1．信息安全风险评估与安全测评的重要意义

2．等级保护、风险管理、风险评估、系统安全测评

等级保护是指导我国信息安全保障体系建设的一项基础管理制度，信息系统等级保护的生命周期包括系统定级、安全规划、安全设计和实施、安全运行和维护、信息系统废弃等环节。等级保护的目的之一是实现风险管理。

风险管理包括确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和测评等主要环节。风险评估是风险管理的一部分，是风险管理的根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全工程最重要的内容之一。

系统安全测评的作用在于验证安全措施是否符合要求，即信息系统的安全需求是否得到满足。

联系：从技术本质上来说，风险评估与安全测评都是安全性测试和评估方法，都是对信息系统安全性进行分析、评价和判断，因此，二者在具体操作内容、方法和工具上有许多共同之处，可以结合使用。

区别：

① 对应着系统生命周期建设的不同阶段。

② 风险评估是明确系统安全需求、确定成本-效益适合的安全控制措施的出发点，通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别，评估的是系统面临的威胁、系统自身的脆弱性，即系统面临的风险；

系统安全测评则是验证已采取的管理、运行、技术等安全控制措施的有效性，更关注对系统现有安全控制措施是否满足特定的安全需求的综合验证，从而给出系统安全状态是否满足给定目标的准确判断，评估的是系统的安全防护能力是否达标。