对信息系统安全保障的评估,首先需要根据信息系统运行环境及相关的信息系统安全保障需求进行描述,信息系统安全保障评估准则提供了对安全保障需求描述的公共语言、结构和方法,这就是信息系统安全保障要求(ISPP);然后就可以依据信息安全保障要求编制满足用户需求的信息系统安全保障方案,即信息系统安全保障目标(ISST)。系统评优者依据这些文件对信息系统安全保障方案(IS-ST)对信息系统安全保障要求(ISPP)的符合情况进行评估,并在整个信息系统生命周期中对信息系统安全保障方案的执行情况和执行能力进行评估;最终确定组织机构的信息系统安全保障能力的级别。
·信息系统安全保障评估等级总体框架
如图4-6所示,在基于安全风险分析得出的系统安全保护等级划分的基础上,提出安全需求,即得到评估对象的保护轮廓。参照评估准则和规范,制定出评估预案和规划,使用相应评估方法和工具,即可实施对评估对象的评估操作。评估中发现的问题、差距再反馈到评估的预案制订和安全需求,评估对象作相应调整、优化,达到信息系统资产所有者保证资产安全的初衷,即残余风险是可以接受,资产价值受到保护,使命可以完成,最后得到评估结论,并给出安全等级的认证。
图4-6 信息系统安全保障等级评估总体框架
(责任编辑:adminadmin2008)