ISO27001标准的术语和定义解析

3.1资产asset

【内容解析】

1.资产是对组织有价值的任何东西，说明其能为所拥有或获得的组织创造财富。因此需要保护。资产识别时，应该牢记的是，资产不仅仅包含硬件和软件。

2.根据资产拥有者的情况，资产的拥有者可以是组织，也可以是个人。

3.资产可分为以下几种：

1）信息，例如：文档和数据等；

2）软件和系统，例如：应用软件、系统软件等；

3）硬件和设施，例如：存储设备、网络设备、保障设备等；

4）服务和其他，例如：ＩT服务、无形资产等；

5）人力资源，例如：涉密人员、特殊人员等。

3.2可用性　Availability

【内容解析】

1.可用性的目的是让所有合法用户能够使用到已授权的信息和功能。可用性通常用百分率表示，公式为：｛（规定服务时间－因意外中断时间）/规定服务时间｝×100％。例如：99.9%。

2.其与保密性（Confidentiality）和完整性（Intergeity）并称为信息安全的CIA三要素。

3.3保密性　Confidentiality

【内容解析】

保密性指数据、文档以及网络信息等不被泄露给非授权的用户、实体或过程。强调信息只为授权用户使用的特征。保密性是在可靠性和可用性基础之上，保障信息安全的重要手段。常用的保密技术：

1）物理保密：利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露。

2）防窃听：使对手侦察、接收不到有用的信息。

3）防辐射：防止有用信息以各种途径辐射出去。

4）信息加密：在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。

3.4信息安全　Information　Security

【内容解析】

1.信息安全的目的是保证信息的保密性、完整性、可用性、真实性、可核查性等。保密性、完整性和可用性构成了信息安全的 CIA三要素。

2.信息安全是个相对的概念。没有绝对的信息安全。

3.5信息安全事态　Information　Security　Event

【内容解析】

1.有害或意外的信息安全事态是引发信息安全事件的源头。

2.信息安全事态发生后可能会造成信息安全事件，也可能未造成信息安全事件。

3.信息安全事态可能由一个原因导致的，也可能由多个原因导致的。

3.６信息安全事件　Information　Security　Incident

【内容解析】

1.一个或多个有害的或者意外信息安全事态是导致信息安全事件的源头。

2.事件发生后，根据事件的影响程度，可分为一般事件和重大事件。根据信息安全事件的影响程度，对信息安全事件做出最恰当和最有效的响应。

3.尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果，但在多数情况下，信息安全事态本身并不意味着破坏安全的企图真正获得了成功，因此也并不一定会对盋苄浴⑼暾院?或可用性产生影响。也就是说，并非所有信息安全事态都会被归类为信息安全事件。

3.７信息安全管理体系（ISMS）　Information　Security management　system（ISMS）

【内容解析】

1.信息安全管理体系是组织管理体系的一个组成部分。其目的是为了保护资产的安全。

2.信息安全管理体系基于整体业务活动风险。

3.信息安全管理体系与其他管理体系一样，采用过程方法，PDCA的模型。支持与相关管理标准一致的、协调的实施和运行。

3.8完整性　Integrity

【内容解析】

完整性指的是防止未授权的更改和篡改。包含非授权的增加、减少或破坏。例如：在原有源代码中非授权加入代码，或者在原有源代码中非授权裁剪或非授权修改了一部分代码，均视为破坏完整性的行为。

3.９残余风险　Residual　risk

【内容解析】

1.残余是指处理后剩余的风险。即没有达到风险接受准则的风险。

2.残余风险的危害程度一般大于原有风险。所以在接受残余风险时，需获得管理者对建议的残余风险的批准。

3.10风险接受　risk　acceptance

【理解要点】

组织确定风险程度可接受的决定。在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险。

3.11风险分析　risk　analysis

【内容解析】

1.风险识别的目的是决定什么发生可能会造成潜在损失，并深入了解损失可能如何、何地、为什么发生。

2.风险识别包括：威胁识别、脆弱性识别、后果识别和现有控制措施的识别。

a）威胁识别：威胁有可能损害资产，诸如信息、过程、系统甚至组织。威胁的来源可能是自然的或人为的，可能是意外的或是故意的。也可能来自组织内部或外部。所以对整体并按类型（如未授权行为，物理损害，技术故障）识别威胁意味着没有威胁被忽视，包括突发的威胁。

b）脆弱性识别：脆弱性本身不会产生危害，只有被某个威胁利用时才会产生危害。没有相应威胁的脆弱性可能不需要实施控制措施，但是应关注和监视其变化。

c）后果识别：后果可能是丧失有效性、不利运行条件、业务损失、声誉破坏等。资产受到损害时，后果可能是临时性的，也可能是永久的。

d）现有控制措施识别：为避免不必要的工作或成本，如，重复的控制措施。此外，识别现有的控制措施时，进行检查以确保控制措施在正确运行是非常必要的活动。

3.在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造成的对组织的影响。

4.根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施，评估安全失效发生的现实可能性。

5.估计风险级别。

3.12风险评估　risk　assessment

【内容解析】

1.对信息和信息处理设施的威胁、脆弱性和影响及三者发生的可能性的评估。

2.风险评估也就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，确定资产风险等级和优先控制顺序。

3.风险评估确定了信息资产的价值，对存在（或可能存在的）适用的威胁和脆弱性进行识别，考虑现有的控制措施及其对已识别风险的影响，确定潜在的后果。

4.对确定的风险根据紧急度和影响度进行优先级排序，并按照背景建立时确定的风险准则划分等级。

3.13风险评价　risk　evaluation

【内容解析】

1.风险评价是综合考虑信息安全事件的影响和发生可能性而得出的风险的级别。确定风险是否可接受，通常将风险分为：不可接受风险、有条件可接受风险（需要关注）、可接受风险。

2.在需要时，根据建立的风险准则进行处理。

3.14风险管理　risk　management

【内容解析】

1.以可以接受的方式识别、控制、降低或规避和转移可能影响信息系统的安全风险过程。

2.风险管理一般包括建立背景、风险评估、风险处理、风险接受和风险沟通。

3.通过风险评估来分析和评价风险。

4.通过制定信息安全方针，采用适当的控制目标和控制方式对风险进行控制和降低。

5.风险管理的目的是使风险被降低、规避、转移或降至一个可能接受的水平。

3.15风险处置　risk　treatment

【内容解析】

风险处置的有效性取决于风险评估结果。风险处置有可能不能立即达到一个可接受水平的残余风险。在这种情况下，如果必要，可能需要另一个改变了背景参数（例如，风险评估、风险接受或影响的准则）的风险评估迭代，接下来做进一步的风险处置。

风险处置的四种方式：

1）风险降低：为降低风险发生的可能性和/或不利后果所采取的行动。例如：采取纠正、消除、预防、影响最小化、威慑、检测、恢复、监视和意识等措施。

2）风险规避：对新技术或不能控制风险的活动，不采用该活动的方式。例如：避免采用新技术等。

3）风险转移：与另一方共享由风险带来的损失或收益。对于信息安全风险而言，风险转移仅考虑不利的后果（损失）。例如：保险、供应商等。

4）风险保留：也称“风险接受”，组织确定风险程度可接受的决定。在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险。

3.16适用性声明　Statement　of　applicability

【内容解析】

1.适用性声明提供了一份关于风险处置决定的综述。证明不会因疏忽而遗漏控制措施。

2.适用性声明包含当前实施的控制目标和控制措施。

3.适用性声明是一个包含组织所选择的控制目标和控制措施的文件，以及选择的理由。如果对该标准附录A中任何控制目标和控制措施的删减，应在适用性声明中说明删减的合理性。