9.3.3 涉及的术语及其定义
本标准采用以下术语和定义:
(1)资产。任何对于组织具有价值的事物。
(2)控制措施。管理风险的方法,包括方针(策略)、程序、指南、惯例或组织架构,这些方法可以是行政的、技术的、管理的或法律的。
(3)指南。阐明为实现方针中设立的目标应该做什么和怎么做的描述。
(4)信息处理设施。任何信息处理系统、服务或基础设施,或放置它们的物理场所。
(5)信息安全。保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。
(6)信息安全事件(information security event)。信息安全事件是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
(7)信息安全事故(information security incident)。一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大的可能性。
(8)方针。管理层正式发布的总体意图与方向。
(9)风险。事件发生的可能性和后果的结合。
(10)风险分析。系统地使用信息以识别来源和估计风险。
(11)风险评估。风险分析和风险评价的全过程。
(12)风险评价。将估计的风险与既定的风险准则进行比较以确定重要风险的过程。
(13)风险管理。指导和控制一个组织的风险的协调的活动。
(14)风险处置。选择和实施措施以改变风险的过程。
(15)第三方。当考虑一个问题时,被认为是独立于涉及方的人员或实体。
(16)威胁。非预期事件地潜在原因,这些事件可能对系统或组织造成损害。
(17)脆弱性。可能被一个或多个威胁利用的一个或一组资产的弱点。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
