ISO27001标准的术语和定义解析.doc

ISO27001标准的术语和定义解析 3.1资产asset 【内容解析】 1.资产是对组织有价值的任何东西，说明其能为所拥有或获得的组织创造财富。因此需要保护。资产识别时，应该牢记的是，资产不仅仅包含硬件和软件。 2.根据资产拥有者的情况，资产的拥有者可以是组织，也可以是个人。 3.资产可分为以下几种： 1）信息，例如：文档和数据等； 2）软件和系统，例如：应用软件、系统软件等； 3）硬件和设施，例如：存储设备、网络设备、保障设备等； 4）服务和其他，例如：IT服务、无形资产等； 5）人力资源，例如：涉密人员、特殊人员等。 3.2可用性 Availability 【内容解析】 1.可用性的目的是让所有合法用户能够使用到已授权的信息和功能。可用性通常用百分率表示，公式为：｛（规定服务时间－因意外中断时间）/规定服务时间｝×100％。例如：99.9%。 2.其与必威体育官网网址性（Confidentiality）和完整性（Intergeity）并称为信息安全的CIA三要素。 3.3必威体育官网网址性 Confidentiality 【内容解析】 必威体育官网网址性指数据、文档以及网络信息等不被泄露给非授权的用户、实体或过程。强调信息只为授权用户使用的特征。必威体育官网网址性是在可靠性和可用性基础之上，保障信息安全的重要手段。常用的必威体育官网网址技术： 1）物理必威体育官网网址：利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露。 2）防窃听：使对手侦察、接收不到有用的信息。 3）防辐射：防止有用信息以各种途径辐射出去。 4）信息加密：在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。 3.4信息安全 Information Security 【内容解析】 1.信息安全的目的是保证信息的必威体育官网网址性、完整性、可用性、真实性、可核查性等。必威体育官网网址性、完整性和可用性构成了信息安全的 CIA三要素。 2.信息安全是个相对的概念。没有绝对的信息安全。 3.5信息安全事态 Information Security Event 【内容解析】 1.有害或意外的信息安全事态是引发信息安全事件的源头。 2.信息安全事态发生后可能会造成信息安全事件，也可能未造成信息安全事??。 3.信息安全事态可能由一个原因导致的，也可能由多个原因导致的。 3.6信息安全事件 Information Security Incident 【内容解析】 1.一个或多个有害的或者意外信息安全事态是导致信息安全事件的源头。 2.事件发生后，根据事件的影响程度，可分为一般事件和重大事件。根据信息安全事件的影响程度，对信息安全事件做出最恰当和最有效的响应。 3.尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果，但在多数情况下，信息安全事态本身并不意味着破坏安全的企图真正获得了成功，因此也并不一定会对盋苄浴⑼暾院?或可用性产生影响。也就是说，并非所有信息安全事态都会被归类为信息安全事件。 3.7信息安全管理体系（ISMS） Information Security management system（ISMS） 【内容解析】 1.信息安全管理体系是组织管理体系的一个组成部分。其目的是为了保护资产的安全。 2.信息安全管理体系基于整体业务活动风险。 3.信息安全管理体系与其他管理体系一样，采用过程方法，PDCA的模型。支持与相关管理标准一致的、协调的实施和运行。 3.8完整性 Integrity 【内容解析】 完整性指的是防止未授权的更改和篡改。包含非授权的增加、减少或破坏。例如：在原有源代码中非授权加入代码，或者在原有源代码中非授权裁剪或非授权修改了一部分代码，均视为破坏完整性的行为。 3.9残余风险 Residual risk 【内容解析】 1.残余是指处理后剩余的风险。即没有达到风险接受准则的风险。 2.残余风险的危害程度一般大于原有风险。所以在接受残余风险时，需获得管理者对建议的残余风险的批准。 3.10风险接受 risk acceptance 【理解要点】 组织确定风险程度可接受的决定。在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险。 3.11风险分析 risk analysis 【内容解析】 1.风险识别的目的是决定什么发生可能会造成潜在损失，并深入了解损失可能如何、何地、为什么发生。 2.风险识别包括：威胁识别、脆弱性识别、后果识别和现有控制