该模型的主要特点为:
- 以安全概念和关系为基础,将风险和策略作为信息系统安全保障的基础和核心。
- 强调信息系统安全保障持续发展的动态安全模型,即强调信息系统安全保障应渗入 整个信息系统生命周期的全过程;
- 强调信息系统安全保障的概念,信息系统的安全保障是通过综合技术、管理、过程和人员的要求等措施实施和实现信息系统的安全目标,通过对信息系统的技术、管理、过程和人员要求的评估结果以及相应的认证认可,提供对信息系统安全保障的信心。
- 通过风险和策略基础,生命周期和保障层面,实现信息的可用性、完整性和可控性,从而达到保障组织机构执行其使命的根本目的。
信息系统安全测评认证的基础与原则
(1)信息系统安全保障评估
信息系统是由信息技术系统以及包含了人、管理、环境的运行环境组成,信息系统安全保障是对信息系统整个生命周期中抵御风险能力的综合考虑。因此,信息系统安全保障工作需要建立基于能力的逐步改进的长效机制。基于能力的西悉尼安全保障评估以及在相关的软件能力成熟度模型、信息治理cobit模型、信息服务和支持ITTL框架等,都已经成为国内外专家普通认可的方式。
信息系统安全保障能力及能力评估包括对安全技术构架能力、安全管理能力、安全工程建设能力的能力综合,信息系统安全保障需要对这些能力进行综合评定。
对信息系统安全保障评估必须考虑信息系统的特定运行环境和保障需要,并提供信息系统安全保障能力的评估;也就是信息系统安全保障的结果应提供信息系统安全保障工作满足用户信息系统在其运行环境下的安全保障需求并且对完成安全保障需求的能力,即信息系统安全保障能力进行评估。这样构成了信息系统安全保障评估的全部内容,如图4-5所示。
图4-5 信息系统安全保障评估内容
(责任编辑:adminadmin2008)
