信息技术安全管理指南 第 1 部分:IT 安全的概念和模型
Information technology — Security techniques — Management of information and communications technology security
Part 1: Concepts and models for information and communications technology security management
主要内容
术语和定义
1 可审计性 auditability
确保一个实体的行为可以北唯一地追溯到该实体的特性。
2 资产 asset
对组织有价值的任何东西。
3 鉴权 authentication
确保一个主体或资源的身份就是其所声称的。鉴权应用于类似用户、进程、系统和信息的实体。
4 可用性 availability
一旦授权用户需要,就可以访问和使用的特性。
5 基线控制 baseline control
为组织或系统建立的一系列最少的防护措施。
6 保密性 confidentiality
确保信息不可用或不暴露给未经授权的个人、实体或过程的特性。
7 数据完整 data integrity
确保数据不被未经授权的方式替换或破坏的特性。
8 影响 influence
不期望事件的结果。
9 完整性 integrity
保证数据和系统的完整。
10 IT安全 IT security
指的是保护计算机系统、网络、数据以及相关的硬件和软件免受未经授权的访问、使用、披露、破坏、修改或干扰。
11 IT安全策略(方针) IT security strategy (policy)
在组织及其 IT 系统内指导如何管理、保护和分发包括敏感信息在内的资产的规则、指南和惯例。
12 抗抵赖性 non-repudiation
证明一个已经发生的活动或事件在后来不能被抵赖的能力。
13 可靠性 reliability
持续的预期行为和结果的特性。
14 残余风险 residual risk
事实防护措施后仍残留的风险。
15 风险 risk
假定的威胁利用一个或一组资产的脆弱点导致组织受损的潜在。
16 风险分析 risk analysis
识别安全风险、确定其程度并识别需要保护的范围的过程。
17 风险管理 risk management
识别、控制和消除或缩减可能影响 IT 系统资源的不希望事件的全部过程。
18 防护措施 protective measure
削减风险的惯例、程序或机制。
19 系统完整 system integrity
系统以一种无损的方式实现其预期的功能,免受蓄意的或无意的未经授权的系统操作的影响。
20 威胁 threat
可能导致不期望事件的潜在原因,该不期望事件可能导致系统或组织受损。
21 脆弱点 vulnerability
一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。
暂无评论内容