5.2 安全上下文

安全涉及保護資產不受威脅，這些威脅可依據所保護的資產被濫用的可能性進行分類。應該考慮所有的威脅類型，但在安全領域內，應對與惡意的或其他人類活動的威脅給予更多地重視。圖2說明了信息系統安全保障中安全的高層概念和關系。

.

保護資產是那些對資產賦予價值的所有者的責任。實際或假定的威脅主體對資產也賦予了一定的價值，并希望以違背所有者初衷的方式濫用資產。所有者將會意識到這種威脅可能致使資產損壞，對所有者而言資產中的價值將會降低。安全性損壞一般包括但又不僅包括以下幾項：資產破壞性地暴露于未授權的接收者（失去保密性），資產由未授權的更改而損壞（失去完整性），或資產訪問權被未授權的喪失（失去可用性）。

資產所有者必須分析可能的威脅并確定哪些存在于他們的環境，其結果就是風險。這種分析會有助于安全控制的選擇，以應對風險并將其降低到一個可接受的水平。

安全控制用于減少脆弱性并滿足資產所有者的安全策略（直接或間接地提供指導）。在安全控制使用后仍會有殘留的脆弱性，這些殘留的脆弱性仍可以被威脅者利用，從而造成了資產的殘余風險。資產所有者會通過給出其它的約束來尋求最小的殘余風險。

在資產所有者將其資產暴露于特定威脅之前，所有者需要確信其安全控制足以應付面臨的威脅。所有者自己可能沒有能力對安全控制的所有方面加以判斷，但可以尋求安全控制的評估。評估結果是對保證性可達到程度的描述，即信任安全控制能用于降低所保護資產的風險。該描述還將安全控制的保證性進行分級。保證性是安全控制的特性，這種特性是信任正確操作的基礎。資產所有者可以根據此描述決定是否接受將資產暴露給威脅所冒的風險。

通常，資產所有者應當對資產負責，并應能對作出接受暴露資產于威脅前的決定進行論證。這就需要上述評估結果是可以論證的。那么，評估應產生客觀的、可重復的可被引用作證據的結論。

5.2.2　信息系統安全保障模型

5.2.2.1　信息系統安全保障模型概念

在一般安全上下文中，給出了信息系統安全保障中安全的高層概念和關系。這個安全的高層概念和關系模型是信息系統安全保障評估框架的基礎，信息系統安全保障評估框架在此基礎上考慮了信息系統安全保障的特點并給出了信息系統安全保障模型，以減少信息系統的脆弱性，減少風險，保障資產從而保障和實現組織機構的使命。
信息系統安全保障模型的主要內容是：以風險和策略為出發點和核心，即從信息系統所面臨的風險和信息系統所處的環境出發制定組織機構信息系統安全保障策略體系，通過在信息系統生命周期中對技術、工程、管理和人員進行保證，確保信息的保密性、完整性和可用性特征，從而實現和貫徹組織機構策略并將風險降低到可接受的程度，達到保護組織機構信息和信息系統資產，從而保障組織機構實現其使命的最終目的。
圖3描述了信息系統安全保障模型。
.

整個信息系統安全保障模型是一個以風險和策略為基礎，包含保障要素、生命周期和安全特征三方面的模型。

本模型主要特點為：

a) 以安全概念和關系為基礎，將風險和策略作為信息系統安全保障的基礎和核心；

b) 強調信息系統安全保障持續發展的動態安全模型，即強調信息系統安全保障應綜合至整個信息系統生命周期的全過程中；

c) 強調信息系統安全保障的概念，信息系統的安全保障是通過綜合技術、管理、工程和人員的安全保障要求來實施和實現信息系統的安全保障目標，通過對信息系統的技術、管理、工程和人員要求的認證認可、評估結果提供了對信息系統安全保障的信心；

d) 通過以風險和策略為基礎，在整個信息系統的生命周期中實施技術、工程、管理和人員保障要素，從而使信息系統安全保障實現信息安全的安全特征：信息的保密性、完整性和可用性特征，從而達到保障組織機構執行其使命的根本目的。

整個信息系統安全保障模型建立在信息系統所處的運行環境、風險和策略的基礎上。信息系統所處的運行環境和風險是信息系統安全保障的起點，正是由于針對信息系統運行環境的風險，有了特定威脅動機的威脅源、使用各種攻擊方法、利用信息系統運行環境中的各種脆弱性、對信息系統的資產造成相應影響，由此才引出信息安全問題；信息安全就是在信息系統的運行環境中圍繞著風險，針對其運行環境中所面臨的各種風險，根據由此制定的策略體系，在信息系統生命周期各個階段采取管理、技術等安全保障措施，將風險減少至預定可接受的程度，從而保障其使命要求。策略體系是組織機構對風險、資產和使命綜合理解的基礎上所作出的的指導文件，策略體系的制定，反映了組織機構對信息系統安全保障及其目標的理解，它的制定和貫徹執行對組織機構信息系統安全保障起著綱領性的指導作用。

本標準更強調信息系統所處的運行環境、信息系統的生命周期和信息系統安全保障的概念。信息系統生命周期有各種各樣的模型，在本標準中的信息系統生命周期模型是基于這些模型的一個簡單、抽象的概念性說明模型，它的主要用途在于對信息系統生命周期模型進行示例說明，在進行信息系統安全保障評估具體操作時可根據實際要求和環境對信息系統生命周期進行改動和細化。對于信息系統安全保障而言，信息系統生命周期的概念是強調是信息系統安全保障并不是僅僅在某個時刻時間點下的安全，而是如何在信息系統的整個生命周期中通過對技術、人員、管理和工程建立的信息系統安全保障保證下的覆蓋整個生命周期的動態持續性的長效安全。

5.2.2.2　信息系統安全保障模型關系

在信息系統安全保障模型中，信息系統的生命周期層面和保障要素層面不是相互孤立的，而是相互關聯、密不可分的。圖4示例化地描述了它們之間的關系。

信息系統安全保障并不是憑空而生的，它建立在信息系統在其運行環境中的整個生命周期的安全保障的基礎上。在信息系統生命周期模型中，將信息系統的整個生命周期抽象成計劃組織、開發采購、實施交付、運行維護和廢棄五個階段以及在運行維護階段的變更產生的反饋，形成信息系統生命周期完整的閉環結構。在信息系統的生命周期中的任何時間點上，都需要綜合信息系統安全保障的技術、管理、工程和人員保障要素對信息系統進行安全保障。

a) 信息系統的計劃組織階段：由于組織機構的使命要求和業務要求產生了信息系統安全保障建設和使用的需求。在此階段，信息系統的風險及策略應加入至信息系統建設和使用的決策中，從信息系統建設的開始就應該綜合安全保障的考慮，使信息系統的建設和信息系統安全保障的建設同步規劃、同步實施；

b) 信息系統的開發采購階段：此階段是初始化階段的細化、深入和具體體現，在此階段中，進行系統需求分析、考慮系統運行的需求、進行系統體系的設計以及相關的預算申請和項目準備等管理活動。在此階段，應克服傳統的片面的基于具體技術或產品的片面性，基于系統需求和風險、策略將信息系統安全保障作為一個整體進行系統體系的設計和建設，以建立信息系統安全保障整體規劃和全局視野。組織機構可根據具體要求，對系統整體的技術、管理規劃或設計進行評估，以保證對信息系統的整體規劃滿足組織機構的建設要求和相關國家/行業/組織機構的其他要求；

c) 信息系統的實施交付階段：信息系統的實施階段分為兩種類型的實施，一種是基于開發的實施，即信息系統的實施主要由針對某種軟件、硬件的開發過程組成；另一種是基于購買/客戶化/集成的實施，即信息系統的實施主要基于現有商業產品以及相關客戶化和多個現有商業產品的集成組成。在此階段，組織機構可通過對承接實施階段的第三方進行安全服務資格要求和信息安全專業人員資格要求以確保實施施工組織的服務能力；組織機構還可通過信息系統安全保障的工程保障對實施施工過程進行考察，最終確保所交付系統的安全性；

d) 信息系統的運行維護階段：當信息系統完成實施投入運行后，就進入了運行維護階段。信息系統進入運行維護階段后，如何對信息系統的管理、運行維護和使用人員的能力等方面綜合保障，是信息系統得以安全正常運行的根本保證；

e) 信息系統的變更和反饋：信息系統投入運行后并不是一成不變的，它隨著需求的變更、外界環境的變更產生新的要求或增強原有的要求，重新進入信息系統的初始化階段；

f) 信息系統的廢棄：當信息系統的不能滿足現有要求時，信息系統進入廢棄階段。
這樣，通過在信息系統生命周期的所有階段融入信息系統安全保障概念，確保了信息系統的持續動態安全保障。