等级保护、风险评估和安全测评三者间的区别与联系

图片

图片
前言
图片

等级保护、风险评估和安全测评三者的区别和联系都有哪些?本篇我们从基础的概念说起,一起搞清楚他们之间的关系。

图片


01


三者的基本概念和工作背景

A.等级保护

图片

图片


B.风险评估

图片

图片


C.系统安全测评

图片

图片

图片

02



三者的相互内在联系和区别

A.三者关系的基本判断

图片

图片


B.等级保护与风险评估的关系

图片

图片



C.等级保护与系统测评的关系

图片

图片


D.风险评估与系统测评的关系

图片

图片

图片

03



对三者再SDLC过程中的实施建议

通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全建设也应随之发生变化。因此,从理论上分析,无论是等级保护、风险评估或是系统测评,均适用于 SDLC 的各个阶段。为避免三者之间相近的工作内容在 SDLC 的同一个阶段重复进行,按照 “谁主管,谁负责;谁运行,谁负责” 的原则,从系统建设单位(多数情况下建设单位即运行单位)、行业主管部门或信息化主管部门(简称主管部门)等两类不同发起主体或组织主体的角度考虑,建议按下述内容实施:


1.规划需求阶段

建设单位自觉按照国家有关安全等级划分及系统定级的原则进行定级,并报主管部门备案。

建设单位按照既定等级的风险评估管理要求和国家有关风险评估的技术标准自觉进行风险评估,明确系统在机密性、完整性、可用性等方面的安全需求目标。


2.设计开发阶段及实施阶段

建设单位(或委托承建单位)根据既定的安全需求目标,按照国家有关等级保护的管理规范和技术标准,进行系统安全体系结构及详细实施方案的设计,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施。

主管部门委托或指定第三方机构对建设单位的系统安全设计方案进行评审,并将第三方机构出具的安全方案评审报告作为是否允许安全实施的依据。


3.运行维护阶段

图片

图片


4.废弃阶段

图片

图片

图片
PS;目前国家关于等级保护、风险评估、系统测评等方面的具体工作要求、技术标准、管理办法等尚未最终完全形成。本文基于作者对国家有关等级保护、风险评估、系统安全测评等要求及内容的粗浅理解,结合作者的一些工作实践,形成了对三者相互之间关系的一些基本判断,并从实施行为发起者的角度,提出了三者在系统建设生命周期 SDLC 中的操作建议。其实,不管何种安全保护方法或安全评估方法,只要实施有序、监管有力,都能大大改善、促进信息系统的安全建设、安全运行和安全管理,从而推动整个国家信息安全保障体系的发展,并为全面推进我国的国民经济和社会信息化进程提供重要保障。