0.3　信息系統安全保障評估框架的使用

啟動、實施、維護、評估和改進信息系統安全保障工作的組織機構和涉及信息系統安全保障工作的所有用戶、開發人員和評估人員都可以根據其自身的業務和風險管理的具體要求使用本標準。

信息系統安全保障工作的所有相關方（包括設計開發人員、評估人員等）都可以使用本標準中所提供這種標準化、規范化的公共描述語言、結構和方法以描述和溝通信息系統安全保障建設和評估的要求。

在使用中，可以使用本標準所有部分以指導信息系統安全保障的綜合保障工作的建設和評估，同時也可以根據本標準各部分分別對各部分所涉及的具體領域指導信息系統安全保障的安全技術體系、安全工程和安全管理工作的建設和評估。本標準可以應用的主要領域包括但不限于以下內容：

a) 結構化、規范化描述信息系統安全保障的要求，即編制信息系統保護輪廓（ISPP）；

b) 設計和規劃符合信息系統安全保障要求的信息系統安全保障體系的方案和規范，即根據信息系統保護輪廓（ISPP）的要求來編制對應的信息系統安全目標（ISST）；

c) 指導信息系統安全保障工作具體學科和領域的建設和評估工作，包括：

1) 編制和評審信息安全保障方案。編制信息系統安全保障方案，以及評估所編制的信息系統安全保障方案（即ISST-信息系統安全目標）同信息系統安全保障要求（即ISPP-信息系統保護輪廓）的符合性；

2) 信息系統安全工程的實施和評估。依據其信息系統的信息系統安全目標和本標準中的第四部分工程保障部分，指導安全工程的實施以及評估所實施工程的內容和工程實施的能力；

3) 信息息系統安全管理的實施和評估。依據信息系統的信息系統安全目標和本標準中的第三部分管理保障部分，指導安全管理的實施以及評估所實施的管理的內容和管理實施的能力；

d) 信息系統在其運行環境中的信息系統安全保障能力整體的建設和綜合評估。依據信息系統的信息系統安全目標和綜合本標準中的技術、管理和工程保障部分，評估信息系統安全保障體系是否符合其信息系統安全保障要求和信息系統安全保障的能力。