信息安全等級(jí)保護(hù)是指對(duì)存儲(chǔ)、傳輸、處理信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。
??????? 等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。
??????? 等級(jí)保護(hù)基本要求的內(nèi)容分技術(shù)和管理兩大部分，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類。
??????? 按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》規(guī)定的規(guī)定，我國實(shí)行五級(jí)信息安全等級(jí)保護(hù)。第一級(jí)：用戶自主保護(hù)級(jí);第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí)：安全標(biāo)記保護(hù)級(jí);第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí);第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。
??????? 由公安部、國家保密局、國家密碼管理委員會(huì)辦公室、國務(wù)院信息化工作辦公室聯(lián)合發(fā)出的66號(hào)文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》將信息和信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí)，即：第一級(jí)：自主保護(hù)級(jí);第二級(jí)：指導(dǎo)保護(hù)級(jí);第三級(jí)：監(jiān)督保護(hù)級(jí);第四級(jí)：強(qiáng)制保護(hù)級(jí);第五級(jí)：?？乇Ｗo(hù)級(jí)。
??????? 66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí)，而不是GB17859中定義的安全技術(shù)等級(jí)。
??????? 風(fēng)險(xiǎn)評(píng)估就是量化評(píng)判安全事件帶來的影響或損失的可能程度。
??????? 從信息安全的角度來講，風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。
??????? 風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括：
??????? 1)?識(shí)別組織面臨的各種風(fēng)險(xiǎn);
??????? 2)?評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響;
??????? 3)?確定組織承受風(fēng)險(xiǎn)的能力;
??????? 4)?確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí);
??????? 5)?推薦風(fēng)險(xiǎn)消減對(duì)策。
??????? 在風(fēng)險(xiǎn)評(píng)估過程中需要考慮幾個(gè)關(guān)鍵問題：
??????? 一、?要確定保護(hù)的對(duì)象(資產(chǎn))是什么?它的直接和間接價(jià)值如何?
??????? 二、?資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?
??????? 三、?資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用?利用的容易程度又如何?
??????? 四、?一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?
??????? 五、?組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程度?
??????? 解決以上這些問題的過程，就是風(fēng)險(xiǎn)評(píng)估的過程。
??????? 風(fēng)險(xiǎn)評(píng)估是以安全建設(shè)為出發(fā)點(diǎn)，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定，通過對(duì)用戶關(guān)心的重要資產(chǎn)的分級(jí)、安全威脅發(fā)生的可能性及嚴(yán)重性分析、對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等等方面的安全脆弱性的分析，并通過對(duì)已有安全控制措施的確認(rèn)，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處置計(jì)劃，確定下一步的安全需求方向。
??????? 等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí)，系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性、完整性、可用性等三大性來確定。即是“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。
??????? 等級(jí)保護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致，不同的是：等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí)，而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果，也就是說，在風(fēng)險(xiǎn)評(píng)估中，CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。
??????? 等保其實(shí)就是幫助用戶分析、評(píng)定信息系統(tǒng)的等級(jí)，以便在后期的工作中根據(jù)不同的等級(jí)進(jìn)行不同級(jí)別的安全防護(hù) ，而風(fēng)險(xiǎn)評(píng)估是幫助用戶發(fā)現(xiàn)目前的安全現(xiàn)狀，以便在后期進(jìn)行整體的安全規(guī)劃與建設(shè)。我們可以用風(fēng)險(xiǎn)評(píng)估這種手段檢查等保的落實(shí)和執(zhí)行情況。而風(fēng)險(xiǎn)評(píng)估的結(jié)果可作為實(shí)施等級(jí)保護(hù)等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考。
???????