地理信息系统定义范文

【关键词】会计电算化会计信息系统会计信息化

一、研究背景

目前，与会计信息化有关的研究课题多种多样，主要有计算机会计”会计电算化”会计信息系统”电子商务会计”会计信息化”等。究其原因是随着社会的不断发展，人们对会计信息化的认识程度、研究视角和方法产生了一些变化，这些都推动了会计信息化的深入发展，并对其产生了深远影响。

1978年，我国开始会计电算化；1981年，于长春召开的财务、会计、成本应用电子计算机问题讨论会”标志着会计电算化理论与实践的起点。这次会议是财政部、中国会计学会和第一机械工业部一同召开，第一次使用会计电算化”这一名称并替换了之前的电子计算机在会计中的应用”。因此，大家从会计电算化的概念开始认识会计信息化。2005年，专家在中国会计学会会计电算化专业委员会年会上发表了会计电算化”发展为会计信息化”的观点，认为会计信息化”是对会计电算化”进一步发展的总结，对会计电算化”的应用水平也起到了进一步加强的作用。

学术和教学领域目前对会计电算化”和会计信息化”这两个概念同时使用。目前，学者们对会计电算化和会计信息化有两种主要的观念，一种观念是会计电算化是会计信息化发展的必经过程，另一种观念是会计信息化是会计电算化的进一步的发展阶段。这两种观念的模棱两可使得人们对其定义与关系疑惑丛生，由于搞不清这两者之间的概念和关系，只能盲从于现有的文献和教材，这一现象不仅导致企业对其自身的信息化程度定位不确切、教学概念不清晰、学术机构的研究和工作方向不明确，而且对我国会计信息化的健康发展产生了不利的影响。为了明确会计信息化教学、研究以及使会计信息化向着健康的方向发展，对与会计信息化相关的概念进行认真的剖析意义重大。

二、什么是三论”

三论”即系统论、控制论、信息论。三论”推动了科学技术和思维的发展，对现代很多新兴学科的产生都起着不可忽视的作用，是其坚实的理论基础。系统论着重研究各种系统的共同特征，因此需要用整体的眼光看待事物，并用数学方法定量地描述其功能。控制论是跨及各类学科的一个交叉学科，主要研究控制与通信共同的一般规律，是综合各类科学系统的控制、信息交换、反馈调节的科学技术。信息论运用概率论与数理统计的方法从量的方面对信息进行研究，其研究的两大方面是信息传输和信息压缩。系统论、控制论、信息论相互作用又相互联系，三者是独立的学科，分别产生于现代科学的生物学、通讯和计算机这三个领域。系统论用整体的眼光揭示事物的一般规律，对系统概念进行界定；控制论对系统演变过程的规律性进行研究；信息论主要研究控制是如何实现的。因此，系统论的研究方法是信息论和控制论，而后两者是研究的基础。

我国从20世纪80年代至今对三论”在会计中的应用的观点比较一致。吴水澎教授对会计中信息系统论”与管理活动论”进行了深入的研究，并认为这两者的概念及作用极为相似可以合二为一”。李树林指出会计信息系统在实践上对三论”的实施条件全部符合，会计信息系统是管理系统的重要子系统并兼具管理系统所具有的全部特点。中南财经大学的郭道扬教授运用三论”的理念，在其会计控制论一文中指出会计是为人类实现控制社会经济而进行的一项基本活动。2008年，杨时展教授对会计信息控制论和反映论相互关系的评论被《会计之友》杂志转载。李端生等（2006）分析了现代会计信息系统与信息需求内容之间的矛盾，建议在会计信息系统的理念中建立需求决定型”概念。程宏伟等（2007）基于系统模块角度研究价值链会计，深刻探讨了价值链会计。厦门大学管理学院的曾爱民和南星恒（2009）从广义的角度对会计信息系统的构架进行探讨。

综上所述，会计信息系统是现代化的管理信息系统中的重要子系统，它集三论”中系统论、控制论和信息论的所有特点于一身，有利于人们研究会计信息系统，并统一了会计信息系统和会计信息化的相关概念，减少了不确定性和争论。

三、基于三论”的会计信息化相关概念

我们要对会计信息化的自身含义和外延含义都进行深入的了解才能分析其相关概念，一般概念的思维形式反映了其对象的本质属性。以哲学的观点看，概念即为人类把所能感知的事物的共同本质特征抽象出来的概括。概念都具内涵和外延，并且随着主观、客观世界的发展而变化。概念一般用简明的语句说明其内涵。概念的逻辑方法是对其反映对象的特点或本质进行揭示。用一般定义概念的公式进行如下概念定义：被定义概念=种差+邻近属概念。其中，种差”即与同属性范围下的其他概念之间的区别，也就是差异性；邻近属概念”即对被定义对象所属的最小属性范围所界定的概念。

（一）基于三论”的会计信息系统及其构成要素

会计把系统论、控制论和信息论结为一体，是管理信息系统的重要子系统之一，因此也称为会计信息系统（accountinginformationsystems，简称AIS）。会计信息系统的主要目的是系统论的整体最优，会计信息系统按模块讨论其集成性，集成业务处理、信息处理、实时控制和各模块间的层次结构等；将物流、资金流、人员流、控制流等一些重要的信息流联合在一起就形成了信息流的网，它们肩负着各自的任务存在于组织的全部活动中，通过I（input）-P（process）-O（output）〔O=P（I）〕模型可以分析会计信息的来源、会计信息的提供、会计数据的处理及利用过程；控制论主要实现会计信息的并进行反馈，基于I（input）-C（control）-O（output）〔O=C（I）〕模型对会计信息系统的运行进行反映，必要时还要进行有效的控制和调节，对会计信息系统的运行规律进行动态的控制和调节。

会计信息系统的广义信息加工和控制处理器的五大要素是M，T，O，S，I，由P和C构成。其中，M（management）确定了会计信息系统的运行规则和规范，是指会计方面的管理制度和法律，包括会计法、会计准则、会计制度、内部控制和审计等方面。

T（technology）反映了会计信息收集、加工、传输、利用和共享的手段和方法，是指会计信息处理及控制器依赖的基础和工具，包括珠算，钻孔机，计算机系统，其构成了会计信息系统的狭义的信息加工和控制处理器，会计信息系统在T发展的不同阶段分别被分为手工、机械和计算机会计信息系统。

O（organization）主要包括信息收集者、信息的处理加工者、信息者、信息使用者以及开发监审会计信息系统者等会计的利益相关者。

S（surrounding）是会计信息系统发展的环境基础，主要指会计信息系统所依赖的宏微观环境，如社会经济、技术等。

I（information）因素与以上四个因素共同称为会计信息系统的五大要素。

会计信息系统是以相关的会计准则、会计制度和会计法规为规范是管理信息系统的一个子系统，被企事业单位用来处理会计业务，对各类会计数据进行收集、传输、存储以及加工，对会计利益相关者输出会计信息并实时反馈，指导企业的经营、投资活动以及管理决策的信息系统。杨周南主编的《会计信息系统》一书中对计算机会计是这样定义的，计算机会计信息系统是组织对数据用信息技术的方法处理会计业务，为企业提供财务会计信息并管理控制企业经济活动的系统，因此是会计信息系统的发展阶段。以上对会计信息系统和计算机会计信息系统在符合定义公式和演绎推理逻辑思维的基础上进行了概念定义。

（二）基于三论”的会计信息化

会计信息化是基于三论”角度的计算机会计信息系统的会计信息化，包括会计信息化的过程、会计信息化的水平、会计信息化的作用和地位以及会计信息化的目的这四个方面，是计算机会计信息系统的构成过程。首先，会计与信息技术结合的过程即为会计信息化的过程，由于信息技术在会计中的运用使得会计的各要素都产生了影响，对会计模式进行了重建。其次，会计信息化水平是指对计算机会计信息系统的应用程度，会计软件的核心是计算机会计信息系统，综合反映了会计信息系统五大要素，体现了会计信息化发展水平。再次，会计信息通过会计信息的收集、加工、存储、提供和利用对经济活动进行影响，对企业决策和管理提供辅助建议，以此来反映、控制以及对会计信息系统的监审等会计功能。会计信息的作用和地位在会计信息化发展的前提下不断扩展、提高。最后，不断开发的信息技术和会计信息资源的充分利用是会计信息化的主要目的，其还有加强信息和知识的交流共享，实现最大的组织经济利息等目的。所以笔者认为，会计信息系统体现了会计信息化的程度，通过会计信息提高其在优化资源配置中的作用。由于信息技术在会计信息系统不同层次都有应用，会计信息一般被我们划分为会计电算化、会计管理信息化以及会计决策信息化三个方面。

1.会计电算化。会计电算化也被人们称为会计核算信息化，指在会计工作中使用以计算机为主体的信息技术，之前人们一直手工进行的是会计核算工作和会计信息的提供工作，而会计电算化产生后这些工作可用计算机代替，体现了会计的反映职能，操作计算机完成会计工作中的记账、算账和报账等程序。因此会计电算化把电子计算机和现代数据处理技术应用到会计工作当中，是会计核算信息系统对信息技术的应用过程。其目的是提高企业财会管理水平和经济效益，从而实现现代化的会计工作。

2.会计管理信息化。会计管理信息化主要体现了信息论的特点，会计工作不仅是生成、供应信息，而且也是利用信息并参与企业管理的一项活动。会计管理具有对自动提供的信息进行进一步加工，反映和控制组织的财务状况、经营成果，使利益相关者参与组织活动的预测和决策等职能。因为会计电算化是会计管理信息化的数据基础，所以会计核算层的信息化是会计管理信息化的重点。会计管理信息化主要指运用计算机、网络和通讯等信息技术重新建造会计管理模式，使现代会计管理信息系统成为技术和会计高度融合的、开放的信息系统。为了使会计利益相关者对信息资源的充分利用和研究开发，以会计信息优化资源配置，以此促进企业的长远发展和社会的不断进步。

3.会计决策信息化。会计决策的信息化主要是对会计决策和预测的信息化，把信息技术运用到会计决策信息系统中。会计决策信息化的基础是会计核算和会计管理信息化，主要体现在管理层运用会计核算数据参与企业决策并综合分析企业所在领域内其他企业经营和竞争状况、相关行业的经营数据、国内外大环境的经营数据，可以使企业明确自身的竞争优势，认清其核心竞争力，预测企业的发展并进行决策功能的信息化。

（三）电子商务会计

目前，学术界没有统一明确的概念来界定电子商务会计，笔者通过中国知网（cnki.net）检索了包含电子商务会计为主题的论文并查阅相关书本及资料，发现涉及电子商务会计概念的论文少之又少。宿静和苏亚民在《论电子商务会计的理论框架》一文中描述电子商务会计是关于电子商务与会计学彼此交叉作用的一种边缘学科。这种学科充分利用计算机硬件设备以及网络等现代工具和技术，将电子商务作为会计核算对象，利用远程数据进行在线报账，通过电子货币实现交易目的，同时对相关事项的监督和审计非常及时，是为在线理财和电子商务事项提供服务的会计信息系统。下一步，我们从被定义概念的科学性以及合理性方面来对上述概念进行分析。

根据普通意义上对概念进行定义的公式为：被定义概念=种差+邻近属概念。该公式中的种差”即与同属性范围下的其他概念之间的区别，也就是差异性；邻近属概念”即对被定义对象所属的最小属性范围所界定的概念。所以本文中的被定义概念为电子商务会计，而本文中对电子商务会计所应用到的邻近属概念即为会计学。也就是说，电子商务会计的属性还是会计学，可以说是会计学大类的一个细分学科；而电子商务就是上述公式中所言的种差，以区别于会计学大类下的其他细分学科。所以，我们可以认为，电子商务会计就是为电子商务活动服务的会计。但是倘若从另外一种角度剖析被定义概念，即从演绎推理逻辑思维方面来看，上述的被定义概念没有科学性，如何对上述的被定义概念进行界定有待继续深入探讨。比如从以下这种角度出发，假设电子商务会计是一种对会计信息通过电子商务模式进行采集和加工以及处理，则电子商务按理来说是临近属概念。也就是说，电子商务会计的本质属性还是电子商务，那么会计就成了上述被定义概念公式中的种差。如果电子商务会计的本质属性是电子商务，而会计是种差，则对应的会计信息以及提供与会计信息相关的服务即是商品以及提供的劳务。供应商以及消费者则分别与信息提供者以及信息使用者相对应，供应商和消费者通过买卖信息来进行交易，即利用电子商务系统来进行会计信息的交易。根据汉语的主语以及定语的语法规则，会计电子商务可以被认为是一种恰当的被定义概念。但是该被定义概念还有待从其他角度进行深入的研究讨论。根据宿静和苏亚民对电子商务会计的定义，我们不难看出，其先定义技术基础，即计算机硬件设备以及网络等现代工具和技术”；接着定义基本内容，即将电子商务作为会计核算对象，利用远程数据进行在线报账，通过电子货币实现交易目的，同时对相关事项进行实时的审计和监督”；最后定义目的，属于一种为电子商务事项以及在线理财提供服务的会计信息系统。虽然宿静和苏亚民关于对电子商务会计的定义从演绎推理逻辑思维角度来看是比较合理的，可是该定义仍然没有将基本内容以及目的方面涉及的逻辑思维要素表达清楚，不能够清楚地界定被定义概念的种差和临近属概念。同时，笔者也对其他关键词为电子商务会计的文献认真研读，从中得知大部分文献是基于电子商务对会计的影响进行研究，只有极少部分的文献研究电子商务会计的内涵和外延。因此电子商务会计这一概念还有待继续深入探讨。

四、结论

从上文的分析我们可以看出，目前大家对会计电算化”会计信息化”及会计信息系统”等概念的界定都很清晰，而电子商务会计由于是新产生的学科，目前对于其概念的定义尚不明确，需进一步研究分析。从教学的视角来看，现在市面上有很多会计信息化方面的教材，各自的命名也多种多样，比较为大家熟知的有会计信息系统、会计信息化、会计电算化等一些名称，可谓百花齐放、百家争鸣。但是在教学的过程中，名称和概念太多会使得教师和学生双方无法适应，会产生教学概念模糊，缺乏说服力等问题，在学术研究领域无法统一大家的思想。通过分析笔者认为，与会计信息化相关教材名称的第一选择是会计信息系统”，因为其从三论”的角度结合了信息论、系统论和控制论的思想，符合会计信息化的概念。此外，若以电算化作为会计信息化教材的主要内容，则可以命名为会计电算化，如果把以电算化为主的教材一味地命名为会计信息化，会使教材有名无实。

参考文献

[1]杨周南.论会计管理信息化的ISCA模型[J].会计研究，2003（10）.

地理信息系统定义范文

【摘要题】信息资源建设

【关键词】国家科学数字图书馆/学科信息门户/学科信息导航/设计规范

提出vocml［24］采用标准xmldtd方式来定义和描述叙词表和分类表及词表映射表，支持对词表的开放描述、解析、显示、交换和映射。

（3）主题图描述，即利用一定的知识组织体系，对导航系统资源集合的主题内容结构、主题词汇、主题间相互关系以及主题与具体资源的链接进行描述，形成资源集合的主题图，可直接用于导航系统的知识化浏览，可建立资源集合的主题索引或交叉参照，还可链接复杂主题范围的分布式资源来建立虚拟知识体系，可通过主题概念与资源的不同链接在同一资源体系上建立面向不同主题体系或不同用户的资源界面。例如，xtm［25］利用xml语言标记主题图，从而用计算机可识别的开放方式标记资源集合的主题结构和链接，支持主题浏览和基于词表的智能检索。

（4）概念集描述，即建立符合学科领域要求、用开放语言描述的概念集体系（ontologysystems），利用概念集体系对信息资源内容进行语义标注或语义挖掘，形成基于语义的资源元数据。在此基础上，利用概念集中语义定义、语义关系定义和推理规则，实现基于语义的智能检索和浏览［26］。

实施递进建设的csdl学科信息门户，将首先严格按照元数据规范对知识组织体系进行说明性描述，然后支持以xtm方式逐步深入地描述分类浏览结构，逐步研究和嵌入词表定义描述，并逐步研究和嵌入基于概念集的语义门户功能。csdl将通过标准和公开的应用规范对知识组织体系描述方式进行规定，并逐步建立相应的词表、主题图和概念集描述文件。

7管理机制描述

学科信息门户及其导航系统的可靠运行和可持续发展取决于它在建设和运行中的有效管理以及相应管理机制的规范设计。在csdl学科信息门户中，与学科信息导航系统密切相关的管理机制包括资源组织机制、资源管理机制、元数据规范管理机制、用户使用控制机制等，其中资源组织机制已在前面的资源选择搜寻控制和资源元数据描述中予以讨论。

（1）资源管理机制，通过一系列规范对学科信息导航库中资源内容的管理方式和程序进行规定，包括资源链接检验规范、资源更新规范、元数据记录维护规范、资源管理流程规范等。其中，资源链接检验规范根据不同资源的变化规律规定对这些资源的可链接性进行检验的时间间隔、检验方式和报告形式，资源更新规范规定对资源内容进行重新审查及其修改描述、修改标引与分类、修改评价信息、删除等处理的标准、责任分配、方式和有关技术要求，资源元数据记录维护规范检验元数据记录的唯一性、一致性、完整性和所链接的其他信息的有效性，资源管理流程规范则建立资源管理工作流程序和控制机制。

（2）元数据规范管理机制，主要指对学科信息导航系统各种元数据规范和管理规范（包括本节涉及的管理机制规范）本身的管理规定，具体说明各种元数据规范和管理规范的描述格式和描述语言、内容描述或编码规则、公共存放位置（以支持开放搜寻）、公共登记要求（以支持元数据规范登记系统功能）、与相关资源内容的链接要求、与相关定义或标准文件的链接要求、范例记录编制及其存放与指向要求、版本管理制度、定期审查要求、审查责任人员、管理流程规定等，从而保证元数据规范或管理规范的有序、可靠和可持续管理。

（3）用户使用管理机制，指对信息资源使用的控制机制，包括合法使用范围规范、用户身份认证方式、使用授权方式、使用审计程序、隐私保护政策等。需要区别狭义和广义的资源使用控制。针对学科信息导航系统，狭义控制指对导航系统内学科信息资源的使用控制，广义控制可能包括对导航系统中的扩展信息、词表数据、规范数据等的使用控制。无论是否限制用户范围，都应确定使用控制规范（因为不限制用户只是使用控制的一种特例），界定什么使用主体（subject）在满足什么条件（conditions）下可对什么使用对象（object）行使什么使用行为（actions）。这里，使用主体可能是用户或用户组、用户或另一系统，使用对象可以是具体资源、资源范围或数据对象，使用行为包括读、写、改、转换、析取等，而条件可能是使用登记、身份认证、阅读版权申明、填写保证条款、支付费用等。其中某些条件的验证与实现可通过链接第三方程序来具体实施，例如身份认证、支付费用等。csdl学科信息导航系统将提供学科信息资源的公共浏览检索，但为统计使用情况、了解用户特点，需要进行（往往是隐蔽的）使用统计；对与学科导航信息相链接的用户讨论区、用户发表区等扩展信息和个性化定制等扩展功能，将限制用户范围、要求身份认证；支持各种规范数据的公共查询和阅读，但严格控制对它们的删改；另外，可能只允许其他csdl学科信息门户和授权用户批量搜寻和下载导航资源来支持分布式导航信息组织和集成定制。

8学科信息导航系统的开放描述

所谓开放描述，指信息系统通过开放语言和规范方式来描述自己系统的数据对象、规则、管理控制机制和操作过程，支持系统间互操作和基于智能的运行操作与管理。通过开放描述，将形成关于本系统不同描述对象的描述文件，这些文件置于本系统公知位置或递交公共登记系统，第三方系统可以对这些描述文件进行搜寻，按照开放语言规则进行解析，从而使第三方系统（或智能）能自动地识别、理解本系统的格式和规则，并在此基础上实现系统间的互操作。开放描述并不要求采用统一的具体描述格式，而是规定描述时应遵循的基本原则、底层语义和语法表示方法、标准扩展方式、标准转换机制等，因此不同系统可采用符合自己需要的不同具体方法或格式来描述实际内容，从而在保障各个系统的特殊需要和本地控制的同时，支持描述信息的开放搜寻、识别和系统互操作。

对于csdl学科信息门户及其学科信息导航系统而言，开放描述可分为描述方式和描述信息公布方式两方面的要求，目前阶段公布方式可采用在学科信息门户web服务器公知目录下以公开文件名存放描述文件，支持第三方系统开放搜寻；当csdl元数据规范登记系统建立后，将描述文件提交登记系统进行公共查询。对描述方式，可有以下建议：

（1）资源元数据格式描述，采用dublincore作为元数据核心元素集，采用扩展元素或扩展属性从其他标准元数据集中复用相关元素来描述资源的其他特征，采用namespace方式命名所复用的元素或属性，采用xmldtd或rdf方式定义整个元数据集，采用xml标记和封装输出的资源元数据。

（2）知识组织体系描述，采用dcsubject的encodingscheme属性描述资源元数据中标引分类词表，通过url链接相应的定义文件或介绍文件；采用xtm描述导航分类体系，其描述文件在一定的使用控制下也置于公知位置机制，供授权的第三方系统（例如其他csdl学科信息门户）进行查询和调用，支持资源元数据搜寻和整合；逐步支持用vocml描述的主题词表，相应词表描述文件可能作为第三方定义文件在说明性描述中予以链接，支持嵌入的智能检索功能。

（3）管理机制的描述，涉及面向内部的管理规范和面向第三方的管理规范，前者包括资源组织、资源管理、元数据维护等，后者主要是用户使用控制。面向内部的管理规范可以是文本文件或html／xml文件，应存放在系统公知位置，供公共查询；但也可以用xmldtd方式定义这些规范，一方面可支持这些规范的交换和复用，另一方面可支持对规范的自动解析和处理（当然需要尽量与国内外现有的开放描述格式接轨）。面向第三方的管理规范应尽量采用开放语言描述，例如用户使用控制可采用xacl［26］来规定具体控制规范，在涉及隐私保护时参照p3p［27］制定隐私保护的政策与程序。

（4）整体学科信息导航系统的描述，可作为学科信息门户信息架构（informationarchitecture）定义及其描述的一部分，采用wsdl［28］开放描述语言等方法，对基本信息（例如名称、uri、学科、简要描述等）、管理者信息（例如运营者、运营系统、联系方式等）、管理机制信息（例如关于使用管理、权益保护、隐私保护、定制控制等的描述文件名称、uri、描述规范namespace等）、组织机制信息（例如元数据格式、知识组织体系、模块结构体系以及它们的uri和描述文件地址等）进行描述，以便第三方系统搜寻和解析，支持学科信息导航系统的开放集成定制和作为第三方服务系统的开放嵌入。

我们还将在学科信息门户及其资源导航系统的建设中继续探讨上述问题的规范建设，并希望与国内外其他单位进行合作。

【参考文献】

1subjectbasedinformationgateways.

3nordicinterconnectedsubject-basedinformationgateways.finalreport.august2000.http://nwi.dtv.dk/anders/nisbig/slutrapport.html

4crossroads./metadata/roads/crossroads/

5isaacnetwork.http://scout.cs.wisc.edu/research/osaac/

6imeshtoolkit./toolkit/

7europeanlinktreasury.http://mother.lub.lu.se/elt/index.html.en

8distributednationalelectronicresources./

10张晓林.开放数字信息服务体系：概念、结构与技术.中国图书馆学报，2002（3）

11ebxml./

12webservicesactivity./2002/ws/

13bibliographyonevaluatinginternetresources.http://dublincore.org/documents/dces/

19ieeelearningobjectmetadata.http://itsc.ieee.org/doc/wg12/lom_wd6_3.pdf

20olsonnb.cataloguinginternetresources:amanualandpracticalguide.2ndedition./oclc/man/9256cat/toc.htm

21daym,cliffp.rdncataloguingguidelines.http://orc.dev.oclc.org5103/nkos/bin00003.bin

25xmltopicmaps(xtm)1.0/xtm/1.0/xtm1-20010806.html

26xmlaccesscontrollanguage./projects/xml/xacl/index.htm

地理信息系统定义范文篇3

关键词：信息安全等级保护信息安全管理体系

ComparisonofCPISandISMS

LiJun（InnerMongoliaAutonomousRegionPublicSecurity）

XieZongxiao（ChinaFinancialCertificationAuthority，CFCA）

Abstract：Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem（CPIS）andinformationsecuritymanagementsystem（ISMS），fromthelogicalframework，theimplementationofprocessesandcontrols，wecomparedboth.

Keywords：informationSecurity，CPIS，ISMS

1信息安全等级保护（CPIS）

信息安全等级保护，或者信息系统安全等级保护（简称等级保护），在公文中，一般是前者，但是在标准中，例如，最典型的GB/T22239—2008和GB/T22240—2008用的标题是后者。单就这2个标准而言的话，描述的对象却是主要围绕“信息系统安全”，而不是广义的“信息安全”。当然，本质上来说，等级是针对“信息系统”划分的，而不是针对“信息”划分的。在实践中，这两者不需要刻意区分。等级保护具体的定义如下：

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和8SeEVmi7me7sxRCjGkySNg==存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

这个定义来自《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号1））[2，3]。

注意信息系统的定义：

信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义，应该来自GB17859—1999，其中的定义3.1，定义了计算机信息系统（computerinformationsystem），具体为：

计算机信息系统是由计算机及其相关的和配套的设备、实施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

这种人机系统的定义，在实践中不容易理解，但是最接近学术中的最初理解，例如，Davis（2000）[4]认为信息系统包括信息技术设施、数据、应用系统和人员（informationtechnologyinfrastructure，data，applicationsystems，andpersonnelthatemployITto...）

2信息安全管理体系（ISMS）

原则上说，信息安全管理体系（简称ISMS）并不是一个专用术语，在较早版本的标准中2）对其进行了定义3），满足其中描述条件的应该都是ISMS[5，6]。但實际情况是，由于这个术语起源于ISO/IEC27002和ISO/IEC27001的早期版本，属于新生出来的一个词汇，其他文献中，就很少见到。所以在实践中，ISMS几乎成了一个专用术语。这如同，一提“质量管理体系（QMS4））”，大家就认为是ISO9000标准族道理是一样的。因为某种产品过于普及，就成为某类行为的代名词，这是很常见的现象。例如，你把快递地址微信给我，或者，回头我把文件QQ给你。由于ISO/IEC27000标准族在全球范围内实施广泛，在实践中，就会有此类对话，例如：我们在做27001，意思是说，我们在部署ISMS，或者说，我们在根据ISO/IEC27001部署信息安全。

换个说法，ISMS是一整套的保障组织信息安全的方案（或方法），是组织管理体系的一部分，定义和指导ISMS的标准是ISO/IEC27000标准族，而这其中，ISO/IEC27002和ISO/IEC27001是最重要也是出现最早的2个标准。由于这个原因，导致这一堆词汇在实践中开始混用，而不必刻意地去区分。因此，在下文中，这几个词汇都认为是同义词：

·信息安全管理体系（ISMS）；

·ISO/IEC27000标准族；

·ISO/IEC27002或ISO/IEC27001视上下文，也可能是指代ISMS。

3逻辑框架及实施流程的比较

等级保护是强制实施的，建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS则是建立在国际互认基础上的推荐性的标准5），这导致两者在框架上存在很大的区别。两者的框架对比，如图1所示。

或者说，对于ISMS来说，“组织（或企业）自己负责正确的应用6）”，目的是保护组织（或企业）自身的利益，（如果申请第三方认证）同时向其他人证明组织有良好的信息安全管理水准。对于等级保护而言，则是国家监管机构负责企业（或组织）正确的应用，主要目的是为了保护国家和公众利益。

4對“控制措施”理解的比较

等级保护的相关支持文件主要包括政府公文和国家标准，也可以称为“政策体系”和“标准体系”[2]。以一系列的公文作为依据，是等级保护的一个特点，倒不是因为ISMS缺乏国家监管，而是因为ISMS的监管与其他管理体系（例如，ISO9000和ISO14000等）基本一致，整个的架构设计倒显得没那么重要。等级保护是一个全新的设计，因此整个管理架构就显得非常重要，例如，《信息安全等级保护管理办法》（公安部〔2007〕43号）就是一个非常重要的公文，从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保护管理等整个管理架构。

但是，就这两者的框架而言，还存在一个不同，即如何理解“控制措施”7）。简而言之，等级保护部署“控制措施”为中心，ISMS部署是以“控制目标”8）为中心。

这仅仅是一个描述方式的区别，严格讲，等级保护也是以控制目标为中心，虽然没有非常明确。因为所有的控制措施，最终还是为了实现安全目标。但这两者还是不同的，在等级保护中，一旦信息系统的等级被确定，控制措施都是确定的，同时也要注意，等级本身已经隐含了信息系统的控制目标。对于ISMS而言，由于是自愿部署，组织自己负责识别安全要求，自己设定控制目标，之后自愿部署控制措施。

通俗地讲，等级保护中，是组织和监管机构共同确定（是组织确定，之后提交监管机构确认）信息系统等级（其中隐含着控制目标），然后按要求部署。在ISMS中，是组织自己确定控制目标，然后按照要求部署，是一个自圆其说的逻辑。在下文中，我们讨论定级备案等过程，两者的区别就很清晰了。

当然，无论是等级保护还是ISMS，“控制”都是其核心内容之一，在等级保护中表现为GB/T22239—2008，在ISMS中表现为ISO/IEC27002：2013。

在GB/T22239—2008中，针对不同安全保护等级应该具有的基本安全保护能力，提出基本安全要求。标准的架构，如图2所示。

在基本要求的基础上，自上而下又分为：类、控制点和控制项[7]。在图2的10个大类中，每个大类下面分为一系列的关键控制点，控制点下又包括了具体的控制项。本文中不再讨论具体条款，具体可以见参考文献[8]。

在ISO/IEC27002：2013中，并不区分技术要求或管理要求，或者说，不关心实现途径。其中控制的描述结构，自上而下又分为：类、目标和控制。具体而言，就是包含了如表1所示，ISO/IEC27002：2013描述了14个大类，这些大类又细化为35个目标，接着由114项控制来实现相应的目标。

具体到每一个主要安全控制类和控制的描述结构，参考ISO/IEC27002：2013中的描述，如下所述：

每一个主要安全控制类别包括11）：

a）一个控制目标，声明要实现什么；

b）一个或多个控制，可被用于实现该控制目标。

控制的描述结构如下：

控制

为满足控制目标，给出定义特定控制的陈述。

实现指南

为支持该控制的实现并满足控制目标，提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用，也可能不能满足组织的特定控制要求。

其他信息

提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的参考。如无其他信息，本项将不给出。

关于ISO/IEC27002：2013，可见参考文献[9]和[10]。