論信息安全等級保護和風險評估的關系

倪培利?邵靜

摘 要 我國信息安全保障體系建設中，最基礎的制度是信息安全保護和風險評估之間的信息安全保護等級制度。信息安全保護等級制度所達到的目標是將保護信息安全的工作統一起來，提升我國建設信息安全的整體水平。在保護信息安全的時候充分調動社會所有人員的參與積極性，將他們的作用充分發揮出來，從而實現保護信息和維護信息系統的目的。

關鍵詞 信息安全;等級保護;風險評估;關系

現代化建設中，諸多方面已經逐漸的與電子信息技術相融合，在社會發展中，政府部門正在積極推行電子政務，在金融證券行業積極推動網上銀行建設和網上證券交易，商務部門正在積極開展電子商務活動。企業的發展和社會的進步，離不開有效的信息數據支持。如今，信息更是作為戰略資源，為企業決策提供最基本的保障。

1信息安全等級保護和風險評估的概念

1.1 信息安全等級保護的概念

信息系統所承擔的功能是實現信息的存儲、傳輸和處理，信息安全等級保護主要是指對信息系統進行分級保護。在管理信息系統的時候采用分等級管理，能夠將安全產品在實際的使用過程中做好分級響應和分級處理。信息安全等級保護在我國信息安全保障體系之中發揮著基礎性管理作用，對完善安全保障體系發揮重要作用。信息安全等級保護是保障信息安全的重要方法，其核心的內容是將信息的安全進行劃分等級，按照規定的標準建立起完善的監督和管理方案。

在進行信息安全劃分等級的時候，需要依據我國《計算機信息系統安全保護等級劃分準則》的基本條例，將信息安全等級保護劃分成五個等級。第一級是用戶自主保護等級;第二級是審計系統保護等級;第三級是安全標記保護等級;第四級是結構化保護等級，第五級是訪問驗證保護等級[1]。

1.2 風險評估的概念

評估風險的工作就是根據一定的指標低可能會出現的損失和影響提前判斷，將安全隱患進行預防。從信息安全的角度而言，評估信息系統的風險是要對信息所應對的各種威脅和挑戰，以及存在的弱點進行分析，綜合各項影響因素所帶來的不利影響，提升企業應對信息安全的能力。風險評估作為風險管理的基礎措施，是明確信息需求，保證信息安全的重要舉措，風險評估工作屬于策劃信息安全管理體系環節。

在評估風險的過程中，工作人員需要實現的工作內容總體上可以分為五個角度。第一，對信息系統面臨的各項危機和風險進行識別，形成預警意識。第二，預計風險可能會發生的概率以及風險會造成哪些方面的影響。第三，明確企業在應對風險時所表現出來的能力。第四，明確控制風險和削減風險的優先級。第五，制定出科學合理的風險應對方案。

2信息安全等級保護和風險評估之間的關系

在我國信息安全建設中，最基本的制度是信息安全等級保護制度。信息安全等級保護工作的核心內容是對信息進行安全等級分級，在分級的過程中要嚴格按照建設標準、管理標準和監督標準執行。從一定程度上講，等級保護制度體現了國家保障信息安全的意志，更是體現出了建設信息安全系統時國家和單位的基本訴求。開展信息安全工作時采取風險評估，作為一種技術手段能夠推動實施信息安全等級保護的周期以及層次建立。單位在落實信息安全等級保護工作的時候，使用信息系統的工作單位可以將本單位的信息系統基本特征與行業的基本特點相結合，自主展開評估風險的工作，進而為實現等級保護進行定級、評測和整改提供參考依據[2]。

3信息安全等級保護周期中的風險評估

建設信息安全等級保護的時候需要涉及很多的管理問題和技術問題，在不同系統之中的不同安全領域，都可以借助于一些具有有效性、安全性的措施展開分析和判斷。對風險進行評估，是用戶可以自主開展的，在信息安全等級保護周期中開展風險評估，大體上從三個角度展開。

第一，為信息安全系統進行定級：因為信息系統具備其行業本身具有的特點和業務特征，并且信息系統在投入使用的過程中需要面臨不同的安全威脅。所以，在識別和關聯客觀威脅發生的頻率、評估資產的重要性以及評價系統自身脆弱性的時候要以信息安全風險評估的國家標準作為依據，通過采取合理的方式對信息系統進行判斷，之后將可能會出現的影響控制在可以接受的范圍之內。第二，信息系統實施的安全性。開展安全實施的時候，要以國家規定的信息安全等級保護標準作為依據，在采取安全管理措施的時候要從技術方面和管理方面兩個角度著手，繼而保證安全措施建設能夠滿足于等級要求。在安全實施階段，風險評估能夠發揮出最直接的作用，評估和加固現有的信息安全系統，之后再部署安全設備。在安全實施的過程中，可能會發生能夠產生長期影響的不良事故，比如安全集成的過程中設置完成了口令和超級用戶，但是并沒有將口令和超級用戶轉交，將會為后期的策略制定產生消極影響，科學合理的風險評估工作能夠將這類問題及時發現并且解決。第三，安全運維。安全運維是信息安全系統的安全管理工作，主要分成兩個層面展開。第一，將現有的信息系統安全等級進行維護，保證信息安全系統不會出現問題。在檢驗信息系統安全性的過程中要嚴格按照國家相關的等級劃分標準，保證采取有效的安全措施展開工作。第二，在進行信息系統定級的時候，要尊重客觀變化和系統內部的建設需求，定期將等級進行調整，從而有效防止保護過度或者是保護不足的現象。風險評估在這三個環節之中可以幫助信息系統確定安全等級，是檢驗安全實施階段評估系統能否達到安全等級的關鍵。定期或者是不定期的展開評價風險的活動，能夠保證信息安全等級穩定[3]。

4結束語

我國保障信息安全的基本制度是信息安全等級保護制度，在信息安全等級保護制度之下的風險評估能夠增強保護信息安全的能力。在未來，信息安全等級保護與風險評估將為我國企業的信息安全提供最基本的保障，推動我國信息技術進步。

參考文獻

[1] 王姣，范科峰，莫瑋，等.基于模糊集和DS證據理論的信息安全風險評估方法[J].計算機應用研究，2017，（11）：3432-3436.

[2] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風險評估要素量化方法[J].重慶大學學報，2017，（04）：44-53.

[3] 房磊.發電排污信息安全風險評估對水污染治理的影響研究[J].環境科學與管理，2018，（01）：86-89.