威胁级别                   威胁说明 
    T1                无意的或意外的事件 
    T2                被动的、无意识地占用很少资源并且愿意冒少量风险的对手 
    T3                占用少量资源但是愿意冒很大风险的对手 
    T4                占用中等程度资源的熟练的对手，愿意冒少量风险 
    T5                占用中等程度资源的熟练的对手，愿意冒较大风险 
    T6                占用丰富程度资源的特别熟练的对手，愿意冒少量风险 
    T7                占用丰富程度资源的特别熟练的对手，愿意冒较大风险 
  
     ·信息系统安全保障级（ISAL）矩阵 
    得到了信息系统的使命类和信息系统威胁的分级，就可以利用表4.5对信息系统的安全保障级作出要求。

表4.5  信息系统安全保障级矩阵示例
                          威胁级别
使命类   T1     T2      T3     T4     T5     T6      T7
I     ISAL1  ISAL1  ISAL1  ISAL2  ISAL2  ISAL2
II    ISAL1  ISAL1  ISAL1  ISAL2  ISAL3  ISAL3
III   ISAL1  ISAL2  ISAL2  ISAL3  ISAL3  ISAL4
IV   ISAL2  ISAL3  ISAL4  ISAL4  ISAL4  ISAL5
V    ISAL3  ISAL3  ISAL4  ISAL4  ISAL5  ISAL5

    （4）信息系统的安全测评认证方法 
    在确定了安全等级后，对信息系统的安全认证从管理、过程和技术架构三个方面进行评估认证。 
    ·在管理方面 
    依据《信息系统安全保障评估准则第三部分：管理准则》的要求，将信息系统的生命周期划分不同的管理域，每个管理域又可按照执行情况划分五个管理能力成熟度等级（MCML），据此便可衡量信息系统的安全管理保证程度。具体而言，一级管理能力成熟度表示组织内部能够依据经验进行部分的安全管理工作；二级表示组织能够建立完善的管理体系来规范安全管理的能力；三级表示

(责任编辑：adminadmin2008)