什么是信息安全、等级保护以及风险评估？

设备的风险评估：指在是设备风险事件发生之前或之后，该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。分享一个办理评估报告的好方法，而在这个平台上收费通常只有标准收费的10%左右，百度在支付宝首页或者微信小程序搜索：跑政通，进入以后选择评估报告，填写信息下单就能够办理，方便快捷。

;     对于急用钱的人来说，一个正规靠谱的网贷平台非常重要，申请门槛低、额度高、下款快、利息低都是需要考虑的问题。民间贷款中，很少有产品完全具备以上的特点，其中利息是大家比较在意的一点，国美易卡是一款纯机审小贷平台，除了利息外，大家发现还会收取一个名为风险评估服务费的费用，这是什么意思呢？合法吗？

一、国美易卡风险评估服务费是什么？

      从2019年开始，陆续有用户在网上反馈，申请国美易卡到账后，发现扣除了几百元到千元不等的费用，名目是风险评估服务费，不勾选评估就无法通过审核。

      从网友分享的评估信息可以看到，主要显示的内容有年龄、姓名、手机号码、省市、身份z号码等内容，评估主体是天下信用联盟，这是一个第三方的信用平台，通过搜集多方数据，评估借款人的信用情况，是否有逾期、借贷次数，为国美易卡提供放贷依据。

      咨询了国美易卡客服，对方是这样解释的，用户提交了贷款申请，系统自动审核，部分用户需要购买风险评估，如果不买的话，表示暂时不符合借款条件，勾选风险评估后，费用是收款后一次性扣除。

二、国美易卡风险评估服务费合法吗？

      国美易卡的收费明细包括本金、利息、账户管理费、信息服务费、催收服务费、逾期罚息等，其中后面两项是逾期后才会收取。

      我国规定，民间贷款中，综合借款年利率未超过24%的，合法有效，超过36%以上属于高利贷，在这个其中的利息借款人可以不支付。

      所以，看国美易卡风险评估服务费是不是合法，要看综合借款费用，把所有的费用加起来与本金合计，年利率超过36%以上就不合法，大家可以采取合法渠道维护自己的权益。

一、等级保护、风险评估和安全测评的概念和提出背景

1、等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件进行等级响应、处置。

注意：这里所指的信息系统，是指由计算机及其相关、配套的设备和设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。

提出背景：

1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年，公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999)，规定了计算机信息系统安全保护能力的五个等级，即第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施了五个GA新标准，分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护 *** 作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。

2004年，在《关于信息安全等级保护工作的实施意见的通知》(简称66号文)中，信息和信息系统的安全保护等级被划分为五级，即第一级：自主保护级；第二级：指导保护级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。特别强调的是，66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的系统已具备的安全技术等级。

2、风险评估

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

提出背景：

风险评估不是一个新概念，金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时，就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快，具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术 *** 作，逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及 *** 作模型。

2004年，国务院信息化工作办公室组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定，并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，这对规范我国信息安全风险评估的做法具有很好的指导意义。

3、系统安全测评

由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。

注意：认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认，认证以标准和测评的结果作为依据。

提出背景:

我国的系统认证虽然起步较早，但由于认证周期、建设差异等多方面的原因，目前的系统认证数量还非常少。在我国，中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响力的开展有关系统安全测评认证的机构。

国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文)明确规定，对信息安全产品进行“统一标准、技术规范与合格评定程序；统一认证目录；统一认证标志；统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前，多数情况下，系统安全测评的结果可直接作为主管部门对系统安全认可的依据。

二、三者的联系和区别

等级保护是指导我国信息安全保障体系建设的一项基础管理制度，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的的不同的研究、分析方法。从这个意义上讲，等级保护要高于风险评估和系统测评。

打个比方：如果说等级保护是指导信息安全建设的宪法，风险评估和安全测评则是针对系统安全性评估或合格判定方面的专项法律。

请您在手机银行中点击“中银理财-账户管理”，会显示您的风险评估类型，点击进入可进行风险评估。

以上内容供您参考，业务规定请以实际为准。

如有疑问，欢迎咨询中国银行在线客服。

诚邀您下载使用中国银行手机银行APP或中银跨境GO APP办理相关业务。

一个风险评估与排序的实用模型

摘 要

本文阐述了一个基于简单数学模型的实用且简便的风险评估与排序方法

什么是风险

风险即是以下三个要素发生的机会:

威胁--事件或行为，一般来自系统外部，可能在某些地方会影响固有的弱点，造成影响

弱点--系统内部考虑之中的弱点，可能在某些地方受到威胁所利用

影响--短期与长期组织影响，威胁碰巧利用弱点

由于要求一个或更多的不预测的威胁与弱点的巧合，负面影响发生的可能性是很难确定的一个系统可能很长一段时间运行有弱点(的程序)而未受影响，直到一些实际的威胁存在或利用它在给定的时间筐架内一些威胁可能比另一些威胁更可能发生(例如:简单的键盘错误比中断更易发生)类似的，一些弱点可能只在短期内存在(如:当保安从运钞车进入金库时)而别的可能会长期存在(如:银行金库警报系统没有覆盖所有入口点)影响的变化也很大:有些可能使整个组织或系统置于严重的危险之中(如火灾)；有些可能会对整体来说无关重要

保险公司也许有能力去计算某种威胁与弱点存在的可能性并预测可能受到影响的程序，但是，这也是不严密的--或许艺术性多于科学承保人赌其涵盖了所有风险:尽管给定的事件是不可预测的，但在一定时期的多数事件发生的可能性可以很大的可信度估计，大部分是基于早期的经验尽管如此，这种手段仍存在着两个重要的问题一些极度影响事件(如你的首席行政长官遭遇雷击)是很少发生以至人类的本性倾向于忽略这类事件，因此，承保人发现很难以理想的价格去销售相应政策进一步，新的条件导入新的风险，但经验不足甚至使他们预测更困难高技术主题的电子商务变化得非常快以至IT专家也要尽力跟起而不致落后承保人在风险方面做得不比猜测多

威胁与弱点的特定组合也许仅仅偶尔存在("坏运气")，十分显然，几乎没有弱点与/或威胁的系统就不大可能长期受到影响另一方面，一个脆弱的系统，一个具有许多大的潜在影响(的系统)更有可能遭到毁坏，这是风险管理的基本点，它本身是任何一个组织完好管理中的重要元素

管理者一般通过引导通缉资源转向风险缓和的活动如设置合适的控制框架，来寻求减少弱点、威胁与影响。

一个简易风险模型的来源

管理企业远远超过无风险活动。的确，承受可接受的风险（有些可能导致破产）能取得利润。正确管理的关键是知道缓和哪种风险以及何时把握机会。这就是为什么对风险有个良好的认识的重要这所在。在这里，提供一个简单的类数学模型以助计量风险。考虑风险的性质，你将得到如下的公式:

风险=威胁+弱点+影响

表面上看，该公式意味着具有高威胁、弱点或影响的系统是高风险的系统。尽管如此，是威胁与弱点的组合造成影响的存在。而对组织的破坏的程度依赖于一个事件的发生与影响的促使。用数学语言来说，逻辑与计算需要乘积而不是和，如:

风险=威胁弱点影响

包含至少两个重要因素（如:高威胁与弱点）的组合能产生比仅具较低或中等水平因素组合更高的风险。任何一个因素降为零风险将降得更大。

计算风险

为了使用模型去计算风险，你得检查与计量各单独组成要素（威胁、弱点与影响）。

最简单的方法是将这三个要素分成高（3分），中（2分），低（1分）或零（0分）。产生的风险分值在0 至27之间。作为替代，你也许宁愿用一个持续的百分数尺。如:

0% 25% 50% 75% 100% 受雷击

+- ---------- -+- ---------- -+- ---------- -+- ---------- -+ 的威胁

人受雷击 建筑物受雷击 被静电击死

使用百分数尺能得到的最大风险计分是1,000,000（100100100）。因而能为组织确定风险提供足够的详细（情况）。不论什么量度，过程是一样的。我们比较与对比风险因素，寻求一个企业价值合理延伸。一具厌风险管理者比喜风险管理者更可能估价风险，但是价值延伸应当更广泛地比较。正是这延伸赋予模型其真实的能量，允许我们去给风险排序。

实践中应用风险模型

本模型在实践环节中有许多效用，如风险评估与审计计划程序:

这个过程有两个重要的输出:一个风险排列（对组织管理者是有用的）与相匹配的排列过的审计计划（构造内部或与外部审计师工作）。“定期涮新”提供反映变化的风险因素分值更新的机会，如内部控制环境（养活弱点）的提高或新的市场压力（增加威胁）。

这个程序的理论基础使得计划审计工作与组织风险间的联系更清楚。

类似地，项目风险也能利用该模型评估以形成基本的项目风险管理。项目威胁依靠于项目的性质，但典型的包括政治、经济、社会与技术方面（被称为PEST分析）弱点包括不合适技能，刺激机制，财务或别的资源限制等。项目失败影响一般分为:

过多成本

推迟完成

顾客满意度低

该模型也能被用来联系这些因素与风险是否重要的建议，形成一个管理活动日程。风险计算应当随着取得新信息在项目过程中更新。

以上就是关于什么是设备的风险评估全部的内容，包括:什么是设备的风险评估、国美易卡风险评估服务费是什么意思是否合法看这点！、什么是信息安全、等级保护以及风险评估等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！