0.2　信息系統安全保障評估框架的編制目的和意義

本標準的編制目的是作為信息系統安全保障建設和評估的基礎標準，為信息系統安全保障工作的所有相關方（包括設計開發人員、評估人員等）提供一種標準化、規范化的公共描述語言、結構和方法以描述和溝通信息系統安全保障建設和評估的要求。本標準是GB/T 18336-2001在信息系統領域的擴展和補充，它是以GB/T 18336-2001為基礎，吸取信息技術安全性評估準則的科學方法和結構，將GB/T 18336-2001從產品和產品系統擴展到信息技術系統，然后進一步同其他信息系統運行環境所涉及的安全管理和安全工程等領域的標準和規范進行結合、擴展和補充形成的覆蓋信息系統全生命周期的、建設和評估信息系統安全保障內容和能力的通用框架。

本標準的制定，為信息系統安全保障的建設和評估建立了基礎，從而進一步指導具體信息系統安全保障要求的開發，并可作為信息系統安全設計、實施，建設、評估和認可的參考依據。

本標準是信息系統安全保障基礎性和框架性的標準，給出了對信息系統安全保障體系的通用要求，其意義在于：

a) 用于用戶描述和規定對信息系統安全保障的要求；

b) 有利于信息系統安全集成商和安全服務提供商提供更為科學規范化的設計和服務，有利于國內信息安全產業市場的規范發展；

c) 有利于有關行政管理部門，行政執法機構，第三方測評認證機構對信息系統安全進行檢查、檢測、審計、評估和認證。