一、什么是信息安全？
信息安全主要包括以下五个方面，即确保数据的保密性、真实性、完整性、未经授权的复制和寄生系统的安全性。信息安全本身包含了很多类别，包括如何防止商业企业机密泄露、青少年浏览不良信息、泄露个人信息等。网络条件下的信息安全系统是确保信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直到安全系统，如UniNAC，DLP等等，只要有安全漏洞，就会威胁到整体安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受意外或恶意损坏、变更、泄露、系统持续可靠、正常运行，信息服务不中断，实现业务连续性。
信息安全学科可分为狭义安全和广义安全两个层次。狭义安全是以密码论为核心的计算机安全领域。初期，我国信息安全专业一般以此为标准，辅以计算机技术、通信网络技术和编程；从广义上讲，信息安全是一门从传统计算机安全到信息安全的综合性学科。名称的变更不仅是安全发展的延伸，更是管理、技术、法律等问题相结合的产物。本专业培养计算机、通信、电子商务、电子政务、电子金融等领域信息安全高级专业人才。
信息安全的主要威胁来源是环境因素和人为因素，最大的威胁不是恶意的外部人员，而是缺乏责任感或缺乏专业技能的内部员工，导致信息系统故障或攻击，因为他们没有遵循管理系统和操作步骤或没有工作技能。
信息安全涉及物理环境、网络、主机、应用程序等不同的信息领域，每个领域都有其相关的风险、威胁和解决方案。信息安全是一个动态发展的过程，仅仅依靠安全产品的沉积来应对各种快速发展和变化的攻击是不可持续和有效的。
二、什么是等级保护？
信息安全等级保护是指对存储、传输和处理信息的信息系统进行分级安全保护，对信息系统中常用的安全产品进行分级管理，对信息系统中的信息安全事件进行分级响应和处理。
等级保护是指导我国信息安全保障体系整体建设的基本管理原则，是围绕信息安全保障全过程的基本管理体系。其核心内容是按标准对信息安全进行建设、管理和监督。
根据《计算机信息系统安全保护等级划分标准》，我国实行五级信息安全等级保护。第一级：客户独立保护级；第二级：系统审计保护级；第三级：安全标志保护级；第四级：结构化保护级；第五级：浏览验证保护级；
信息系统的安全保护等级分为五级：一级：独立保护；二级：指导保护；三级：监督保护；四级：强制保护；五级：专项控制保护。
66号文章的分类主要从信息和信息系统的业务重要性和损坏后的影响出发，是系统从应用需求出发必须纳入的安全业务水平，而不是GB17859中定义的安全技术等级。
三、什么是风险评估？
风险评估是对安全事故造成的影响或损失的可能水平的定量评估。
从信息安全的角度来看，风险评估是对信息资产的威胁、弱点、影响以及三者综合作用带来的风险可能性的评估。风险评估作为风险控制的前提，是组织确定信息安全需求的重要途径，属于组织信息安全管理体系规划的过程。
风险评估的主要任务包括：1）识别组织面临的各种风险；2）评估风险概率和可能产生的不利影响；3）确定组织承担风险的能力；4）确定风险减少和控制的优先级；5）推荐风险减少对策。
在风险评估过程中需要考虑几个关键问题：
首先，确定保护对象（资产）是什么？它的直接和间接价值如何？
第二，资产面临哪些潜在威胁？威胁的问题是什么？威胁的概率是多少？
第三，资产中有哪些弱点可能被威胁使用？易于使用的水平如何？
第四，一旦发生威胁，组织将遭受什么样的损失或不利影响？
第五，组织应采取哪些安全措施将风险造成的损失降到最低水平？
处理这些问题的过程就是风险评估的过程。