如果說頂層設計對于信息安全行業的發展有特別的重要性，那么其中的各種指導性或強制性合規標準便是一種具體體現。

各種信息安全合規標準甫立之時應該還沒有頂層設計這個概念。但對于其中常見如等級保護制度和IS02700l標準這兩套成熟體系，我雖然既沒有能力也沒有必要去對其指手畫腳，但是想一想對于這種解決同一件事存在兩種相似方法還是很有趣的。

因為一件事情，兩套標準，這首先讓我想到“一國兩制”。彼時，鄧公提出“一國兩制”就是作為一種頂層設計去解決國家領土問題，兩種相異的制度共存卻能換來和諧，這個成功的政治策略是充滿辨證哲學味道的。

所以我上面說的有趣之處就是我擔心假以時日這兩套同樣旨在提升安全水準的體系是否會出現神仙打架的局面，盡管我希望這種擔心是我的杞人憂天或者庸人自擾。

信息安全等級保護制度和IS0 27001信息安全管理國際標準既存在著差異又有共性，等級保護是一個宏觀的信息安全政策，而IS0 27001標準是一個具體的信息安全管理標準。可能是因為兩套標準的契合度較高且遵循的基本安全原理和措施都是相同的，所以迄今為止不但和諧共存，而且在實踐中還總結出了很多如何把“兩套標準揉在一起”的方法。

我舉一個有趣的例子。等級保護對惡意代碼防御的要求是在網絡和主機兩個層面，在應用層則沒有明確防范手段，而據ISO 27001在此處是要求具備應用層惡意代碼防范的，這樣比如就需要在方案中配備一臺Web應用防火墻或防毒墻。

就像過度醫療一樣，如果此時我不憚以最壞的惡意來推測的話，為什么要把這樣的欠缺“在設計階段補充好”，以及為什么要把“兩套標準揉在一起”的原因也許就可以找到部分解釋了。

當然，站在行業的角度，不論是廠家為了追逐經濟利益向用戶多推設備還是考慮為用戶提供更嚴密的保護或滿足更苛刻的合規還是兼而有之都無可厚非。問題是，在這樣的“雙重標準”之下執行這種把“兩套標準揉在一起”的做法是不是具有可持續性?

等級保護制度與ISO 2700l標準體系的區別決定了客戶會產生態度的區別。IS0 27001強調過程，即要求通過PDCA(PLAN、DO、CHECK、ACTION)的戴明環思想去不斷地改進提升，所以該標準的實施往往會得到客戶主動迎合和自發支持。等級保護正好相反，因為其強調結果，而且規定了具體的強制措施，因而現實中不乏為了監管部門合規檢查的迎合者。

如果說等級保護是一個國產貨，那么ISO 27001體系則是地道的舶來品。情理來說，能滿足更多的安全合規標準肯定說明安全水準越高。從正面意義來說，如果能同時滿足等級保護和IS027001標準體系的信息系統安全水準肯定是足夠高的。這或許也是目前客戶、安全廠家和監管方能在這種“雙重標準”之下友好生存的邏輯前提。

可是這樣的蜜月期能持續多久?因為理性來看，隨著綜合國力不斷增強，信息化程度不斷加深，加上前期華為輸出受阻的事例以及信息安全本身的特殊性表明，把信息安全主權提上議事日程是早晚的事。屆時我們可能就很難再以純技術觀點來審視這兩個安全標準了。

當然這里我不是要暗示將來可能一定會有未知的麻煩，而是提醒大家思考可能發生的幾種可能性。

如果決策層——也就是頂層設計未來從信息安全主權的角度趨嚴思考，那么可能是將逐步摒棄泊來的ISO27001體系而代之以強調等級保護標準或者是吸納了ISO27001體系優點的等級保護標準升級版，這是一種自上而下的變化。

另一種可能是頂層設計從純技術觀點來看認為兩種標準可以維系現狀共存，而且也是為了避免前者動作過大授人以柄說政策設置安全貿易壁壘。不過這樣人們最終不禁會追問兩種標準究竟的優劣異同并最后引發一場自下而上的改變。