等级保护与风险评估的关系

　　等级保护与风险评估的关系

　　基本判断：风险评估是等级保护（不同等级不同安全需求）的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低，但风险评估中的风险等级加入了对现有安全控制措施的确认因素，也就是说，等级保护中别的信息系统不一定就有别的安全风险。

　　风险评估是安全建设的出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，以成本－效益平衡的原则，通过对用户关心的重要资产（如信息、硬件、软件、文档、代码、服务、设备、企业形象等）的分级、安全威胁（如人为威胁、自然威胁等）发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性（或称薄弱环节）分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处理计划，确定下一步的安全需求方向。

　　等级保护的前提是对系统定级，根据FIPS199，系统定级根据系统信息的机密性、完整性、可用性（简称CIA特性）等三性损失的大值来确定，即「明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别」三个步骤进行系统终的定级。将信息系统安全类别（简称SC）表示为一个与CIA特性的潜在影响相关的三重函数，一般模式是：SC=｛（保密性，影响），（完整性，影响），（可用性，影响）｝。

　　等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后，风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。

　　等级保护与系统测评的关系

　　基本判断：系统安全测评及行政认可是安全等级保护的落脚点。

　　根据NISTSP800-37，认证过程偏重于对系统安全性的评估，认可过程则属于管理机关的行为，是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述，在我国，目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断，如果残余风险可以接受，则允许系统投入运行或继续运行，否则信息系统便没有达到特定安全等级的安全要求。没有终的主管认可过程，等级保护无法落到实处。从这个意义上讲，进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。

　　风险评估与系统测评的关系

　　基本判断：风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统，风险评估是安全建设的起点，系统测评是安全建设的终点。或者可以理解为，系统安全测评是实施风险管理措施后的风险再评估。

　　二者均是对信息及信息系统系统安全性的一种评价判断方法，因此，二者并没有本质的区别，或者说，二者的安全工作目标基本一致，二者的工作核心都是对信息及系统安全风险的评价，因此，二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性，则风险评估是系统明确安全需求，确定成本－效益适合的安全控制措施的出发点，风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别；系统安全测评则是对已采取的安全控制措施（如管理措施、运行措施、技术措施等）有效性的验证，安全测评更关注于对系统现有安全控制措施的技术验证，从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上，判断系统安全风险是否可接受或已得到了有效的管理，从而给出是否批准系统投入运行或继续运行的终结论。