等级保护、风险评估和安全测评分别是什么?

这篇具有很好参考价值的文章主要介绍了等级保护、风险评估和安全测评分别是什么?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 

2022-06-17 15:17

进行等保,风险测评,系统安全,网络,安全

迈入“等保2.0时代”以后,我国对于等级保护的要求更为严格和具体。等级保护、风险评估和安全测评这三个词,也因此总是出现在人们的视野之中,还总是被混淆。那这三者究竟分别是什么呢?如何区分它们?它们之间有什么联系吗?今天带大家一起来了解一下。

等级保护

概念

信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件进行等级响应、处置。

注意:这里所指的信息系统,是指由计算机及其相关、配套的设备和设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。

背景

进行等保,风险测评,系统安全,网络,安全

图|等级保护政策标准体系

1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

1999年,公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日,公安部在GB17859的基础上,又发布实施了五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。

2004年,在《关于信息安全等级保护工作的实施意见的通知》(简称66号文)中,信息和信息系统的安全保护等级被划分为五级,即第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是,66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。

风险评估

概念

信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。

背景

风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

2004年,国务院信息化工作办公室组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,这对规范我国信息安全风险评估的做法具有很好的指导意义。

系统安全测评

概念

由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。

注意:认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。

背景

我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。在我国,中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响力的开展有关系统安全测评认证的机构。

国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文)明确规定,对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。

等级保护、风险评估、系统测评的联系和区别

等级保护是指导我国信息安全保障体系建设的一项基础管理制度。

风险评估、系统测评则是在等级保护制度下,对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同研究、分析方法。

从这个意义上讲,等级保护要高于风险评估和系统测评。

等级保护和风险评估如何区别?

等级保护的前提是对系统定级,系统定级根据系统信息的机密性、完整性、可用性等三大性来确定,即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统最终的定级。

等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。

等级保护其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护;而风险评估则是帮助用户了解目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况,将风险评估的结果作为实施等级保护等级安全建设的出发点和参考。

注:在信息安全等级保护工作中,根据信息系统的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)来划分信息系统的安全等级,三个性质简称CIA。

看完今天的科普之后,相信大家对等级保护、风险评估和系统测评都有了一些基本的了解。2022年,各项法律政策越来越完善,定期开展安全检测和风险评估已经成为了国家对相关行业的基本要求,在等级保护制度之下,做好风险评估和系统测评工作,落实网络安全审查要求、建立健全网络安全监测预警和信息共享机制是每个行业企业和网络安全厂商应尽的责任,了解相关的知识,也可以帮助我们更好的为关键信息基础设施的安全保护工作贡献力量。文章来源地址https://www.toymoban.com/news/detail-785616.html

到了这里,关于等级保护、风险评估和安全测评分别是什么?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络信息安全风险评估

    网络信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施

    2024年02月11日
    浏览(46)
  • 数据安全风险评估

    最早是“信息安全风险评估”,随着信息安全领域的细化,衍生出“数据安全风险评估”。 共同目标是保护数据的CIA安全三要素,国标《信息安全技术 信息安全风险评估实施指南》中风险评估的流程同样适用于数据安全的风险评估。 保密性(Confidentiality):确保信息只能被

    2024年02月10日
    浏览(45)
  • 数据安全风险评估思路

    最早是“信息安全风险评估”,随着信息安全领域的细化,衍生出“数据安全风险评估”。 共同目标是保护数据的CIA安全三要素,国标《信息安全技术 信息安全风险评估实施指南》中风险评估的流程同样适用于数据安全的风险评估。 保密性(Confidentiality):确保信息只能被

    2024年02月08日
    浏览(43)
  • 网络安全合规-数据安全风险评估

    一、法律依据: 依据《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 依据《网络数据安全管理条例》(征求意见稿) 第三十二条规定, 重要数据处理者,需每年自行或委托数据安

    2024年02月13日
    浏览(50)
  • 网络数据安全风险评估实施指引(一)

    近日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南 网络数据安全风险评估实施指引》(TC260-PG-20231A v1.0-202305),旨在响应《数据安全法》要求,落实重要数据处理过程风险评估,衔接已发布的《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)、《

    2024年02月16日
    浏览(43)
  • 安全漏洞扫描与评估:定期扫描系统,发现潜在安全风险

    安全漏洞扫描与评估的重要性 随着网络技术的飞速发展以及信息化程度的不断提高,各类信息安全问题愈发突出并引起人们的广泛关注。其中最为严重的是各种类型的安全漏洞被黑客利用以窃取敏感信息、破坏重要数据甚至控制目标系统等恶意行为的发生。因此加强系统的安

    2024年02月21日
    浏览(50)
  • 网络安全标准实践指南——网络数据安全风险评估实施指引(原文+解读下载)

    为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准, 全国信息安全标准化技术委员会在组织编制国家标

    2024年02月16日
    浏览(50)
  • 算法安全自评估制度建设风险研判之算法滥用与算法漏洞

    在我们的现代社会中,算法无处不在,它们以一种我们难以想象的方式影响着我们的生活。从我们的社交媒体喜好,到搜索引擎结果,再到可能的就业机会,无一不在算法的调控之中。然而,随着算法的广泛使用,关于算法滥用和漏洞的问题也开始浮现出来,这引发了人们对

    2024年02月15日
    浏览(45)
  • 2023MathorCup建模D题思路 - 航空安全风险分析和飞行技术评估问题

    D题 航空安全风险分析和飞行技术评估问题 飞行安全是民航运输业赖以生存和发展的基础。随着我国民航业的快速发展,针对飞行安全问题的研究显得越来越重要。2022 年 3 月 21 日,“3.21”空难的发生终结了中国民航安全飞行 1 亿零 59 万飞行小时的历史最好安全记录。严重

    2024年02月07日
    浏览(39)
  • 软考高级系统架构设计师系列论文六十九:论信息系统的安全风险评估

    软考高级信息系统项目管理师系列之四十三:信息系统安全管理 软考高级系统架构设计师:系统安全分析与设计

    2024年02月11日
    浏览(61)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包