【摘要】如何对信息系统安全进行有效的管理和控制,目前在国际上还是一个开创性的课题。近几年,针对该领域的研究很多,产生了一系列的标准规范和方法论,从目前具体实践看,主要形成了信息安全测评认证、信息安全等级保护和信息安全风险评估三种相互联系而又自成体系的信息安全管理办法和制度。文章通过研究分析上述三种信息系统安全管理办法和制度的异同及其相互关系,提出了基于风险评估的涵盖信息系统全生命周期的信息系统安全保护模型,将信息安全测评认证、信息安全等级保护和信息安全风险评估有机统一起来。