一、要求性質不同。

等級保護的相關要求主要由《中華人民共和國計算機信息系統安全保護條例》(1994年國務院147號令)、《計算機信息系統安全保護等級劃分標準》(GB17859-1999)等一系列政策和標準組成。本質上，等級保護的要求屬于國家法律、法規，要強制遵守。

ISO27001是ISO27000信息安全管理系統標準系中信息安全管理系統要求的標準。本質上，ISO27001是國際標準，不是強制性的。企業可以根據自己的需要選擇是否滿足相關要求。

二是管理對象不同。

等級保護的管理對象是信息系統。等級保護的所有要求都是針對不同等級信息系統的要求。理論上，保護等級越高，相應信息系統的安全保護水平越高，信息系統的安全性越高。

ISO27001的管理對象是組織，ISO27001的所有要求都是對組織管理過程的要求。理論上采用了ISO27001標準。企業信息安全管理過程越規范，組織信息安全管理能力越高。

三、管理思路不同。

等級保護的控制要求非常明確，可以根據等級保護的要求直接實施。27001年的要求是建立相關的管理控制。沒有具體說明采用什么手段進行控制。隨著組織風險水平、管理模式和企業文化的不同，采用什么類型的控制是不同的。