为信息系统选用适宜的安全控制是一项至关重要的任务,对于确保机构的运转和资产安全有着重大意义。所谓安全控制,是指为信息系统制定的管理、运行和技术安全措施或对策,用以保护系统及其信息的保密性、完整性和可用性。安全控制被信息系统采用后,必须接受评价,以确定它们的总体效果,即确定安全控制在多大程度上被正确实施、按意图运行并产生符合信息系统安全要求的预期结果。安全控制评价在确定信息系统总体安全状态,以及如果系统投入运行或继续运行,机构的运转和资产所面临的最终风险的过程中,发挥着重要作用。