5.3 信息安全保障管理能力級

在管理保障控制組件中，給出了信息安全管理所涉及的管理保障控制類，它是信息安全管理過程中提煉出來的實踐的最佳反映。管理能力是遵循一個管理過程可達到的可量化范圍，通過對組織機構執行安全管理每個管理保障控制類能力反映了組織機構在執行信息安全管理達到預定的成本、功能和質量目標上的度量。
在管理保障中，信息安全管理能力級模型將列出并描述安全管理的各個能力級別，這樣通過對安全管理保障控制類的執行范圍和每個相應安全管理保障控制類的執行能力的綜合，就可以更完善地對組織機構信息安全管理進行科學、公正、可度量分級的評估。
在本部分的信息安全管理能力成熟度級中，共分為以下六個級別：
a) 能力級別0：未實施；
b) 能力級別1：基本執行；
c) 能力級別2：計劃和跟蹤；
d) 能力級別3：充分定義；
e) 能力級別4：量化控制；
f) 能力級別5：持續改進。
關于信息安全管理能力成熟度級的詳細描述，參見本部分的第21章。