2.信息系統安全保障評估

信息系統安全保障評估，就是在信息系統所處的運行環境中對信息系統安全保障的具體工作和活動進行客觀的評估。通過信息系統安全保障評估所搜集的客觀證據，向信息系統的所有相關方提供信息系統的安全保障工作能夠實現其安全保障策略，能夠將其所面臨的風險降低到其可接受的程度的主觀信心。信息系統安全保障評估的評估對象是信息系統，信息系統不僅包含了僅討論技術的信息技術系統，還包括同信息系統所處的運行環境相關的人和管理等領域。信息系統安全保障是一個動態持續的過程，涉及信息系統整個生命周期，因此信息系統安全保障的評估也應該提供一種動態持續的信心。

評估是信息系統安全保障的一個重要概念，系統所有者可以根據評估所得到的客觀評估結果建立其主觀的信心。上圖描述了信息系統安全保障評估的概念和關系。

信息系統安全保障的評估，是從信息系統安全保障的概念出發，在信息系統的生命周期內，根據組織機構的要求，在信息系統的安全技術、安全管理和安全工程領域內對信息系統的安全技術控制措施和技術架構能力、安全管理控制和管理能力以及安全工程實施控制措施和工程實施能力進行評估綜合，從而最終得出信息系統在其運行環境中安全保障措施滿足其安全保障要求的符合性以及信息系統安全保障能力的評估。

下圖給出信息系統安全保障評估的描述。