ISO27001信息安全管理体系 要求-术语和定义

术语和定义

本标准采用以下术语和定义
3.1 资产(assets)
任何对组织有价值(value)的事物。
[ISO/IEC13335-1:2004]
3.2 可用性
需要时，授权实体可以访问和使用的特性。
[ISO/IEC13335-1:2004]
3.3 保密性
信息不可用或不被泄漏给未授权的个人、实体和过程(process)的特性。
[ISO/IEC13335-1:2004]
3.4 信息安全(safe)
保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。
[ISO/IEC17799:2005]
3.5 信息安全事件（Event）
信息安全(safe)事件是指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护(fánghù)措施（指针对问题的解决办法)失效；或以前未知的与安全相关的情况(Condition)。
[ISO/IEC TR 18044]
3.6 信息安全(safe)事故（Incident）
信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能（maybe)对业务运营造成严重影响或威胁信息安全。
[ISO/IEC TR 18044]
3.7 信息安全管理体系（ISMS）
整体管理体系的一部分，基于业务风险方法(method)以建立、实施、运行、监视、评审、保持和改进信息安全(safe)。
注：管理体系包括组织机构（organization)、策略(strategy)、策划、活动、职责、惯例、程序(procedure)、过程和资源。ISO27001认证标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。军工认证的意义:提高和改善企业的管理水平，规避法律风险，增加企业的知名度。提高和保证产品的质量水平，使企业获取更大的经济效益。取得进入军工市场的通行证。
3.8 完整性
保护资产(assets)的正确和完整的特性
[ISO/IEC13335-1:2004]
3.9 残余风险
实施风险处置后仍旧残留的风险。
[ISO/IEC Guide 73:2002]
3.10 风险接受
接受风险(risk)的决策。
[ISO/IEC Guide 73:2002]
3.11 风险分析(Analyse)
系统地使用信息以识别来源和估计风险(risk)。[ISO Guide 73：2002]
3.12 风险(risk)评估
风险分析和风险评价的全过程
[ISO Guide 73：2002]
3.13 风险(risk)评价
将估计的风险与既定的风险准则进行比较以确定重要风险的过程。
[ISO Guide 73：2002]
3.14 风险管理
指导和控制（control)一个组织的风险的协调的活动。ISO27001认证标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。
[ISO Guide 73：2002]
注：典型风险(risk)管理包括风险评估、风险处置、风险接受和风险沟通。
3.15 风险处置
选择和实施措施以改变风险(risk)的过程。
[ISO Guide 73：2002]
注：本标准中的术语“控制措施”等同于“措施”。
3.16 适用性声明
与组织 ISMS 相关并适用于组织ISMS 的控制（control)目标和控制措施（指针对问题的解决办法)的文件化的陈述。
注：控制目标(cause)和控制措施是基于风险(risk)评估和风险处理过程的结果和结论、法律法规要求、合同(contract)业务和组织对信息安全的业务要求。