等级保护包括系统定级、安全规划、安全设计和实施、安全运行与维护、信息系统中止。这是一个循环的生命周期,等级测评是其中的一部分,用于在安全规划中确定安全需求,并且在安全设计实施中验证安全措施是否符合要求。
等级保护对应的是风险管理。风险管理包括确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审几部分。也是信息系统安全保护的一个流程。风险评估是其中的一部分。风险评估目的是发现风险,然后由风险处置设定安全措施来控制风险保护系统。
等级测评、风险评估这两个是对等的,二者都是安全测评方法,等级测评评估的是系统的安全防护能力,风险评估评估的是系统面临的风险。具体说来就是风险评估评估的是系统面临的威胁、系统自身的脆弱性。等级测评评估的是系统的脆弱性和安全措施。二者可以结合使用。
打个比方吧,百度和google是两个大型搜索引擎。他们就好比是等级保护和风险管理。百度有网页、知道、百科、地图等等搜索功能,google有网页、音乐、地图、咨询等搜索功能。这就相当于是等级保护和风险管理的过程。百度地图和google地图是两种查看地图的方式这就相当于等级测评和风险评估。而百度地图和google地图都是一种GIS系统。GIS就相当于安全测评。
顶一下
(0)
0%
踩一下
(0)
0%
