等級保護(hù),、風(fēng)險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些,？

等級保護(hù)、風(fēng)險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些,？

等級保護(hù),、風(fēng)險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些？

三者的基本概念和工作背景

等級保護(hù)

基本概念：網(wǎng)絡(luò)安全等級保護(hù)是指對國家秘密信息,、法人和其他組織和公民的專有信息以及公開信息和存儲,、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù),，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理,，對信息系統(tǒng)中發(fā)生的信息安全事件等等級響應(yīng)、處置,。這里所指的信息系統(tǒng),，是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的,，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲,、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò),；信息是指在信息系統(tǒng)中存儲,、傳輸、處理的數(shù)字化信息,。

背景及參考依據(jù)：網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障的基本制度,、基本策略、基本方法,。開展網(wǎng)絡(luò)安全等級保護(hù)工作是保護(hù)信息化發(fā)展,、維護(hù)網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國家意志的體現(xiàn),。網(wǎng)絡(luò)安全等級保護(hù)工作包括定級,、備案、建設(shè)整改,、等級測評,、監(jiān)督檢查五個階段。定級對象建設(shè)完成后,，運營,、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家要求的測評機構(gòu)，依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),，定期對定級對象安全等級狀況開展等級測評,。GB 17859-1999《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,、GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》、GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》,、《中華人民共和國網(wǎng)絡(luò)安全法》,、GB/T 28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》、GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》,、GB/T 36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》、GB/T 25058-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實施指南》,。

風(fēng)險評估

基本概念：信息安全風(fēng)險評估是參照風(fēng)險評估標(biāo)準(zhǔn)和管理規(guī)范,，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅,、薄弱環(huán)節(jié),、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失,，提出風(fēng)險管理措施的過程,。

背景及參考依據(jù)：《信息安全風(fēng)險評估指南》及《信息安全風(fēng)險管理指南》標(biāo)準(zhǔn)草案的制定，并在其中規(guī)定了信息安全風(fēng)險評估的工作流程,、評估內(nèi)容,、評估方法和風(fēng)險判斷準(zhǔn)則，對規(guī)范我國信息安全風(fēng)險評估的做法具有很好的指導(dǎo)意義,，GBT 20984-2022 《信息安全技術(shù) 信息安全風(fēng)險評估方法》描述了信息安全風(fēng)險評估的基本概念,、風(fēng)險要素關(guān)系、風(fēng)險分析原理,、風(fēng)險評估實施流程和平估方法,，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。GB-T 31509-2015 《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》規(guī)定了信息安全風(fēng)險評估實施的過程和方法,，用于各類安全評估機構(gòu)或被評估組織對非涉密信息系統(tǒng)的信息安全風(fēng)險評估項目的管理,指導(dǎo)風(fēng)險評估項目的組織,、實施、驗收等工作,。

系統(tǒng)安全測評

基本概念：由具備檢驗技術(shù)能力和政府授權(quán)資格的quanwei機構(gòu),，依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,，按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測試評估活動，以幫助系統(tǒng)運行單位分析系統(tǒng)當(dāng)前的安全運行狀況,、查找存在的安全問題,，并提供安全改進(jìn)建議，從而最大程度地降低系統(tǒng)的安全風(fēng)險,。

背景及參考依據(jù)：測評和認(rèn)證的區(qū)別：測評如前述定義,，認(rèn)證則是對測評活動是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn),，認(rèn)證以標(biāo)準(zhǔn)和測評的結(jié)果作為依據(jù)。我國的系統(tǒng)認(rèn)證起步較早,，但由于認(rèn)證周期,、建設(shè)差異等多方面的原因，目前的系統(tǒng)認(rèn)證數(shù)量還非常少,。特別是國家認(rèn)監(jiān)委成立后,，強調(diào)了信息安全要“一個統(tǒng)一認(rèn)證出口”的要求。國家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》4（簡稱57號文）中已明確規(guī)定了對信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn),、技術(shù)規(guī)范與合格評定程序,；統(tǒng)一認(rèn)證目錄；統(tǒng)一認(rèn)證標(biāo)志,；統(tǒng)一收費標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求,。在國家認(rèn)監(jiān)委對信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺前，多數(shù)情況下,，系統(tǒng)安全測評的結(jié)果可直接作為主管部門對系統(tǒng)安全認(rèn)可的依據(jù),。

三者的相互內(nèi)在聯(lián)系和區(qū)別

三者關(guān)系的基本判斷

基本判斷：等級保護(hù)是指導(dǎo)我國信息安全保障體系建設(shè)的一項基礎(chǔ)管理制度，風(fēng)險評估,、系統(tǒng)測評都是在等級保護(hù)制度下,，對信息及信息系統(tǒng)安全性評價方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究,、分析方法,。

等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度,，其核心內(nèi)容是對信息安全分等級,、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督,。風(fēng)險評估,、系統(tǒng)測評則只是針對信息安全評價方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法,。從這個意義上講,，等級保護(hù)要高于風(fēng)險評估和系統(tǒng)測評。當(dāng)系統(tǒng)定級原則確定并根據(jù)該原則將系統(tǒng)分類分級后,，那風(fēng)險評估,、系統(tǒng)測評都可以理解為在等級保護(hù)制度下的風(fēng)險評估和等級保護(hù)制度下的系統(tǒng)測評，操作時只需在原有風(fēng)險評估,、系統(tǒng)測評方法,、操作程序的基礎(chǔ)上，加入特定等級的特殊要求就是了。打個比方：如果說等級保護(hù)是指導(dǎo)信息安全建設(shè)的憲法,，則風(fēng)險評估,、安全測評則是針對系統(tǒng)安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護(hù)制度中的其他建設(shè)內(nèi)容,，如等級化安全保障體系設(shè)計,、等級化安全產(chǎn)品選用、等級化安全事件處理響應(yīng),，由于和安全評估沒有特別直接的關(guān)系,，本文不再展開討論。

等級保護(hù)與風(fēng)險評估的關(guān)系

基本判斷：風(fēng)險評估是等級保護(hù)（不同等級不同安全需求）的出發(fā)點,。風(fēng)險評估中的風(fēng)險等級和等級保護(hù)中的系統(tǒng)定級均充分考慮到信息資產(chǎn)CIA特性的高低,，但風(fēng)險評估中的風(fēng)險等級加入了對現(xiàn)有安全控制措施的確認(rèn)因素，也就是說,，等級保護(hù)中**別的信息系統(tǒng)不一定就有**別的安全風(fēng)險。

風(fēng)險評估是安全建設(shè)的出發(fā)點,，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計及詳細(xì)安全方案制定,，以成本－效益平衡的原則，通過對用戶關(guān)心的重要資產(chǎn)（如信息,、硬件,、軟件、文檔,、代碼,、服務(wù)、設(shè)備,、企業(yè)形象等）的分級,、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及嚴(yán)重性分析,、對系統(tǒng)物理環(huán)境,、硬件設(shè)備、網(wǎng)絡(luò)平臺,、基礎(chǔ)系統(tǒng)平臺,、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理,、運行措施等方面的安全脆弱性（或稱薄弱環(huán)節(jié)）分析,，并通過對已有安全控制措施的確認(rèn)，借助定量,、定性分析的方法,，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險，并根據(jù)風(fēng)險的嚴(yán)重級別制定風(fēng)險處理計劃，確定下一步的安全需求方向,。

等級保護(hù)的前提是對系統(tǒng)定級,，根據(jù)FIPS199，系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性,、完整性,、可用性（簡稱CIA特性）等三性損失的最大值來確定，即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個步驟進(jìn)行系統(tǒng)最終的定級,。將信息系統(tǒng)安全類別（簡稱SC）表示為一個與CIA特性的潛在影響相關(guān)的三重函數(shù),，一般模式是：SC= ｛（保密性，影響）,，（完整性,，影響），（可用性,，影響）｝,。

等級保護(hù)中的系統(tǒng)分類分級的思想和風(fēng)險評估中對信息資產(chǎn)的重要性分級基本一致，不同的是：等級保護(hù)的級別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā),，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級,，而風(fēng)險評估中最終風(fēng)險的等級則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結(jié)果,，也就是說,，在風(fēng)險評估中，CIA價值高的信息資產(chǎn)不一定風(fēng)險等級就高,。在確定系統(tǒng)安全等級級別后,，風(fēng)險評估的結(jié)果可作為實施等級保護(hù)、等級安全建設(shè)的出發(fā)點和參考,。

等級保護(hù)與系統(tǒng)測評的關(guān)系

基本判斷：系統(tǒng)安全測評及行政認(rèn)可是安全等級保護(hù)的落腳點,。

根據(jù)NIST SP800-37，認(rèn)證過程偏重于對系統(tǒng)安全性的評估,，認(rèn)可過程則屬于管理機關(guān)的行為,，是指根據(jù)評估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效、殘余風(fēng)險是否可接受,。根據(jù)前述,，在我國，目前主管部門安全認(rèn)可的依據(jù)多數(shù)是系統(tǒng)安全測評的結(jié)果,。主管部門根據(jù)系統(tǒng)測評結(jié)果判斷,，如果殘余風(fēng)險可以接受，則允許系統(tǒng)投入運行或繼續(xù)運行,，否則信息系統(tǒng)便沒有達(dá)到特定安全等級的安全要求,。沒有最終的主管認(rèn)可過程,，等級保護(hù)無法落到實處。從這個意義上講,，進(jìn)行等級保護(hù)建設(shè),、實施風(fēng)險管理過程后的系統(tǒng)安全測評及行政認(rèn)可是等級保護(hù)的落腳點。

風(fēng)險評估與系統(tǒng)測評的關(guān)系

基本判斷：風(fēng)險評估與系統(tǒng)測評分別是針對系統(tǒng)生命周期建設(shè)不同階段存在的安全風(fēng)險的相近判斷方法,。對同一個生命周期的系統(tǒng),，風(fēng)險評估是安全建設(shè)的起點，系統(tǒng)測評是安全建設(shè)的終點,?；蛘呖梢岳斫鉃椋到y(tǒng)安全測評是實施風(fēng)險管理措施后的風(fēng)險再評估,。

二者均是對信息及信息系統(tǒng)系統(tǒng)安全性的一種評價判斷方法,，二者并沒有本質(zhì)的區(qū)別，或者說,，二者的安全工作目標(biāo)基本一致,，二者的工作核心都是對信息及系統(tǒng)安全風(fēng)險的評價，二者在實施內(nèi)容上有許多共同之處,。具體講二者在操作方面的差異性,，則風(fēng)險評估是系統(tǒng)明確安全需求，確定成本－效益適合的安全控制措施的出發(fā)點,，風(fēng)險評估通過對被評估用戶廣泛的、戰(zhàn)略性的分析來判斷機構(gòu)內(nèi)各類重要資產(chǎn)的風(fēng)險級別,；系統(tǒng)安全測評則是對已采取的安全控制措施（如管理措施,、運行措施、技術(shù)措施等）有效性的驗證,，安全測評更關(guān)注于對系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗證,，從而給出系統(tǒng)現(xiàn)存安全脆弱性的準(zhǔn)確判斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測評結(jié)果的基礎(chǔ)上,，判斷系統(tǒng)安全風(fēng)險是否可接受或已得到了有效的管理,，從而給出是否批準(zhǔn)系統(tǒng)投入運行或繼續(xù)運行的最終