无论是学习网络安全还是从事网络安全相关工作,凡是接触安全行业的人,往往都听说过“等级保护”、“风险评估”、“安全测评”等关键词。但是,有很多朋友肯定还没有搞懂它们之间的区别和联系,那么等级保护、风险评估、安全测评三者之间有什么联系和区别?通过这篇文章为大家详细解答一下。
三者的概念介绍:
等级保护:
是指对涉及国计民生的网络和信息系统按其重要程度及实际安全需求进行分等级保护,对网络和信息系统中使用的安全产品实行按等级管理,对网络和信息系统中发生的信息安全事件进行分等级响应、处置。它是保障国家网络和信息安全的基本制度、基本策略、基本方法。
等级保护一般分为五个等级:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。
风险评估:
风险评估是指在风险事件发生之前或者之后,该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全角度来讲,风险评估是对信息资产的潜在威胁、弱点、造成的影响等事件进行综合分析,判断安全事件在综合作用下发生的概率以及造成的损失,从而组织风险管理措施的过程。
安全测评"
按照严格的程序对信息系统进行安全能力的综合测试评估活动,由正规、检验技术丰富且被政府授权资格的权威机构进行检查,帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题,并提供改进建议降低系统的安全风险。
三者之间的联系与区别:
等级保护:它是我国信息保障建设体系中的一个最基础的管理制度。
风险评估、安全测评:两者都属于等级保护制度下对信息、信息系统的安全进行评价,只不过两种方式在区别中又有所联系。
从某种程度来讲,等级保护在风险评估和安全测评之上。一旦系统定级并分类分级后,不论是风险评估还是安全测评,我们都可以把它们当作是等级保护制度之下的评估和测评;操作时只需要在原有的操作程序、方法基础上加入特定的制度要求就可以了。
注:本文来自”快传号“平台,版权归作者所有。不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除