等級保護
等級保護是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護,對信息系統中使用的安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級進行響應、處置。等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規範逐級加強監管力度。突出重點,保障重要信息資源和重要信息系統的安全。
等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
風險評估
風險評估就是量化評判安全事件帶來的影響或損失的可能程度。從信息安全的角度來講,風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的壹個重要途徑,屬於組織信息安全管理體系策劃的過程。
等級保護和風險評估的不同:
①等級保護是指導我國信息安全保障體系建設的壹項基礎管理制度,而風險評估、系統測評則是在等級保護制度下,對信息及信息系統安全性進行評價的兩種特定的、有所區分但又有所聯系的不同的研究、分析方法。從這個意義上來講,等級保護要高於風險評估和系統測評。
②等級保護的前提是對系統定級,系統定級根據系統信息的機密性、完整性、可用性等三大性來確定,即是明確各種信息類型-確定每種信息類型的安全類別-確定系統的安全類別三個步驟進行系統最終的定級。等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本壹致,不同的是:等級保護的級別是從系統的業務需求或CIA特性出發,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀後的綜合評估結果,也就是說,在風險評估中,CIA價值高的信息資產不壹定風險等級就高。
③等級保護其實就是幫助用戶分析、評定信息系統的等級,以便在後期的工作中根據不同的等級進行不同級別的安全防護,而風險評估則是幫助用戶了解目前的安全現狀,以便在後期進行整體的安全規劃與建設。我們可以用風險評估這種手段檢查等保的落實和執行情況,將風險評估的結果作為實施等級保護等級安全建設的出發點和參考。