全文共分为四大部分。 第一部分作者首先介绍了信息安全的目标以及信息安全保障的框架；其次，作者给出了信息系统安全认证和认可的一般框架和理论基础模型。 第二部分作者首先比较了美国现有的三个信息系统安全认证和认可指南——DITSCAP、NISCAP和NIST800-37（草案）的不同，分析了三者的关系；其次，对最新的国家标准局（NIST）开发的信息系统安全认证和认可的方法和过程作了详细的分析和总结，指出了其合理性和不足。 第三部分作者提出了基于安全目标的系统安全认证和认可的方法，该方法提出以安全目标的风险等级作为构建初始安全控制包的条件，并提出针对不同安全目标构建相应的安全增强包，作为构建初始安全控制包的基础。这不仅弥补了NIST认证在构建初始安全控制包时没有考虑系统实际风险的不足，也减少了对初始安全控制包的裁剪工作，使得安全认证的方法更合理、有效。 第四部分主要是进一步讨论了信息系统安全认证和认可的基础和关键的环节，并给出了基于安全目标的认证方法关键环节的具体实现方法和示例。