信息系统安全保障评估框架

信息系统
　　用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、机构人员和组件的总和。
　　信息系统安全风险
　　是具体的风险，产生风险的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境存在特定威胁动机的威胁源。
　　信息系统安全保障
　　在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出信息安全保障要求，确保信息系统的保密性、完整性和可用性，把安全风险到可接受的程度，从而保障系统能够顺利实现组织机构的使命。