信息系统安全保障评估主要包括两方面的评估:
1)信息系统在其运行环境中其具体的安全保障控制相对于安全保障要求(目标)的符合性的评估
信息系统在其运行环境中其安全保障控制对安全保障要求的符合性(即信息系统的技术体系、管理控制和工程实施相对于信息系统在其运行环境下的符合性),是同信息系统保护轮廓(Information System Protect Profile,ISPP)和信息系统安全目标(InformationSystemi Security Target,IsST)相关的内容。信息系统保护轮廓是从信息系统的所有者角度来描述的信息系统安全保障的规范化需求描述。对信息系统保护轮廓( ISPP)的评估就是评估所编制的信息系统保护轮廓是否符合ISPP规范化描述的要求,以及评估它是否真正反应了信息系统所有者的真实的安全保障要求。信息系统安全目标(ISST)是从信息系统安全保障的建方角度来描述的信息系统安全保障方案。信息系统安全目标的评估就是评估所编制的信息系统安全目标是否符合ISST规范化描述的要求以及它是否能够真正解决和满足信息系统保护轮廓的信息系统安全保障要求。
2)信息系统安全保障级的评估
信息系统安全保障级( Information Systems Assurance Level,ISAL)是信息系统所提供的各项安全技术保障、安全管理保障、安全工程保障的实施、正确性、质量和能力进行保障(或信心)的强度和程度的特征,是对信息系统安全保障持续改进的能力特征的描述。信息系统安全保障级( ISAL)是信息系统在其运行环境中,实施信息系统安全保障方案(即实施信息系统安全目标( ISST))的具体实施情况和实施能力的反映。