iso27001 信息安全管理体系术语定义

1. 内部用语

1.1. 思度安全运营中心秘密

思度安全运营中心职责范围内生产运行所处理的以及为生产运行提供支持的，不为公众所知悉，并采取保密措施进行保护，泄露会使思度安全生产运行遭受损害的信息。

1.2. 第三方

为思度安全运营中心提供产品和服务的思度安全以外的单位。
###1.3. 第三方人员
###1.4. 第三方驻场人员
在思度安全运营中心内连续工作超过2天的第三方人员。
###1.5. 行内协作方
同思度安全运营中心有工作往来的思度安全内部单位。
###1.6. 生产系统
提供业务服务的信息系统。
###1.7. 内部管理系统
思度安全运营中心内部用于生产运维的信息系统，如服务台、运行保障平台等。
###1.8. 办公系统
包括办公自动化、邮件系统、文档服务器等办公专用的信息系统。
###1.9. 特权用户
具有系统最高权限的用户，如root，administrator，sysadmin等。
###1.10. 普通用户（简称用户）
信息系统中不具有超级用户权限和用户创建权限的一般用户。
###1.11. 用户管理员
对信息系统进行用户管理的人员。
###1.12. 合同
由思度安全或思度安全运营中心与其他公民、法人、组织签订并具备民事法律关系的协议。

2. 信息安全术语

2.1. 资产

任何对组织有价值的东西。[GB/T 22080-2008/ISO/IEC 27001：2005，IDT《信息技术 安全技术 信息安全管理体系要求》（以下简称：GB/T 22080-2008）]

2.2. 信息资产

信息及作为信息载体的各类资产。

2.3. 保密性

信息资产不能被未授权的个人、实体或过程利用或知悉的特性。[GB/T 22080-2008]

2.4. 完整性

信息资产不能被非授权更改或破坏的特性。[GB/T 22080-2008]

2.5. 可用性

信息资产根据授权实体的要求可访问和利用的特性。[GB/T 22080-2008]

2.6. 信息资产CIA属性

信息资产的保密性（C）、完整性（I）和可用性（A）的统称。

2.7. 信息资产价值

由信息资产CIA属性的取值综合计算得到值，表达了信息资产的重要程度或敏感程度的高低，是信息资产的属性。

2.8. 信息安全管理体系

基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是思度安全运营中心整个管理体系的一部分。[GB/T 22080-2008]

2.9. 威胁

可能导致对系统或组织危害的不希望事故潜在起因。[GB/T 20984-2007，《信息安全风险评估规范》（以下简称：GB/T 20984-2007）]

2.10. 弱点

可能被威胁所利用的资产或若干资产的薄弱环节。[GB/T 20984-2007]

2.11. 风险

事态的概率及其结果的组合。[GB/T 22081-2008/ISO/IEC 27002：2005，《IDT信息技术 安全技术 信息安全管理实用规则》（以下简称：GB/T 22081-2008）]

2.12. 残余风险

采取安全控制措施后，信息资产仍然存在的风险。[GB/T 22080-2008]

2.13. （信息安全）风险评估

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的CIA属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。[GB/T 20984-2007]

2.14. 安全控制措施

保护资产、抵御威胁、减少弱点、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。[GB/T 20984-2007]

2.15. 风险处理

选择并执行安全控制措施来更改风险的过程。[GB/T 22080-2008]

2.16. 适用性声明

描述与信息安全管理体系相关的适用和控制目标和控制措施的文件[GB/T 22080-2008]
注：控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。

2.17. 预防措施

为防止潜在的不符合、缺陷或其它不希望情况的发生，消除其原因所采取的措施。

2.18. 纠正措施

为防止已出现的不符合、缺陷或其它不希望的情况的再次发生，消除其原因所采取的措施。

2.19. 性能

信息系统对用户获取需求的响应能力。

2.20. 容量

信息系统环境的载荷和提供用户服务的能力。

2.21. 会话超时退出机制

对信息系统的访问时间超过信息系统设定的时间后，信息系统强制用户退出的机制，也包含信息系统对设定时间内没有任何操作的用户进行强制退出的机制。

2.22. 密码错误超限锁定机制

当用户在一定时间内连续登录错误的次数超过信息系统设定的阈值时，信息系统对用户进行自动锁定的机制。

2.23. 远程接入

从组织物理范围之外接入到组织网络的行为。

2.24. 远程访问

在组织物理范围之外对组织信息系统进行访问的行为。

2.25. 介质

包括但不限于带库、磁带、硬盘、光盘、U盘等存储介质。

2.26. 可移动介质

可移动的计算机存储介质，不包括纸质介质。

2.27. 密码

为保护信息资产免受非法访问而设置的字符序列。

2.28. 密钥

由加密机生产的控制加密与解密操作的一系列符号。

2.29. 信息系统

典型的信息系统由三部分组成，硬件设备（计算机硬件设备和网络硬件设备）；系统软件（计算机系统软件和网络系统软件）；应用程序（包括由其处理、存储的信息）。[GB/T 20984-2007]

2.30. 信息安全隐患/信息安全事态

系统、服务或网络的一种可识别的状态的发生，可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。[GB/Z 20985-2007，《信息安全事件管理指南》（以下简称：GB/Z 20985-2007）]

2.31. 信息安全事件

由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息资产造成危害，或对组织日常工作造成负面影响的事件。[GB/Z 20986-2007，《信息安全事件分级分类指南》（以下简称：GB/Z 20986-2007）]

2.32. 业务影响分析（BIA）

分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。[GB/T 20988-2007 , 《信息系统灾难恢复规范》（以下简称：GB/T 20988-2007）]

2.33. 业务连续性计划（BCP）

定义并记录一系列的步骤和信息，当有事件发生时确保思度安全运营中心的关键信息系统能够连续运营在一个可接受的、预先制定的等级上。[GB/Z 20985-2007]

2.34. 灾难恢复计划（DRP）

帮助思度安全运营中心从灾难的影响中恢复正常运营的计划。[GB/T 20988-2007]

2.35. 业务连续性管理计划

包括事件管理计划、业务连续性计划和灾难恢复计划。[GB/Z 20985-2007]

2.36. 灾难

由于人为或自然的原因，造成信息系统严重故障或瘫痪，使思度安全运营中心IT服务水平不可接受、达到特定的时间的突发性事件。[GB/T 20988-2007]

2.37. 移动代码

一种软件代码，它能够从一台计算机传递到另一台计算机，随后自动执行并在很少或没有用户干预的情况下完成特定功能。[GB/T 22081-2008]

3. 附则

本文件由思度安全运营中心制定、修订和解释。

参考文档

中华人民共和国网络安全法
中华人民共和国数据安全法 2021
中华人民共和国个人信息保护法 2021
中华人民共和国密码法 2020
关键信息基础设施安全保护条例
公安部 网络安全等级保护条例 征求意见稿