下载掌阅APP,畅读海量书库
立即打开
在进行风险评估之前,需要对风险评估过程中产生的相关术语进行了解,分别如下。
(1)资产
任何对组织有价值的事件。
(2)可用性
需要时,授权实体可以访问和使用的特性。
(3)保密性
信息不可用或不被泄漏给未授权的个人、实体和过程的特性。
(4)信息安全
保护信息的保密性、完整性、可用性及其他属性,如真实性、可核查性、可靠性和防抵赖性。
(5)信息安全事件(Event)
信息安全事件是指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况。
(6)信息安全事故(Incident)
信息安全事故是指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。
(7)信息安全管理体系(ISMS)
信息安全管理体系是整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。
注意:
管理体系包括组织机构、策略、活动、职责、惯例、程序、过程和资源。
(8)完整性
保护资产的正确和完整的特性。
(9)残余风险
实施风险处置后仍旧残留的风险。
(10)风险接受
接受风险的决策。
(11)风险分析
系统地使用信息以识别来源和估计风险。
(12)风险评估
风险分析和风险评价的全过程。
(13)风险评价
将估计的风险与既定的风险准则进行比较,以确定重要风险的过程。
(14)风险管理
指导和控制一个组织的风险协调的活动。
(15)风险处置
选择和实施措施以改变风险的过程。
(16)适用性声明
与组织ISMS相关并适用于组织ISMS的控制目标和控制措施的文件化的陈述。
注意:
控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规要求、合同业务,以及组织对信息安全的业务要求。