等级保护与风险评估的区别

风险评估就是量化评判安全事件带来的影响或损失的可能程度。从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

等级保护和风险评估的不同：

①等级保护是指导我国信息安全保障体系建设的一项基础管理制度，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。从这个意义上来讲，等级保护要高于风险评估和系统测评。

②等级保护的前提是对系统定级，系统定级根据系统信息的机密性、完整性、可用性等三大性来确定，即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统最终的定级。等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。

③等级保护其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护，而风险评估则是帮助用户了解目前的安全现状，以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况，将风险评估的结果作为实施等级保护等级安全建设的出发点和参考。