ISO/IEC 27000-2018,信息技术 安全技术 信息安全管理体系 概述和词汇
| ISO/IEC 27000-2018,信息技术 安全技术 信息安全管理体系 概述和词汇(77项) | ||
| 序号 | 术 语 | 术语说明 |
| 1 | 访问控制 | 确保根据业务和安全要求(56)对资产的访问进行授权和限制的方法。 |
| 2 | 攻击 | 试图破坏、暴露、更改、禁用、窃取或获得未经授权的访问或使用资产。 |
| 3 | 审计 | 为获取审计证据并客观地对其进行评价,以确定满足审计准则的程度而形成的系统的、独立的和文件化的过程(54)。 |
| 4 | 审计范围 | 审计(3)程度和边界。 |
| 5 | 认证 | 保证实体所声称的特征是正确的。 |
| 6 | 真实性 | 一个实体是它所声称的性质 |
| 7 | 可用性 | 按授权实体的要求可访问和使用的特性。 |
| 8 | 基本指标量 | 根据属性定义的指标量(42)及其量化的方法。 |
| 9 | 能力 | 运用知识和技能达到预期结果的能力。 |
| 10 | 保密性 | 信息不能向未经授权的个人、实体或过程(54)提供或披露的特性。 |
| 11 | 符合性 | 满足要求(56)。 |
| 12 | 后果 | 影响目标(49)的事件(21)的结果。
注1:一个事件可以导致一系列的后果。 注2:结果可以是确定的,也可以是不确定的,在信息安全的环境中,通常是负面的。 主3:结果可以定性或定量地表示。 注4:最初的后果可能会通过连锁反应逐步升级。 |
| 13 | 持续改进 | 重复活动以提高绩效(52)。 |
| 14 | 控制 | 修正风险(61)的措施。
注1:控制包括任何修正风险(61)的过程54)、方针(53)、设备、做法或其他措施。 注2:有可能控制并不总是发挥预期的或假定的修正效果。 |
| 15 | 控制目标 | 通过实施控制(14)将得到什么结果的声明描述。 |
| 16 | 纠正 | 消除发现的不符合(47)的行动。 |
| 17 | 纠正措施 | 采取措施消除不符合(47)的原因,防止不符合的再次发生。 |
| 18 | 派生测量 | 定义为两个或多个基本测量(8)值的函数的指标量(42) |
| 19 | 文件化的信息 | 需要由组织(50)控制和维护的信息及其所包含的媒介。
注1:文件化的信息可以是任何格式、媒体和任何来源。 注2:文件化的信息可能涉及: 管理体系(41),包括相关过程(54); 为组织(50)运行而创建的信息(文件化); 取得成果的证据(记录)。 |
| 20 | 有效性 | 计划的活动得以实现和计划的结果得以实现的程度。 |
| 21 | 事态 | 特定情况的发生或变化。
注1:事态可以是一个或多个现象,并且可以有多个原因。 注2:事态可以由未发生的事情组成 注3:事态有时可以被称为“事件( incident)”或“事故( accident)”。 |
| 22 | 外部环境
|
组织寻求实现其目标(49)的外部环境。
注1:外部环境可以包括以下内容: 国际、国家、区域或地方的文化、社会、政治、法律、规章、金融、技术、经济、自然和竞争环境 对组织(50)目标有影响的关键驱动因素和趋势; 与外部利益相关方(37)的关系、认知和价值观。 |
| 23 | 信息安全治理 | 使一个组织(50)的信息安全(28)活动得到指导和控制的系统。 |
| 24 | 管理机构 | 对绩效(52)和组织(50)符合性负责的个人或团体。 |
| 25 | 指标 | 提供估计或评价的指标量(42)。 |
| 26 | 信息需求 | 对管理目标(49)、目的、风险和问题的洞察力 |
| 27 | 信息处理设施 | 任何信息处理系统、服务或基础设施,或存放信息的物理位置。 |
| 28 | 信息安全
|
信息的保密性(10)、完整性(36)和可用性(7)
注1:此外,其他属性,如真实性(6)、可问责性、不可否认性(48)和可靠性(55)也可能涉及。 |
| 29 | 信息安全连续性 | 确保持续信息安全(28)运行的过程(54)和程序
|
| 30 | 信息安全事态 | 系统、服务或网络状态的出现的,可能违反信息安全(28)方针(53)或控制(14)失败,或先前未知的可能与安全有关的情况。 |
| 31 | 信息安全事件 | 单个或一系列不希望发生的或意外的信息安全事态(30),极有可能危及业务运行和信息安全(28) |
| 32 | 信息安全事件管理 | 一组检测、报告、评估、响应、处理及学习信息安全事件(31)的过程(54)。 |
| 33 | 信息安全管理系统(SMS) | 专业人员建立、实施、维护和持续改进一个或多个信息安全管理系统过程(54)的人员 |
| 34 | 信息共享组 | 同意共享信息的组织(50)小组
注1:组织(50)可能使个人。 |
| 35 | 信息系统 | 一组应用程序、服务、信息技术资产或其他信息处理组件 |
| 36 | 完整性 | 准确性和完备性的性质 |
| 37 | 利益相关方 | 能够影响、被影响,或认为自己被某决策或活动影响的个人或组织(50) |
| 38 | 内部环境 | 组织(50)寻求实现其目标的内部环境
注1:内部环境可以包括: 治理、组织结构、角色和责任 方针(53)、且标(49)和实现这些目标的战略; 从资源和知识(如资本、时间、人员、过程54)、系统和技术)方面理解的能力; 信息系统(35)、信息流和决策过程(正式和非正式); 与内部利益相关者(37)的关系、认知和价值观;组织文化; 组织采用的标准、指导方针和模式; 合同关系的形式和范围。 |
| 39 | 风险级别 | 以后果(12)及其可能性(40)组合表示的风险(61)大小。 |
| 40 | 可能性 | 事情发生的概率。 |
| 41 | 管理体系
|
一组组织(50)中相互关联或相互作用的要素,以确定实现这些目标的方针(53)、且标(49)和过程(54)
注1:一个管理系统可以处理一个或多个学科。 注2:体系要素包括组织的结构、角色和职责、规划和运作。 注3:管理体系的范围可以包括整个组织、组织的具体和确定的职能、组织的具体和确定的部分,或跨组织组的一个或多个职能。 |
| 42 | 指标量(measure) | 作为测量(43)结果被赋值的变量 |
| 43 | 测量 | 确定一个值的过程(54)。 |
| 44 | 测量功能 | 为合并两个或多个基本指标量(8)而执行的算法或计算。 |
| 45 | 测量方法 | 一种操作的逻辑序列,一般地描述,用于对特定尺度的属性进行量化。
注1:测量方法的类型取决于用于量化属性的操作的性质。可以区分两种类型: 主观性:涉及人的判断的量化; 目标:基于数字规则的量化。 |
| 46 | 监视 | 确定系统、过程(54)或活动的状态
注1:为了确定状态,可能需要检查、监督或批判性观察。 |
| 47 | 不符合 | 为满足要求(63)。 |
| 48 | 不可否认性 | 能够证明声称的事态(21)或行为的发生,及其发起实体的能力 |
| 49 | 目标
|
要达到的结果。
注1:目标可以是战略性的、战术性的或操作性的。 注2:目标可与不同学科相关(如财务、健康和安全以及环境目的),并可应用于不同级别(如战略、组织范围、项目、产品和过程(54))。 注3:目标可以其他方式表达,如预期的结果、目的、操作标准、信息安全目标或使用其他具有类似含义的词语。 注4:在信息安全管理体系的环境中,信息安全目标是由组织设定的,与信息安全政策一致,以达到特定的结果。 |
| 50 | 组织
|
有自己的职责、权限和关系以实现其目标(49)的人或群体
注1:组织的概念包括但不限于独资经营者公司、有限责任公司、商号、企业、权威机构、合伙企业、慈善机构或社会事业机构或其部分或组合,不论其是否为法人组织、公有或私有。 |
| 51 | 外包
|
安排外部组织(50)执行组织的部分职能或过程(54)。
注1:外部组织不在管理体系(41)的范围内,尽管外包的职能或过程在该范围内。 |
| 52 | 绩效
|
可测量的结果。
注1:绩效可以与定量或定性结果相关。 注2:绩效可与活动、过程(54)、产品(包括服务)、系统或组织(50)的管理有关。 |
| 53 | 方针 | 组织(50)的意图和方向,由其最高管理层(75)正式表达 |
| 54 | 过程 | 将输入转换为输出的一组相互关联或相互作用的活动。 |
| 55 | 可靠性 | 预期行为和结果一致的特性。 |
| 56 | 要求 | 规定的需要或期望,通常隐含的或强制性的。
注1:“通常隐含的”是指对组织和相关方来说,考虑中的需要或期望是惯例或通常的做法。 注2:一个指定的要求是一个明示的要求,例如文件化信息。 |
| 57 | 残余风险
|
风险处置(72)后剩下的风险(61)。
注1:残余风险可能包含未识别风险。 注2:残余风险也可以称为“保留风险”。 |
| 58 | 审查
|
为确定目标事项的适宜性、充分性和有效性(20)而进行的活动,以实现既定标(49) |
| 59 | 审查对象 | 被审查的具体项目。 |
| 60 | 审查目标 | 描述审查(58)的结果是什么的陈述。 |
| 61 | 风险
|
不确定性对目标(49)的影响
注1:影响是与预期偏离的-正面的或负面的。 注2:不确定性是与事态、其后果或可能性的认知或知识的相关信息缺乏(甚至是部分的信息)的状况。 注3:风险通常是指潜在的“事态”和“后果”,或这些事态的组合。 注4:风险通常用事态的后果(包括环境变化)和相关的“可能性”的组合来表示 注5:在信息安全管理体系的背景下,信息安全风险可以表示为不确定性对信息安全目标的影响。 注6:信息安全风险与威胁利用信息资产或一组信息资产的脆弱性从而对组织造成损害的可能性有关。 |
| 62 | 风险接受
|
在知情的情况下做出承担特定风险(61)的决定。
注1:风险接受可在风险处置(72)或风险处置过程(54)中发生。 注2:可接受的风险要受到监视(46)和审查(58)。 |
| 63 | 风险分析
|
理解风险(61)的本质和确定风险级别(39)的过程(54)。
注1:风险分析是风险评估(67)和风险处置(72)决策的基础 注2:风险分析包括风险估计。 |
| 64 | 风险评估 | 风险识别(68)、风险分析(63)、风险评估(67)的全过程(54)。 |
| 65 | 风险沟通和协商
|
组织关于风险管理进行的,为提供、共享或获取信息,与利益相关方(37)进行对话的持续和重复的过程(54)。
注1:信息可涉及风险的存在、性质、形式、可能性(41)、重要性、评估、可接受性和处置。 注2:协商是组织(50)与其利益相关方之间,在对某一问题作出决定或确定该问题的方向之前,就该问题进行知情交流的双向过程。 协商是: 通过影响力而不是权力影响决策的过程; 参与决策,而不是共同决策。 |
| 66 | 风险准则
|
对风险(61)的重要性进行评估的参考项。
注1:风险准则是基于组织目标,外部环境(22)和内部环境(38)。 注2:风险准则可来源于标准、法律、方针(53)和其他要求(56)。 |
| 67 | 风险评估
|
将风险分析(63)的结果与险准则(66)进行比较的过程(54),以确定风险
(61)和/或其大小是否可接受或可容忍。 注1:风险评估有助于关于风险处置(72)的决策。 |
| 68 | 风险识别
|
发现、识别和描述风险(61)的过程(54)。
注1:风险识别包括对风险源、事态(2)、其原因及其潜在后果(12)的识别。 注2:风险识别可涉及历史数据、理论分析、知情者和专家意见以及利益相关方(37)的需要。 |
| 69 | 风险管理 | 在风险(61)方面,指导和控制组织(50)的协调活动。 |
| 70 | 风险管理过程
|
有系统地将管理方针(53)、程序和做法应用于沟通、协商、确定环境以及识别、分析、评价、处置、监视和审查风险(61)的活动。
注1:ISO/IEC27005使用术语“过程(54)来全面描述风险管理风险管理(69)过程中的要素被称为“活动”。
|
| 71 | 风险责任人 | 具有管理风险(61)责任和权力的个人或实体。
|
| 72 | 风险处置
|
减轻风险(61)的过程(54)。
注1:风险处置可涉及: 通过决定不开始或不继续导致风险的活动来避免风险; 为了追求机会而承担或增加风险消除风险源; 改变可能性(40); 改变后果(12); 与他方(包括合同和风险融资)分担风险; 通过知情的选择来保留风险。 注2:处理负面后果的风险处置有时称为“风险缓解”、“风险消除”、“风险预防”和“风险减少”。 注3:风险处置可能造成新的风险或改变现有的风险。 |
| 73 | 安全实施标准 | 规定实现安全性的授权文件。 |
| 74 | 威胁 | 可能对系统或组织(50)造成伤害的意外事件的潜在原因。 |
| 75 | 最高管理层
|
在最高级别领导和控制一个组织(50)的人或团队。
注1:最高管理层有权在组织内授权和提供资源。 注2:如果管理体系(41)的范围只涵盖组织的一部分,则最高管理者是指那些指挥和控制组织的那一部分的人。 注3:最高管理层有时称为执行管理,可以包括首席执行官、首席财务官、首席信息官和类似的角色。 |
| 76 | 可信的信息通信实体 | 支持信息共享组(34)内信息交换的自治组织(50)
|
| 77 | 脆弱性 | 可被一个或多个威胁(74)利用的资产或控制(14)的弱点。 |