0.4　建立自己的信息系統安全保障框架

本標準是建設和評估組織機構自己特定的信息系統安全保障框架的起點。信息系統安全保障是一個不斷發展的領域和學科，本標準僅是對目前信息安全保障工作的理解。本標準中所包含的信息系統安全保障的技術、管理和工程的控制和指南對組織機構而言可能不是全部都適用的；而且，組織機構可能也需要本標準中所沒有包含的其它控制和指南。當組織機構的文件包含了其它指南或控制時，如果可能，包含其同本標準中相關章節的交叉參考將會幫助信息系統安全保障工作的所有相關方（包括設計開發人員、評估人員等）的溝通和理解。