风险评估等级(风险等级划分)

一、等级保护的基本概念

信息安全等级保护是指信息安全的分级保护和管理。

根据信息系统应用业务的重要性及其实际安全需求，分级、分类、分阶段实施保护，确保信息安全和系统安全的正常运行，维护国家利益、公共利益和社会稳定。

等级保护的核心是对信息系统特别是业务应用系统的安全进行分级，并按照标准进行建设、管理和监督。逐步运用法律和技术规范，加强国家信息安全等级保护监管。重点保障重要信息资源和重要信息系统的安全。

二、相关国家标准

GB 17859-1999《计算机信息系统安全保护等级分类标准》

GA/T 387-2002计算机信息系统安全等级保护网络技术要求

GA 388-2002计算机信息系统安全等级保护操作系统技术要求

GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求

GA/T 390-2002计算机信息系统安全等级保护通用技术要求

GA 391-2002计算机信息系统安全等级保护管理要求

三。分级:

包括系统安全功能的建立，系统、网络、设备、用户之间的可信认证保障平台。信息系统的安全级别分为五个安全保护能力级别:

一级:用户独立保护，二级:系统审计保护，三级:安全标志保护，四级:结构化保护(系统整体安全设计)，五级:访问验证保护。

四。内容构成:

保护等级的基本要求分为技术和管理两部分。技术部分分为五大类:物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理部分分为安全管理制度、安全管理组织、人员安全管理、系统建设管理和系统运维管理五大类。

风险评估以安全建设为基础，其重要意义在于改变传统的技术驱动的安全架构设计和详细的安全方案制定。通过对用户关心的重要资产进行分类，对安全威胁的可能性和严重性进行分析，对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运营措施等方面的安全漏洞进行分析。通过对现有安全控制措施的确认，借助定量和定性分析，推断用户关心的重要资产当前存在的安全风险，并根据风险的严重程度制定风险处置方案，从而确定下一步的安全需求方向。

等级保护的前提是对系统进行等级划分，根据系统信息的机密性、完整性和可用性来确定。即“定义各种信息类型——确定每种信息类型的安全类别——确定系统的安全类别”是最终对系统进行分级的三个步骤。

等级保护中系统分类分级的思路与风险评估中信息资产的重要性分级基本一致。不同的是，等级保护的级别是基于系统的业务需求或CIA的特点来定义系统应具备的安全服务级别，而风险评估中的最终风险级别是综合考虑信息的重要性、现有安全控制措施的有效性和系统的运行状态后的综合评估结果。也就是说，在风险评估中，CIA值高的信息资产不一定风险等级高。

可以简单理解为，等保是一个标准或制度，评价是一种手段。

其实安全是帮助用户分析评估信息系统的等级，以便在后期工作中根据不同的等级进行不同等级的安全防护，而风险评估是帮助用户摸清当前的安全状况，以便后期进行整体的安全规划和建设。我们可以通过风险评估来检查平等保险的实施和执行情况。风险评估结果可作为实施等级保护和等级安全建设的出发点和参考依据。