企業(yè)的網(wǎng)絡信息系統(tǒng)必須按照風險管理的思想，對可能存在的要挾、脆弱性和需要保護的信息資源進行分析，根據(jù)風險評估的成果為信息系統(tǒng)選擇適當?shù)陌踩�措施，妥當應對可能產(chǎn)生的風險。目前，信息安全等級保護是發(fā)達國家保護要害信息基礎設施，保障信息安全的通行。

二、信息安全等級保護

(一)信息安全等級保護和風險評估的關系

1994年國務院頒布的《中華國民共和國盤算機信息系統(tǒng)安全保護條例》規(guī)定盤算機信息系統(tǒng)履行信息系統(tǒng)安全等級保護。2003年中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)的徊家信息化領導小組關于加強信息安全保障工作的看法)中明白提出： “要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命根子、社會穩(wěn)固等方面的重要信息系統(tǒng)，抓緊建立信息系統(tǒng)安全等級保護制度，制定信息系統(tǒng)安全等級保護的管理措施和技巧指南”。2004年公安部等四部委《關于信息系統(tǒng)安全等級保護工作的實行看法》也指出： “信息系統(tǒng)安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，進步信息安全保障才能程度，保護國家安全、社會穩(wěn)固和公共利益，保障和促遺信息化建設健康發(fā)展的—項基礎制度”。等級保護工作的核心是對信息安全分等級，按標準進行建設、管理和監(jiān)督。風險評估做為信息安全工作的一種重要技巧手段，為系統(tǒng)安全等級保護的定級、測評和整改等工作階段供給重要根據(jù)，在實行信息安全等級保護周期和層次中施展著重要作用。在等級保護周期的系統(tǒng)等級階段中，依提信息安全風險評估國家標準對所評估資產(chǎn)的重要性、客觀要挾產(chǎn)生的頻率、以及系統(tǒng)自身脆弱性的嚴重程度進行辨認和關聯(lián)分析，斷定信息系統(tǒng)應采用什么強度的安全措施，然后將安全事件一旦產(chǎn)生后可能造成的影響把持在可接收的范疇內(nèi)：在安全實行階段，按照風險評估標準，對現(xiàn)有系統(tǒng)進行評估和加固，然落后行安全設備的安排，對在安全實行過程中也會產(chǎn)生事件并可能帶來長期的隱患，風險評估能及早發(fā)明并解決這些問題：在安全運維階段，按照風險評估標準開展定期和不定期的風險評估以便幫助確認它保持的安全等級是否產(chǎn)生變更。

風險評估的技巧手段包含有系統(tǒng)審計、漏洞掃描和滲透測試，他們在等級保護的各個層。

(二)等級保護制度的落實

目前，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技巧標準，組織國民、法人和其他組織對信息系統(tǒng)分等級履行安全防護，對等級保護工作的實行履行監(jiān)督、管理，從而大力推行信息化建設的全面發(fā)展，但是，絕大多數(shù)的信息系統(tǒng)得運營、應用單位依舊采用傳統(tǒng)的工作方法解決等級保護工作中的一系列問題，尤其是相對數(shù)量的信息安全等級保護工作的職能部門，他們在落實等級保護工作中存在很大的問題，表現(xiàn)在以下幾個方面：

一是信息系統(tǒng)安全等級保護工作認識不深入、器重不到位。信息系統(tǒng)得安全性問題不僅僅是用戶自身財產(chǎn)安全的問題，其所有者應當承擔相應的社會安全和大眾,利益安全的任務。然而，部分履行部門在開展等級保護工作中從始至終都在被動的敷衍監(jiān)管部門的檢查，這種思想上的不器重給監(jiān)管部門工作開展帶來艱苦的同時，也阻礙全部信息系統(tǒng)安全等級保護工作的開展;二是信息系統(tǒng)安全等級保護工作管理無序、缺乏束縛力。目前，—部分履行單位他們對信息系統(tǒng)安全等級保護工作組織開展、管理實行無從下手，甚至對相干法律、政策和標準還不是很明白，同時沒有各自內(nèi)部專門機構對等保工作實行監(jiān)督：三是履行單位的安全分工不清，沒有建立相應得安全職能部門，這使得在安全等級保護工作中無法斷定各相干部門的職責，從而無法落實安全義務制。

針對這些問題，建立信息安全管理組織是做好信息安全等級保護工作的必要條件。

1.建立信息安全管理組織的必要性

一個單位應當也必須建立信息安全管理組織，這個組織是這個單位在信息系統(tǒng)安全方面的最高權利組織。信息安全是所有管理層成員所共有的義務，一個管理組織應確保有明白的安全目標。在一個單位內(nèi)部，有關信息安全的工作需要一個強有力領導機構來領帶和推動，這是由于：1)首先是一些單位的業(yè)務對信息系統(tǒng)形成了完整的依附，另外信息安全會導致對社會大眾,利益、社會秩序和國家安銷告成侵害，甚至是嚴重的侵害。2)在一個單位中多個部門的信息任務既有接洽又有相對的獨立性，而這些任務又是這個單位全部信息任務的組成部分，所有這些都需要—個強有力的機構進行和諧和領導。3)全員應用的信息系統(tǒng)中不同員工在其中所對應的是不同的角色，在工作中的權限也有4)—個單位對信息系統(tǒng)安全所采用的各類措施和決策是需要權威機構來審批和決定的。