等级保护、风险评估和安全测评三者的区别和联系都有哪些?本篇我们从基础的概念说起,一起搞清楚他们之间的关系。
02
03
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全建设也应随之发生变化。因此,从理论上分析,无论是等级保护、风险评估或是系统测评,均适用于 SDLC 的各个阶段。为避免三者之间相近的工作内容在 SDLC 的同一个阶段重复进行,按照 “谁主管,谁负责;谁运行,谁负责” 的原则,从系统建设单位(多数情况下建设单位即运行单位)、行业主管部门或信息化主管部门(简称主管部门)等两类不同发起主体或组织主体的角度考虑,建议按下述内容实施:
建设单位自觉按照国家有关安全等级划分及系统定级的原则进行定级,并报主管部门备案。
建设单位按照既定等级的风险评估管理要求和国家有关风险评估的技术标准自觉进行风险评估,明确系统在机密性、完整性、可用性等方面的安全需求目标。
建设单位(或委托承建单位)根据既定的安全需求目标,按照国家有关等级保护的管理规范和技术标准,进行系统安全体系结构及详细实施方案的设计,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施。
主管部门委托或指定第三方机构对建设单位的系统安全设计方案进行评审,并将第三方机构出具的安全方案评审报告作为是否允许安全实施的依据。
