¿Cuál es la diferencia entre nivel de protección y evaluación de riesgos?
El nivel de protección se refiere a la protección de seguridad jerárquica de los sistemas de información que almacenan, transmiten y procesan información, la gestión jerárquica de los productos de seguridad utilizados en los sistemas de información y la clasificación jerárquica de los eventos de seguridad de la información en los sistemas de información. Respuesta y Disposición. El núcleo de la protección jerárquica es clasificar los sistemas de información, especialmente los sistemas de aplicaciones comerciales, y construirlos, gestionarlos y supervisarlos de acuerdo con los estándares. El estado utiliza leyes y reglamentos técnicos para fortalecer la supervisión de la protección del nivel de seguridad de la información. Resalte los puntos clave para garantizar la seguridad de importantes recursos de información y sistemas de información importantes.
El nivel de protección incluye cinco etapas: calificación, archivo, construcción y rectificación de seguridad, evaluación del nivel de seguridad de la información e inspección de seguridad de la información.
Evaluación de riesgos
La evaluación de riesgos es una evaluación cuantitativa del alcance del impacto o pérdida que un incidente de seguridad puede causar. Desde una perspectiva de seguridad de la información, la evaluación de riesgos es una evaluación de las amenazas, vulnerabilidades e impactos de los activos de información, y la probabilidad de que los tres trabajen juntos para crear riesgos. Como base de la gestión de riesgos, la evaluación de riesgos es una forma importante para que las organizaciones determinen las necesidades de seguridad de la información y pertenece al proceso de planificación del sistema de gestión de seguridad de la información de la organización.
La diferencia entre nivel de protección y evaluación de riesgos:
(1) El nivel de protección es un sistema de gestión básico que guía la construcción del sistema de garantía de seguridad de la información de mi país, mientras que la evaluación de riesgos y el sistema evaluación son evaluación Dos métodos de investigación y análisis específicos, diferentes pero relacionados, para la seguridad de la información y los sistemas de información bajo sistemas de protección jerárquicos. En este sentido, la protección jerárquica tiene prioridad sobre la evaluación de riesgos y la evaluación del sistema.
(2) La premisa de la protección jerárquica es clasificar el sistema. La clasificación se determina en función de la confidencialidad, integridad y disponibilidad de la información del sistema. tres pasos: definir varios tipos de información - Determinar la categoría de seguridad para varios tipos de información - Determinar la categoría de seguridad del sistema. Las ideas de clasificación de sistemas y clasificación en protección jerárquica son básicamente consistentes con la clasificación de importancia de los activos de información en la evaluación de riesgos. La diferencia es que el nivel de protección jerárquica se basa en las necesidades comerciales del sistema o las características de la CIA. El nivel de riesgo final en la evaluación de riesgos es una evaluación integral después de una consideración exhaustiva de la importancia de la información y la efectividad de la misma. las medidas de control de seguridad existentes del sistema y el estado de funcionamiento. En otras palabras, en la evaluación de riesgos, los activos de información con valores altos de CIA no necesariamente tienen niveles de riesgo altos.
③La protección de niveles en realidad ayuda a los usuarios a analizar y evaluar el nivel de los sistemas de información para que se puedan llevar a cabo diferentes niveles de protección de seguridad de acuerdo con diferentes niveles en el trabajo posterior, mientras que la evaluación de riesgos ayuda a los usuarios a comprender la situación de seguridad actual. , con el fin de realizar la planificación general de seguridad y construcción en la obra posterior. La evaluación de riesgos se puede utilizar como medio para comprobar la implementación y ejecución de la seguridad graduada, y los resultados de la evaluación de riesgos se pueden utilizar como punto de partida y referencia para implementar garantías graduadas y una construcción de seguridad graduada.