基于风险分析信息系统等级测评.docVIP

基于风险分析信息系统等级测评 　　摘 要：信息系统等级保护是我国当前信息安全工作的基本制度。风险评估、等级测评是信息安全等级保护的重要阶段和方法。简要论述了等级保护、风险评估和等级测评三者的概念、区别和联系，并在基于三者含义及其关系的基础上，结合等级测评的内在要求，论述了基于风险分析的等级测评。 　　关键词：等级保护；风险评估；等级测评；信息系统 　　中图分类号：TP309 文献标识码：A DOI：10.15913/ki.kjycx.2017.09.128 　　1 信息系统等级保护、风险评估和等级测评 　　1.1 等级保护 　　信息安全等级保护包括3个方面的内容，分别是对信息技术产品分不同等级进行管理，对信息和处理信息的信息系统分不同等级进行安全保护，对信息安全事件分不同等级进行响应和处置。 　　1999年，我国发布《计算机信息系统安全保护等级划分准则》（GB 17859―1999）标准，根据信息技术产品（比如操作系统等）的安全保护技术能力，把信息技术产品从低到高分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级5个级别。 　　GB 17859―1999标准为信息技术产品提出了安全保护要求，但不能体现信息安全风险管理思想，也不能覆盖信息系统的技术、管理等方面的内容。为此，公安部制定和发布的《关于信息安全等级保护工作的实施意见的通知》（