A、国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB／T20274.1-2006）中的信息系统安全保障模型将风险和策略作为基础和核心

B、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D、信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入