20.2 安全評估、認證和認可（MCC_ECC）

20.2.1　安全保障管理目的

組織機構對信息系統的安全控制措施進行評估、認證和認可，以監督和管理組織機構的信息安全保障工作。

20.2.2　MCC_ECC.1 安全評估

20.2.2.1　管理保障控制組件控制

組織機構應[賦值：組織機構定義的頻率，至少每年一次]進行信息系統的安全控制措施評估，以檢驗現有控制措施正確實施的程度、是否按照計劃實施，產生的輸出結果是否滿足系統的安全需求。

20.2.2.2　管理保障控制組件注解

組織機構應根據自己的業務需求，對信息系統的管理、運行和技術控制方法進行評估。評估的頻率可參考風險評估的頻率進行，但至少每年應評估一次。

20.2.3　MCC_ECC.2 信息系統連接

20.2.3.1　管理保障控制組件控制

當信息系統連接到認可邊界外的其他信息系統時，組織機構應對這些連接授權，并在現有條件下監督和控制系統的相互連接。組織機構相關負責人批準信息系統互聯協議。

20.2.3.2　管理保障控制組件注解

組織機構應根據國家、信息安全權威機構、行業管理機構、上級機構以及本機構的相關法律法規、行政要求、標準規范和信息安全安策略體系要求，結合組織機構業務和風險管理的要求，對信息系統進行安全分類。組織機構在進行安全分類前，應該仔細考慮當前系統與其他具有不同安全需求和安全控制方法的信息系統連接時所引入到組織機構內部和外部的風險。同時還包括信息系統與互聯網連接所帶來的風險。

20.2.4　MCC_ECC.3 安全認證

20.2.4.1　管理保障控制組件控制

組織機構應實施信息系統的安全控制措施評估，以檢驗現有控制措施正確實施的程度、是否按照計劃進行實施，產生的輸出結果是否滿足系統的安全需求。

20.2.4.2　管理保障控制組件注解

組織機構應選擇國家信息安全權威機構進行安全認證。安全認證應組合到系統開發生命周期（SDLC）中,并貫穿在生命周期各個階段。

20.2.5　MCC_ECC.4 安全認可

20.2.5.1　管理保障控制組件控制

信息系統運行之前需得到組織機構的授權（例如：認可），并以[賦值：組織機構定義的頻率]更新授權。組織機構的高級管理人員簽署并批準安全認可。

20.2.5.2　管理保障控制組件注解

組織機構在安全認可之前應評估信息系統內部所使用的安全控制措施 。

20.2.6　MCC_ECC.5 持續監控

20.2.6.1　管理保障控制組件控制

組織機構應監控信息系統現有的安全控制措施。

20.2.6.2　管理保障控制組件注解

持續監控活動包括配置管理、信息系統組件控制、系統變更后的安全影響分析、現有安全控制措施評估和狀態匯報。組織機構首先建立監控標準，然后對一系列的信息系統內部所使用的安全控制措施進行持續監控。