如果说顶层设计对于信息安全行业的发展有特别的重要性，那么其中的各种指导性或强制性合规标准便是一种具体体现。

各种信息安全合规标准甫立之时应该还没有顶层设计这个概念。但对于其中常见如等级保护制度和IS02700l标准这两套成熟体系，我虽然既没有能力也没有必要去对其指手画脚，但是想一想对于这种解决同一件事存在两种相似方法还是很有趣的。

因为一件事情，两套标准，这首先让我想到“一国两制”。彼时，邓公提出“一国两制”就是作为一种顶层设计去解决国家领土问题，两种相异的制度共存却能换来和谐，这个成功的政治策略是充满辨证哲学味道的。

所以我上面说的有趣之处就是我担心假以时日这两套同样旨在提升安全水准的体系是否会出现神仙打架的局面，尽管我希望这种担心是我的杞人忧天或者庸人自扰。

信息安全等级保护制度和IS0 27001信息安全管理国际标准既存在着差异又有共性，等级保护是一个宏观的信息安全政策，而IS0 27001标准是一个具体的信息安全管理标准。可能是因为两套标准的契合度较高且遵循的基本安全原理和措施都是相同的，所以迄今为止不但和谐共存，而且在实践中还总结出了很多如何把“两套标准揉在一起”的方法。

我举一个有趣的例子。等级保护对恶意代码防御的要求是在网络和主机两个层面，在应用层则没有明确防范手段，而据ISO 27001在此处是要求具备应用层恶意代码防范的，这样比如就需要在方案中配备一台Web应用防火墙或防毒墙。

就像过度医疗一样，如果此时我不惮以最坏的恶意来推测的话，为什么要把这样的欠缺“在设计阶段补充好”，以及为什么要把“两套标准揉在一起”的原因也许就可以找到部分解释了。

当然，站在行业的角度，不论是厂家为了追逐经济利益向用户多推设备还是考虑为用户提供更严密的保护或满足更苛刻的合规还是兼而有之都无可厚非。问题是，在这样的“双重标准”之下执行这种把“两套标准揉在一起”的做法是不是具有可持续性?

等级保护制度与ISO 2700l标准体系的区别决定了客户会产生态度的区别。IS0 27001强调过程，即要求通过PDCA(PLAN、DO、CHECK、ACTION)的戴明环思想去不断地改进提升，所以该标准的实施往往会得到客户主动迎合和自发支持。等级保护正好相反，因为其强调结果，而且规定了具体的强制措施，因而现实中不乏为了监管部门合规检查的迎合者。

如果说等级保护是一个国产货，那么ISO 27001体系则是地道的舶来品。情理来说，能满足更多的安全合规标准肯定说明安全水准越高。从正面意义来说，如果能同时满足等级保护和IS027001标准体系的信息系统安全水准肯定是足够高的。这或许也是目前客户、安全厂家和监管方能在这种“双重标准”之下友好生存的逻辑前提。

可是这样的蜜月期能持续多久?因为理性来看，随着综合国力不断增强，信息化程度不断加深，加上前期华为输出受阻的事例以及信息安全本身的特殊性表明，把信息安全主权提上议事日程是早晚的事。届时我们可能就很难再以纯技术观点来审视这两个安全标准了。

当然这里我不是要暗示将来可能一定会有未知的麻烦，而是提醒大家思考可能发生的几种可能性。

如果决策层——也就是顶层设计未来从信息安全主权的角度趋严思考，那么可能是将逐步摒弃泊来的ISO27001体系而代之以强调等级保护标准或者是吸纳了ISO27001体系优点的等级保护标准升级版，这是一种自上而下的变化。

另一种可能是顶层设计从纯技术观点来看认为两种标准可以维系现状共存，而且也是为了避免前者动作过大授人以柄说政策设置安全贸易壁垒。不过这样人们最终不禁会追问两种标准究竟的优劣异同并最后引发一场自下而上的改变。