2.信息系統(tǒng)安全保障評估

信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進(jìn)行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是信息系統(tǒng)，信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個生命周期，因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種動態(tài)持續(xù)的信心。

評估是信息系統(tǒng)安全保障的一個重要概念，系統(tǒng)所有者可以根據(jù)評估所得到的客觀評估結(jié)果建立其主觀的信心。上圖描述了信息系統(tǒng)安全保障評估的概念和關(guān)系。

信息系統(tǒng)安全保障的評估，是從信息系統(tǒng)安全保障的概念出發(fā)，在信息系統(tǒng)的生命周期內(nèi)，根據(jù)組織機(jī)構(gòu)的要求，在信息系統(tǒng)的安全技術(shù)、安全管理和安全工程領(lǐng)域內(nèi)對信息系統(tǒng)的安全技術(shù)控制措施和技術(shù)架構(gòu)能力、安全管理控制和管理能力以及安全工程實施控制措施和工程實施能力進(jìn)行評估綜合，從而最終得出信息系統(tǒng)在其運行環(huán)境中安全保障措施滿足其安全保障要求的符合性以及信息系統(tǒng)安全保障能力的評估。

下圖給出信息系統(tǒng)安全保障評估的描述。