点和要点，二者标准的思想中都存在木桶原理：保护木桶最短的几块木板。


2.安全分类共同点

不论是等级保护，还是ISO 27000系列标准，二者都发布了基本要求，在ISO 27000系列中提供了14个控制域的114个控制措施，而等级保护2.0提供了技术要求和管理要求两个大类下的10个子类的安全要求，只要是使用过这两个标准的，就不难发现其中等级保护2.0版与ISO系列 27002标准在控制措施或安全子类层面的安全要求在一些方面是互通的，比如等级保护中的‘网络安全’与27002标准中的‘访问控制‘、‘信息安全事件管理’


3.宏观与微观角度

信息系统分布于各个组织内部，组织内部的信息安全是国家整体信息安全的基础，而国家整体安全体现在各个组织微观能力上，网络的互联和信息的共享，一个组织内部的信息系统遇到风险业务中断，就可能导致一系列的信息安全连锁反应，国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响，组织的风险来自内部也来自外部，可以说没有国家宏观信息安全也没有组织内部信息安全


总结
单个拆开来看，等级保护或者ISO 27000系列都有自己的优势与不足。企业安全保障需要两个标准的双管齐下，等级保护基本要求内容细致，ISO 27000适用范围广，两个体系融合形成全面细致的可操作要求。从控制点来看，结合等级保护运维建设、ISO 27000安全事件管理、ISO 27000业务连续性管理形成新运维控制措施结合，二者内容的互相补充将使企业的网络安全得到更加有效的保障
在实施的过程中，一般方法是融合等级保护与风险评估，先分析资产，列出资产清单后使用等保控制点来识别脆弱性，在进行威胁识别后开始一个总的风险分析，并给相关单位提出安全整改方案，指导安全体系的建立，最后还要进行定期的复查，大致的风评流程就是如此，等级保护与ISO 27000融合实施，信息安全保障一箭双雕。
本文部分引用：
1.ISO 27000百度百科

2.信息安全等级保护百度百科

3.浅谈信息安全等级保护与ISO27000系列标准的异同（http://www.toberp.com/html/support/1112156114.html）

4.ISMS信息安全管理体系与信息系统安全等级保护标准的异同点（CSDN博主：运维个西瓜）

5.百度文库《等级保护与iso27000的比较》
等级保护标准：

十大重要标准

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）

信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）

信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）

信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）

信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）

信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

其它相关标准

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 20985-2007 信息安全技术 信息安全事件管理指南

GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
ISO 27000系列标准：

ISO 27000 原理与术语Principles and vocabulary

ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)

ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)

ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines

ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement

ISO 27005 信息安全管理体系—风险管理ISMS Risk management

ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南

简介
ISO/IEC 27000 系列标准 （又名ISO/IEC 27000 标准系列，及“信息安全管理系统标准族”，简称“ISO27K”） 是由国际标准化组织（ISO）及国际电工委员会（IEC）联合定制。该标准系列由最佳实践所得并提出对于信息安全管理的建议，并在信息安全管理系统领域中的风险及相关管控。
ISO/IEC 27000	标准系列的关系




标准词汇
标准要求
标准指南
标准特定行业指南
标准特定控制措施指南




ISO/IEC 27000
ISO/IEC 27001
ISO/IEC 27006
ISO/IEC 27009
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
ISO/IEC 27005
ISO/IEC 27007
ISO/IEC TR 27008
ISO/IEC 27013
ISO/IEC 27014
ISO/IEC 27016
ISO/IEC 27021
ISO/IEC 27023
ISO/IEC 27010
ISO/IEC 27011
ISO/IEC 27017
ISO/IEC 27018
ISO/IEC 27019
ISO 27799
ISO/IEC 2703x
ISO/IEC 2704x
ISO/IEC 2705x


ISO/IEC 27000标准系列的信息安全标准
标注：TR指技术报告




标准
出版
名称




ISO/IEC 27000
2016
信息安全管理系统 - 综述及词汇


ISO/IEC 27001
2013
信息安全管理系统 - 要求


ISO/IEC 27002
2013
信息安全管理实践准则


ISO/IEC 27003
2017
信息安全管理系统实施指导


ISO/IEC 27004
2016
信息安全管理系统 - 监测、测量、分析、评估


ISO/IEC 27005
2011
信息安全风险管理


ISO/IEC 27006
2015
信息安全管理体系审核认证机构的要求


ISO/IEC 27007
2017
信息安全管理系统审核指南


ISO/IEC TR 27008
2011
信息安全管理体系控制措施审核指南


ISO/IEC 27009
2016
ISO27001在特定行业中的使用 - 要求


ISO/IEC 27010
2015
行业间和组织间通信的信息安全管理


ISO/IEC 27011
2016
基于ISO/IEC 27002的电信部门的信息安全控制措施实用规则


ISO/IEC 27013
2015
ISO/IEC 20000-1 和 ISO/IEC 27001 整合实施的指南


ISO/IEC 27014
2013
信息安全治理


ISO/IEC 27015
2013
对于金融服务的信息安全管理指南


ISO/IEC TR 27016
2014
信息安全管理 - 组织经济学


ISO/IEC 27017
2015
基于ISO/IEC 27002的云计算服务的信息安全控制措施实用规则


ISO/IEC 27018
2014
公有云服务的数据保护控制实用规则


ISO/IEC 27019
2017
能源行业的信息安全控制措施


ISO/IEC 27021
2017
信息安全管理体系专业人员能力要求


ISO/IEC TR 27023
2015
ISO/IEC 27001 修订版和ISO/IEC 27002修订版的对照


ISO/IEC 27031
2011
对于配备信息及通讯技术的业务连续性的指南


ISO/IEC 27032
2012
网际安全指南


ISO/IEC 27033-1
2015
网络安全 -1- 综述及概念


ISO/IEC 27033-2
2012
网络安全 -2- 网络安全设计和实施指南


ISO/IEC 27033-3
2010
网络安全 -3- 参考网络场景 — 威胁、设计技术和控制问题


ISO/IEC 27033-4
2014
网络安全 -4- 使用安全网关的网络之间的安全通讯


ISO/IEC 27033-5
2013
网络安全 -5- 使用VPN的网络间的安全通信


ISO/IEC 27033-6
2016
网络安全 -6- 无线IP网络访问安全


ISO/IEC 27034-1
2011
应用安全 -1- 概述和概念


ISO/IEC 27034-2
2015
应用安全 -2- 组织规范性框架


ISO/IEC 27034-3
2018
应用安全 -3- 应用安全管理过程


ISO/IEC 27034-4
2018
应用安全 -4- 有效性验证


ISO/IEC 27034-5
2017
应用安全 -5- 协议和应用安全控制措施数据结构


ISO/IEC 27034-6
2016
应用安全 -6- 个案研究


ISO/IEC 27035-1
2016
信息安全事件管理 -1- 事件管理原则


ISO/IEC 27035-2
2016
信息安全事件管理 -2- 规划和准备事件响应指南


ISO/IEC 27035-3
2018
信息安全事件管理 -3- 事件响应操作指南


ISO/IEC 27036-1
2014
供应关系信息安全 -1- 概述和概念


ISO/IEC 27036-2
2014
供应关系信息安全 -2- 要求


ISO/IEC 27036-3
2013
供应关系信息安全 -3- ICT供应链安全指南


ISO/IEC 27036-4
2016
供应关系信息安全 -4- 云服务安全指南


ISO/IEC 27037
2012
数字证据的标识、收集、获取和保存指南


ISO/IEC 27038
2014
数字编译的规范


ISO/IEC 27039
2015
入侵检测防御系统的选择、部署和操作


ISO/IEC 27040
2015
存储安全


ISO/IEC 27041
2015
确保事件调查方法适合性和充分性的指南


ISO/IEC 27042
2015
数字证据的分析和解释指南


ISO/IEC 27043
2015
事件调查原则和过程


ISO/IEC 27050-1
2016
电子发现 -1- 概述和概念


ISO/IEC 27050-2
2018
电子发现 -2- 电子发现管治和管理指南


ISO/IEC 27050-3
2017
电子发现 -3- 电子发现实务守则


ISO 27799
2016
健康信息学 — 使用ISO/IEC 27002的健康信息安全管理

那天去考绿盟，最后问到ISO27000标准的事情，想了半天，不记得以前学过这个，今天上网去查，发现原来就是BS7799的ISO版本，。
 
唉，虽然那个考的不怎么样，但了解一下这个标准还是很有用的，下面就贴一些资料吧。
 
以下内容转自：http://duecare.biz/cgi-bin/mt/mt-tb.cgi/21
 
BS7799-2于2005年10月正式成为ISO标准。标准号为ISO 27001。
 
BS7799-1即ISO 17799:2000也正式更新为ISO 17799:2005，更新后的17799涉及了11安全控制章节，如下：
安全策略（Security Policy） 
信息安全的组织结构（Organizing information security） 
资产管理（Asset Management） 
人力资源安全（Human resources security） 
物理和环境安全（Physical and environmental security） 
通信和操作管理（Communication and operations management） 
访问控制（Access control） 
系统采购、开发和维护（Information system acquisition, development and maintenance） 
信息安全事件管理（Information security incident management） 
业务连续性管理（Business continuity management） 
符合性（Compliance） 
相对与2000版本，新版的变化较多，增加了事件管理（Incident Management），同时原有的几个章节也更加符合当前信息安全的定义。名称的描述也更贴切。
 
BS7799可谓信息安全业的圣经。是BSI针对信息安全管理制定的一个标准。我们所熟知的为两个部分：
 
第一部分，名为（Code of Practice for Information Security Management），2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是ISO 17799:2005。ISO 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节，还有39个主要安全类和133个具体控制措施（最佳实践），供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。 
 
第二部分，名为（Information Security Management Specification），其最新修订版在05年10月正式成为ISO 27001，ISO 27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。
目前7799的第三个部分也正式成为了英国标准（British Standard），即BS 7799-3:2005 - ISMS - 信息安全风险管理指南（Information Security Management Systems - Guidelines for Information Security Risk Management）。
 
未来新的ISO27000系列安全标准将有5个部分组成:：
ISO 27000：定义在ISO 27000系列信息安全标准中应用的特殊技术术语； 
ISO 27001：即BS 7799-2的ISO版本、已经在2005年10月成为正式标准； 
ISO 27002：即BS 7799-1的ISO版本，也是ISO 17799:2005的更新版本，将在2006或2007年发布； 
ISO 27003：将成为如何应用ISO 27000系列标准的指南； 
ISO 27004：将成为一个全新的、用来衡量信息安全管理系统（ISMS）实施效果的信息安全管理结构和度量标准（Information Security Management Metrics and Measurement standard），目前处理草案阶段。 
ISO 27005：将是BS 7799-3的ISO版本。 

          

已发布的：
ISO/IEC 27000:2009
信息技术—安全技术—信息安全管理体系—概况与术语
    
ISO/IEC 27001:2005
信息技术—安全技术—信息安全管理体系—要求
    
ISO/IEC 27002:2005
信息技术—安全技术—信息安全管理实用规则
    
ISO/IEC 27003:2010
信息技术—安全技术—信息安全管理体系实施指南
    
ISO/IEC 27004:2009
信息技术—安全技术—信息安全管理—测量
    
ISO/IEC 27005:2008
信息技术—安全技术—信息安全风险管理
    
ISO/IEC 27006:2007
信息技术—安全技术—信息安全管理体系审核认证机构要求
    
ISO/IEC 27011:2008
信息技术—安全技术—电信机构基于ISO/IEC 27002的信息安全管理指南
    
ISO 27799:2008
医疗信息学—使用ISO/IEC 27002的医疗信息安全管理
 
ISO/IEC 27035:2011
信息技术—安全技术—安全事件管理
处于起草阶段，待发布的ISO27000系列标准：
ISO/IEC 27007
信息技术—安全技术—信息安全管理体系审核指南
    
ISO/IEC 27008
信息技术—安全技术—ISMS控制措施的审核员指南
    
ISO/IEC 27010
信息技术—安全技术—跨领域沟通的信息安全管理
    
ISO/IEC 27013
IT技术—安全技术—ISO/IEC 20000-1 和 ISO/IEC 27001整合实施指南
    
ISO/IEC 27014
信息技术—安全技术—信息安全治理架构
    
ISO/IEC 27015
信息技术—安全技术—金融保险行业信息安全管理体系指南
    
ISO/IEC 27031
信息技术—安全技术—业务连续性的ICT准备能力指南
    
ISO/IEC 27032
信息技术—安全技术—网络空间安全指南
    
ISO/IEC 27033
信息技术—安全技术—网络安全
    
ISO/IEC 27034
信息技术—安全技术—应用安全
    
ISO/IEC 27036
IT安全—安全技术—外包安全管理指南
    
ISO/IEC 27037
IT安全—安全技术—数字证据的识别、收集、获取和保存指南
 

				
转载于:https://blog.51cto.com/wuenlong/781573