信息安全等級保護是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。
??????? 等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點，保障重要信息資源和重要信息系統的安全。
??????? 等級保護基本要求的內容分技術和管理兩大部分，其中技術部分分為：物理安全、網絡安全、主機安全、應用安全和數據安全及備份恢復等5大類，管理部分分為：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等5大類。
??????? 按照《計算機信息系統安全保護等級劃分準則》規定的規定，我國實行五級信息安全等級保護。第一級：用戶自主保護級;第二級：系統審計保護級;第三級：安全標記保護級;第四級：結構化保護級;第五級：訪問驗證保護級。
??????? 由公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合發出的66號文《關于信息安全等級保護工作的實施意見的通知》將信息和信息系統的安全保護等級劃分為五級，即：第一級：自主保護級;第二級：指導保護級;第三級：監督保護級;第四級：強制保護級;第五級：專控保護級。
??????? 66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞后的影響出發的，是系統從應用需求出發必須納入的安全業務等級，而不是GB17859中定義的安全技術等級。
??????? 風險評估就是量化評判安全事件帶來的影響或損失的可能程度。
??????? 從信息安全的角度來講，風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。
??????? 風險評估的主要任務包括：
??????? 1)?識別組織面臨的各種風險;
??????? 2)?評估風險概率和可能帶來的負面影響;
??????? 3)?確定組織承受風險的能力;
??????? 4)?確定風險消減和控制的優先等級;
??????? 5)?推薦風險消減對策。
??????? 在風險評估過程中需要考慮幾個關鍵問題：
??????? 一、?要確定保護的對象(資產)是什么?它的直接和間接價值如何?
??????? 二、?資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
??????? 三、?資產中存在哪里弱點可能會被威脅所利用?利用的容易程度又如何?
??????? 四、?一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響?
??????? 五、?組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
??????? 解決以上這些問題的過程，就是風險評估的過程。
??????? 風險評估是以安全建設為出發點，它的重要意義就在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定，通過對用戶關心的重要資產的分級、安全威脅發生的可能性及嚴重性分析、對系統物理環境、硬件設備、網絡平臺、基礎系統平臺、業務應用系統、安全管理、運行措施等等方面的安全脆弱性的分析，并通過對已有安全控制措施的確認，借助定量、定性分析的方法，推斷出用戶關心的重要資產當前的安全風險，并根據風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。
??????? 等級保護的前提是對系統定級，系統定級根據系統信息的機密性、完整性、可用性等三大性來確定。即是“明確各種信息類型----確定每種信息類型的安全類別----確定系統的安全類別”三個步驟進行系統最終的定級。
??????? 等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致，不同的是：等級保護的級別是從系統的業務需求或CIA特性出發，定義系統應具備的安全保障業務等級，而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀后的綜合評估結果，也就是說，在風險評估中，CIA價值高的信息資產不一定風險等級就高。
??????? 等保其實就是幫助用戶分析、評定信息系統的等級，以便在后期的工作中根據不同的等級進行不同級別的安全防護 ，而風險評估是幫助用戶發現目前的安全現狀，以便在后期進行整體的安全規劃與建設。我們可以用風險評估這種手段檢查等保的落實和執行情況。而風險評估的結果可作為實施等級保護等級安全建設的出發點和參考。
???????