2.信息系統(tǒng)安全保障評估

信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進(jìn)行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是信息系統(tǒng)，信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個生命周期，因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種動態(tài)持續(xù)的信心。

評估是信息系統(tǒng)安全保障的一個重要概念，系統(tǒng)所有者可以根據(jù)評估所得到的客觀評估結(jié)果建立其主觀的信心。上圖描述了信息系統(tǒng)安全保障評估的概念和關(guān)系。

信息系統(tǒng)安全保障的評估，是從信息系統(tǒng)安全保障的概念出發(fā)，在信息系統(tǒng)的生命周期內(nèi)，根據(jù)組織機(jī)構(gòu)的要求，在信息系統(tǒng)的安全技術(shù)、安全管理和安全工程領(lǐng)域內(nèi)對信息系統(tǒng)的安全技術(shù)控制措施和技術(shù)架構(gòu)能力、安全管理控制和管理能力以及安全工程實(shí)施控制措施和工程實(shí)施能力進(jìn)行評估綜合，從而最終得出信息系統(tǒng)在其運(yùn)行環(huán)境中安全保障措施滿足其安全保障要求的符合性以及信息系統(tǒng)安全保障能力的評估。

下圖給出信息系統(tǒng)安全保障評估的描述。