信息系统安全等级保护是指,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和组织对其信息系统实施分等级实行安全保护,即按照信息系统及所承载的内容的重要程度进行分级的风险评估及防护。
随着政府部门、企事业单位及各行各业对信息系统依赖程度的日益增强,信息系统安全普遍受到关注。运用风险评估去识别安全风险,解决信息安全问题得到广泛的认识和应用。
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学的依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程,在网络与信息系统的设计,验收及运行维护阶段应当进行信息安全风险评估。