第十三周作业
等级保护 & 风险评估:了解基本测评流程,知道各角色岗位在测评工作中的职责,学习国标文件。
思考:等级保护和风险评估有哪些区别(相似点和不同点)?
相同点:
目标一致:等级保护和风险评估的目标都是为了提高信息系统的安全性,保障信息资产不受损失和泄露。
关注重点相同:等级保护和风险评估都关注信息系统的安全策略、安全技术和安全管理等方面,致力于发现和解决信息系统存在的安全隐患。
互相补充:等级保护和风险评估可以互相补充,等级保护可以为风险评估提供指导,而风险评估则可以帮助等级保护更准确地评估信息系统的安全性。
不同点:
侧重点不同:等级保护侧重于对信息系统整体安全性的评估和指导,关注信息系统的定级、备案、测评、整改等方面;而风险评估则更关注于识别、分析和评估风险,为决策者提供风险管理的依据,关注如何改变传统的以技术驱动为导向的安全体系结构设计。
方法不同:等级保护采用等级评估的方法,根据等级保护要求对信息系统进行评估;而风险评估则采用定性和定量的方法,包括概率分析、影响评估、风险矩阵等,来推断出重要资产当前的安全风险。
应用范围不同:等级保护主要应用于信息系统安全领域,是对信息系统整体安全性的评估;而风险评估则是一个更广泛的概念,可以用于各个领域的风险管理,包括项目风险评估、企业风险评估等。
评论