如何用安全风险分析来评估可接受的风险等级

信息安全等级保护与风险评估

一、什么是信息安全。

目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露，保证信息系统能够连续可靠正常地运行，信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保证信息不泄漏给未经授权的人;完整性是防止信息被未经授权的篡改;可用性是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。

信息安全面临的主要威胁来源有环境因素和人为因素，而威胁最大的并不是恶意的外部人员，恰恰是缺乏责任心或专业技能不足的内部人员，由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。

信息安全涉及到物理环境、网络、主机、应用等不同的信息领域，每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。

二、什么是等级保护。

信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。