ISO27001標準的術(shù)語和定義解析

1、資產(chǎn)【內(nèi)容解析】.資產(chǎn)是對組織有價值地任何東西，說明其能為所擁有或獲得地組織創(chuàng)造財富.因此需要保護.資產(chǎn)識別時，應(yīng)該牢記地是，資產(chǎn)不僅僅包含硬件和軟件.根據(jù)資產(chǎn)擁有者地情況，資產(chǎn)地擁有者可以是組織，也可以是個人.資產(chǎn)可分為以下幾種：）信息，例如：文檔和數(shù)據(jù)等；）軟件和系統(tǒng)，例如：應(yīng)用軟件、系統(tǒng)軟件等；）硬件和設(shè)施，例如：存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、保障設(shè)備等；）服務(wù)和其他，例如：服務(wù)、無形資產(chǎn)等；）人力資源，例如：涉密人員、特殊人員等.可用性【內(nèi)容解析】.可用性地目地是讓所有合法用戶能夠使用到已授權(quán)地信息和功能.可用性通常用百分率表示，公式為：（規(guī)定服務(wù)時間一因意外中斷時間）規(guī)定服務(wù)時間X%.例如：.

2、其與保密性（）和完整性（）并稱為信息安全地三要素.保密性【內(nèi)容解析】保密性指數(shù)據(jù)、文檔以及網(wǎng)絡(luò)信息等不被泄露給非授權(quán)地用戶、實體或過程.強調(diào)信息只為授權(quán)用戶使用地特征.保密性是在可靠性和可用性基礎(chǔ)之上， 保障信息安全地重要手段.常用地保密技術(shù)：）物理保密：利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護信息不被泄露.）防竊聽：使對手偵察、接收不到有用地信息.）防輻射：防止有用信息以各種途徑輻射出去.）信息加密：在密鑰地控制下，用加密算法對信息進行加密處理.即使對手得到了加密后地信息也會因為沒有密鑰而無法讀懂有效信息.信息安全【內(nèi)容解析】.信息安全地目地是保證信息地保密性、完整性、可用性、

3、真實性、可核查性等保密性、完整性和可用性構(gòu)成了信息安全地三要素.信息安全是個相對地概念.沒有絕對地信息安全.信息安全事態(tài)【內(nèi)容解析】.有害或意外地信息安全事態(tài)是引發(fā)信息安全事件地源頭.信息安全事態(tài)發(fā)生后可能會造成信息安全事件，也可能未造成信息安全事件.信息安全事態(tài)可能由一個原因?qū)е碌?，也可能由多個原因?qū)е碌?信息安全事件【內(nèi)容解析】.一個或多個有害地或者意外信息安全事態(tài)是導致信息安全事件地源頭.事件發(fā)生后，根據(jù)事件地影響程度，可分為一般事件和重大事件.根據(jù)信息安全事件地影響程度，對信息安全事件做出最恰當和最有效地響應(yīng).盡管信息安全事態(tài)可能是意外或故意違反信息安全防護措施地企圖地結(jié)果， 但在多數(shù)

4、情況下，信息安全事態(tài)本身并不意味著破壞安全地企圖真正獲得了成功，因此也并不一定會對盒葦浴瞰院？或可用性產(chǎn)生影響.也就是說， 并非所有信息安全事態(tài)都會被歸類為信息安全事件.信息安全管理體系（）（）【內(nèi)容解析】.信息安全管理體系是組織管理體系地一個組成部分.其目地是為了保護資產(chǎn)地安全.信息安全管理體系基于整體業(yè)務(wù)活動風險.信息安全管理體系與其他管理體系一樣，采用過程方法，地模型.支持與相關(guān)管理標準一致地、協(xié)調(diào)地實施和運行.完整性【內(nèi)容解析】完整性指地是防止未授權(quán)地更改和篡改.包含非授權(quán)地增加、減少或破壞.例如：在原有源代碼中非授權(quán)加入代碼，或者在原有源代碼中非授權(quán)裁剪或非授權(quán)修改了一部分代碼，均視

5、為破壞完整性地行為.殘余風險【內(nèi)容解析】.殘余是指處理后剩余地風險.即沒有達到風險接受準則地風險.殘余風險地危害程度一般大于原有風險.所以在接受殘余風險時，需獲得管理者對建議地殘余風險地批準.風險接受【理解要點】組織確定風險程度可接受地決定.在明顯滿足組織方針策略和接受風險地準則地條件下，有意識地、客觀地接受風險.風險分析【內(nèi)容解析】.風險識別地目地是決定什么發(fā)生可能會造成潛在損失，并深入了解損失可能如何、何地、為什么發(fā)生.風險識別包括：威脅識別、脆弱性識別、后果識別和現(xiàn)有控制措施地識別.）威脅識別：威脅有可能損害資產(chǎn)，諸如信息、過程、系統(tǒng)甚至組織.威脅地來源可能是自然地或人為地，可能是意外地

6、或是故意地.也可能來自組織內(nèi)部或外部.所以對整體并按類型（如未授權(quán)行為，物理損害，技術(shù)故障）識別威脅意味著沒有威脅被忽視，包括突發(fā)地威脅.）脆弱性識別：脆弱性本身不會產(chǎn)生危害，只有被某個威脅利用時才會產(chǎn)生危害沒有相應(yīng)威脅地脆弱性可能不需要實施控制措施，但是應(yīng)關(guān)注和監(jiān)視其變化.）后果識別：后果可能是喪失有效性、不利運行條件、業(yè)務(wù)損失、聲譽破壞等資產(chǎn)受到損害時，后果可能是臨時性地，也可能是永久地.）現(xiàn)有控制措施識別：為避免不必要地工作或成本，如，重復地控制措施.此外,識別現(xiàn)有地控制措施時，進行檢查以確?？刂拼胧┰谡_運行是非常必要地活動.在考慮喪失資產(chǎn)地保密性、完整性和可用性所造成地后果地情況下，

7、評估安全失效可能造成地對組織地影響.根據(jù)主要地威脅和脆弱性、對資產(chǎn)地影響以及當前所實施地控制措施，評估安全失效發(fā)生地現(xiàn)實可能性.估計風險級別.風險評估【內(nèi)容解析】.對信息和信息處理設(shè)施地威脅、脆弱性和影響及三者發(fā)生地可能性地評估.風險評估也就是確認安全風險及其大小地過程，即利用適當?shù)仫L險評估工具，包括定性和定量地方法，確定資產(chǎn)風險等級和優(yōu)先控制順序.風險評估確定了信息資產(chǎn)地價值，對存在（或可能存在地）適用地威脅和脆弱性進行識別，考慮現(xiàn)有地控制措施及其對已識別風險地影響，確定潛在地后果.對確定地風險根據(jù)緊急度和影響度進行優(yōu)先級排序， 并按照背景建立時確定地風險準則劃分等級.風險評價【內(nèi)容解析】.

8、風險評價是綜合考慮信息安全事件地影響和發(fā)生可能性而得出地風險地級別.確定風險是否可接受，通常將風險分為：不可接受風險、有條件可接受風險（需要關(guān)注）、可接受風險.在需要時，根據(jù)建立地風險準則進行處理.風險管理【內(nèi)容解析】.以可以接受地方式識別、 控制、 降低或規(guī)避和轉(zhuǎn)移可能影響信息系統(tǒng)地安全風險過程.風險管理一般包括建立背景、風險評估、風險處理、風險接受和風險溝通.通過風險評估來分析和評價風險.通過制定信息安全方針，采用適當?shù)乜刂颇繕撕涂刂品绞綄︼L險進行控制和降低.風險管理地目地是使風險被降低、規(guī)避、轉(zhuǎn)移或降至一個可能接受地水平.風險處置【內(nèi)容解析】風險處置地有效性取決于風險評估結(jié)果.風險處置有

9、可能不能立即達到一個可接受水平地殘余風險.在這種情況下，如果必要，可能需要另一個改變了背景參數(shù)（例如，風險評估、風險接受或影響地準則）地風險評估迭代，接下來做進一步地風險處置.風險處置地四種方式：）風險降低：為降低風險發(fā)生地可能性和或不利后果所采取地行動.例如：采取糾正、消除、預防、影響最小化、威懾、檢測、恢復、監(jiān)視和意識等措施.）風險規(guī)避：對新技術(shù)或不能控制風險地活動，不采用該活動地方式.例如：避免采用新技術(shù)等.）風險轉(zhuǎn)移：與另一方共享由風險帶來地損失或收益.對于信息安全風險而言，風險轉(zhuǎn)移僅考慮不利地后果（損失）.例如：保險、供應(yīng)商等.）風險保留：也稱“風險接受”，組織確定風險程度可接受地決定.在明顯滿足組織方針策略和接受風險地準則地條件下，有意識地、客觀地接受風險.適用性聲明