| ·资产: | 对组织有价值的任何东西[ISO/EC13335-1:2004]。 |
| ·指南: | 阐明要做什么和怎么做以达到方针策略中制定的目标的描述[ISO/ECTR135-:204]
. |
| ·信息处理设施: | 任何信息处理系统、服务或基础设施,或放置它们的场所。 |
| ·信息安全: | 保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。 |
| ·信息安全事态: | 信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反
或防护措施的失效,或是和安全关联的一个先前未知的状态[GB/Z20985—2007]。 |
| ·信息安全事件: | 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和
威胁信息安全的极大的可能性[GB/Z20985—2007]。 |
| ·方针: | 管理者正式发布的总的宗旨和方向。 |
| ·风险: | 事态的概率及其结果的组合[ISO/IECGuide73:2002]。 |
| ·风险分析: | 系统地使用信息来识别风险来源和估计风险[ISO/IECGuide73:2002]。 |
| ·风险评估: | 风险分析和风险评价的整个过程[ISO/IECGuide73:2002]。 |
| ·风险评价: | 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/ECGuide73:202]。 |
| ·风险管理: | 指导和控制-个组织相关风险的协调活动。 |
| ·风险处置: | 选择并且执行措施来更改风险的过程[ISO/IECGuide73:202]。 |
| ·第三方: | 就所涉及的问题被公认为是独立于有关各方的个人或机构[ISO/IECGuide2:1996]。 |
| ·威胁: | 可能导致对系统或组织的损害的不期望事件发生的潜在原因ISO/IECTR13335-1:2004]。 |
| ·脆弱性: | 可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IECTR13335-1:2004]。 |
| ·资产: | 对组织有价值的任何东西[ISO/EC13335-1:2004]。 |
| ·控制措施: | 管理风险的方法,包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方
面的。 |
| ·指南: | 阐明要做什么和怎么做以达到方针策略中制定的目标的描述[ISO/ECTR135-:204]
. |
| ·信息处理设施: | 任何信息处理系统、服务或基础设施,或放置它们的场所。 |
| ·信息安全: | 保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。 |
| ·信息安全事态: | 信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反
或防护措施的失效,或是和安全关联的一个先前未知的状态[GB/Z20985—2007]。 |
| ·信息安全事件: | 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和
威胁信息安全的极大的可能性[GB/Z20985—2007]。 |
| ·方针: | 管理者正式发布的总的宗旨和方向。 |
| ·风险: | 事态的概率及其结果的组合[ISO/IECGuide73:2002]。 |
| ·风险分析: | 系统地使用信息来识别风险来源和估计风险[ISO/IECGuide73:2002]。 |
| ·风险评估: | 风险分析和风险评价的整个过程[ISO/IECGuide73:2002]。 |
| ·风险评价: | 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/ECGuide73:202]。 |
| ·风险管理: | 指导和控制-个组织相关风险的协调活动。 |
| ·风险处置: | 选择并且执行措施来更改风险的过程[ISO/IECGuide73:202]。 |
| ·第三方: | 就所涉及的问题被公认为是独立于有关各方的个人或机构[ISO/IECGuide2:1996]。 |
| ·威胁: | 可能导致对系统或组织的损害的不期望事件发生的潜在原因ISO/IECTR13335-1:2004]。 |
| ·脆弱性: | 可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IECTR13335-1:2004]。 |