2.信息系统安全保障评估
信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的客观证据,向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是信息系统,信息系统不仅包含了仅讨论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程,涉及信息系统整个生命周期,因此信息系统安全保障的评估也应该提供一种动态持续的信心。
评估是信息系统安全保障的一个重要概念,系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。上图描述了信息系统安全保障评估的概念和关系。
信息系统安全保障的评估,是从信息系统安全保障的概念出发,在信息系统的生命周期内,根据组织机构的要求,在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合,从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。
下图给出信息系统安全保障评估的描述。