術語和定義

下列術語和定義適用于本標準。

3.1　安全工程 security engineering

為確保信息系統的保密性、完整性、可用性等目標而進行的系統工程過程。

3.2　安全工程的生存周期 security engineering lifecycle

在整個信息系統生存周期中執行的安全工程活動包括：概念形成、概念開發和定義、驗證與確認、工程實施開發與制造、生產與部署、運行與支持和終止。

3.3　安全工程指南 security engineering guide

由工程組做出的有關如何選擇工程體系結構、設計與實現的指導性信息。

3.4　脆弱性 vulnerability

能夠被某種威脅利用的某個或某組資產的弱點。

3.5　風險 risk

某種威脅會利用一種資產或若干資產的脆弱性使這些資產損失或破壞的可能性。

3.6　需求方 owner

信息系統安全工程建設的擁有者或組織者。

3.7　實施方 developer

信息系統安全工程的建設與服務的提供方。

3.8　第三方 third party

獨立于需求方、實施方，從事信息系統安全工程建設相關活動的中立組織或機構。

3.9　項目 project

項目是各種相關實施活動和資源的總和，這些實施活動和資源用于開發或維護信息安全工程。一個項目往往有相關的資金，成本賬目和交付時間表。

3.10　過程 process

把輸入轉化為輸出的一組相關活動。

3.11　過程管理 process management

一系列用于預見、評價和控制過程執行的活動和體系結構。