術語和定義

術語和定義

下列術語和定義適用于本文件。

2.1　

　　訪問控制　access control

2.2　

　　分析模型　analytical model

2.3　

　　攻擊　attack

2.4　

　　屬性　attribute
可由人工或自動化手段定量或定性辨別的對象（2.55）特性或特征。

2.5　

　　審核　audit
獲取審核證據并客觀地對其評價以確定滿足審核準則程度的，系統的、獨立的和文檔化的過程（2.61）。
注1：審核可以是內部審核（第一方）或外部審核（第二方或第三方），可以是結合審核（結合兩個或兩個以上學科）。

2.6　

　　審核范圍　audit scope
審核（2.5）的程度和邊界。

2.7　

　　鑒別　authentication

2.8　

　　真實性　authenticity

2.9　

　　可用性　availability

2.10　

　　基本測度　base measure
用某個屬性（2.4）及其量化方法定義的測度（2.47）。
[ISO/IEC 15939:2007，定義2.3，做了修改：刪除注2]

2.11　

　　能力　competence

2.12　

　　保密性　confidentiality

2.13　

　　符合性　conformity
對要求（2.63）的滿足。

2.14　

　　后果　consequence
事態（2.25）影響目標（2.56）的結果。
[ISO Guide 73:2009，定義3.6.1.3，做了修改]
注1：一個事態（2.25）可能導致一系列后果。
注2：一個后果可以是確定的或不確定的，在信息安全（2.33）的語境下通常是負面的。
注3：后果可以被定性或定量地表示。

2.15　

　　持續改進　continual improvement

2.16　

　　控制　control
改變風險（2.68）的措施。
[ISO Guide 73:2009，定義3.8.1.1]
注1：控制包括任何改變風險（2.68）的過程（2.61）、策略（2.60）、設備、實踐或其他措施。

2.17　

　　控制目標　control objective

2.18　

　　糾正　correction

2.19　

　　整改措施　corrective action

2.20　

　　數據　data
基本測度（2.10）、導出測度（2.22）和（或）指標（2.30）所賦值的集合。
[ISO/IEC 15939:2007，定義2.4，做了修改：增加注1]

2.21　

　　決策準則　decision criteria
用于確定行動或進一步需要調查或者描述給定結果置信度的閾值、目標或模式。

2.22　

　　導出測度　derived measure
定義為兩個或兩個以上基本測度（2.10）值的函數的測度（2.10）。

2.23　

　　文檔化信息　documented information
組織（2.57）需要控制和維護的信息及其載體。
注1：文檔化信息可以采用任何格式，在任何載體中，出自任何來源。
注2：文檔化信息可能涉及
— 管理體系（2.46），包括相關過程（2.61）；
— 為組織（2.57）運作所創建的信息（文檔）；

2.24　

　　有效性　effectiveness

2.25　

　　事態　event
一組特定情形的發生或改變。
[ISO Guide 73:2009，定義3.5.1.3，做了修改：刪除注4]
注1：一個事態可能是一個或多個發生，并可能有多種原因。
注2：一個事態可能由一些未發生的事情組成。

2.26　

　　執行管理者　executive management
為達成組織（2.57）意圖，承擔由組織治理者（2.29）委派的戰略和策略實現責任的人或一組人。

2.27　

　　外部語境　external context
組織（2.57）尋求實現其目標（2.56）的外部環境。
[ISO Guide 73:2009，定義3.3.1.1]
注1：外部語境可以包括如下方面：
— 文化、社會、政治、法律、法規、金融、技術、經濟、自然和競爭環境，無論是國際的、國家的、地區的或地方的；
— 影響組織（2.57）目標（2.56）的關鍵驅動力和趨勢；

2.28　

　　信息安全治理　governance of information security

2.29　

　　治理者　governing body
對組織（2.57）的性能（2.59）和合規負有責任的人或一組人。

2.30　

　　指標　indicator

2.31　

　　信息需求　information need
對目標（2.56）、目的、風險和問題進行管理所必需的洞察。

2.32　

　　信息處理設施　information processing facilities

2.33　

　　信息安全　information security
對信息的保密性（2.12）、完整性（2.40）和可用性（2.9）的保持。

2.34　

　　信息安全持續性　information security continuity

2.35　

　　信息安全事態　information security event

2.36　

　　信息安全事件　information security incident

2.37　

　　信息安全事件管理　information security incident management

2.38　

　　信息共享社區　information sharing community
同意共享信息的組織群體（2.57）。

2.39　

　　信息系統　information system

2.40　

　　完整性　integrity

2.41　

　　受益相關方　interested party

2.42　

　　內部語境　internal context
組織（2.57）尋求實現其目標的內部環境。
[ISO Guide 73:2009，定義3.3.1.2]
注1：內部語境可以包括如下方面：
— 治理、組織結構、角色和職責；
— 策略（2.60）、目標（2.56）和要實現它們的戰略；
— 在資源和知識方面的能力（如資本、時間、人員、過程（2.61）、系統和技術）；
— 信息系統（2.39）、信息流和決策過程（2.61）（正式的和非正式的）；
— 與內部利益相關方（2.82）的關系及其認知和價值觀；
— 組織（2.57）的文化；
— 組織（2.57）采用的標準、指南和模型；

2.43　

　　信息安全管理體系項目　ISMS project

2.44　

　　風險程度　level of risk
以后果（2.14）和其可能性（2.45）的組合來表示的風險（2.68）大小。

2.45　

　　可能性　likelihood
某事發生的概率。

2.46　

　　管理體系　management system
組織中相互關聯或相互作用的要素集，用來建立策略（2.60）和目標（2.56）以及達到這些目標的過程（2.61）。
注1：一個管理體系可能專注于單一學科或多個學科。
注2：體系要素包括組織結構、角色和責任、規劃、運行。

2.47　

　　測度　measure
作為測量（2.48）結果賦值的變量。
[ISO/IEC 15939:2007，定義2.15，做了修改]

2.48　

　　測量　measurement
確定一個值的過程（2.61）。

2.49　

　　測量函數　measurement function
組合兩個或兩個以上基本測度（2.10）的算法或計算。

2.50　

　　測量方法　measurement method
用于按規定的尺度（2.80）量化屬性（2.4）的通用邏輯操作序列。
[ISO/IEC 15939:2007，定義2.22，做了修改：刪除注2]
注1：測量方法的類型取決于屬性（2.4）量化操作的性質。可區分為以下兩種類型：
— 主觀的：包含人為判斷的量化；

2.51　

　　測量結果　measurement results

2.52　

　　監視　monitoring
確定系統、過程（2.61）或活動狀態的行為。

2.53　

　　不符合　nonconformity

2.54　

　　抗抵賴　non-repudiation

2.55　

　　對象　object

2.56　

　　目標　objective
要實現的結果。
注1：目標可以是戰略性的、戰術性的或操作性的。
注2：目標可以涉及不同學科（諸如金融、健康與安全以及環境目標），可以適用于不同層次（諸如戰略、組織、項目、產品和過程（2.61））。
注3：目標可以以其他方式表示，例如，作為預期結果、意圖、操作準則，作為信息安全（2.33）目標，或者使用具有類似含義的其他詞（例如，目的或標靶）。

2.57　

　　組織　organization
具有自身的功能、責任、權威和關系來實現其目標（2.56）的人或一組人。

2.58　

　　外包　outsource
做出由外部組織（2.57）執行部分的組織（2.57）功能或過程（2.61）的安排。

2.59　

　　性能　performance
可測量的結果。
注1：性能可以涉及定量或定性的調查結果。

2.60　

　　策略　policy

2.61　

　　過程　process

2.62　

　　可靠性　reliability

2.63　

　　要求　requirement
明示的、默認的或強制性的需要或期望。
注1：“默認的”意指所考慮的需要或期望是不言而喻的，對于組織（2.57）或受益相關方（2.41）是慣例或常見做法。

2.64　

　　殘余風險　residual risk
風險處置（2.79）后余下的風險（2.68）。
注1：殘余風險可能包含未識別的風險（2.68）。

2.65　

　　評審　review
針對實現所設立目標（2.54）的主題，為確定其適宜性、充分性和有效性（2.24）而采取的活動。

2.66　

　　評審對象　review object

2.67　

　　評審目標　review objective

2.68　

　　風險　risk
對目標的不確定性影響。
[ISO Guide 73:2009，定義1.1，做了修改]
注1：影響是指與期望的偏離（正向的或反向的）。
注2：不確定性是對事態（2.25）及其結果（2.14）或可能性（2.45）的相關信息、理解或知識缺乏的狀態（即使是部分的）。
注3：風險常被表征為潛在的事態（2.25）和后果（2.14），或者它們的組合。
注4：風險常被表示為事態（2.25）的后果（2.14）（包括情形的改變）和其發生可能性（2.45）的組合。
注5：在信息安全（2.33）管理體系（2.46）的語境下，信息安全（2.33）風險可被表示為對信息安全（2.33）目標（2.56）的不確定性影響。

2.69　

　　風險接受　risk acceptance
接納特定風險（2.68）的有根據的決定。
[ISO Guide 73:2009，定義3.7.1.6]
注1：可不經風險處置（2.79）或在風險處置（2.79）過程（2.61）中做出風險接受。

2.70　

　　風險分析　risk analysis
理解風險（2.68）本質和確定風險等級（2.44）的過程（2.61）。
[ISO Guide 73:2009，定義3.6.1]
注1：風險分析提供風險評價（2.74）和風險處置（2.79）決策的基礎。

2.71　

　　風險評估　risk assessment
風險識別（2.75）、風險分析（2.70）和風險評價（2.74）的整個過程（2.61）。

2.72　

　　風險溝通與咨詢　risk communication and consultation
組織（2.57）就風險（2.68）管理所進行的，提供、共享或獲取信息以及與利益相關方（2.82）對話的持續和迭代過程（2.61）。
注1：這些信息可能涉及到風險（2.68）的存在、性質、形式、可能性（2.45）、重要性、評價、可接受性和處置。
注2：咨詢是對問題進行決策或確定方向之前，在組織（2.57）和其利益相關方（2.82）之間進行知情溝通的雙向過程（2.51）。
咨詢是
— 通過影響力而不是權力來影響決策的過程（2.61）；

2.73　

　　風險準則　risk criteria
評價風險（2.68）重要性的參照條款。
[SOURCE: ISO Guide 73:2009, 3.3.1.3]
[ISO Guide 73:2009，定義3.3.1.3]
注1：風險準則是基于組織的目標以及外部語境（2.27）和內部語境（2.42）。

2.74　

　　風險評價　risk evaluation
將風險分析（2.70）的結果與風險準則（2.73）比較以確定風險（2.68）和（或）其大小是否可接受或可容忍的過程（2.61）。
[ISO Guide 73:2009，定義3.7.1]

2.75　

　　風險識別　risk identification
發現、識別和描述風險（2.61）的過程（2.61）。
[ISO Guide 73:2009，定義3.5.1]
注1：風險識別涉及風險源、事態（2.25）及其原因和潛在后果（2.14）的識別。

2.76　

　　風險管理　risk management
指導和控制組織（2.57）相關風險（2.57）的協調活動。

2.77　

　　風險管理過程　risk management process
管理策略（2.60）、規程和實踐在溝通、咨詢、語境建立以及識別、分析、評價、處置、監視和評審風險（2.68）活動上的系統性應用。
[ISO Guide 73:2009，定義3.1，做了修改：增加注1]

2.78　

　　風險責任者　risk owner
具有責任和權威來管理風險（2.68）的人或實體。

2.79　

　　風險處置　risk treatment
改變風險（2.68）的過程（2.61）。
[ISO Guide 73:2009，定義3.8.1，做了修改：將注1中的“決策”替換為“選擇”]
注1：風險處置可能涉及如下方面：
— 通過決定不啟動或不繼續進行產生風險（2.68）的活動來規避風險（2.68）；
— 承擔或增加風險（2.68）以追求機會；
— 消除風險（2.68）源；
— 改變可能性（2.45）；
— 改變后果（2.14）；
— 與另外一方或多方共擔風險（2.68）（包括合同和風險融資）；
— 有根據地選擇保留風險（2.68）。
注2：處理負面后果（2.14）的風險處置有時被稱為“風險緩解”、“風險消除”、“風險防范”和“風險降低”。

2.80　

　　尺度　scale
連續的或離散的值的有序集合，或者對應屬性（2.4）的類集合。
[ISO/IEC 15939:2007，定義2.35，做了修改]
注1：尺度的類型取決于尺度上值之間關系的性質。通常定義如下四種尺度類型：
— 名義的：測量（2.48）值是類別化的；
— 順序的：測量（2.48）值是序列化的；
— 間距的：測量（2.48）值對應于屬性（2.4）的等同量是等距離的；
— 比率的：測量（2.48）值對應于屬性（2.4）的等同量是等距離的，其中零值對應于屬性的空。

2.81　

　　安全實施標準　security implementation standard

2.82　

　　利益相關方　stakeholder
對于一項決策或活動，可能對其產生影響，或被其影響，或認為自己受到其影響的人或組織（2.57）。

2.83　

　　威脅　threat

2.84　

　　最高管理者　top management
最高層指導和控制組織（2.57）的人或一組人。
注1：最高管理者具有在組織（2.57）內授權和提供資源的權力。

2.85　

　　可信信息通信實體　trusted information communication entity

2.86　

　　測量單位　unit of measurement
按慣例被定義和被采納的特定量，用于其他同類量與其比較以表示它們相對于這個量的大小。

2.87　

　　確認　validation
通過提供客觀證據，證實滿足特定預期使用或應用要求（2.63）的行為。

2.88　

　　驗證　verification
通過提供客觀證據，證實滿足規定要求（2.63）的行為。
[ISO 9000:2015，定義3.8.4]

2.89　

　　脆弱性　vulnerability