一、三者的概念介绍
A、等级保护
概念介绍:等级保护全名信息安全等级保护,是指对国家各类信息系统分等级进行安全保护,对信息系统中的安全产品进行等级管理,对信息系统中的信息安全事件进行等级响应、处置。
B、风险评估
概念介绍:从信息安全来讲,风险评估是对信息资产的潜在威胁、弱点、造成的影响等事件进行综合分析,判断安全事件在综合作用下发生的概率以及造成的损失,从而组织风险管理措施的过程。
C、系统安全测评
概念介绍:按照严格的程序对信息系统进行安全能力的综合测试评估活动,由正规、检验技术丰富且被政府授权资格的权威机构进行检查,帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题,并提供改进建议降低系统的安全风险。
二、三者的联系和区别
等级保护:它是我国信息保障建设体系中的一个最基础的管理制度
风险评估、系统测评:两者都是基于等级保护制度下对信息、信息系统的安全进行评价,只不过两种方式在区别中又有所联系。
从某种程度来说,等级保护凌驾于风险评估和系统测评之上。一旦系统定级并分类分级后,那么不论是风险评估还是系统测评,我们都可以把它们当作是等级保护制度之下的评估和测评;操作时只需要在原有的操作程序、方法基础上加入特定的制度要求就可以了。
三、对三者在SDLC过程中的实施建议
我们一般会将信息系统建设划分为五个生命周期(SDLC)阶段:“规划需求阶段——设计开发阶段——实施阶段——运行维护阶段——废弃阶段”。所以说系统是在不断变化的,而安全建设工作也会随着系统的变化而进行相应的调整。我们从理论上分析这三者,它们都会适用于SDLC的各个阶段。
四、结束语
目前国家关于这三个方面的具体工作要求、技术标准、管理办法等都还没有最终完全形成。但是,只要实施有序、监管有力,不论使用何种安全评估方法或安全保护方法,都能大大改善、促进信整个国家信息安全保障体系的发展。
喜欢的话欢迎关注小编(ID:DBXSJ01)
