等級保護、風險評估、建立信息安全管理體系這3種實現信息安全的方法都是當前國家信息安全保障體系建設中的熱點話題。在這里，我們對這3種信息安全保障方法進行分析和比較，以了解其優缺點。

1.等級保護

1)主要內容

等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過程的一項基礎性管理制度，其核心內容是對信息安全分等級、按標準進行建設、管理和監督。

2)優點

等級保護適用于宏觀層面，是一種大范圍“基線安全”，適用于行業主管部門對信息安全的總體把握與監控。

3)缺點

具體到某個組織的信息安全保護而言，等級保護的粒度劃分較粗，在滿足組織對信息安全的精細控制要求方面還存在不足。因此，在滿足監管部門的等級保護要求之后，組織還可進一步把等級細化到各種層次的安全域，直至對一個個的信息資產進行有效管理。

2.信息安全管理體系(ISMS)

1)主要內容

類似于質量之于ISO9000,ISMS是組織為提高信息安全管理水平，按照ISO27001的要求，在整體或特定范圍內監理的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

2)優點

ISMS涉及了信息安全的11個領域，133個控制措施，基本涵蓋了信息安全的方方面面，適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當作一種制度來建設，通過建立統一的方針、策略，以及規范化安全規則，使ISMS實施主體能有效地識別風險，持續不斷地采取管控措施，以把風險降低到組織可接受的程度。

3)缺點

它只是描述了建立ISMS的思想、框架，但對如何建立ISMS并沒有一個詳細明確的定義，也沒有描述ISMS的最終形態;沒有確定建立信息安全體系的具體方法與技術。因此，ISMS對實施者來說留下來很大的可操作空間，不同的組織和不同實施著對ISMS標準的把握可能差別很大，ISMS總體水平也會有高下之分。

3.風險評估

1)主要內容

風險評估是獲知組織當前風險水平的一種手段，在金融、電子商務等許多領域都是有風險及風險評估需求的存在。當風險評估應用于IT安全領域時，就是對信息安全的風險評估。

2)優點

風險評估從早起簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現以資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

國內這幾年對信息安全風險評估的研究進展較快，具體的評估方法也在不斷改進。原國信辦2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定，并在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準測，對規范我國信息安全風險評估的做法具有很好的指導意義。

3)缺點

《信息安全風險評估指南》所確定的風險評估方法還只是一個通用的方法論，具體到一個特定的單位，要對其中的風險進行準確地識別與量化仍熱是一件困難的事情，在很大程度上要取決于評估者的經驗。

另一方面，《信息安全風險評估指南》主要是對所識別的一個個靜態資產進行風險評估，涉及IT治理、IT管理流程、IT運維、IT審計、IT價值實現等方面的風險，并不能完全套用以上信息資產的風險評估方法，由于這類風險涉及組織的核心業務，組織對此更加關心，因此，在實施信息安全過程中，準確地識別其中的風險并能加以控制，對組織具有重要意義。

通過以上比較，我們認為這3中方法都是實現信息安全的有效手段，但各有不同的側重點，要真正實現信息安全要把這3者結合起來，并進行相應的擴展，探索出一條適合中國特色的信息安全保障之路。