3.1資產(chǎn)asset

【內(nèi)容解析】

1. 資產(chǎn)是對(duì)組織有價(jià)值的任何東西,，說明其能為所擁有或獲得的組織創(chuàng)造財(cái)富,。因此需要保護(hù)。資產(chǎn)識(shí)別 時(shí),，應(yīng)該牢記的是,，資產(chǎn)不僅僅包含硬件和軟件。

2. 根據(jù)資產(chǎn)擁有者的情況,，資產(chǎn)的擁有者可以是組織,，也可以是個(gè)人。

3. 資產(chǎn)可分為以下幾種：

1）信息,，例如：文檔和數(shù)據(jù)等,；

2）軟件和系統(tǒng)，例如：應(yīng)用軟件,、系統(tǒng)軟件等,；

3）硬件和設(shè)施，例如：存儲(chǔ)設(shè)備,、網(wǎng)絡(luò)設(shè)備,、保障設(shè)備等；

4）服務(wù)和其他,，例如：ＩT服務(wù),、無形資產(chǎn)等；

5）人力資源,，例如：涉密人員,、特殊人員等。

3.2可用性　Availability

【內(nèi)容解析】

1. 可用性的目的是讓所有合法用戶能夠使用到已授權(quán)的信息和功能,?？捎眯酝ǔＳ冒俜致时硎荆綖椋?/span> ｛（規(guī)定服務(wù)時(shí)間－因意外中斷時(shí)間）/規(guī)定服務(wù)時(shí)間｝×100％,。例如：99.9%,。

2. 其與保密性（Confidentiality）和完整性（Intergeity）并稱為信息安全的CIA三要素。

3.3保密性　Confidentiality

【內(nèi)容解析】

保密性指數(shù)據(jù),、文檔以及網(wǎng)絡(luò)信息等不被泄露給非授權(quán)的用戶,、實(shí)體或過程,。強(qiáng)調(diào)信息只為授權(quán)用戶使用的 特征,。保密性是在可靠性和可用性基礎(chǔ)之上,，保障信息安全的重要手段。常用的保密技術(shù)：

1）物理保密：利用各種物理方法,，如限制,、隔離、掩蔽,、控制等措施,，保護(hù)信息不被泄露。

2）防竊聽：使對(duì)手偵察,、接收不到有用的信息

3）防輻射：防止有用信息以各種途徑輻射出去,。

4）信息加密：在密鑰的控制下，用加密算法對(duì)信息進(jìn)行加密處理,。即使對(duì)手得到了加密后的信息也會(huì)因?yàn)闆]有密鑰而無法讀懂有效信息,。

3.4信息安全　Information　Security

【內(nèi)容解析】

1. 信息安全的目的是保證信息的保密性、完整性,、可用性,、真實(shí)性、可核查性等,。保密性,、完整性和可用性構(gòu)成了信息安全的CIA三要素。

2. 信息安全是個(gè)相對(duì)的概念,。沒有絕對(duì)的信息安全,。

3.5信息安全事態(tài)　Information　Security　Event

【內(nèi)容解析】

1. 有害或意外的信息安全事態(tài)是引發(fā)信息安全事件的源頭。

2. 信息安全事態(tài)發(fā)生后可能會(huì)造成信息安全事件,，也可能未造成信息安全事件,。

3. 信息安全事態(tài)可能由一個(gè)原因?qū)е碌模部赡苡啥鄠€(gè)原因?qū)е碌摹?/span>

3.６信息安全事件　Information　Security　Incident

【內(nèi)容解析】

1. 一個(gè)或多個(gè)有害的或者意外信息安全事態(tài)是導(dǎo)致信息安全事件的源頭,。

2. 事件發(fā)生后,，根據(jù)事件的影響程度，可分為一般事件和重大事件,。根據(jù)信息安全事件的影響程度,，對(duì)信息安全事件做出最恰當(dāng)和最有效的響應(yīng)。

3. 盡管信息安全事態(tài)可能是意外或故意違反信息安全防護(hù)措施的企圖的結(jié)果,，但在多數(shù)情況下,，信息安全事態(tài)本身并不意味著破壞安全的企圖真正獲得了成功。 

3.７信息安全管理體系（ISMS）　Information　Security management　system（ISMS）

【內(nèi)容解析】

1. 信息安全管理體系是組織管理體系的一個(gè)組成部分,。其目的是為了保護(hù)資產(chǎn)的安全,。

2. 信息安全管理體系基于整體業(yè)務(wù)活動(dòng)風(fēng)險(xiǎn),。

3. 信息安全管理體系與其他管理體系一樣，采用過程方法,，PDCA的模型,。支持與相關(guān)管理標(biāo)準(zhǔn)一致的、協(xié) 調(diào)的實(shí)施和運(yùn)行,。

3.8完整性　Integrity

【內(nèi)容解析】

完整性指的是防止未授權(quán)的更改和篡改,。包含非授權(quán)的增加、減少或破壞,。例如：在原有源代碼中非授權(quán)加 入代碼,，或者在原有源代碼中非授權(quán)裁剪或非授權(quán)修改了一部分代碼，均視為破壞完整性的行為,。

3.９殘余風(fēng)險(xiǎn)　Residual　risk

【內(nèi)容解析】

1. 殘余是指處理后剩余的風(fēng)險(xiǎn),。即沒有達(dá)到風(fēng)險(xiǎn)接受準(zhǔn)則的風(fēng)險(xiǎn)。

2. 殘余風(fēng)險(xiǎn)的危害程度一般大于原有風(fēng)險(xiǎn),。所以在接受殘余風(fēng)險(xiǎn)時(shí),，需獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)。

3.10風(fēng)險(xiǎn)接受　risk　acceptance

【理解要點(diǎn)】

組織確定風(fēng)險(xiǎn)程度可接受的決定,。在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下,，有意識(shí)地、客觀地 接受風(fēng)險(xiǎn),。

3.11風(fēng)險(xiǎn)分析　risk　analysis

【內(nèi)容解析】

1. 風(fēng)險(xiǎn)識(shí)別的目的是決定什么發(fā)生可能會(huì)造成潛在損失,，并深入了解損失可能如何、何地,、為什么發(fā)生,。

2. 風(fēng)險(xiǎn)識(shí)別包括：威脅識(shí)別、脆弱性識(shí)別,、后果識(shí)別和現(xiàn)有控制措施的識(shí)別,。

 a）威脅識(shí)別：威脅有可能損害資產(chǎn)，諸如信息,、過程,、系統(tǒng)甚至組織。威脅的來源可能是自然的或人為的,，可能是意外的或是故意的,。也可能來自組織內(nèi)部或外部。所以對(duì)整體并按類型（如未授權(quán)行為,，物理損害,， 技術(shù)故障）識(shí)別威脅意味著沒有威脅被忽視，包括突發(fā)的威脅,。

 b）脆弱性識(shí)別：脆弱性本身不會(huì)產(chǎn)生危害,，只有被某個(gè)威脅利用時(shí)才會(huì)產(chǎn)生危害,。沒有相應(yīng)威脅的脆弱性 可能不需要實(shí)施控制措施，但是應(yīng)關(guān)注和監(jiān)視其變化,。

c）后果識(shí)別：后果可能是喪失有效性,、不利運(yùn)行條件、業(yè)務(wù)損失,、聲譽(yù)破壞等,。資產(chǎn)受到損害時(shí)，后果可 能是臨時(shí)性的,，也可能是永久的。

d）現(xiàn)有控制措施識(shí)別：為避免不必要的工作或成本,，如重復(fù)的控制措施,。此外，識(shí)別現(xiàn)有的控制措施時(shí),，進(jìn)行檢查以確?？刂拼胧┰谡_運(yùn)行是非常必要的活動(dòng)。

3.在考慮喪失資產(chǎn)的保密性,、完整性和可用性所造成的后果的情況下,，評(píng)估安全失效可能造成的對(duì)組織的影響。

4.根據(jù)主要的威脅和脆弱性,、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施,，評(píng)估安全失效發(fā)生的現(xiàn)實(shí)可能性。

5.估計(jì)風(fēng)險(xiǎn)級(jí)別,。

3.12風(fēng)險(xiǎn)評(píng)估　risk　assessment

【內(nèi)容解析】

1. 對(duì)信息和信息處理設(shè)施的威脅,、脆弱性和影響及三者發(fā)生的可能性的評(píng)估。

2. 風(fēng)險(xiǎn)評(píng)估也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程,，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,，包括定性和定量的方法，確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序,。

3. 風(fēng)險(xiǎn)評(píng)估確定了信息資產(chǎn)的價(jià)值,，對(duì)存在（或可能存在的）適用的威脅和脆弱性進(jìn)行識(shí)別，考慮現(xiàn)有的控制措施及其對(duì)已識(shí)別風(fēng)險(xiǎn)的影響,，確定潛在的后果,。

4. 對(duì)確定的風(fēng)險(xiǎn)根據(jù)緊急度和影響度進(jìn)行優(yōu)先級(jí)排序，并按照背景建立時(shí)確定的風(fēng)險(xiǎn)準(zhǔn)則劃分等級(jí),。

3.13風(fēng)險(xiǎn)評(píng)價(jià)　risk　evaluation

【內(nèi)容解析】

1. 風(fēng)險(xiǎn)評(píng)價(jià)是綜合考慮信息安全事件的影響和發(fā)生可能性而得出的風(fēng)險(xiǎn)的級(jí)別。確定風(fēng)險(xiǎn)是否可接受,，通常將風(fēng)險(xiǎn)分為：不可接受風(fēng)險(xiǎn),、有條件可接受風(fēng)險(xiǎn)（需要關(guān)注）,、可接受風(fēng)險(xiǎn)。

2. 在需要時(shí),，根據(jù)建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行處理,。

3.14風(fēng)險(xiǎn)管理　risk　management

【內(nèi)容解析】

1. 以可以接受的方式識(shí)別、控制,、降低或規(guī)避和轉(zhuǎn)移可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)過程,。

2. 風(fēng)險(xiǎn)管理一般包括建立背景、風(fēng)險(xiǎn)評(píng)估,、風(fēng)險(xiǎn)處理,、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)溝通。

3. 通過風(fēng)險(xiǎn)評(píng)估來分析和評(píng)價(jià)風(fēng)險(xiǎn),。

4. 通過制定信息安全方針,，采用適當(dāng)?shù)目刂颇繕?biāo)和控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制和降低。

5. 風(fēng)險(xiǎn)管理的目的是使風(fēng)險(xiǎn)被降低,、規(guī)避,、轉(zhuǎn)移或降至一個(gè)可能接受的水平。

3.15風(fēng)險(xiǎn)處置　risk　treatment

【內(nèi)容解析】

風(fēng)險(xiǎn)處置的有效性取決于風(fēng)險(xiǎn)評(píng)估結(jié)果,。風(fēng)險(xiǎn)處置有可能不能立即達(dá)到一個(gè)可接受水平的殘余風(fēng)險(xiǎn)。在這種 情況下,，如果必要,，可能需要另一個(gè)改變了背景參數(shù)（例如，風(fēng)險(xiǎn)評(píng)估,、風(fēng)險(xiǎn)接受或影響的準(zhǔn)則）的風(fēng)險(xiǎn)評(píng)估迭代，接下來做進(jìn)一步的風(fēng)險(xiǎn)處置,。

風(fēng)險(xiǎn)處置的四種方式：

1）風(fēng)險(xiǎn)降低：為降低風(fēng)險(xiǎn)發(fā)生的可能性和/或不利后果所采取的行動(dòng),。例如：采取糾正、消除,、預(yù)防、影響最小化,、威懾,、檢測(cè)、恢復(fù),、監(jiān)視和意識(shí)等措施,。

2）風(fēng)險(xiǎn)規(guī)避：對(duì)新技術(shù)或不能控制風(fēng)險(xiǎn)的活動(dòng),，不采用該活動(dòng)的方式,。例如：避免采用新技術(shù)等。

3）風(fēng)險(xiǎn)轉(zhuǎn)移：與另一方共享由風(fēng)險(xiǎn)帶來的損失或收益,。對(duì)于信息安全風(fēng)險(xiǎn)而言,，風(fēng)險(xiǎn)轉(zhuǎn)移僅考慮不利的后果（損失）。例如：保險(xiǎn),、供應(yīng)商等。

4）風(fēng)險(xiǎn)保留：也稱“風(fēng)險(xiǎn)接受”,，組織確定風(fēng)險(xiǎn)程度可接受的決定,。在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地,、客觀地接受風(fēng)險(xiǎn),。

 3.16適用性聲明　Statement　of　applicability

【內(nèi)容解析】

1. 適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處置決定的綜述,。證明不會(huì)因疏忽而遺漏控制措施。

2. 適用性聲明包含當(dāng)前實(shí)施的控制目標(biāo)和控制措施,。

3.適用性聲明是一個(gè)包含組織所選擇的控制目標(biāo)和控制措施的文件,，以及選擇的理由。如果對(duì)該標(biāo)準(zhǔn)附錄A 中任何控制目標(biāo)和控制措施的刪減,，應(yīng)在適用性聲明中說明刪減的合理性,。