等级保护与风险评估的关系

网络安全等级保护和风险评估是信息安全管理中的两个重要概念，它们之间存在着密切的联系和一些明显的区别。本文将结合有关信息，详细介绍它们之间的关系、共同点和区别。

关系

1. 出发点与落脚点：风险评估是等级保护的出发点，它帮助确定信息系统的安全等级和相应的安全需求。等级保护的前提是对系统定级，而定级依据系统信息的机密性、完整性、可用性（CIA特性）等三性损失的最大值来确定。系统安全测评及行政认可则是安全等级保护的落脚点，它们共同确保信息系统的安全等级管理。
2. CIA特性：风险评估中的风险等级和等级保护中的系统定级都充分考虑了信息资产的CIA特性的高低。
3. 安全控制措施：风险评估中的风险等级加入了对现有安全控制措施的确认因素，而等级保护中的高级别信息系统不一定就有高级别的安全风险。
4. 成本-效益原则：风险评估以成本-效益平衡的原则，通过对用户关心的重要资产的分级、安全威胁的可能性及严重性分析、安全脆弱性分析，并通过对已有安全控制措施的确认，推断出用户关心的重要资产当前的安全风险，并制定风险处理计划。

共同点

1. 信息资产分级：等级保护和风险评估都对信息资产进行分级，以确定其重要性和相应的保护措施。
2. 安全需求确定：两者都旨在确定信息系统的安全需求，以便采取适当的安全措施。
3. 安全保障：等级保护和风险评估都是为了提高信息系统的安全保障水平，减少安全风险。
4. 风险处理思想：两者在风险处理思想上相同，都强调分级分类，找出信息安全保护的重点，合理分配资源。
5. 安全分类上的共性：虽然等级保护和ISO 27001标准在安全措施分类上存在差别，但是很多项目都是共通的，如等级保护对“网络安全”的要求，就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。

区别

1. 业务需求与风险评估：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果。
2. 实施目的：等级保护是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护；而风险评估则是帮助用户了解目前的安全现状，以便在后期进行整体的安全规划与建设。
3. 宏观与微观：信息系统都是分布于各个组织内部，组织内部的信息安全是国家整体信息安全的基础。等级保护和风险评估是宏观与微观，相辅相成的关系，组织的风险来自内部也来自外部。

等级保护和风险评估在信息安全管理中相辅相成，共同构建了一个完整的信息安全管理体系。通过风险评估确定安全需求，等级保护则提供了实施这些需求的框架和标准。两者的结合使用，可以更有效地管理和降低信息系统的安全风险。