三分钟让你区分“等级保护、风险评估和安全测评”

接触安全行业的大家大概会经常遇到这几个关键词，“等级保护”、“风险评估”、“系统安全评测”，这都是当前国家信息安全保障建设体系中的热门话题。但是肯定有很多小伙伴还是对他们之间的区别和联系不是那么明确，今天就来帮大家缕一缕。

一、三者的概念介绍

　　A、等级保护

概念介绍：等级保护全名信息安全等级保护，是指对国家各类信息系统分等级进行安全保护，对信息系统中的安全产品进行等级管理，对信息系统中的信息安全事件进行等级响应、处置。

　　B、风险评估

概念介绍：从信息安全来讲，风险评估是对信息资产的潜在威胁、弱点、造成的影响等事件进行综合分析，判断安全事件在综合作用下发生的概率以及造成的损失，从而组织风险管理措施的过程。

　　C、系统安全测评

概念介绍：按照严格的程序对信息系统进行安全能力的综合测试评估活动，由正规、检验技术丰富且被政府授权资格的权威机构进行检查，帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题，并提供改进建议降低系统的安全风险。

二、三者的联系和区别

      等级保护：它是我国信息保障建设体系中的一个最基础的管理制度

      风险评估、系统测评：两者都是基于等级保护制度下对信息、信息系统的安全进行评价，只不过两种方式在区别中又有所联系。

从某种程度来说，等级保护凌驾于风险评估和系统测评之上。一旦系统定级并分类分级后，那么不论是风险评估还是系统测评，我们都可以把它们当作是等级保护制度之下的评估和测评；操作时只需要在原有的操作程序、方法基础上加入特定的制度要求就可以了。

三、对三者在SDLC过程中的实施建议

　　我们一般会将信息系统建设划分为五个生命周期（SDLC）阶段：“规划需求阶段——设计开发阶段——实施阶段——运行维护阶段——废弃阶段”。所以说系统是在不断变化的，而安全建设工作也会随着系统的变化而进行相应的调整。我们从理论上分析这三者，它们都会适用于SDLC的各个阶段。

四、结束语

　　目前国家关于这三个方面的具体工作要求、技术标准、管理办法等都还没有最终完全形成。但是，只要实施有序、监管有力，不论使用何种安全评估方法或安全保护方法，都能大大改善、促进信整个国家信息安全保障体系的发展。