ISO27001標(biāo)準(zhǔn)的術(shù)語和定義解析

1、ISO27001 標(biāo)準(zhǔn)的術(shù)語和定義解析3.1資產(chǎn) asset【內(nèi)容解析】1.資產(chǎn)是對組織有價值的任何東西， 說明其能為所擁有或獲得的組織創(chuàng)造財 富。因此需要保護(hù)。資產(chǎn)識別時，應(yīng)該牢記的是，資產(chǎn)不僅僅包含硬件和軟件。2.根據(jù)資產(chǎn)擁有者的情況，資產(chǎn)的擁有者可以是組織，也可以是個人。3.資產(chǎn)可分為以下幾種：1）信息，例如：文檔和數(shù)據(jù)等；2）軟件和系統(tǒng)，例如：應(yīng)用軟件、系統(tǒng)軟件等；3）硬件和設(shè)施，例如：存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、保障設(shè)備等；4）服務(wù)和其他，例如： IT 服務(wù)、無形資產(chǎn)等；5）人力資源，例如：涉密人員、特殊人員等。3.2可用性 Availability【內(nèi)容解析】1.可用性的目的是讓所有合法用

2、戶能夠使用到已授權(quán)的信息和功能。可用性通常用百分率表示，公式為：（規(guī)定服務(wù)時間一因意外中斷時間）/規(guī)定服務(wù)時間 X 100%。例如：99.9%。2.其與保密性（Co nfide ntiality ）和完整性（I ntergeity）并稱為信息安全的 CIA 三要素。3.3保密性 Confidentiality【內(nèi)容解析】保密性指數(shù)據(jù)、文檔以及網(wǎng)絡(luò)信息等不被泄露給非授權(quán)的用戶、 實(shí)體或過程。 強(qiáng)調(diào)信息只為授權(quán)用戶使用的特征。 保密性是在可靠性和可用性基礎(chǔ)之上， 保障 信息安全的重要手段。常用的保密技術(shù)：1 ）物理保密：利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保 護(hù)信息不被泄露。2）防竊

3、聽：使對手偵察、接收不到有用的信息。3）防輻射：防止有用信息以各種途徑輻射出去。4）信息加密：在密鑰的控制下，用加密算法對信息進(jìn)行加密處理。即使對手得到了加密后的信息也會因?yàn)闆]有密鑰而無法讀懂有效信息。3.4信息安全 Information Security【內(nèi)容解析】1.信息安全的目的是保證信息的保密性、完整性、可用性、真實(shí)性、可核查 性等。保密性、完整性和可用性構(gòu)成了信息安全的 CIA 三要素。2.信息安全是個相對的概念。沒有絕對的信息安全。3.5信息安全事態(tài) Information Security Event【內(nèi)容解析】1.有害或意外的信息安全事態(tài)是引發(fā)信息安全事件的源頭。2.信息安全

4、事態(tài)發(fā)生后可能會造成信息安全事件， 也可能未造成信息安全事 件。3.信息安全事態(tài)可能由一個原因?qū)е碌?，也可能由多個原因?qū)е碌摹?.6信息安全事件 Information Security Incident【內(nèi)容解析】1.一個或多個有害的或者意外信息安全事態(tài)是導(dǎo)致信息安全事件的源頭。2.事件發(fā)生后，根據(jù)事件的影響程度，可分為一般事件和重大事件。根據(jù)信 息安全事件的影響程度，對信息安全事件做出最恰當(dāng)和最有效的響應(yīng)。3.盡管信息安全事態(tài)可能是意外或故意違反信息安全防護(hù)措施的企圖的結(jié) 果，但在多數(shù)情況下， 信息安全事態(tài)本身并不意味著破壞安全的企圖真正獲得了 成功，因此也并不一定會對盋芐浴暾院 ？或可用

5、性產(chǎn)生影響。也就是說，并非 所有信息安全事態(tài)都會被歸類為信息安全事件。3.7信息安全管理體系（ ISMS ） Information Security management system （ ISMS ）【內(nèi)容解析】1.信息安全管理體系是組織管理體系的一個組成部分。其目的是為了保護(hù)資產(chǎn)的安全。2.信息安全管理體系基于整體業(yè)務(wù)活動風(fēng)險。3.信息安全管理體系與其他管理體系一樣，采用過程方法，PDCA 的模型。支持與相關(guān)管理標(biāo)準(zhǔn)一致的、協(xié)調(diào)的實(shí)施和運(yùn)行。3.8完整性 Integrity【內(nèi)容解析】 完整性指的是防止未授權(quán)的更改和篡改。包含非授權(quán)的增加、減少或破壞。例如：在原有源代碼中非授權(quán)加入代碼，

6、 或者在原有源代碼中非授權(quán)裁剪或非授 權(quán)修改了一部分代碼，均視為破壞完整性的行為。3.9殘余風(fēng)險 Residual risk【內(nèi)容解析】1.殘余是指處理后剩余的風(fēng)險。即沒有達(dá)到風(fēng)險接受準(zhǔn)則的風(fēng)險。2.殘余風(fēng)險的危害程度一般大于原有風(fēng)險。所以在接受殘余風(fēng)險時，需獲得 管理者對建議的殘余風(fēng)險的批準(zhǔn)。3.10風(fēng)險接受 risk acceptance【理解要點(diǎn)】組織確定風(fēng)險程度可接受的決定。 在明顯滿足組織方針策略和接受風(fēng)險的準(zhǔn) 則的條件下，有意識地、客觀地接受風(fēng)險。3.11風(fēng)險分析 risk analysis【內(nèi)容解析】1.風(fēng)險識別的目的是決定什么發(fā)生可能會造成潛在損失， 并深入了解損失可 能如何、

7、何地、為什么發(fā)生。2.風(fēng)險識別包括： 威脅識別、脆弱性識別、 后果識別和現(xiàn)有控制措施的識別。a）威脅識別：威脅有可能損害資產(chǎn)，諸如信息、過程、系統(tǒng)甚至組織。 威脅的來源可能是自然的或人為的， 可能是意外的或是故意的。 也可能來自組織 內(nèi)部或外部。所以對整體并按類型（如未授權(quán)行為，物理損害，技術(shù)故障）識別 威脅意味著沒有威脅被忽視，包括突發(fā)的威脅。b）脆弱性識別：脆弱性本身不會產(chǎn)生危害，只有被某個威脅利用時才 會產(chǎn)生危害。 沒有相應(yīng)威脅的脆弱性可能不需要實(shí)施控制措施， 但是應(yīng)關(guān)注和監(jiān) 視其變化。c）后果識別：后果可能是喪失有效性、不利運(yùn)行條件、業(yè)務(wù)損失、聲 譽(yù)破壞等。資產(chǎn)受到損害時，后果可能是臨

8、時性的，也可能是永久的。d）現(xiàn)有控制措施識別：為避免不必要的工作或成本，如，重復(fù)的控制 措施。此外， 識別現(xiàn)有的控制措施時， 進(jìn)行檢查以確保控制措施在正確運(yùn)行是非 常必要的活動。3.在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評估 安全失效可能造成的對組織的影響。4.根據(jù)主要的威脅和脆弱性、對資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施，評 估安全失效發(fā)生的現(xiàn)實(shí)可能性。5.估計(jì)風(fēng)險級別。3.12風(fēng)險評估 risk assessment 【內(nèi)容解析】1.對信息和信息處理設(shè)施的威脅、脆弱性和影響及三者發(fā)生的可能性的評 估。2.風(fēng)險評估也就是確認(rèn)安全風(fēng)險及其大小的過程， 即利用適當(dāng)?shù)娘L(fēng)險評估工

9、 具，包括定性和定量的方法，確定資產(chǎn)風(fēng)險等級和優(yōu)先控制順序。3.風(fēng)險評估確定了信息資產(chǎn)的價值，對存在（或可能存在的）適用的威脅和 脆弱性進(jìn)行識別， 考慮現(xiàn)有的控制措施及其對已識別風(fēng)險的影響， 確定潛在的后 果。4.對確定的風(fēng)險根據(jù)緊急度和影響度進(jìn)行優(yōu)先級排序， 并按照背景建立時確 定的風(fēng)險準(zhǔn)則劃分等級。3.13風(fēng)險評價 risk evaluation 【內(nèi)容解析】1.風(fēng)險評價是綜合考慮信息安全事件的影響和發(fā)生可能性而得出的風(fēng)險的 級別。確定風(fēng)險是否可接受，通常將風(fēng)險分為：不可接受風(fēng)險、有條件可接受風(fēng) 險（需要關(guān)注）、可接受風(fēng)險。2.在需要時，根據(jù)建立的風(fēng)險準(zhǔn)則進(jìn)行處理。3.14風(fēng)險管理 ris

10、k management 【內(nèi)容解析】1.以可以接受的方式識別、控制、降低或規(guī)避和轉(zhuǎn)移可能影響信息系統(tǒng)的安 全風(fēng)險過程。2.風(fēng)險管理一般包括建立背景、 風(fēng)險評估、風(fēng)險處理、 風(fēng)險接受和風(fēng)險溝通。3.通過風(fēng)險評估來分析和評價風(fēng)險。4.通過制定信息安全方針， 采用適當(dāng)?shù)目刂颇繕?biāo)和控制方式對風(fēng)險進(jìn)行控制 和降低。5.風(fēng)險管理的目的是使風(fēng)險被降低、 規(guī)避、轉(zhuǎn)移或降至一個可能接受的水平。3.15風(fēng)險處置 risk treatment【內(nèi)容解析】風(fēng)險處置的有效性取決于風(fēng)險評估結(jié)果。 風(fēng)險處置有可能不能立即達(dá)到一個 可接受水平的殘余風(fēng)險。 在這種情況下， 如果必要， 可能需要另一個改變了背景 參數(shù)（例如，風(fēng)

11、險評估、風(fēng)險接受或影響的準(zhǔn)則）的風(fēng)險評估迭代，接下來做進(jìn) 一步的風(fēng)險處置。風(fēng)險處置的四種方式：1）風(fēng)險降低：為降低風(fēng)險發(fā)生的可能性和 /或不利后果所采取的行動。 例如： 采取糾正、消除、預(yù)防、影響最小化、威懾、檢測、恢復(fù)、監(jiān)視和意識等措施。2）風(fēng)險規(guī)避：對新技術(shù)或不能控制風(fēng)險的活動，不采用該活動的方式。例 如：避免采用新技術(shù)等。3）風(fēng)險轉(zhuǎn)移：與另一方共享由風(fēng)險帶來的損失或收益。對于信息安全風(fēng)險 而言，風(fēng)險轉(zhuǎn)移僅考慮不利的后果（損失） 。例如：保險、供應(yīng)商等。4）風(fēng)險保留：也稱“風(fēng)險接受” ，組織確定風(fēng)險程度可接受的決定。在明顯 滿足組織方針策略和接受風(fēng)險的準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險。3.16適用性聲明 Statement