2.信息系統(tǒng)安全保障評(píng)估

信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過信息系統(tǒng)安全保障評(píng)估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是信息系統(tǒng)，信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個(gè)生命周期，因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種動(dòng)態(tài)持續(xù)的信心。

評(píng)估是信息系統(tǒng)安全保障的一個(gè)重要概念，系統(tǒng)所有者可以根據(jù)評(píng)估所得到的客觀評(píng)估結(jié)果建立其主觀的信心。上圖描述了信息系統(tǒng)安全保障評(píng)估的概念和關(guān)系。

信息系統(tǒng)安全保障的評(píng)估，是從信息系統(tǒng)安全保障的概念出發(fā)，在信息系統(tǒng)的生命周期內(nèi)，根據(jù)組織機(jī)構(gòu)的要求，在信息系統(tǒng)的安全技術(shù)、安全管理和安全工程領(lǐng)域內(nèi)對(duì)信息系統(tǒng)的安全技術(shù)控制措施和技術(shù)架構(gòu)能力、安全管理控制和管理能力以及安全工程實(shí)施控制措施和工程實(shí)施能力進(jìn)行評(píng)估綜合，從而最終得出信息系統(tǒng)在其運(yùn)行環(huán)境中安全保障措施滿足其安全保障要求的符合性以及信息系統(tǒng)安全保障能力的評(píng)估。

下圖給出信息系統(tǒng)安全保障評(píng)估的描述。