ISSAF là một chuẩn phân tích và kiểm tra an toàn hệ thống mã nguồn mở. ISSAF tiến hành các đánh giá theo một thứ tự hợp lý. Mỗi đánh giá này được thực hiện trên các thành phần khác nhau của hệ thống. Bằng cách tiến hành theo một vòng khép kín, ISSAF có thể cung cấp chính xác, đầy đủ, và hiệu quả yêu cầu kiểm định an ninh của tổ chức. ISSAF được phát triển để tập trung vào hai lĩnh vực kiểm tra an toàn hệ thống: kỹ thuật và quản lý. Mặt kỹ thuật thiết lập các quy tắc và thủ tục cốt lõi để tạo ra một quá trình đánh giá đầy đủ về an toàn hệ thống, trong khi mặt quản lý hoàn thành các bước của quá trình quản lý và những công việc nên được thực hiện trong giai đoạn kiểm tra. Phương pháp đánh giá ISSAF bao gồm các giai đoạn: lập kế hoạch, đánh giá, xử lý, cấp phép và bảo trì. Mỗi giai đoạn được tiến hành hiệu quả và linh hoạt tùy theo điều kiện cụ thể. Kết quả cuối cùng là sự kết hợp của các hoạt động nghiệp vụ, các giải pháp làm tăng an toàn hệ thống và một danh sách đầy đủ các lỗ hổng có thể tồn tại trong môi trường được kiểm tra.
ISSAF bao gồm một tập hợp các quy trình, kỹ thuật đánh giá khác nhau và thường xuyên được cập nhật. Người kiểm tra có thể thêm vào các công cụ, các phương pháp, thủ tục,… để bổ sung cho quy trình đánh giá an toàn hệ thống. Cũng có thể kết hợp với phương pháp OSSTMM hoặc bất kỳ phương pháp kiểm tra nào khác nhằm phát huy ưu điểm của mỗi phương pháp.
Ưu điểm của phương pháp ISSAF:
- Là phương pháp hữu ích trong việc đảm bảo an toàn cho hệ thống bằng cách thực hiện các kiểm tra lỗ hổng hệ thống.
- Chỉ ra những thành phần quan trọng trong đánh giá an toàn thông tin như: đánh giá rủi ro, quản lý kinh doanh, tổ chức đánh giá, tiến trình quản lý, phát triển chính sách bảo mật và các thực hành hữu ích.
- Toàn bộ tiến trình đánh giá ISSAF bao gồm các hoạt động quản lý, đánh giá bảo mật vật lý, phương pháp thử nghiệm thâm nhập, quản lý sự cố, quản lý thay đổi, quản lý kinh doanh liên tục, nhận thức về bảo mật, tuân thủ pháp luật và quy định.
- Phương pháp kiển thử xâm nhập ISSAF kiểm tra cả thành phần mạng, hệ thống hoặc ứng dụng. Phương pháp này tập trung vào những công nghệ cụ thể như thiết bị định tuyến (router), chuyển mạch (switch), tường lửa, hệ thống phát hiện và phòng thủ xâm nhập, mạng riêng ảo, máy chủ ứng dụng web, CSDL,… - Thu hẹp khoảng cách giữa kỹ thuật và quản lý kiểm tra bảo mật bằng cách thực hiện các tác động cần thiết ở cả hai lĩnh vực.
- Giúp người quản lý hiểu về những rủi ro bảo mật và các lỗ hổng có thể ảnh hưởng đến hoạt động của tổ chức.