等保测评认证信息安全等级保护发展情况

信息安全等级保护可以简单地理解为通过划分等级的方法实现保护信息安全的目标。划分等级的方法是指将涉及信息安全的相关内容和方法划分为不同等级，以实现不同的安全保护目标。其中信息安全保护的相关内容和方法包括对数据信息进行存储、传输和处理的信息系统的安全保护所采用的安全技术措施和安全管理措施。

划分等级的方法可以分为两大类，一类是从技术角度划分，另一类是从管理角度划分。二者的根本区别在于从技术角度划分主要以信息安全的基本要素为单位，对实现相应安全功能的安全技术和机制提出不同要求；从管理角度划分主要是以信息系统的安全为目标，对实现不同安全要求的信息系统提出不同要求。

从实施信息安全等级保护制度出发，由于作为最终目标的信息安全是通过对信息和信息系统的安全保护实现的，所以从技术角度或管理角度进行安全等级划分，进而为实现不同安全等级信息系统的安全保护提供支持。

当然对于没有实施信息安全等级保护制度的情况，从技术角度所进行的安全等级划分对于研究和区别不同安全技术和机制所实现的具有不同安全等级的信息安全产品，进而合理地使用这些产品同样具有十分重要的意义和作用。这就是为什么在国外虽然没有把信息安全等级保护作为一项制度，但仍然对信息安全技术和产品进行安全等级划分的原因。

到目前为止，把信息安全等级保护明确规定为一项实现国家信息安全的制度在国外还不多见。所以说，我国当前所实行的信息安全等级保护制度是一种具有创新性和挑战性的工作。如果说我国是通过实施信息安全等级保护制度，采用对信息系统进行分等级管理的方法实现信息系统的安全保护，那么国外普遍采用的则是通过风险管理的方法来实现信息系统的安全保护。

这两种实现信息系统安全保护的管理方法都需要按照从技术角度进行安全等级划分所提供的不同安全等级的安全技术和安全产品的支持，因为重点保护和适度保护的思想无论对于哪一种管理方法都是适用的。

由于信息安全技术与信息技术是密不可分的，所以信息安全技术所反映的特性也称为“信息技术的安全性”。