|
信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所收集的客观证据,向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略,能够将其所面临的风险降到其可接受程度的主观信心。信息系统安全保障评估的对象是信息系统,信息系统不仅包含信息技术系统,还包括与信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程,涉及信息系统整个生命周期,因此,信息系统安全保障的评估也应该提供一种动态持续的信心。 信息系统安全保障的评估,是从信息系统安全保障的概念出发,在信息系统的生命周期内,根据组织机构的要求,在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合,从而最终得出信息系统安全保障措施在其运行环境中满足其安全保障要求的符合性以及信息系统安全保障能力的评估。 信息系统安全保障评估主要包括以下两方面的评估: 1.在信息系统运行环境中,其具体的安全保障控制相对于安全保障要求(目标)的符合性的评估; 2.信息系统安全保障级的评估。 【出处】朱胜涛,温哲,位华,张晓菲, 沈传宁.注册信息安全专业人员培训教材.北京师范大学出版社,2019年5月第1版.
| 
发表于 2025-11-3 07:59:25