等级保护与风险评估区别共19页

等级保护风险评价 This manuscript was revised on November 28, 2020等级保护、风险评估、安全测评三者的内在联系及实施建议赵瑞颖前言自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后，等级保护、风险评估、系统安全测评（或称系统安全评估，简称安全测评）都是当前国家信息安全保障体系建设中的热点话题。

本文从这三者的基本概念和工作背景出发，分析了三者相互之间的内在联系和区别并作了基本判断。

本文还结合信息系统的开发生命周期模型（简称SDLC），本着“谁主管谁负责、谁运行谁负责”的原则，从发起实施主体的角度给出了三者在SDLC过程中的实施建议。

一、三者的基本概念和工作背景A、等级保护基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。

这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。

GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。

等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候，对等级保护、风险评估和安全测评三者之间的联系很不清楚，常常会弄混淆。

幸得有这样一篇文章，详细介绍了三者的概念区别以及联系，澄清了他们之间的关系。

好文章不敢独享，特在此和大家一起分享。

一、三者的基本概念和工作背景A、等级保护基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。

这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。

GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。

安全评估与等级保护
安全评估和等级保护是指对系统、网络、设备等进行安全性评估，根据评估结果确定相应的安全等级，并采取相应的措施来保护系统的安全。

安全评估是指对系统、网络、设备等的安全性进行全面、系统、深入的评估和分析，找出可能存在的安全隐患和风险，并提出相应的安全改进建议。

安全评估的方法包括安全漏洞扫描、弱点分析、风险评估、安全建模等。

等级保护是根据安全评估的结果，根据风险等级，对系统和数据进行分类和分级保护。

一般分为四个等级：一级为严重等级，需要最高级别的保护措施；二级为重要等级，需要较高级别的保护措施；三级为一般等级，需要一般级别的保护措施；四级为低级别，需要最低级别的保护措施。

等级保护主要包括安全策略的制定、安全技术的落地、安全管理的强化等方面的工作。

根据不同的等级，采取相应的安全措施，例如加密、防火墙、访问控制、安全审计等。

通过安全评估和等级保护，可以确保系统、网络和设备能够达到一定的安全水平，保护敏感信息的安全，并减少被攻击和泄露的风险。

风险评估及等级保护风险评估及等级保护一、引言风险评估是一个企业或组织在决策过程中必不可少的一个环节。

通过对可能发生的风险进行评估，可以帮助企业或组织预测和避免潜在的风险，从而保护企业或组织的利益。

本文将对风险评估及等级保护进行探讨。

二、风险评估的定义与内容风险评估是指通过系统、全面地分析、评价和预测，确定潜在风险的性质、程度和可能影响，并制定相应的风险控制策略的过程。

其内容包括风险识别、风险分析、风险评价和风险控制等四个环节。

1. 风险识别：通过对企业或组织所面临的各种风险进行搜集、整理和分析，确定潜在风险的来源和类型。

2. 风险分析：对所识别出的风险进行详细的分析和研究，确定其可能发生的概率和可能造成的影响。

3. 风险评价：对分析结果进行综合评价，确定风险的等级和优先级。

4. 风险控制：根据风险评估的结果，制定相应的风险控制策略和措施，减少风险的概率和影响。

三、风险评估的方法与工具风险评估可以利用多种方法与工具进行，其中常用的包括定性评估和定量评估两种方法。

1. 定性评估：通过对风险的性质和特征进行描述和分析，确定风险的可能性和严重程度的高低，进而根据其等级进行优先排序。

2. 定量评估：通过量化风险的概率和可能影响的大小，利用数学模型和统计方法分析和计算风险的等级和优先级。

此外，风险评估中常用的工具有风险矩阵、事件树、故障模式与效应分析（FMEA）等方法。

四、等级保护的意义与内容等级保护是指根据风险的等级，通过采取相应的保护措施，确保企业或组织在面临风险时能够进行有效的应对和防范。

其意义在于提高企业或组织的安全性和稳定性，减少风险可能带来的损失。

等级保护的内容主要包括：1. 风险防范：通过做好风险防范措施，降低风险的可能性和影响。

2. 事故应急响应：建立健全的事故应急响应机制，提前制定应急预案，确保在事故发生时能够迅速、有效地应对。

3. 信息安全保护：加强对信息安全的保护，预防信息泄露和网络攻击等风险。

等级保护、风险评估和安全测评三者的区别⽂章来源｜等级保护测评师等级保护、风险评估和安全测评三者的区别和联系都有哪些？本篇我们从基础的概念说起，⼀起搞清楚他们之间的关系三者的基本概念和⼯作背景A. 等级保护基本概念：信息安全等级保护是指对国家秘密信息、法⼈和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实⾏安全保护，对信息系统中使⽤的安全产品实⾏按等级管理，对信息系统中发⽣的信息安全事件等等级响应、处置。

这⾥所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照⼀定的应⽤⽬标和规则对信息进⾏存储、传输、处理的系统或者⽹络；信息是指在信息系统中存储、传输、处理的数字化信息。

⼯作背景：1994年×××颁布的《×××计算机信息系统安全保护条例》2规定：计算机信息系统实⾏安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能⼒的五个等级，即：第⼀级：⽤户⾃主保护级；第⼆级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。

GB17859中的分级是⼀种技术的分级，即对系统客观上具备的安全保护技术能⼒等级的划分。

2002年7⽉18⽇，公安部在GB17859的基础上，⼜发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护⽹络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通⽤技术要求》、GA391-2002 《计算机信息系统安全等级保护管理要求》。

等级保护和风险评估分别是什么意思？初接触网络安全的时候，很多人总会将“等级保护”和“风险评估”混淆在一起，甚至认为它们有着相同的作用和意义，那么你知道等级保护和风险评估有何关系吗?小编通过这篇文章为大家讲解一下。

等级保护等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。

国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。

突出重点，保障重要信息资源和重要信息系统的安全。

等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

风险评估风险评估就是量化评判安全事件带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。

作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

等级保护和风险评估有何关系?①等级保护是指导我国信息安全保障体系建设的一项基础管理制度，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。

从这个意义上来讲，等级保护要高于风险评估和系统测评。

②等级保护的前提是对系统定级，系统定级根据系统信息的机密性、完整性、可用性等三大性来确定，即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统最终的定级。

等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。

等级保护、风险评估与安全测评三者之间的区别1. 等级保护（Protection Level）：等级保护是一种针对信息系统的安全需求进行分类和分级的方法。

它是按照信息系统的重要性和敏感性将其划分为不同的等级，以确定适当的安全控制策略和保护措施。

等级保护主要关注信息系统的重要性和敏感性，以确定系统需要采取的保护等级。

2. 风险评估（Risk Assessment）：风险评估是对信息系统或网络中的潜在威胁和可能的风险进行分析和评估的过程。

它通过识别资产、威胁和漏洞，并对其造成的潜在影响进行评估，从而确定具体的风险水平。

风险评估的目的是为了识别威胁和漏洞，评估其潜在影响，并确定相应的风险级别，以便决策者能够制定适当的风险应对策略。

3. 安全测评（Security Assessment）：安全测评是对系统或网络进行安全性能测试的过程，旨在评估其安全性状态和安全控制措施的有效性。

安全测评通常包括系统的安全配置、漏洞扫描、渗透测试等活动，以发现系统中的潜在漏洞和薄弱点。

安全测评的目的是为了检测系统的脆弱性和弱点，发现系统可能存在的安全漏洞，并提供改进建议和措施，以加强系统的安全性。

综上所述，等级保护是根据信息系统的重要性和敏感性进行分类和分级，风险评估是评估系统潜在风险和威胁的过程，而安全测评则是对系统进行安全性能测试和评估的过程。

它们在信息安全管理中各有不同的目的，但都对系统的安全性起着重要的作用。

等级保护（Protection Level）、风险评估（Risk Assessment）和安全测评（Security Assessment）是信息系统安全管理的重要组成部分，它们分别从不同的角度来保障信息系统的安全性。

下面将进一步阐述它们之间的区别和关系。

首先，等级保护是一种安全管理方法，通过对信息系统进行分类和分级，确定适当的安全控制策略和保护措施。

等级保护的目的是根据信息系统的重要性和敏感性来确定安全等级，并制定相应的安全要求和措施。