5.1 信息系統安全工程保障概述

本標準第1部分中提出了信息安全保障模型（參見本標準第1部分圖3），在模型中，描述了信息系統安全中保障要素（技術、工程、管理和人員）、信息特征和生命周期三者的關系。

信息安全工程保障框架是信息系統安全保障框架的一個重要組成部分，信息安全工程保障主要涉及同信息系統安全工程建設實施相關的工程保障內容和要求，信息系統安全工程保障結合了信息安全工程保障建設的特殊內容和要求，建立了信息安全管理保障的能力成熟度模型。

信息安全工程保障能力成熟度模型包含了兩個相互依賴的維度，即“安全工程保障控制維”和“安全工程保障能力成熟度級維”，它反映了信息安全工程保障要求的信息安全工程保障控制要求和信息安全工程能力成熟度要求這兩個方面的要求。

a) “安全工程保障控制維”由信息安全工程保障控制組成，它建立了建設和評估組織機構信息安全工程保障框架的內容和工作范圍。信息安全工程保障控制使用類—子類—組件的層次化結構，每個信息安全工程保障控制類反映了信息安全工程保障特定領域工作的范圍和內容，是信息安全工程保障特定領域工作最佳實踐的總結。在本部分中，共包含了3個信息安全工程保障控制類，它們解決了信息安全工程保障中“做什么”這個關于內容和范圍的答復；

b) “安全工程保障能力成熟度級維”由六級能力成熟度級別組成，它代表了組織機構實施信息安全工程保障控制的能力。安全工程保障能力成熟度級同特定的安全工程保障控制類相結合，解決了信息安全工程保障中“做得如何好”這個關于能力的答復，同時能力成熟度的持續改進機制也為組織機構提供了可以持續改進的長效機制。

通過設置這兩個相互依賴的維，信息安全工程保障框架在各個能力級別上覆蓋了整個安全工程活動范圍。

重要的是，信息安全工程保障框架并不意味著在一個組織在其信息系統生命周期的安全工程實踐中必須執行這個模型中所描述的任何過程。也不意味著執行通用實踐的專門要求。一個組織機構一般可隨意以他們所選擇的方式和次序來計劃、跟蹤、定義、控制和改進他們的過程。然而，由于一些較高級別的通用實踐依賴于較低級別的通用實踐，因此組織機構應在試圖達到較高級別之前，應首先實現較低級別通用實踐。