关于信息安全的等级保护，风险评估和安全测评的异同

等级保护包括系统定级、安全规划、安全设计和实施、安全运行与维护、信息系统中止。这是一个循环的生命周期，等级测评是其中的一部分，用于在安全规划中确定安全需求，并且在安全设计实施中验证安全措施是否符合要求。
等级保护对应的是风险管理。风险管理包括确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审几部分。也是信息系统安全保护的一个流程。风险评估是其中的一部分。风险评估目的是发现风险，然后由风险处置设定安全措施来控制风险保护系统。
等级测评、风险评估这两个是对等的，二者都是安全测评方法，等级测评评估的是系统的安全防护能力，风险评估评估的是系统面临的风险。具体说来就是风险评估评估的是系统面临的威胁、系统自身的脆弱性。等级测评评估的是系统的脆弱性和安全措施。二者可以结合使用。

打个比方吧，百度和google是两个大型搜索引擎。他们就好比是等级保护和风险管理。百度有网页、知道、百科、地图等等搜索功能，google有网页、音乐、地图、咨询等搜索功能。这就相当于是等级保护和风险管理的过程。百度地图和google地图是两种查看地图的方式这就相当于等级测评和风险评估。而百度地图和google地图都是一种GIS系统。GIS就相当于安全测评。

我觉得最简单的理解就是从是否能形成产业方面考虑，等级保护里面是政府的政策，是整个市场能够形成的背景，是大环境。而风险评估和安全测评是在此环境下生成的两个服务性产业，虽然目前主要的测评机构都是国家机关或者其直属的机构，但是对于专业的信息安全从业人员来说，能够参与测评评估政府企业甚至是军事部门的测评评估业业不是不可能的。总的来说等级保护需要风险评估和安全测评做整个保护的准备工作，只有发现问题在哪才能更好的处理问题。