信息安全风险评估和网络安全等保测评的区别

1、 定义不同

信息安全风险评估：参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

网络安全等保测评：对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。

2、 标准不同

信息安全风险评估：

GB/T20984-2022《信息安全技术 信息安全风险评估方法》

GBT/31509-2015《信息安全技术 信息安全风险评估实施指南》

网络安全等保测评：

GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T28449-2018《信息安全技术 网络安全等级保护测评过程指南》

3、 主管单位不同

信息安全风险评估：风险评估资质及证书由中国网络安全审查认证和市场监管大数据中心认证，以上中心隶属中央网信办。

网络安全等保测评：公安部主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫工作。

4、 目的不同

信息安全风险评估：以PDCA循环持续推进风险管理为目的。俗称：对症下药。全面、准确地了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。

网络安全等保测评：以是否符合等级保护基本要求为目的。俗称：照方抓药。确保信息系统免受干扰、破坏或未经授权的访问，防止网络数据泄露或被窃取、篡改，保障业务正常运行。

5、 实施频率不同

信息安全风险评估：在《网络安全法》第三十八条：至少每年一次风险评估。

网络安全等保测评：在《信息系统安全等级保护测评要求》：二级系统建议每两年进行一次测评；三级系统要求每年至少进行一次测评。

6、 实施流程不同

信息安全风险评估：在实施前要建立风险评估方法、风险评价准则、影响评价准则和风险接受准则。风险评估过程包括资产识别、威胁识别、脆弱性识别、风险分析、风险评价以及提出风险管理措施等步骤。

网络安全等保测评：根据信息的重要性和业务需求，确定信息和信息系统的安全等级，等级分为五级，从低到高依次为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。网络安全等级保护测评不需要建立测评方法和准则，而是依据已有的测评标准和技术规范进行。

7、 范围不同

信息安全风险评估：对全部资产进行风险识别和赋值，并对整个单位的安全态势进行评估，找到风险，并进行处置。

网络安全等保测评：对重要的系统进行针对性的安全检测，等保系统分为五级，一级系统不需要测评进行自主保护，二级以上需要第三方机构进行抽样测评。

8、 结论要求不同

信息安全风险评估：对评估结论没有明确固定格式要求，更侧重于结果。

网络安全等保测评：对测评结论是有明确要求的，通过使用“优、良、中、差”来表述对测评结果是否符合或满足等级保护基本要求。

9、 处理方式不通

信息安全风险评估：风险处理有四种选择：风险减缓、风险规避、风险保持、风险转移。

网络安全等保测评：需要根据测评中的不符合项进行整改，全面满足等级保护基本要求。

10、 应用场景与要求不同

信息安全风险评估：风险评估通常用于信息系统招标要求、企业内容信息系统上线前测评以及相关上级管理部门要求企业提供相关的网络安全保障能力证明（网络安全现状报告）等应用场景。风险评估可以由组织自行进行，也可以委托第三方机构进行。

网络安全等保测评：网络安全等级保护测评是公安部门了解社会各界备案的信息系统网络安全建设情况的重要手段。网络安全等级保护测评必须由当地公安部门认可的第三方测评机构进行。