0.1　信息系統安全保障的含義

信息系統安全保障是關于組織機構保障其信息系統，從而保障組織機構信息和資產，最終保障組織機構使命，并為組織機構信息系統的所有相關方提供信心的復雜系統學科。我們可以從以下方面理解和思考信息系統安全保障：

a) 信息系統安全保障不僅僅是一門技術學科，信息系統安全保障應綜合技術、管理和人，是一門復雜的系統學科。在技術上，信息系統安全保障不僅僅應只考慮具體的產品和技術，不應局限于防火墻、入侵檢測、防病毒等產品以及黑客入侵等技術領域的范疇，而應該進一步考慮信息系統整體的信息技術系統體系結構。在管理上，信息系統安全保障應考慮建立綜合的信息系統安全保障、信息化的組織管理體系，明晰相應的崗位職責；信息系統安全保障應建立完善的規章制度并嚴格執行等等。在人員上，應加強所有使用信息系統人員的安全意識和能力，以及信息系統專業人員的專業技能和能力等；

b) 信息系統安全保障不僅僅是一種項目性的暫時行為，信息系統安全保障應融入信息系統生命周期的全過程。信息系統安全保障不僅僅是一種打補丁，頭疼醫頭、腳疼醫腳的應急行為。信息系統安全保障應考慮和覆蓋信息系統計劃組織、開發采購、實施交付、運行維護和廢棄的整個生命周期，形成信息系統安全保障能力的長效機制。在具體實踐中，信息系統安全保障工作應同信息化建設同步規劃、同步建設；信息系統安全保障工作應加強安全工程的建設和監理管理等；

c) 信息系統安全保障的目的不僅僅是保障信息系統本身，信息系統安全保障的根本目的是通過保障信息系統從而保障信息系統所支持的業務系統、保障組織機構的使命。信息系統安全保障不僅僅涉及信息系統本身，信息系統安全保障應以業務為主導、以組織機構的使命和社會職責和社會服務性為出發點和根本；

d) 信息系統安全保障不僅僅是孤立的自身的問題，信息系統安全保障是一個社會化的、需要各方參與的工作。信息系統安全保障不僅僅是孤立的自身的問題，信息系統需要電信、電力等提供基礎設施的支持、信息系統需要承擔保密、公共安全、國家安全等社會職責，信息系統安全保障工作是一個社會化的、需要各方參與的綜合的工作；

e) 信息系統安全保障是主觀和客觀的結合。沒有絕對的安全，信息系統安全保障并不提供絕對的安全，信息系統安全保障是討論風險和策略，討論適度安全的課題。信息系統安全保障就是通過技術、管理、工程和人員領域的客觀的安全保障工作和客觀的信息系統安全保障評估的結果，向信息系統的所有者等信息系統相關方提供其信息系統的相關安全保障工作足以對抗其所需對抗的防線、能夠滿足信息系統安全保障要求并足以保障信息系統資產及其使命的信心。因此，它是一種通過客觀工作向信息系統所有者及信息系統相關方提供主觀信心的活動。

因此，信息系統安全保障評估的框架和主要含義是：以風險和策略為出發點和核心，即從信息系統所面臨的風險和信息系統所處的環境出發制定組織機構信息系統安全保障策略體系，通過在信息系統的整個生命周期中從技術、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征，實現和貫徹組織機構策略并將風險降低到可接受的程度，達到保護組織機構信息和信息系統資產，從而保障組織機構實現其使命的最終目的。在信息系統安全保障評估框架中，評估對象的含義更加廣泛，它不僅涉及具體產品和產品系統，而且還包含信息系統運行環境的管理、工程等范疇，即用于采集、處理、存儲、傳輸、分發和部署信息的整個基礎設施、組織結構、人員和組件等總和的信息系統。