等级测评与风险评估是什么关系?

2019-08-21 14:52:43 万方科技 64

  等级测评由具备检验技术能力和政府授权资格的权威机构(等级保护测评机构),依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。

  风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。

  风险评估与等级测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,等级测评是安全建设的合规性评价。或者可以理解为,等级测评是实施风险管理措施后的风险再评估。

  风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别。

  等级测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,等级测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。

  万方安全专注与网络信息安全领域10余年以上,具备国家网络信息安全主管部门颁发的最权威认证资质及国际权威认证资质,安全博士领衔数十位获得国际和国内顶级安全资质的专家团队为您服务。