|
 |
[体系认证] |
|
| [管理咨询] |
|
| [产品认证] |
|
| [培训中心] |
|
 |
|
|
 |
| ISO27001信息安全管理体系词汇 |
|
资产 Asset对组织具有价值的信息资源,是安全策略保护的对象。
资产价值 Asset Value资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
威胁 Threat可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。
脆弱性 Vulnerability可能被威胁利用对资产造成损害的薄弱环节。
信息安全风险 Information Security Risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。
信息安全风险评估 Information Security Risk Assessment依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
残余风险 Residual Risk采取了安全措施后,仍然可能存在的风险。
机密性 Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
完整性Integrality保证信息及信息系统不会被有意地或无意地更改或破坏的特性。
可用性 Availability可以由得到授权的实体按要求进行访问和使用的特性。
业务战略 Business Strategy组织为实现其发展目标而制定的规则。
安全事件 Security Event威胁利用脆弱性产生的危害情况。
安全需求 Security Requirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。
安全措施 Security Measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。
自评估 Self-assessment由组织自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
检查评估 Inspection Assessment由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。
|
|
|
