9.3.3　涉及的術(shù)語及其定義

本標準采用以下術(shù)語和定義：

（1）資產(chǎn)：任何對于組織具有價值的事物。

（2）控制措施：管理風險的方法，包括方針（策略）、程序、指南、慣例或組織架構(gòu)，這些方法可以是行政的、技術(shù)的、管理的或法律的。

（3）指南：闡明為實現(xiàn)方針中設立的目標應該做什么和怎么做的描述。

（4）信息處理設施：任何信息處理系統(tǒng)、服務或基礎設施，或放置它們的物理場所。

（5）信息安全：保護信息的保密性、完整性、可用性及其他屬性，如：真實性、可核查性、可靠性、防抵賴性。

（6）信息安全事件（information security event）：信息安全事件是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。

（7）信息安全事故（information security incident）：一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務運作和威脅信息安全的極大的可能性。

（8）方針：管理層正式發(fā)布的總體意圖與方向。

（9）風險：事件發(fā)生的可能性和后果的結(jié)合。

（10）風險分析：系統(tǒng)地使用信息以識別來源和估計風險。

（11）風險評估：風險分析和風險評價的全過程。

（12）風險評價：將估計的風險與既定的風險準則進行比較以確定重要風險的過程。

（13）風險管理：指導和控制一個組織的風險的協(xié)調(diào)的活動。

（14）風險處置：選擇和實施措施以改變風險的過程。

（15）第三方：當考慮一個問題時，被認為是獨立于涉及方的人員或?qū)嶓w。

（16）威脅：非預期事件地潛在原因，這些事件可能對系統(tǒng)或組織造成損害。

（17）脆弱性：可能被一個或多個威脅利用的一個或一組資產(chǎn)的弱點。