倪培利?邵静

摘 要 我国信息安全保障体系建设中，最基础的制度是信息安全保护和风险评估之间的信息安全保护等级制度。信息安全保护等级制度所达到的目标是将保护信息安全的工作统一起来，提升我国建设信息安全的整体水平。在保护信息安全的时候充分调动社会所有人员的参与积极性，将他们的作用充分发挥出来，从而实现保护信息和维护信息系统的目的。

关键词 信息安全;等级保护;风险评估;关系

现代化建设中，诸多方面已经逐渐的与电子信息技术相融合，在社会发展中，政府部门正在积极推行电子政务，在金融证券行业积极推动网上银行建设和网上证券交易，商务部门正在积极开展电子商务活动。企业的发展和社会的进步，离不开有效的信息数据支持。如今，信息更是作为战略资源，为企业决策提供最基本的保障。

1信息安全等级保护和风险评估的概念

1.1 信息安全等级保护的概念

信息系统所承担的功能是实现信息的存储、传输和处理，信息安全等级保护主要是指对信息系统进行分级保护。在管理信息系统的时候采用分等级管理，能夠将安全产品在实际的使用过程中做好分级响应和分级处理。信息安全等级保护在我国信息安全保障体系之中发挥着基础性管理作用，对完善安全保障体系发挥重要作用。信息安全等级保护是保障信息安全的重要方法，其核心的内容是将信息的安全进行划分等级，按照规定的标准建立起完善的监督和管理方案。

在进行信息安全划分等级的时候，需要依据我国《计算机信息系统安全保护等级划分准则》的基本条例，将信息安全等级保护划分成五个等级。第一级是用户自主保护等级;第二级是审计系统保护等级;第三级是安全标记保护等级;第四级是结构化保护等级，第五级是访问验证保护等级[1]。

1.2 风险评估的概念

评估风险的工作就是根据一定的指标低可能会出现的损失和影响提前判断，将安全隐患进行预防。从信息安全的角度而言，评估信息系统的风险是要对信息所应对的各种威胁和挑战，以及存在的弱点进行分析，综合各项影响因素所带来的不利影响，提升企业应对信息安全的能力。风险评估作为风险管理的基础措施，是明确信息需求，保证信息安全的重要举措，风险评估工作属于策划信息安全管理体系环节。

在评估风险的过程中，工作人员需要实现的工作内容总体上可以分为五个角度。第一，对信息系统面临的各项危机和风险进行识别，形成预警意识。第二，预计风险可能会发生的概率以及风险会造成哪些方面的影响。第三，明确企业在应对风险时所表现出来的能力。第四，明确控制风险和削减风险的优先级。第五，制定出科学合理的风险应对方案。

2信息安全等级保护和风险评估之间的关系

在我国信息安全建设中，最基本的制度是信息安全等级保护制度。信息安全等级保护工作的核心内容是对信息进行安全等级分级，在分级的过程中要严格按照建设标准、管理标准和监督标准执行。从一定程度上讲，等级保护制度体现了国家保障信息安全的意志，更是体现出了建设信息安全系统时国家和单位的基本诉求。开展信息安全工作时采取风险评估，作为一种技术手段能够推动实施信息安全等级保护的周期以及层次建立。单位在落实信息安全等级保护工作的时候，使用信息系统的工作单位可以将本单位的信息系统基本特征与行业的基本特点相结合，自主展开评估风险的工作，进而为实现等级保护进行定级、评测和整改提供参考依据[2]。

3信息安全等级保护周期中的风险评估

建设信息安全等级保护的时候需要涉及很多的管理问题和技术问题，在不同系统之中的不同安全领域，都可以借助于一些具有有效性、安全性的措施展开分析和判断。对风险进行评估，是用户可以自主开展的，在信息安全等级保护周期中开展风险评估，大体上从三个角度展开。

第一，为信息安全系统进行定级：因为信息系统具备其行业本身具有的特点和业务特征，并且信息系统在投入使用的过程中需要面临不同的安全威胁。所以，在识别和关联客观威胁发生的频率、评估资产的重要性以及评价系统自身脆弱性的时候要以信息安全风险评估的国家标准作为依据，通过采取合理的方式对信息系统进行判断，之后将可能会出现的影响控制在可以接受的范围之内。第二，信息系统实施的安全性。开展安全实施的时候，要以国家规定的信息安全等级保护标准作为依据，在采取安全管理措施的时候要从技术方面和管理方面两个角度着手，继而保证安全措施建设能够满足于等级要求。在安全实施阶段，风险评估能够发挥出最直接的作用，评估和加固现有的信息安全系统，之后再部署安全设备。在安全实施的过程中，可能会发生能够产生长期影响的不良事故，比如安全集成的过程中设置完成了口令和超级用户，但是并没有将口令和超级用户转交，将会为后期的策略制定产生消极影响，科学合理的风险评估工作能够将这类问题及时发现并且解决。第三，安全运维。安全运维是信息安全系统的安全管理工作，主要分成两个层面展开。第一，将现有的信息系统安全等级进行维护，保证信息安全系统不会出现问题。在检验信息系统安全性的过程中要严格按照国家相关的等级划分标准，保证采取有效的安全措施展开工作。第二，在进行信息系统定级的时候，要尊重客观变化和系统内部的建设需求，定期将等级进行调整，从而有效防止保护过度或者是保护不足的现象。风险评估在这三个环节之中可以帮助信息系统确定安全等级，是检验安全实施阶段评估系统能否达到安全等级的关键。定期或者是不定期的展开评价风险的活动，能够保证信息安全等级稳定[3]。

4结束语

我国保障信息安全的基本制度是信息安全等级保护制度，在信息安全等级保护制度之下的风险评估能够增强保护信息安全的能力。在未来，信息安全等级保护与风险评估将为我国企业的信息安全提供最基本的保障，推动我国信息技术进步。

参考文献

[1] 王姣，范科峰，莫玮，等.基于模糊集和DS证据理论的信息安全风险评估方法[J].计算机应用研究，2017，（11）：3432-3436.

[2] 柴继文，王胜，梁晖辉，等.基于层次分析法的信息安全风险评估要素量化方法[J].重庆大学学报，2017，（04）：44-53.

[3] 房磊.发电排污信息安全风险评估对水污染治理的影响研究[J].环境科学与管理，2018，（01）：86-89.