关于信息安全的等级保护，风险评估和安全测评的异同

等级保护包括系统定级、安全规划、安全设计和实施、安全运行与维护、信息系统中止。这是一个循环的生命周期，等级测评是其中的一部分，用于在安全规划中确定安全需求，并且在安全设计实施中验证安全措施是否符合要求。
等级保护对应的是风险管理。风险管理包括确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审几部分。也是信息系统安全保护的一个流程。风险评估是其中的一部分。风险评估目的是发现风险，然后由风险处置设定安全措施来控制风险保护系统。
等级测评、风险评估这两个是对等的，二者都是安全测评方法，等级测评评估的是系统的安全防护能力，风险评估评估的是系统面临的风险。具体说来就是风险评估评估的是系统面临的威胁、系统自身的脆弱性。等级测评评估的是系统的脆弱性和安全措施。二者可以结合使用。

打个比方吧，百度和google是两个大型搜索引擎。他们就好比是等级保护和风险管理。百度有网页、知道、百科、地图等等搜索功能，google有网页、音乐、地图、咨询等搜索功能。这就相当于是等级保护和风险管理的过程。百度地图和google地图是两种查看地图的方式这就相当于等级测评和风险评估。而百度地图和google地图都是一种GIS系统。GIS就相当于安全测评。

三者的概念介绍
等级保护
是指对涉及国计民生的网络和信息系统按其重要程度及实际安全需求进行分等级保护，对网络和信息系统中使用的安全产品实行按等级管理，对网络和信息系统中发生的信息安全事件进行分等级响应、处置。它是保障国家网络和信息安全的基本制度、基本策略、基本方法。
等级保护一般分为五个等级：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。
风险评估
风险评估是指在风险事件发生之前或者之后，该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全角度来讲，风险评估是对信息资产的潜在威胁、弱点、造成的影响等事件进行综合分析，判断安全事件在综合作用下发生的概率以及造成的损失，从而组织风险管理措施的过程。
安全测评
按照严格的程序对信息系统进行安全能力的综合测试评估活动，由正规、检验技术丰富且被政府授权资格的权威机构进行检查，帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题，并提供改进建议降低系统的安全风险。
三者之间的联系与区别
等级保护：它是我国信息保障建设体系中的一个最基础的管理制度。
风险评估、安全测评：两者都属于等级保护制度下对信息、信息系统的安全进行评价，只不过两种方式在区别中又有所联系。
从某种程度来讲，等级保护在风险评估和安全测评之上。一旦系统定级并分类分级后，不论是风险评估还是安全测评，我们都可以把它们当作是等级保护制度之下的评估和测评;操作时只需要在原有的操作程序、方法基础上加入特定的制度要求就可以了。

我觉得最简单的理解就是从是否能形成产业方面考虑，等级保护里面是政府的政策，是整个市场能够形成的背景，是大环境。而风险评估和安全测评是在此环境下生成的两个服务性产业，虽然目前主要的测评机构都是国家机关或者其直属的机构，但是对于专业的信息安全从业人员来说，能够参与测评评估政府企业甚至是军事部门的测评评估业业不是不可能的。总的来说等级保护需要风险评估和安全测评做整个保护的准备工作，只有发现问题在哪才能更好的处理问题。