21.1 概述

在安全管理要求中根據信息系統生命周期闡述了信息系統安全保障管理所涉及的相關管理保障控制類，管理保障控制類的基本實踐覆蓋了信息系統安全保障管理的主要工作范圍。在本章的安全管理能力中，描述了每個管理保障控制類的實施能力要求。本章節首先介紹信息系統安全保障管理能力的6個能力級別，然后根據信息系統的要求，在最后給出本標準對信息安全管理所有過程類的能力級別要求圖。
安全管理能力體系結構的設計是可在整個安全管理范圍內決定安全管理的能力成熟性。這個體系結構的目標是清晰地在信息系統生命周期中分離出安全管理的基本特征。為了保證這種分離，這個模型是兩維的，分別稱為“類”和“能力”，
a) 類維是由本標準中所有定義安全管理的管理保障控制組件（即安全管理保障控制類）構成。這些實施活動稱為“管理保障控制組件”，即“管理保障控制類”；
b) 能力維代表組織能力。這一維由信息安全管理和制度化能力構成。這些實施活動被稱作“公共特征”，可在廣泛的類中應用。執行一個公共特征是一個組織能力的標志。
通過設置這兩個相互依賴的維，安全管理能力模型在各個能力級別上覆蓋了整個安全活動范圍。
重要的是，安全管理能力模型并不意味著在一個組織在其信息系統生命周期的安全管理實踐中必須執行這個模型中所描述的任何過程。也不意味著執行通用實踐的專門要求。一個組織機構一般可隨意以他們所選擇的方式和次序來計劃、跟蹤、定義、控制和改進他們的過程。然而，由于一些較高級別的通用實踐依賴于較低級別的通用實踐，因此組織機構應在試圖達到較高級別之前，應首先實現較低級別通用實踐。