标准内容
实施意义
认证流程
ISO 27000:2016
编者说明:
此处使用的 27000 术语定义来自国标转化的 27000 标准 ISO 27000:2016(GB/T 29246—2017/ ISO/IEC 27000: 2016 信息技术 安全技术 信息安全管理体系 概述和词汇)。其中编号按原文编号排列。
ISO 27000:2016 对术语定义有下列说明:
ISMS 标准族的术语归属者是指最初定义该术语的标准。术语归属者还要负责对定义进行维护,即提供、评审、更新和删除。
ISO/IEC27001 和 ISO/IEC27006 作为规范性标准(即包含要求)总是始终作为各自术语的归属者。
术语定义
1 访问控制 access control
确保对资产的访问是基于业务和安全要求(63)进行授权和限制的手段。
2 分析模型 analytical model
将一个或多个基本测度(10) 和(或)导出测度(22)关联到决策准则(21)的算法或计算。
3 攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
4 属性 attribute
可由人工或自动化手段定量或定性辨别的对象(55)特性或特征。
5 审核 audit
获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程(61) 。
注 1:审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。
注 2:“审核证据”和“审核准则”在 ISO 19011 中被定义。
6 审核范围 audit scope
审核(5)的程度和边界。
7 鉴别 authentication
为一个实体声称的特征是正确的而提供的保障措施。
8 真实性 authenticity
一个实体是其所声称实体的这种特性。
9 可用性 availability
根据授权实体的要求可访问和可使用的特性。
10 基本测度 base measure
用某个属性(4) 及其量化方法定义的测度(47) 。
注:基本测度在功能上独立于其他测度(47)。
11 能力 competence
应用知识和技能实现预期结果的才能。
12 保密性 confidentiaity
信息对未授权的个人、实体或过程(2.61)不可用或不泄露的特性。
13 符合性 conformity
对要求(63)的满足。
注;术语“一致性”是被弃用的同义词。
14 后果 consequence
事态(25) 影响目标(56)的结果。
注 1:一个事态(25)可能导致一系列后果。
注 2:一个后果可以是确定的或不确定的,在信息安全(33)的语境下通常是负面的。
注 3:后果可以被定性或定量地表示。
注 4:初始后果可能因连锁效应升级。
15 持续改进 continual improvement
为提高性能(59)的反复活动。
16 控制 control
改变风险(68)的措施。
注 1:控制包括任何改变风险(68)的过程(61)、策略(60)、设备、实践或其他措施。
注 2:控制不一定总是达到预期或假定的风险改变效果。
17 控制目标 control objective
描述控制(16)的实施结果所要达到目标的声明。
18 纠正 correction
消除已查明的不符合(53)的措施。
19 整改措施 corrective action
消除不符合(53)成因以防再次发生的措施。
20 数据 data
基本测度(10)、导出测度(22)和(或)指标(30)所赋值的集合。
注:这个定义只适用于 ISO/IEC 27004 的语境。
21 决策准则 decision criteria
用于确定行动或进一步需要调查或者描述给定结果置信度的阈值、目标或模式。
22 导出测度 derived measure
定义为两个或两个以上基本测度(2.10)值的函数的测度(10)。
23 文档化信息 documented information
组织(57)需要控制和维护的信息及其载体。
注 1:文档化信息可以采用任何格式在任何载体中,出自任何来源。
注 2:文档化信息可能涉及管理体系(46),包括相关过程( 61);为组织(57)运作所创建的信息(文档);结果实现的证据(记录)。
24 有效性 effectiveness
实现所计划活动和达成所计划结果的程度。
25 事态 event
一组特定情形的发生或改变。
注 1:一个事态可能是一个或多个发生,并可能有多种原因。
注 2:一个事态可能由一些未发生的事情组成。
注 3:一个事态可能有时被称为“事件”或“事故”。
26 执行管理者 executive management
为达成组织(57)意图,承担由组织治理者(29)委派的战略和策略实现责任的人或一组人。
注:执行管理者有时称为最高管理者(84),可以包括首席执行官、首席财务官、首席信息官和类似的角色。
27 外部语境 external context
组织(57)寻求实现其目标(56)的外部环境。
注:外部语境可以包括如下方面:文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、国家的、地区的或地方的;
影响组织(57)目标(56)的关键驱动力和趋势;
与外部利益相关方(82)的关系及其认知和价值观。
28 信息安全治理 governance of information security
指导和控制组织(57)信息安全(33)活动的体系。
29 治理者 governing body
对组织(57)的性能(59)和合规负有责任的人或一组人。
注:治理者在某些司法管辖区可以是董事会。
30 指标 indicator
针对定义的信息需求(31),为分析模型(2)导出的属性(4)提供估算或评价的测度(47)。
31 信息需求 information need
对目标(56)、目的、风险和问题进行管理所必需的洞察。
32 信息处理设施 information processing facilities
任何的信息处理系统、服务或基础设施,或者其安置的物理位置。
33 信息安全 information security
对信息的保密性(12)、完整性(40)和可用性(9)的保持。
注:另外,也可包括诸如真实性(8)、可核查性、抗抵赖(54)和可靠性(62)等其他特性。
34 信息安全持续性 information security continuity
确保信息安全(33)持续作用的过程(61)和规程。
35 信息安全事态 information security event
识别到的一种系统、服务或网络状态的发生,丧明可能违反信息安全(33)策略(60)或控制(16)失效,或者一种可能与信息安全相关但还不为人知的情况。
36 信息安全事件 information security incident
单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全(33)的信息安全事态(35)。
37 信息安全事件管理 information security incident management
发现、报告、评估、响应、处理和总结信息安全事件(36)的过程(61)。
38 信息共享社区 information sharing community
同意共享信息的组织(57)群体。
注:组织(57)可以是一个人。
39 信息系统 information system
应用、服务、信息技术资产或其他信息处理组件。
40 完整性 integrity
准确和完备的特性。
41 受益相关方 interested party
对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(57)。
42 内部语境 internal context
组织(57)寻求实现其目标的内部环境。
注:内部语境可以包括如下方面:
治理、组织结构、角色和职责;
策略(60)、目标(56)和要实现它们的战略;
在资源和知识方面的能力[如资本、时间、人员、过程(61)、系统和技术]
信息系统(39)、信息流和决策过程(61)(正式的和非正式的);
与内部利益相关方(82)的关系及其认知和价值观;
组织(57)的文化;
组织(57)采用的标准、指南和模型;
契约关系的形式和程度。
43 信息安全管理体系项目 ISMS project
组织(57)为实施 ISMS 所开展的结构化活动。
44 风险程度 level of risk
以后果(14)和其可能性(45)的组合来表示的风险(68)大小。
45 可能性 likelihood
某事发生的概率。
46 管理体系 management system
组织中相互关联或相互作用的要素集,用来建立策賂(60)和目标(56)以及达到这些目标的过程(61)。
注 1:一个管理体系可能专注于单一学科或多个学科。
注 2:体系要素包括组织结构、角色和责任、规划、运行。
注 3:一个管理体系范围可能包括组织(57)的整体、组织(57)的特定且确定的功能、组织(57)的特定且确定的部门,或者跨一组组织(57)的一个或多个功能。
47 测度 measure
作为测量(48)结果赋值的变量。
注:术语“测度”是基本测度(10)、导出测度(22)和指标(30)的统称。
48 测量 measurement
确定一个值的过程(61)。
注:在信息安全(33)的语境下,确定一个值的过程(61)需要使用测量方法(50)、测量函数(49)、分析模型(2)和决策准则(21),获得关于信息安全(33)管理体系(46)及其相关控制(16)有效性(24)的信息。
49 测量函数 measurement function
组合两个或两个以上基本测度(10)的算法或计算。
50 测量方法 measurement method
用于按规定的尺度(80)量化属性(4)的通用逻辑操作序列。
注:测量方法的类型取决于属性(4)量化操作的性质。可区分为以下两种类型:
主观的:包含人为判断的量化;
客观的:基于数字规则的量化。
51 测量结果 measurement results
对信息需要(31)的一个或多个指标(30)及其相关解释。
52 监视 monitoring
确定系统、过程(61)或活动状态的行为。
注:为确定状态可能需要检查、监督或严密观察。
53 不符合 nonconformity
对要求(63)的不满足。
54 抗抵赖 non-repudiation
证明所声称事态(25)或行为的发生及其源头的能力。
55 对象 object
通过测量(48)其属性(4)来描述其特性的事项。
56 目标 objective
要实现的结果。
注 1:目标可以是战略性的、战术性的或操作性的。
注 2:目标可以涉及不冋学科(诸如金融、健康与安全以及环境目标),可以适用于不同层次[诸如战略、组织、项目产品和过程(61)]。
注 3:目标可以以其他方式表示,例如,作为预期结果、意图、操作准则,作为信息安全(33)目标,或者使用具有类似含义的其他词(例如,目的或标靶)。
注 4:在信息安全(33)管理体系(46)的语境下,组织(57)制定与信息安全(33)策略(60)一致的信息安全(33)目标以实现特定结果。
57 组织 organization
具有自身的功能、责任、权威和关系来实现其目标(56)的人或一组人。
注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或部分或其组合,不论注册与否,公共的还是私营的。
58 外包 outsource
做出由外部组织(57)执行部分的组织(57)功能或过程(61)的安排。
注:外部组织在管理体系(46)的范围之外,尽管外包的功能或过程(61)在范围之内。
59 性能 performance
可测量的结果。
注 1:性能可以涉及定量或定性的调查结果。
注 2:性能可以涉及活动、过程(61)、产品(包括服务)、系统或组织(57)的管理。
60 策略 policy
由最高管理者(84)正式表达的组织(57)的意图和方向。
61 过程 process
将输入转换成输出的相互关联或相关作用的活动集。
62 可靠性 reliability
与顶期行为和结果一致的特性。
63 要求 requirement
明示的、默认的或强制性的需要或期望。
注 1:“默认的”意指所考虑的需要或期望是不言而喻的,对于组织(57)或受益相关方(41)是惯例或常见做法。
注 2:指定要求是在例如文档化信息(223)中明示的。
64 残余风险 residual risk
风险处置(79)后余下的风险(68)。
注 1:残余风险可能包含未识别的风险(68)。
注 2:残余风险也可以被称为“保留风险”
65 评审 review
针对实现所设立目标(54)的主题,为确定其适宜性、充分性和有效性(24)而采取的活动。
66 评审对象 review object
被评审的特定事项。
67 评审目标 review objective
描述评审(65)结果要达到什么的陈述。
68 风险 risk
对目标的不确定性影响。
注 1:影响是指与期望的偏离(正向的或反向的)。
注 2:不确定性是对事态(25)及其结果(14)或可能性(45)的相关信息、理解或知识缺乏的状态(即使是部分
的)。
注 3:风险常被表征为潜在的事态(25)和后果(14),或者它们的组合。
注 4:风险常被表示为事态(25)的后果(14)(包括情形的改变)和其发生可能性(45)的组合。
注 5:在信息安全(33)管理体系(46)的语境下,信息安全(33)风险可被表示为对信息安全(33)目标(56)的不确定性影响。
注 6:信息安全(33)风险与威胁(83)利用信息资产或信息资产组的脆弱性(89)对组织(57)造成危害的潜力相关。
69 风险接受 risk acceptance
接纳特定风险(268)的有根据的决定。
注 1:可不经风险处置(79)或在风险处置(79)过程(61)中做出风险接受。
注 2:接受的风险(68)要受到监视(52)和评审(65)。
70 风险分析 risk analysis
理解风险(68)本质和确定风险等级(44)的过程(61)。
注 1:风险分析提供风险评价(74)和风险处置(79)决策的基础。
注 2:风险分析包括风险估算。
71 风险评估 risk assessment
风险识别(75)、风险分析(70)和风险评价(74)的整个过程(61)。
72 风险沟通与咨询 risk communication and consultation
组织(57)就风险(68)管理所进行的,提供、共享或获取信息以及与利益相关方(82)对话的持续和迭代过程(61)。
注 1:这些信息可能涉及到风险(68)的存在、性质、形式、可能性(45)、重要性、评价、可接受性和处置。
注 2:咨询是对问题进行决策或确定方向之前,在组织(57)和其利益相关方(82)之间进行知情沟通的双向过程(51)。
咨询是:
通过影响力而不是权力来影响决策的过程(61);
决策的输入,而非联合决策。
73 风险准则 risk criteria
评价风险(68)重要性的参照条款。
注 1:风险准则是基于组织的目标以及外部语境(27)和内部语境(42)。
注 2:风险准则可来自标准、法律、策略(60)和其他要求(63)。
74 风险评价 risk evaluation
将风险分析(70)的结果与风险准则(73)比较以确定风险(68)和(或)其大小是否可接受或可容忍的过程(61)。
注:风险评价辅助风险处置(79)的决策。
75 风险识别 risk identification
发现、识别和描述风险(61)的过程(61)。
注 1:风险识别涉及风险源、事态(25)及其原因和潜在后果(14)的识别。
注 2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(282)的需要。
76 风险管理 risk management
指导和控制组织(57)相关风险(57)的协调活动。
77 风险管理过程 risk management proces
管理策略(60)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险(68)活动上的系统性应用。
注:ISO/IEC 27005 使用术语“过程”(61)来描述全面风险管理。在风险管理(76)过程(61)中的要素被称为“活动”。
78 风险责任者 risk owner
具有责任和权威来管理风险(68)的人或实体。
79 风险处置 risk treatment
改变风险(68)的过程(61)。
注 1:风险处置可能涉及如下方面:
通过决定不启动或不继续进行产生风险(68)的活动来规避风险(68);
承担或增加风险(68)以追求机会;
消除风险(68)源;
改变可能性(45);
改变后果(14);
与另外一方或多方共担风险(68)(包括合同和风险融资);
有根据地选择保留风险(68)。
注 2:处理负面后果(14)的风险处置有时被称为“风险缓解”“风险消除”“风险防范”和“风险降低”。
注 3:风险处置可能产生新的风险(268)或改变现有风险(68)。
80 尺度 scale
连续的或离散的值的有序集合,或者对应属性(4)的类集合。
注:尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型:
名义的:测量(48)值是类别化的;
顺序的:测量(48)值是序列化的;
间距的:测量(48)值对应于属性(4)的等同量是等距离的;
比率的:测量(48)值对应于属性(4)的等同量是等距离的,其中零值对应于属性的空。
这些只是尺度类型的示例。
81 安全实施标准 security implementation standard
规定授权的安全实现方式的文件。
82 利益相关方 stakeholder
对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(57)。
83 威胁 threat
可能对系统或组织(57)造成危害的不期望事件的潜在原由。
84 最高管理者 top management
最高层指导和控制组织(57)的人或一组人。
注 1:最高管理者具有在组织(57)内授权和提供资源的权力。
注 2:如果管理体系(46)的范围只涵盖组织(57)的一部分,则最高管理者就是指指导和控制组织(57)这部分的人或一组人。
85 可信信息通信实体 trusted information communication entity
支持在信息共享社区(38)内进行信息交换的自主组织(57)。
86 测量单位 unit of measurement
按惯例被定义和被采纳的特定量,用于其他同类量与其比较以表示它们相对于这个量的大小。
87 确认 validation
通过提供客观证据,证实满足特定预期使用或应用要求(63)的行为。
88 验证 verification
通过提供客观证据,证实满足规定要求(63)的行为。
注:这也可被称为符合性测试。
89 脆弱性 vulnerability
可能被一个或多个威胁(83)利用的资产或控制(16)的弱点。
暂无评论内容