4.1 引言

本章介紹信息系統安全保障評估框架的主要概念，確定目標讀者、評估環境和組織材料的方法。

信息安全的特征是為了保證信息的保密性、完整性和可用性。信息系統安全保障是以風險和策略為核心，在信息系統運行環境的整個生命周期中提供包括技術、管理、人員和工程過程的綜合安全保障，在信息系統中保障信息的這些安全特征，并實現組織機構的使命。

信息系統的用戶需要一種標準化、規范化的公共描述語言、結構和方法以描述其信息系統安全保障的要求，即其信息系統所需要的安全技術保障、管理和工程領域的內容和能力，并使用這種公共的語言同信息系統的所有相關方（包括設計開發人員、評估人員等）進行溝通。信息系統安全保障的設計開發、工程施工和運行維護等相關人員就可以依據此要求設計開發對應的信息系統安全保障解決方案，并根據其在信息系統的整個生命周期中的角色完成信息系統安全保障方案中所要求的工作。信息系統的評估人員依據這些要求和方案等，使用科學規范的評估方法對信息系統安全保障進行評估，得出信息系統安全保障的內容（技術架構、工程和管理措施）滿足用戶信息系統保護輪廓以及信息系統系統安全保障能力的級別；通過評估所得到的客觀證據，增強信息系統的用戶和所有相關方對信息系統在其運行環境中足以對抗相應威脅、保障資產和實現其使命的信心。同時，信息系統的用戶和相關方在信息系統的整個生命周期中持續改進和完善，形成可持續改進的信息系統安全保障能力。