等級保護(hù)、風(fēng)險評估、建立信息安全管理體系這3種實現(xiàn)信息安全的方法都是當(dāng)前國家信息安全保障體系建設(shè)中的熱點話題。在這里，我們對這3種信息安全保障方法進(jìn)行分析和比較，以了解其優(yōu)缺點。

1.等級保護(hù)

1)主要內(nèi)容

等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度，其核心內(nèi)容是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。

2)優(yōu)點

等級保護(hù)適用于宏觀層面，是一種大范圍“基線安全”，適用于行業(yè)主管部門對信息安全的總體把握與監(jiān)控。

3)缺點

具體到某個組織的信息安全保護(hù)而言，等級保護(hù)的粒度劃分較粗，在滿足組織對信息安全的精細(xì)控制要求方面還存在不足。因此，在滿足監(jiān)管部門的等級保護(hù)要求之后，組織還可進(jìn)一步把等級細(xì)化到各種層次的安全域，直至對一個個的信息資產(chǎn)進(jìn)行有效管理。

2.信息安全管理體系(ISMS)

1)主要內(nèi)容

類似于質(zhì)量之于ISO9000,ISMS是組織為提高信息安全管理水平，按照ISO27001的要求，在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合。

2)優(yōu)點

ISMS涉及了信息安全的11個領(lǐng)域，133個控制措施，基本涵蓋了信息安全的方方面面，適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來建設(shè)，通過建立統(tǒng)一的方針、策略，以及規(guī)范化安全規(guī)則，使ISMS實施主體能有效地識別風(fēng)險，持續(xù)不斷地采取管控措施，以把風(fēng)險降低到組織可接受的程度。

3)缺點

它只是描述了建立ISMS的思想、框架，但對如何建立ISMS并沒有一個詳細(xì)明確的定義，也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)。因此，ISMS對實施者來說留下來很大的可操作空間，不同的組織和不同實施著對ISMS標(biāo)準(zhǔn)的把握可能差別很大，ISMS總體水平也會有高下之分。

3.風(fēng)險評估

1)主要內(nèi)容

風(fēng)險評估是獲知組織當(dāng)前風(fēng)險水平的一種手段，在金融、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險及風(fēng)險評估需求的存在。當(dāng)風(fēng)險評估應(yīng)用于IT安全領(lǐng)域時，就是對信息安全的風(fēng)險評估。

2)優(yōu)點

風(fēng)險評估從早起簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型。

國內(nèi)這幾年對信息安全風(fēng)險評估的研究進(jìn)展較快，具體的評估方法也在不斷改進(jìn)。原國信辦2004年組織完成了《信息安全風(fēng)險評估指南》及《信息安全風(fēng)險管理指南》標(biāo)準(zhǔn)草案的制定，并在其中規(guī)定了信息安全風(fēng)險評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險判斷準(zhǔn)測，對規(guī)范我國信息安全風(fēng)險評估的做法具有很好的指導(dǎo)意義。

3)缺點

《信息安全風(fēng)險評估指南》所確定的風(fēng)險評估方法還只是一個通用的方法論，具體到一個特定的單位，要對其中的風(fēng)險進(jìn)行準(zhǔn)確地識別與量化仍熱是一件困難的事情，在很大程度上要取決于評估者的經(jīng)驗。

另一方面，《信息安全風(fēng)險評估指南》主要是對所識別的一個個靜態(tài)資產(chǎn)進(jìn)行風(fēng)險評估，涉及IT治理、IT管理流程、IT運維、IT審計、IT價值實現(xiàn)等方面的風(fēng)險，并不能完全套用以上信息資產(chǎn)的風(fēng)險評估方法，由于這類風(fēng)險涉及組織的核心業(yè)務(wù)，組織對此更加關(guān)心，因此，在實施信息安全過程中，準(zhǔn)確地識別其中的風(fēng)險并能加以控制，對組織具有重要意義。

通過以上比較，我們認(rèn)為這3中方法都是實現(xiàn)信息安全的有效手段，但各有不同的側(cè)重點，要真正實現(xiàn)信息安全要把這3者結(jié)合起來，并進(jìn)行相應(yīng)的擴展，探索出一條適合中國特色的信息安全保障之路。