等级保护与风险评估区别共19页

等级保护风险评价 This manuscript was revised on November 28, 2020等级保护、风险评估、安全测评三者的内在联系及实施建议赵瑞颖前言自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后，等级保护、风险评估、系统安全测评（或称系统安全评估，简称安全测评）都是当前国家信息安全保障体系建设中的热点话题。

本文从这三者的基本概念和工作背景出发，分析了三者相互之间的内在联系和区别并作了基本判断。

本文还结合信息系统的开发生命周期模型（简称SDLC），本着“谁主管谁负责、谁运行谁负责”的原则，从发起实施主体的角度给出了三者在SDLC过程中的实施建议。

一、三者的基本概念和工作背景A、等级保护基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。

这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。

GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。

等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候，对等级保护、风险评估和安全测评三者之间的联系很不清楚，常常会弄混淆。

幸得有这样一篇文章，详细介绍了三者的概念区别以及联系，澄清了他们之间的关系。

好文章不敢独享，特在此和大家一起分享。

一、三者的基本概念和工作背景A、等级保护基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。

这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。

GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。

安全评估与等级保护
安全评估和等级保护是指对系统、网络、设备等进行安全性评估，根据评估结果确定相应的安全等级，并采取相应的措施来保护系统的安全。

安全评估是指对系统、网络、设备等的安全性进行全面、系统、深入的评估和分析，找出可能存在的安全隐患和风险，并提出相应的安全改进建议。

安全评估的方法包括安全漏洞扫描、弱点分析、风险评估、安全建模等。

等级保护是根据安全评估的结果，根据风险等级，对系统和数据进行分类和分级保护。

一般分为四个等级：一级为严重等级，需要最高级别的保护措施；二级为重要等级，需要较高级别的保护措施；三级为一般等级，需要一般级别的保护措施；四级为低级别，需要最低级别的保护措施。

等级保护主要包括安全策略的制定、安全技术的落地、安全管理的强化等方面的工作。

根据不同的等级，采取相应的安全措施，例如加密、防火墙、访问控制、安全审计等。

通过安全评估和等级保护，可以确保系统、网络和设备能够达到一定的安全水平，保护敏感信息的安全，并减少被攻击和泄露的风险。

风险评估及等级保护风险评估及等级保护一、引言风险评估是一个企业或组织在决策过程中必不可少的一个环节。

通过对可能发生的风险进行评估，可以帮助企业或组织预测和避免潜在的风险，从而保护企业或组织的利益。

本文将对风险评估及等级保护进行探讨。

二、风险评估的定义与内容风险评估是指通过系统、全面地分析、评价和预测，确定潜在风险的性质、程度和可能影响，并制定相应的风险控制策略的过程。

其内容包括风险识别、风险分析、风险评价和风险控制等四个环节。

1. 风险识别：通过对企业或组织所面临的各种风险进行搜集、整理和分析，确定潜在风险的来源和类型。

2. 风险分析：对所识别出的风险进行详细的分析和研究，确定其可能发生的概率和可能造成的影响。

3. 风险评价：对分析结果进行综合评价，确定风险的等级和优先级。

4. 风险控制：根据风险评估的结果，制定相应的风险控制策略和措施，减少风险的概率和影响。

三、风险评估的方法与工具风险评估可以利用多种方法与工具进行，其中常用的包括定性评估和定量评估两种方法。

1. 定性评估：通过对风险的性质和特征进行描述和分析，确定风险的可能性和严重程度的高低，进而根据其等级进行优先排序。

2. 定量评估：通过量化风险的概率和可能影响的大小，利用数学模型和统计方法分析和计算风险的等级和优先级。

此外，风险评估中常用的工具有风险矩阵、事件树、故障模式与效应分析（FMEA）等方法。

四、等级保护的意义与内容等级保护是指根据风险的等级，通过采取相应的保护措施，确保企业或组织在面临风险时能够进行有效的应对和防范。

其意义在于提高企业或组织的安全性和稳定性，减少风险可能带来的损失。

等级保护的内容主要包括：1. 风险防范：通过做好风险防范措施，降低风险的可能性和影响。

2. 事故应急响应：建立健全的事故应急响应机制，提前制定应急预案，确保在事故发生时能够迅速、有效地应对。

3. 信息安全保护：加强对信息安全的保护，预防信息泄露和网络攻击等风险。

等级保护、风险评估和安全测评三者的区别⽂章来源｜等级保护测评师等级保护、风险评估和安全测评三者的区别和联系都有哪些？本篇我们从基础的概念说起，⼀起搞清楚他们之间的关系三者的基本概念和⼯作背景A. 等级保护基本概念：信息安全等级保护是指对国家秘密信息、法⼈和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实⾏安全保护，对信息系统中使⽤的安全产品实⾏按等级管理，对信息系统中发⽣的信息安全事件等等级响应、处置。

这⾥所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照⼀定的应⽤⽬标和规则对信息进⾏存储、传输、处理的系统或者⽹络；信息是指在信息系统中存储、传输、处理的数字化信息。

⼯作背景：1994年×××颁布的《×××计算机信息系统安全保护条例》2规定：计算机信息系统实⾏安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能⼒的五个等级，即：第⼀级：⽤户⾃主保护级；第⼆级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。

GB17859中的分级是⼀种技术的分级，即对系统客观上具备的安全保护技术能⼒等级的划分。

2002年7⽉18⽇，公安部在GB17859的基础上，⼜发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护⽹络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通⽤技术要求》、GA391-2002 《计算机信息系统安全等级保护管理要求》。

等级保护和风险评估分别是什么意思？初接触网络安全的时候，很多人总会将“等级保护”和“风险评估”混淆在一起，甚至认为它们有着相同的作用和意义，那么你知道等级保护和风险评估有何关系吗?小编通过这篇文章为大家讲解一下。

等级保护等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。

国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。

突出重点，保障重要信息资源和重要信息系统的安全。

等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

风险评估风险评估就是量化评判安全事件带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。

作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

等级保护和风险评估有何关系?①等级保护是指导我国信息安全保障体系建设的一项基础管理制度，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。

从这个意义上来讲，等级保护要高于风险评估和系统测评。

②等级保护的前提是对系统定级，系统定级根据系统信息的机密性、完整性、可用性等三大性来确定，即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统最终的定级。

等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。

等级保护、风险评估与安全测评三者之间的区别1. 等级保护（Protection Level）：等级保护是一种针对信息系统的安全需求进行分类和分级的方法。

它是按照信息系统的重要性和敏感性将其划分为不同的等级，以确定适当的安全控制策略和保护措施。

等级保护主要关注信息系统的重要性和敏感性，以确定系统需要采取的保护等级。

2. 风险评估（Risk Assessment）：风险评估是对信息系统或网络中的潜在威胁和可能的风险进行分析和评估的过程。

它通过识别资产、威胁和漏洞，并对其造成的潜在影响进行评估，从而确定具体的风险水平。

风险评估的目的是为了识别威胁和漏洞，评估其潜在影响，并确定相应的风险级别，以便决策者能够制定适当的风险应对策略。

3. 安全测评（Security Assessment）：安全测评是对系统或网络进行安全性能测试的过程，旨在评估其安全性状态和安全控制措施的有效性。

安全测评通常包括系统的安全配置、漏洞扫描、渗透测试等活动，以发现系统中的潜在漏洞和薄弱点。

安全测评的目的是为了检测系统的脆弱性和弱点，发现系统可能存在的安全漏洞，并提供改进建议和措施，以加强系统的安全性。

综上所述，等级保护是根据信息系统的重要性和敏感性进行分类和分级，风险评估是评估系统潜在风险和威胁的过程，而安全测评则是对系统进行安全性能测试和评估的过程。

它们在信息安全管理中各有不同的目的，但都对系统的安全性起着重要的作用。

等级保护（Protection Level）、风险评估（Risk Assessment）和安全测评（Security Assessment）是信息系统安全管理的重要组成部分，它们分别从不同的角度来保障信息系统的安全性。

下面将进一步阐述它们之间的区别和关系。

首先，等级保护是一种安全管理方法，通过对信息系统进行分类和分级，确定适当的安全控制策略和保护措施。

等级保护的目的是根据信息系统的重要性和敏感性来确定安全等级，并制定相应的安全要求和措施。

等级爱护、风险评估和安全测评三者之间的区不与联系刚接触安全测试这项工作的时候，对等级爱护、风险评估和安全测评三者之间的联系专门不清晰，常常会弄混淆。

幸得有如此一篇文章，详细介绍了三者的概念区不以及联系，澄清了他们之间的关系。

好文章不敢独享，特在此和大伙儿一起分享。

一、三者的差不多概念和工作背景A、等级爱护差不多概念：信息安全等级爱护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全爱护，对信息系统中使用的安全产品实行按等级治理，对信息系统中发生的信息安全事件等等级响应、处置。

那个地点所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全爱护条例》2规定：计算机信息系统实行安全等级爱护，安全等级的划分标准和安全等级爱护的具体方法，由公安部会同有关部门制定。

1999年公安部组织起草了《计算机信息系统安全爱护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全爱护能力的五个等级，即：第一级：用户自主爱护级；第二级：系统审计爱护级；第三级：安全标记爱护级；第四级:结构化爱护级；第五级：访问验证爱护级。

GB17859中的分级是一种技术的分级，即对系统客观上具备的安全爱护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又公布实施五个GA新标准，分不是：GA/T 387-2002《计算机信息系统安全等级爱护网络技术要求》、GA 388-2002 《计算机信息系统安全等级爱护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级爱护数据库治理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级爱护通用技术要求》、GA 391-2002 《计算机信息系统安全等级爱护治理要求》。

TECHNOLOGY AND INFORMATIONIT技术论坛52 科学与信息化2019年10月下论信息安全等级保护和风险评估的关系倪培利 邵静青岛速科评测实验室有限公司 山东 青岛 266000摘 要 我国信息安全保障体系建设中，最基础的制度是信息安全保护和风险评估之间的信息安全保护等级制度。

信息安全保护等级制度所达到的目标是将保护信息安全的工作统一起来，提升我国建设信息安全的整体水平。

在保护信息安全的时候充分调动社会所有人员的参与积极性，将他们的作用充分发挥出来，从而实现保护信息和维护信息系统的目的。

关键词 信息安全；等级保护；风险评估；关系现代化建设中，诸多方面已经逐渐的与电子信息技术相融合，在社会发展中，政府部门正在积极推行电子政务，在金融证券行业积极推动网上银行建设和网上证券交易，商务部门正在积极开展电子商务活动。

企业的发展和社会的进步，离不开有效的信息数据支持。

如今，信息更是作为战略资源，为企业决策提供最基本的保障。

1 信息安全等级保护和风险评估的概念1.1 信息安全等级保护的概念信息系统所承担的功能是实现信息的存储、传输和处理，信息安全等级保护主要是指对信息系统进行分级保护。

在管理信息系统的时候采用分等级管理，能够将安全产品在实际的使用过程中做好分级响应和分级处理。

信息安全等级保护在我国信息安全保障体系之中发挥着基础性管理作用，对完善安全保障体系发挥重要作用。

信息安全等级保护是保障信息安全的重要方法，其核心的内容是将信息的安全进行划分等级，按照规定的标准建立起完善的监督和管理方案。

在进行信息安全划分等级的时候，需要依据我国《计算机信息系统安全保护等级划分准则》的基本条例，将信息安全等级保护划分成五个等级。

第一级是用户自主保护等级；第二级是审计系统保护等级；第三级是安全标记保护等级；第四级是结构化保护等级，第五级是访问验证保护等级[1]。

1.2 风险评估的概念评估风险的工作就是根据一定的指标低可能会出现的损失和影响提前判断，将安全隐患进行预防。

等级保护、风险评估、安全测评的区别！无论是学习网络安全还是从事网络安全相关工作，凡是接触安全行业的人，往往都听说过“等级保护”、“风险评估”、“安全测评”等关键词。

但是，有很多朋友肯定还没有搞懂它们之间的区别和联系，那么等级保护、风险评估、安全测评三者之间有什么联系和区别?通过这篇文章为大家详细解答一下。

三者的概念介绍等级保护是指对涉及国计民生的网络和信息系统按其重要程度及实际安全需求进行分等级保护，对网络和信息系统中使用的安全产品实行按等级管理，对网络和信息系统中发生的信息安全事件进行分等级响应、处置。

它是保障国家网络和信息安全的基本制度、基本策略、基本方法。

等级保护一般分为五个等级：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。

风险评估风险评估是指在风险事件发生之前或者之后，该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能进行量化评估的工作。

即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从信息安全角度来讲，风险评估是对信息资产的潜在威胁、弱点、造成的影响等事件进行综合分析，判断安全事件在综合作用下发生的概率以及造成的损失，从而组织风险管理措施的过程。

安全测评按照严格的程序对信息系统进行安全能力的综合测试评估活动，由正规、检验技术丰富且被政府授权资格的权威机构进行检查，帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题，并提供改进建议降低系统的安全风险。

三者之间的联系与区别等级保护：它是我国信息保障建设体系中的一个最基础的管理制度。

风险评估、安全测评：两者都属于等级保护制度下对信息、信息系统的安全进行评价，只不过两种方式在区别中又有所联系。

从某种程度来讲，等级保护在风险评估和安全测评之上。

一旦系统定级并分类分级后，不论是风险评估还是安全测评，我们都可以把它们当作是等级保护制度之下的评估和测评;操作时只需要在原有的操作程序、方法基础上加入特定的制度要求就可以了。

信息系统等级保护与风险评估基本知识下载温馨提示：该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

此文下载后可定制随意修改，请根据实际需要进行相应的调整和使用。

并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Downloaded tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The documentscan be customized and modified after downloading, please adjust and use it accordingto actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!在当今数字化时代，信息系统的安全性至关重要。

等级保护风险评估和安全测评三者之间的区别与联系随着信息技术的不断发展，网络和信息系统在我们的日常生活和商业运营中扮演了越来越重要的角色。

然而，随之而来的是不断增加的网络威胁和风险。

为了保护关键信息资产和确保系统的安全性，等级保护风险评估和安全测评成为了不可或缺的安全实践。

本文将探讨等级保护风险评估和安全测评之间的区别与联系，以帮助读者更好地理解这两个关键概念。

**1. 等级保护风险评估**等级保护风险评估是一种广泛用于政府和军事组织中的方法，用于评估信息系统的风险和确定所需的安全措施。

它的主要特点如下：- **关注重要性等级：** 等级保护风险评估侧重于确定信息系统中的数据和资产的重要性等级。

这些等级通常分为不同的等级，如机密、秘密和非机密等，以根据其敏感性进行分类。

- **定制的方法：** 该评估方法通常根据特定组织的需求和信息资产来进行定制。

它考虑了组织的目标和风险容忍度。

- **法律法规要求：** 对于一些政府机构和军事组织来说，等级保护风险评估是法律法规的要求。

这意味着它必须执行以满足合规性要求。

- **涉及安全分类：** 该评估通常涉及将信息系统的各个组件分类为适当的保护等级，并采取相应的措施来确保数据的机密性和完整性。

**2. 安全测评**安全测评是一种广泛用于商业和政府组织的方法，用于评估信息系统的安全性和发现潜在的弱点。

其主要特点如下：- **全面性评估：** 安全测评旨在全面评估信息系统的各个方面，包括硬件、软件、网络架构、数据存储和人员行为等。

- **强调漏洞和威胁：** 安全测评的焦点是发现系统中的漏洞、弱点和潜在威胁，以便及时修复它们。

- **模拟攻击：** 在安全测评中，安全专家可能会模拟攻击，以测试系统的强度和抵御能力。

- **强调实时威胁：** 安全测评通常关注当前的威胁和漏洞，以确保系统能够应对最新的威胁。

**3. 区别与联系**虽然等级保护风险评估和安全测评都是信息系统安全领域的关键实践，但它们之间存在一些关键区别和联系：- **区别：**- **焦点不同：** 等级保护风险评估主要关注信息资产的重要性等级，而安全测评主要关注系统的漏洞和威胁。