5.2 信息安全管理保障控制

信息安全管理保障控制建立了建設和評估組織機構信息安全管理保障框架的內容和工作范圍。在信息系統安全保障評估框架第一部分簡介和一般模型中，給出了信息系統安全的三維結構圖，即描述了信息系統安全中保障要素（技術、工程、管理和人員）、信息特征和生命周期三者的關系。信息系統安全管理保障作為保障要素一個組成部分，不僅同同處于一個平面的其他保障要素有關聯，信息系統安全管理保障更通過深入至信息系統生命周期的每一個階段從而保證信息的保密性、完整性和可用性來實現信息系統的安全。因此，為了完整地對信息系統管理進行評估，就需要將安全管理本身作為評估對象TOE，以風險和策略為核心，并基于信息系統的生命周期分別針對其每一個階段的重點建立各種信息安全管理控制，以確保在信息系統生命周期的整體安全，從而保證了信息系統的安全性。圖1描述了信息系統安全管理保障控制框架。
。

從上圖可見，信息系統安全保障管理控制框架包括三個部分：
a) 信息系統安全管理保障應以風險和策略為核心。這也是信息系統安全保障的核心，因此信息安全策略體系（MSP）和風險管理（MSR）安全保障控制類作為獨立的安全管理保障控制類并作為所有其他安全管理保障控制類的核心，充分反映了這一基礎概念；
b) 信息安全管理保障應覆蓋信息系統整個生命周期。信息系統典型的生命周期模型分為計劃組織、開發采購、實施交付、運行維護、廢棄五個階段以及變更應用于系統產生的閉合循環周期結構。因此，與之對應并結合了組織機構信息系統的特殊要求，提供了信息安全規劃管理（MIP）、投資和預算管理（MIB）、系統開發與維護管理（MAD）、信息和通信技術運行管理（MCO）以及安全評估、認證和認可（MCC）信息安全管理保障控制類；
c) 信息安全管理保障中重要的管理保障過程。在信息系統安全管理保障中，應提供事故響應管理（MIR）以及業務持續性和災難恢復管理（MBP）這兩個重要的信息安全管理保障過程；
d) 信息系統安全保障管理基礎設施：信息系統安全保障管理基礎設施為所有信息系統安全保障管理提供基礎的設施。從信息系統安全保障管理的角度來看，組織機構的信息安全組織體系（MOA）、人員安全（MPS）、資產管理（MAS）、物理和環境安全（MPH）以及符合性管理（MCP）是所有信息系統安全管理保障活動所必須依賴的基礎。
通過上述信息系統安全保障管理框架模型的建立，即信息系統安全保障管理評估對象TOE的建立，就可以分別對這些具體的信息系統安全保障管理的工作產品或管理過程能力進行評估已達到對信息系統安全性評估管理評估的具體操作實踐和目的。