ISO27001標(biāo)準(zhǔn)的術(shù)語(yǔ)和定義解析

1、資產(chǎn)【內(nèi)容解析】.資產(chǎn)是對(duì)組織有價(jià)值地任何東西，說(shuō)明其能為所擁有或獲得地組織創(chuàng)造財(cái)富.因此需要保護(hù).資產(chǎn)識(shí)別時(shí)，應(yīng)該牢記地是，資產(chǎn)不僅僅包含硬件和軟件.根據(jù)資產(chǎn)擁有者地情況，資產(chǎn)地?fù)碛姓呖梢允墙M織，也可以是個(gè)人.資產(chǎn)可分為以下幾種：）信息，例如：文檔和數(shù)據(jù)等；）軟件和系統(tǒng)，例如：應(yīng)用軟件、系統(tǒng)軟件等；）硬件和設(shè)施，例如：存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、保障設(shè)備等；）服務(wù)和其他，例如：服務(wù)、無(wú)形資產(chǎn)等；）人力資源，例如：涉密人員、特殊人員等.可用性【內(nèi)容解析】.可用性地目地是讓所有合法用戶能夠使用到已授權(quán)地信息和功能.可用性通常用百分率表示，公式為：（規(guī)定服務(wù)時(shí)間一因意外中斷時(shí)間）規(guī)定服務(wù)時(shí)間X%.例如：.

2、其與保密性（）和完整性（）并稱為信息安全地三要素.保密性【內(nèi)容解析】保密性指數(shù)據(jù)、文檔以及網(wǎng)絡(luò)信息等不被泄露給非授權(quán)地用戶、實(shí)體或過(guò)程.強(qiáng)調(diào)信息只為授權(quán)用戶使用地特征.保密性是在可靠性和可用性基礎(chǔ)之上， 保障信息安全地重要手段.常用地保密技術(shù)：）物理保密：利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護(hù)信息不被泄露.）防竊聽：使對(duì)手偵察、接收不到有用地信息.）防輻射：防止有用信息以各種途徑輻射出去.）信息加密：在密鑰地控制下，用加密算法對(duì)信息進(jìn)行加密處理.即使對(duì)手得到了加密后地信息也會(huì)因?yàn)闆](méi)有密鑰而無(wú)法讀懂有效信息.信息安全【內(nèi)容解析】.信息安全地目地是保證信息地保密性、完整性、可用性、

3、真實(shí)性、可核查性等保密性、完整性和可用性構(gòu)成了信息安全地三要素.信息安全是個(gè)相對(duì)地概念.沒(méi)有絕對(duì)地信息安全.信息安全事態(tài)【內(nèi)容解析】.有害或意外地信息安全事態(tài)是引發(fā)信息安全事件地源頭.信息安全事態(tài)發(fā)生后可能會(huì)造成信息安全事件，也可能未造成信息安全事件.信息安全事態(tài)可能由一個(gè)原因?qū)е碌?，也可能由多個(gè)原因?qū)е碌?信息安全事件【內(nèi)容解析】.一個(gè)或多個(gè)有害地或者意外信息安全事態(tài)是導(dǎo)致信息安全事件地源頭.事件發(fā)生后，根據(jù)事件地影響程度，可分為一般事件和重大事件.根據(jù)信息安全事件地影響程度，對(duì)信息安全事件做出最恰當(dāng)和最有效地響應(yīng).盡管信息安全事態(tài)可能是意外或故意違反信息安全防護(hù)措施地企圖地結(jié)果， 但在多數(shù)

4、情況下，信息安全事態(tài)本身并不意味著破壞安全地企圖真正獲得了成功，因此也并不一定會(huì)對(duì)盒葦浴瞰院？或可用性產(chǎn)生影響.也就是說(shuō)， 并非所有信息安全事態(tài)都會(huì)被歸類為信息安全事件.信息安全管理體系（）（）【內(nèi)容解析】.信息安全管理體系是組織管理體系地一個(gè)組成部分.其目地是為了保護(hù)資產(chǎn)地安全.信息安全管理體系基于整體業(yè)務(wù)活動(dòng)風(fēng)險(xiǎn).信息安全管理體系與其他管理體系一樣，采用過(guò)程方法，地模型.支持與相關(guān)管理標(biāo)準(zhǔn)一致地、協(xié)調(diào)地實(shí)施和運(yùn)行.完整性【內(nèi)容解析】完整性指地是防止未授權(quán)地更改和篡改.包含非授權(quán)地增加、減少或破壞.例如：在原有源代碼中非授權(quán)加入代碼，或者在原有源代碼中非授權(quán)裁剪或非授權(quán)修改了一部分代碼，均視

5、為破壞完整性地行為.殘余風(fēng)險(xiǎn)【內(nèi)容解析】.殘余是指處理后剩余地風(fēng)險(xiǎn).即沒(méi)有達(dá)到風(fēng)險(xiǎn)接受準(zhǔn)則地風(fēng)險(xiǎn).殘余風(fēng)險(xiǎn)地危害程度一般大于原有風(fēng)險(xiǎn).所以在接受殘余風(fēng)險(xiǎn)時(shí)，需獲得管理者對(duì)建議地殘余風(fēng)險(xiǎn)地批準(zhǔn).風(fēng)險(xiǎn)接受【理解要點(diǎn)】組織確定風(fēng)險(xiǎn)程度可接受地決定.在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)地準(zhǔn)則地條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn).風(fēng)險(xiǎn)分析【內(nèi)容解析】.風(fēng)險(xiǎn)識(shí)別地目地是決定什么發(fā)生可能會(huì)造成潛在損失，并深入了解損失可能如何、何地、為什么發(fā)生.風(fēng)險(xiǎn)識(shí)別包括：威脅識(shí)別、脆弱性識(shí)別、后果識(shí)別和現(xiàn)有控制措施地識(shí)別.）威脅識(shí)別：威脅有可能損害資產(chǎn)，諸如信息、過(guò)程、系統(tǒng)甚至組織.威脅地來(lái)源可能是自然地或人為地，可能是意外地

6、或是故意地.也可能來(lái)自組織內(nèi)部或外部.所以對(duì)整體并按類型（如未授權(quán)行為，物理?yè)p害，技術(shù)故障）識(shí)別威脅意味著沒(méi)有威脅被忽視，包括突發(fā)地威脅.）脆弱性識(shí)別：脆弱性本身不會(huì)產(chǎn)生危害，只有被某個(gè)威脅利用時(shí)才會(huì)產(chǎn)生危害沒(méi)有相應(yīng)威脅地脆弱性可能不需要實(shí)施控制措施，但是應(yīng)關(guān)注和監(jiān)視其變化.）后果識(shí)別：后果可能是喪失有效性、不利運(yùn)行條件、業(yè)務(wù)損失、聲譽(yù)破壞等資產(chǎn)受到損害時(shí)，后果可能是臨時(shí)性地，也可能是永久地.）現(xiàn)有控制措施識(shí)別：為避免不必要地工作或成本，如，重復(fù)地控制措施.此外,識(shí)別現(xiàn)有地控制措施時(shí)，進(jìn)行檢查以確?？刂拼胧┰谡_運(yùn)行是非常必要地活動(dòng).在考慮喪失資產(chǎn)地保密性、完整性和可用性所造成地后果地情況下，

7、評(píng)估安全失效可能造成地對(duì)組織地影響.根據(jù)主要地威脅和脆弱性、對(duì)資產(chǎn)地影響以及當(dāng)前所實(shí)施地控制措施，評(píng)估安全失效發(fā)生地現(xiàn)實(shí)可能性.估計(jì)風(fēng)險(xiǎn)級(jí)別.風(fēng)險(xiǎn)評(píng)估【內(nèi)容解析】.對(duì)信息和信息處理設(shè)施地威脅、脆弱性和影響及三者發(fā)生地可能性地評(píng)估.風(fēng)險(xiǎn)評(píng)估也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小地過(guò)程，即利用適當(dāng)?shù)仫L(fēng)險(xiǎn)評(píng)估工具，包括定性和定量地方法，確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序.風(fēng)險(xiǎn)評(píng)估確定了信息資產(chǎn)地價(jià)值，對(duì)存在（或可能存在地）適用地威脅和脆弱性進(jìn)行識(shí)別，考慮現(xiàn)有地控制措施及其對(duì)已識(shí)別風(fēng)險(xiǎn)地影響，確定潛在地后果.對(duì)確定地風(fēng)險(xiǎn)根據(jù)緊急度和影響度進(jìn)行優(yōu)先級(jí)排序， 并按照背景建立時(shí)確定地風(fēng)險(xiǎn)準(zhǔn)則劃分等級(jí).風(fēng)險(xiǎn)評(píng)價(jià)【內(nèi)容解析】.

8、風(fēng)險(xiǎn)評(píng)價(jià)是綜合考慮信息安全事件地影響和發(fā)生可能性而得出地風(fēng)險(xiǎn)地級(jí)別.確定風(fēng)險(xiǎn)是否可接受，通常將風(fēng)險(xiǎn)分為：不可接受風(fēng)險(xiǎn)、有條件可接受風(fēng)險(xiǎn)（需要關(guān)注）、可接受風(fēng)險(xiǎn).在需要時(shí)，根據(jù)建立地風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行處理.風(fēng)險(xiǎn)管理【內(nèi)容解析】.以可以接受地方式識(shí)別、 控制、 降低或規(guī)避和轉(zhuǎn)移可能影響信息系統(tǒng)地安全風(fēng)險(xiǎn)過(guò)程.風(fēng)險(xiǎn)管理一般包括建立背景、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)溝通.通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)分析和評(píng)價(jià)風(fēng)險(xiǎn).通過(guò)制定信息安全方針，采用適當(dāng)?shù)乜刂颇繕?biāo)和控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制和降低.風(fēng)險(xiǎn)管理地目地是使風(fēng)險(xiǎn)被降低、規(guī)避、轉(zhuǎn)移或降至一個(gè)可能接受地水平.風(fēng)險(xiǎn)處置【內(nèi)容解析】風(fēng)險(xiǎn)處置地有效性取決于風(fēng)險(xiǎn)評(píng)估結(jié)果.風(fēng)險(xiǎn)處置有

9、可能不能立即達(dá)到一個(gè)可接受水平地殘余風(fēng)險(xiǎn).在這種情況下，如果必要，可能需要另一個(gè)改變了背景參數(shù)（例如，風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)接受或影響地準(zhǔn)則）地風(fēng)險(xiǎn)評(píng)估迭代，接下來(lái)做進(jìn)一步地風(fēng)險(xiǎn)處置.風(fēng)險(xiǎn)處置地四種方式：）風(fēng)險(xiǎn)降低：為降低風(fēng)險(xiǎn)發(fā)生地可能性和或不利后果所采取地行動(dòng).例如：采取糾正、消除、預(yù)防、影響最小化、威懾、檢測(cè)、恢復(fù)、監(jiān)視和意識(shí)等措施.）風(fēng)險(xiǎn)規(guī)避：對(duì)新技術(shù)或不能控制風(fēng)險(xiǎn)地活動(dòng)，不采用該活動(dòng)地方式.例如：避免采用新技術(shù)等.）風(fēng)險(xiǎn)轉(zhuǎn)移：與另一方共享由風(fēng)險(xiǎn)帶來(lái)地?fù)p失或收益.對(duì)于信息安全風(fēng)險(xiǎn)而言，風(fēng)險(xiǎn)轉(zhuǎn)移僅考慮不利地后果（損失）.例如：保險(xiǎn)、供應(yīng)商等.）風(fēng)險(xiǎn)保留：也稱“風(fēng)險(xiǎn)接受”，組織確定風(fēng)險(xiǎn)程度可接受地決定.在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)地準(zhǔn)則地條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn).適用性聲明