術語和定義

下列術語和定義適用于本標準。

3.1 資產 asset

對組織具有價值的信息或資源，是安全策略保護的對象。

3.2 資產價值 asset value

資產的重要程度或敏感程度的表征。資產價值是資產的屬性，也是進行資產識別的主要內容。

3.3 可用性 availability

數據或資源的特性，被授權實體按要求能訪問和使用數據或資源。

3.4　業務戰略　business strategy

組織為實現其發展目標而制定的一組規則或要求。

3.5 保密性 confidentiality

數據所具有的特性，即表示數據所達到的未提供或未泄露給非授權的個人、過程或其他實體的程度。

3.6　信息安全風險 information security risk

人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。

3.7（信息安全）風險評估 （information security） risk assessment

依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。

3.8　信息系統 information system

由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

3.9 檢查評估 inspection assessment

由被評估組織的上級主管機關或業務主管機關發起的，依據國家有關法規與標準，對信息系統及其管理進行的具有強制性的檢查活動。

3.10 完整性 integrity

保證信息及信息系統不會被非授權更改或破壞的特性。包括數據完整性和系統完整性。

3.11 組織 organization

由作用不同的個體為實施共同的業務目標而建立的結構。一個單位是一個組織，某個業務部門也可以是一個組織。

3.12 殘余風險 residual risk

采取了安全措施后，信息系統仍然可能存在的風險。

3.13　自評估 self-assessment

由組織自身發起，依據國家有關法規與標準，對信息系統及其管理進行的風險評估活動。

3.14　安全事件 security incident

系統、服務或網絡的一種可識別狀態的發生，它可能是對信息安全策略的違反或防護措施的失效，或未預知的不安全狀況。

3.15 安全措施 security measure

保護資產、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規程和機制。

3.16 安全需求 security requirement

為保證組織業務戰略的正常運作而在安全措施方面提出的要求。

3.17 威脅 threat

可能導致對系統或組織危害的不希望事故潛在起因。

3.18 脆弱性 vulnerability

可能被威脅所利用的資產或若干資產的薄弱環節。