9.3.3　涉及的術(shù)語及其定義

本標(biāo)準(zhǔn)采用以下術(shù)語和定義：

（1）資產(chǎn)。任何對于組織具有價值的事物。

（2）控制措施。管理風(fēng)險的方法，包括方針（策略）、程序、指南、慣例或組織架構(gòu)，這些方法可以是行政的、技術(shù)的、管理的或法律的。

（3）指南。闡明為實現(xiàn)方針中設(shè)立的目標(biāo)應(yīng)該做什么和怎么做的描述。

（4）信息處理設(shè)施。任何信息處理系統(tǒng)、服務(wù)或基礎(chǔ)設(shè)施，或放置它們的物理場所。

（5）信息安全。保護信息的保密性、完整性、可用性及其他屬性，如：真實性、可核查性、可靠性、防抵賴性。

（6）信息安全事件（information security event）。信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。

（7）信息安全事故（information security incident）。一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運作和威脅信息安全的極大的可能性。

（8）方針。管理層正式發(fā)布的總體意圖與方向。

（9）風(fēng)險。事件發(fā)生的可能性和后果的結(jié)合。

（10）風(fēng)險分析。系統(tǒng)地使用信息以識別來源和估計風(fēng)險。

（11）風(fēng)險評估。風(fēng)險分析和風(fēng)險評價的全過程。

（12）風(fēng)險評價。將估計的風(fēng)險與既定的風(fēng)險準(zhǔn)則進行比較以確定重要風(fēng)險的過程。

（13）風(fēng)險管理。指導(dǎo)和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。

（14）風(fēng)險處置。選擇和實施措施以改變風(fēng)險的過程。

（15）第三方。當(dāng)考慮一個問題時，被認(rèn)為是獨立于涉及方的人員或?qū)嶓w。

（16）威脅。非預(yù)期事件地潛在原因，這些事件可能對系統(tǒng)或組織造成損害。

（17）脆弱性?？赡鼙灰粋€或多個威脅利用的一個或一組資產(chǎn)的弱點。