3.信息系統安全保障評估模型

在國家標準GB/T 20274-.1-2006《信息安全技術信息系統安全保障評估框架第一部分： 簡介和一般模型》中，信息系統安全保障模型包含保障要素、生命周期和安全特征三方面。 具體如下圖所示。

信息安全保障模型的主要特點為：

1)將風險和策略作為信息系統安全保障的基礎和核心；2)強調信息系統安全保障持續發展的動態安全模型，即強調信息系統安全保障應貫穿于整個信息系統生命周期的全過程；3)強調綜合保障的觀念。信息系統的安全保障是通過綜合技術、管理、工程和人員的安全保障要求來實施和實現信息系統的安全保障國標，通過對信息系統的技術、管理、工程和人員要求的評估，提供了對信息系統安全保障的信心；4)通過以風險和策略為基礎，在整個信息系統的生命周期中實施技術、管理、工程和人員保障要素。通過信息系統安全保障實現信息安全的安全特征：信息的保密性、完整性和可用性特征，從而達到保障組織機構執行其使命的根本目的。

在這個模型中，更強調信息系統所處的運行環境、信息系統的生命周期和信息系統安全保障的概念。信息系統生命周期有各種各樣的模型，本書中的信息系統生命周期模型是基于這些模型的一個簡單、抽象的概念性說明模型，它的主要用途在于對信息系統生命周期模型進行示例說明。在進行信息系統安全保障具體操作時可根據實際環境和要求，對信息系統生命周期進行改動和細化。信息系統生命周期的概念是如何在信息系統整個生命周期中通過對技術、管理、工程和人員建立的信息系統安全保障保證下的覆蓋整個生命周期的動態持續性的長效安全。