等级保护、风险评估和安全测评三者的区别.pdfVIP

等级保护、风险评估和安全测评三者的区别 ⽂章来源｜等级保护测评师 等级保护、风险评估和安全测评三者的区别和联系都有哪些？本篇我们从基础的概念说起，⼀ 起搞清楚他们之间的关系 三者的基本概念和⼯作背景 A. 等级保护 基本概念：信息安全等级保护是指对国家秘密信息、法⼈和其他组织和公民的专有信息以及公 开信息和存储、传输、处理这些信息的信息系统分等级实⾏安全保护，对信息系统中使⽤的安 全产品实⾏按等级管理，对信息系统中发⽣的信息安全事件等等级响应、处置。这⾥所指的信 息系统，是指由计算机及其相关和配套的设备、设施构成的，按照⼀定的应⽤⽬标和规则对信 息进⾏存储、传输、处理的系统或者⽹络；信息是指在信息系统中存储、传输、处理的数字化 信息。 ⼯作背景：1994年×××颁布的《×××计算机信息系统安全保护条例》2规定：计算机信息系统实 ⾏安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制 定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859- 1999），规定了计算机信息系统安全保护能⼒的五个等级，即：第⼀级：⽤户⾃主保护级；第 ⼆级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证 保护级。GB17859中的分级是⼀种技术的分级，即对系统客观上具备的安全保护技术能⼒等级 的划分。2002年7⽉18⽇，公安部在GB17859的基础上，⼜发布实施五个GA新标准，分别是： GA/T 387-2002 《计算机信息系统安全等级保护⽹络技术要求》、GA 388-2002 《计算机信息 系统安全等级保护操作系统技术要求》、GA/T 389-2002 《计算机信息系统安全等级保护数据库 管理系统技术要求》、GA/T 390-2002 《计算机信息系统安全等级保护通⽤技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保 护等级系列标准的⼀部分。《关于信息安全等级保护⼯作的实施意见的通知》3 （简称66号⽂） 将信息和信息系统的安全保护等级划分为五级，即：第⼀级：⾃主保护级；第⼆级：指导保护 级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。特别强调的是：66号 ⽂中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应⽤ 需求出发必须纳⼊的安全业务等级，⽽不是GB17859中定义的系统已具备的安全技术等级。 B. 风险评估 基本概念：信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在 威胁、薄弱环节、已采取的防护措施等进⾏分析，判断安全事件发⽣的概率以及可能造成的损 失，提出风险管理措施的过程。 ⼯作背景：风险评估不是⼀个新概念，⾦融、电⼦商务等许多领域都有风险及风险评估需求的 存在。当风险评估应⽤于IT领域时，就是对信息安全的风险评估。国内这⼏年对信息安全风险评 估的研究进展较快，具体的评估⽅法也在不断改进。风险评估也从早期简单的漏洞扫描、⼈⼯ 审计、***性测试这种类型的纯技术操作，逐渐过渡到⽬前普遍采⽤BS7799、OCTAVE 、NIST SP800-26、NIST SP800-30、AS/NZS4360 、SSE-CMM等⽅法，充分体现以资产为出发点、 以威胁为触发、以技术/管理/运⾏等⽅⾯存在的脆弱性为诱因的信息安全风险评估综合⽅法及操 作模型。×××信息化⼯作办公室2004年组织完成了《信息安全风险评估指南》及《信息安全风 险管理指南》标准草案的制定，并在其中规定了信息安全风险评估的⼯作流程、评估内容、评 估⽅法和风险判断准则，对规范我国信息安全风险评估的做法具有很好的指导意义。⽬前，国 信办正组织在全国北京、上海、⿊龙江、云南等省市及税务、银⾏、电⼒等⾏业领域作风险评 估试点⼯作，探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究， 预计2005年9⽉份前完成试点⼯作，并在试点⼯作的基础上形成有关开展信息安全风险评估⼯作 的指导意见。 C. 系统安全测评 基本概念：由具备检验技术能⼒和政府授权资格的权威机构，依据国家标准、⾏业标准、地⽅ 标准或相关技术规范，按照严格程序对信息系统的安全保障能⼒进⾏的科学公正的综合测试评 估活动，以帮助系统运⾏单位分析系统当前的安全运⾏状况、查找存在的安全问题，并提供安 全改进建议，从⽽最⼤程度地降低系统的安全风险。 ⼯作背景：在我国，