3.信息系統(tǒng)安全保障評(píng)估模型

在國(guó)家標(biāo)準(zhǔn)GB/T 20274-.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分： 簡(jiǎn)介和一般模型》中，信息系統(tǒng)安全保障模型包含保障要素、生命周期和安全特征三方面。 具體如下圖所示。

信息安全保障模型的主要特點(diǎn)為：

1)將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心；2)強(qiáng)調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動(dòng)態(tài)安全模型，即強(qiáng)調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個(gè)信息系統(tǒng)生命周期的全過(guò)程；3)強(qiáng)調(diào)綜合保障的觀念。信息系統(tǒng)的安全保障是通過(guò)綜合技術(shù)、管理、工程和人員的安全保障要求來(lái)實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障國(guó)標(biāo)，通過(guò)對(duì)信息系統(tǒng)的技術(shù)、管理、工程和人員要求的評(píng)估，提供了對(duì)信息系統(tǒng)安全保障的信心；4)通過(guò)以風(fēng)險(xiǎn)和策略為基礎(chǔ)，在整個(gè)信息系統(tǒng)的生命周期中實(shí)施技術(shù)、管理、工程和人員保障要素。通過(guò)信息系統(tǒng)安全保障實(shí)現(xiàn)信息安全的安全特征：信息的保密性、完整性和可用性特征，從而達(dá)到保障組織機(jī)構(gòu)執(zhí)行其使命的根本目的。

在這個(gè)模型中，更強(qiáng)調(diào)信息系統(tǒng)所處的運(yùn)行環(huán)境、信息系統(tǒng)的生命周期和信息系統(tǒng)安全保障的概念。信息系統(tǒng)生命周期有各種各樣的模型，本書中的信息系統(tǒng)生命周期模型是基于這些模型的一個(gè)簡(jiǎn)單、抽象的概念性說(shuō)明模型，它的主要用途在于對(duì)信息系統(tǒng)生命周期模型進(jìn)行示例說(shuō)明。在進(jìn)行信息系統(tǒng)安全保障具體操作時(shí)可根據(jù)實(shí)際環(huán)境和要求，對(duì)信息系統(tǒng)生命周期進(jìn)行改動(dòng)和細(xì)化。信息系統(tǒng)生命周期的概念是如何在信息系統(tǒng)整個(gè)生命周期中通過(guò)對(duì)技術(shù)、管理、工程和人員建立的信息系統(tǒng)安全保障保證下的覆蓋整個(gè)生命周期的動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全。