信息系統安全保障評估主要包括兩方面的評估：

1)信息系統在其運行環境中其具體的安全保障控制相對于安全保障要求（目標）的符合性的評估
    信息系統在其運行環境中其安全保障控制對安全保障要求的符合性（即信息系統的技術體系、管理控制和工程實施相對于信息系統在其運行環境下的符合性），是同信息系統保護輪廓（Information System Protect Profile，ISPP）和信息系統安全目標(InformationSystemi Security Target，IsST)相關的內容。信息系統保護輪廓是從信息系統的所有者角度來描述的信息系統安全保障的規范化需求描述。對信息系統保護輪廓( ISPP)的評估就是評估所編制的信息系統保護輪廓是否符合ISPP規范化描述的要求，以及評估它是否真正反應了信息系統所有者的真實的安全保障要求。信息系統安全目標(ISST)是從信息系統安全保障的建方角度來描述的信息系統安全保障方案。信息系統安全目標的評估就是評估所編制的信息系統安全目標是否符合ISST規范化描述的要求以及它是否能夠真正解決和滿足信息系統保護輪廓的信息系統安全保障要求。

2)信息系統安全保障級的評估

信息系統安全保障級( Information Systems Assurance Level，ISAL)是信息系統所提供的各項安全技術保障、安全管理保障、安全工程保障的實施、正確性、質量和能力進行保障（或信心）的強度和程度的特征，是對信息系統安全保障持續改進的能力特征的描述。信息系統安全保障級( ISAL)是信息系統在其運行環境中，實施信息系統安全保障方案(即實施信息系統安全目標( ISST))的具體實施情況和實施能力的反映。