等級保護和風險評估分別是什麼意思？有什麼聯絡？

　　初接觸網路安全的時候，很多人總會將“等級保護”和“風險評估”混淆在一起，甚至認為它們有著相同的作用和意義，那麼你知道等級保護和風險評估有何關係嗎?小編透過這篇文章為大家講解一下。

　　等級保護

　　等級保護是指對儲存、傳輸、處理資訊的資訊系統分等級實行安全保護，對資訊系統中使用的安全產品實行按等級管理，對資訊系統中發生的資訊保安事件分等級進行響應、處置。等級保護的核心是對資訊系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對資訊保安等級保護工作運用法律和技術規範逐級加強監管力度。突出重點，保障重要資訊資源和重要資訊系統的安全。

　　等級保護工作包括定級、備案、安全建設和整改、資訊保安等級測評、資訊保安檢查五個階段。

　　風險評估

　　風險評估就是量化評判安全事件帶來的影響或損失的可能程度。從資訊保安的角度來講，風險評估是對資訊資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定資訊保安需求的一個重要途徑，屬於組織資訊保安管理體系策劃的過程。

　　等級保護和風險評估有何關係?

　　①等級保護是指導我國資訊保安保障體系建設的一項基礎管理制度，而風險評估、系統測評則是在等級保護制度下，對資訊及資訊系統安全性進行評價的兩種特定的、有所區分但又有所聯絡的不同的研究、分析方法。從這個意義上來講，等級保護要高於風險評估和系統測評。

　　②等級保護的前提是對系統定級，系統定級根據系統資訊的機密性、完整性、可用性等三大性來確定，即是明確各種資訊型別-確定每種資訊型別的安全類別-確定系統的安全類別三個步驟進行系統最終的定級。等級保護中的系統分類分級的思想和風險評估中對資訊資產的重要性分級基本一致，不同的是：等級保護的級別是從系統的業務需求或CIA特性出發，定義系統應具備的安全保障業務等級，而風險評估中最終風險的等級則是綜合考慮了資訊的重要性、系統現有安全控制措施的有效性及執行現狀後的綜合評估結果，也就是說，在風險評估中，CIA價值高的資訊資產不一定風險等級就高。

　　③等級保護其實就是幫助使用者分析、評定資訊系統的等級，以便在後期的工作中根據不同的等級進行不同級別的安全防護，而風險評估則是幫助使用者瞭解目前的安全現狀，以便在後期進行整體的安全規劃與建設。我們可以用風險評估這種手段檢查等保的落實和執行情況，將風險評估的結果作為實施等級保護等級安全建設的出發點和參考。