信息系统安全保障要素：

技术保障；

管理保障；

工程保障；

人员保障；

ISPP：信息系统保护轮廓；（一类产品或系统）

ISST：信息系统安全目标；（特定的产品或系统）

STOE：安全评估对象；（管理、技术、工程）

以上评估框架贯穿信息系统的全生命周期；

国内评估标准：GB/T 20274

企业安全架构：

SABSA：舍伍德；

背景层、概念层、逻辑层、物理层、组件层、运营层；

PDCA 

Zachman（5W1H）

TOGAF：开发群组架构框架；（认证）

信息安全保障评估框架

安全功能保障、非功能保障（时间、成本）

技术保障（证件）、管理保障（方法）、工程保障、人员保障

ISPP（信息系统保护轮廓，一类产品的安全目的和要求）

ISST（信息系统安全目标，特定产品的安全要求）

STOE（安全评估对象--技术、管理、功能）

信息系统安全保障：

生命周期--规划组织、开发采购、实施交付、运行维护、废弃

风险分析，响应的安全保障策略，

保障要素--技术、管理、工程、人员

安全特性--机密性、完整性、可用性

信息安全技术：

密码、访问控制、审计和监控、网络安全、操作系统、数据库安全等技术

企业安全架构

SABSA（舍伍德）：一个表格、6个层级、5W1H--what、why、how、howmuch、who、wherewhere、when

Zachman（6个角色、5W2How）、TOGAF（认证、实现企业架构）

战略一致性：安全性战略与企业业务战略保持一致（能够实现）

SABSA（舍伍德）考点

背景层-战略

概念层-涉及满足战略的架构、流程

逻辑层（设计视图）-架构的具体反映及功能

物理层（建设视图）

组建层（实施者视图）

运营层（服务和管理）