4.2 信息系統安全保障評估框架的目標讀者

4.2.1　概述

本標準的讀者有三類，包括：信息系統的所有者或用戶、信息系統的開發者和信息系統的評估者。本標準從內容和結構上支持所有三個方面的需求，他們是本標準的主要使用者。正如下文所述，他們都能從本標準中受益。

4.2.2　用戶

本標準為信息系統的用戶提供了一種公共的描述語言和結構，用戶可以從信息系統安全保障的技術、管理和工程領域來表達其信息系統安全保障的需求和要求，需求所形成的成果就是信息系統保護輪廓（ISPP）。信息系統安全保障要求是風險分析和組織安全策略的結果。本標準從文檔結構和內容上確保了滿足用戶表達其安全保障要求的需求，這是本標準的根本目的和理由。
信息系統的用戶可以使用這種規范化的需求描述（ISPP），使用這種公共標準的語言同信息系統的設計開發等相關人員進行更加有效的溝通和相互理解。
信息系統的用戶可根據信息系統安全保障評估的客觀公正的工作，獲得信息系統安全保障的客觀證據和評估結果，了解其信息系統安全保障的現狀，獲得其信息系統安全保障的信心。同時，信息系統的用戶還可以根據評估結果，了解自己信息系統安全工程保障的長處和缺陷，加強長處、改進缺陷，并組建形成可持續改進的信息系統安全保障能力，以跟上不斷變化的外在和內在環境的安全保障要求。

4.2.3　開發者

本標準能夠為開發者在準備和參與評估信息系統安全技術保障架構能力、安全工程保障能力和安全管理保障能力要滿足的安全保障需求方面提供支持。信息系統安全保障評估框架為信息系統安全保障的設計開發人員提供了一個科學規范的公共語言、結構和方法，使信息系統安全保障的設計開發人員能幫助客戶更好的描述其需求，編制符合其運行環境要求的信息系統安全目標（ISST），在其所編制開發的信息系統安全目標中設計開發具體的信息系統安全保障方案和措施。只要有一個相關的評估方法和雙方對評估結果的認可協定，信息系統安全保障評估框架還可以在準備和協助開發者的評估對象（TOE）評估方面支持除評估對象（TOE）開發者之外的其他人。
本標準還可以通過評估特定的技術、工程和管理要求來聲稱評估對象符合特定的安全保障要求。每一個評估對象的要求都包含在一個名為信息系統安全目標（ISST）的與實現相關的概念中。廣大用戶的要求由一個或多個信息系統保護輪廓（ISPP）提供。

4.2.4　評估者

本標準包含評估者判定評估對象與其安全保障要求一致時所使用的框架。同GB/T 18336信息技術安全性評估準則一樣，本標準用于描述評估者通常執行的一系列行為和執行這些行為所基于的安全技術、安全管理和安全工程過程要求。注意本標準并沒有規定實現這些要求的具體過程，具體過程可以由安全指南、操作手冊等文檔來描述。

4.2.5　其他讀者

由于本標準是面向評估對象的信息系統技術、工程和管理安全特性的規范和評估，它也可以作為對信息系統安全保障有興趣或有責任的各方面人員或組織的參考資料，比如:
a) 系統管理員和系統安全管理員：負責確定和達到組織的信息系統安全保障策略和要求；
b) 內部和外部的審計員：負責評定信息系統安全保障是否恰當；
c) 安全規劃和設計者：負責設計信息系統系統技術體系、安全工程保障和安全管理保障等規范；
d) 認可者：負責認可一個信息系統在特定環境中的使用；
e) 評估發起者：負責請求和支持一個評估；
f) 評估體制：負責管理和監督信息系統安全保障評估程序。