ISO27001标准的术语和定义解析

O2701原则的术语和定义解析.1资产asst【内容解析】 1.资产是对组织有价值的任何东西，阐明其能为所拥有或获得的组织发明财富。因此需要保护。资产辨认时，应当牢记的是,资产不仅仅涉及硬件和软件。 2根据资产拥有者的状况,资产的拥有者可以是组织,也可以是个人。 3.资产可分为如下几种: 1）信息,例如：文档和数据等; 2)软件和系统,例如：应用软件、系统软件等； 3)硬件和设施，例如：存储设备、网络设备、保障设备等； 4）服务和其她,例如:IT服务、无形资产等； 5)人力资源，例如:涉密人员、特殊人员等。.可用性 ilabiiy【内容解析】 1.可用性的目的是让所有合法顾客可以使用到已授权的信息和功能。可用性一般用百分率表达,公式为:(规定服务时间-因意外中断时间)规定服务时间0。例如:99%。 .其与保密性（ofidentiliy)和完整性（Intergeity)并称为信息安全的CIA三要素。3.保密性 Conidentilit【内容解析】 保密性指数据、文档以及网络信息等不被泄露给非授权的顾客、实体或过程。强调信息只为授权顾客使用的特性。保密性是在可靠性和可用性基本之上,保障信息安全的重要手段。常用的保密技术： 1）物理保密：运用多种物理措施，如限制、隔离、掩蔽、控制等措施,保护信息不被泄露。 2）防窃听:使对手侦察、接受不到有用的信息。 3）防辐射：避免有用信息以多种途径辐射出去。 4）信息加密：在密钥的控制下,用加密算法对信息进行加密解决。虽然对手得到了加密后的信息也会由于没有密钥而无法读懂有效信息。3.4信息安全 Infotonecity【内容解析】 1.信息安全的目的是保证信息的保密性、完整性、可用性、真实性、可核查性等。保密性、完整性和可用性构成了信息安全的 CA三要素。 2.信息安全是个相对的概念。没有绝对的信息安全。3.5信息安全事态 nomat Security Eent【内容解析】 1有害或意外的信息安全事态是引起信息安全事件的源头。 2.信息安全事态发生后也许会导致信息安全事件,也也许未导致信息安全事件。 .信息安全事态也许由一种因素导致的，也也许由多种因素导致的。3.6信息安全事件 InomaioSecity Incidet【内容解析】 1一种或多种有害的或者意外信息安全事态是导致信息安全事件的源头。 2.事件发生后,根据事件的影响限度,可分为一般事件和重大事件。根据信息安全事件的影响限度，对信息安全事件做出最恰当和最有效的响应。 3.尽管信息安全事态也许是意外或故意违背信息安全防护措施的企图的成果，但在多数状况下，信息安全事态自身并不意味着破坏安全的企图真正获得了成功，因此也并不一定会对盋苄浴暾院?或可用性产生影响。也就是说,并非所有信息安全事态都会被归类为信息安全事件。.7信息安全管理体系（ISS) nformatio Scurity magemet sysem(SMS)【内容解析】 信息安全管理体系是组织管理体系的一种构成部分。其目的是为了保护资产的安全。 信息安全管理体系基于整体业务活动风险。 3.信息安全管理体系与其她管理体系同样,采用过程措施,PDCA的模型。支持与有关管理原则一致的、协调的实行和运营。3.8完整性 Itegrity【内容解析】 完整性指的是避免未授权的更改和篡改。涉及非授权的增长、减少或破坏。例如：在原有源代码中非授权加入代码,或者在原有源代码中非授权裁剪或非授权修改了一部分代码，均视为破坏完整性的行为。3.9残存风险 Residul k【内容解析】 残存是指解决后剩余的风险。即没有达到风险接受准则的风险。 2.残存风险的危害限度一般不小于原有风险。因此在接受残存风险时,需获得管理者对建议的残存风险的批准。3.10风险接受 risaeptance【理解要点】 组织拟定风险限度可接受的决定。在明显满足组织方针方略和接受风险的准则的条件下,故意识地、客观地接受风险。3.1风险分析rskanasi【内容解析】 .风险辨认的目的是决定什么发生也许会导致潜在损失，并进一步理解损失也许如何、何地、为什么发生。 .风险辨认涉及：威胁辨认、脆弱性辨认、后果辨认和既有控制措施的辨认。 a)威胁辨认:威胁有也许损害资产,诸如信息、过程、系统甚至组织。威胁的来源也许是自然的或人为的，也许是意外的或是故意的。也也许来自组织内部或外部。因此对整体并按类型（如未授权行为,物理损害,技术故障)辨认威胁意味着没有威胁被忽视,涉及突发的威胁。 ）脆弱性辨认：脆弱性自身不会产生危害,只有被某个威胁运用时才会产生危害。没有相应威胁的脆弱性也许不需要实行控制措施,但是应关注和监视其变化。 ）后果辨认：后果也许是丧失有效性、不利运营条件、业务损失、名誉破坏等。资产受到损害时，后果也许是临时性的，也也许是永久的。 d）既有控制措施辨认：为避免不必要的工作或成本，如，反复的控制措施。此外,辨认既有的控制措施时，进行检查以保证控制措施在对的运营是非常必要的活动。 .在考虑丧失资产的保密性、完整性和可用性所导致的后果的状况下，评估安全失效也许导致的对组织的影响。 4.根据重要的威胁和脆弱性、对资产的影响以及目前所实行的控制措施,评估安全失效发生的现实也许性。 5.估计风险级别。12风险评估 risk assessment【内容解析】 .对信息和信息解决设施的威胁、脆弱性和影响及三者发生的也许性的评估。 .风险评估也就是确认安全风险及其大小的过程，即运用合适的风险评估工具,涉及定性和定量的措施,拟定资产风险级别和优先控制顺序。 3风险评估拟定了信息资产的价值,对存在(或也许存在的）合用的威胁和脆弱性进行辨认，考虑既有的控制措施及其对已辨认风险的影响,拟定潜在的后果。 4.对拟定的风险根据紧急度和影响度进行优先级排序,并按照背景建立时拟定的风险准则划分级别。3.13风险评价risk evalatio【内容解析】 1.风险评价是综合考虑信息安全事件的影响和发生也许性而得出的风险的级别。拟定风险与否可接受,一般将风险分为：不可接受风险、有条件可接受风险（需要关注）、可接受风险。 2.在需要时,根据建立的风险准则进行解决。314风险管理 iskmngemen【内容解析】 1以可以接受的方式辨认、控制、减少或规避和转移也许影响信息系统的安全风险过程。 2.风险管理一般涉及建立背景、风险评估、风险解决、风险接受和风险沟通。 3通过风险评估来分析和评价风险。 .通过制定信息安全方针，采用合适的控制目的和控制方式对风险进行控制和减少。 5.风险管理的目的是使风险被减少、规避、转移或降至一种也许接受的水平。3.15风险处置 risk eatmet【内容解析】 风险处置的有效性取决于风险评估成果。风险处置有也许不能立即达到一种可接受水平的残存风险。在这种状况下,如果必要,也许需要另一种变化了背景参数（例如，风险评估、风险接受或影响的准则）的风险评估迭代,接下来做进一步的风险处置。 风险处置的四种方式： 1）风险减少：为减少风险发生的也许性和/或不利后果所采用的行动。例如:采用纠正、消除、避免、影响最小化、威慑、检测、恢复、监视和意识等措施。 2）风险规避:对新技术或不能控制风险的活动,不采用该活动的方式。例如：避免采用新技术等。 3）风险转移：与另一方共享由风险带来的损失或收益。对于信息安全风险而言,风险转移仅考虑不利的后果(损失)。例如:保险、供应商等。 4)风险保存:也称“风险接受”，组织拟定风险限度可接受的决定。在明显满足组织方针方略和接受风险的准则的条件下,故意识地、客观地接受风险。.16合用性声明 taemn ofalicablity【内容解析】 1.合用性声明提供了一份有关风险处置决定的综述。证明不会因疏忽而漏掉控制措施。 2.合用性声明涉及目前实行的控制目的和控制措施。 3.合用性声明是一种涉及组织所选择的控制目的和控制措施的文献，以及选择的理由。如果对该原则附录A中任何控制目的和控制措施的删减，应在合用性声明中阐明删减的合理性。