《GB∕T 29246-2023（ISO∕IEC 27000：2018）信息安全技术 信息安全管理体系 概述和词汇》理解与应用指导材料（雷泽佳编制-2024A0）

GB/T29246-2023/ISO/IEC27000:2018《信息安全技术—信息安全管理体系——概述和词汇》理解与应用指导材料IGB/T29246-2023/ISO/IEC27000:2018《信息安全技术—信息安全管理体系——概述和词汇》理解与应用指导材料（雷泽佳编制，2024A0）目录TOC\o"1-4"\h\u17747 589871范围 599332规范性引用文件 5177963术语和定义 6105343.1访问控制 618267 614367 720379 810235 928111 1027944 11909 1211836 138969 1427333 1521271 161475 1727722 1814530 188222 1923790 20581 208598 2128053 2317398 2314925 256049 265244 2718899 289925 2922267 3030565 3112402 3128189 325015 3931976 405163 4129547 4219075 4431461 4519503 4526285 482833 499593 5122009 5216899 5320280 535583 554308 5610011 5813112 6113113 6221149 6312524 6320605 6512927 66147943.53 673495 6816326 698055 7024747 7129930 711670 739429 7322000 7420023 7529578 751605 7632364 777078 7811997 78183 7917432 8031958 82233 831274 8413915 8524105 8653424信息安全管理体系（ISMS） 921414.1总则 92326484.2ISMS的概念 95102894.2.1概述和原则 95149364.2.2信息 98104184.2.3信息安全 99214174.2.4管理 1008694.2.5管理体系 100271964.3过程方法 101316834.4ISMS的重要性 102154834.5建立、监视、保持和改进ISMS 10610494.5.1概述 10648344.5.2识别信息安全需求 107278494.5.3评估信息安全风险 108262974.5.4处置信息安全风险 111211654.5.5选择和实施控制措施 113285384.5.6监视、保持和改进ISMS有效性 117279794.5.7持续改进 118216614.6ISMS关键成功因素 12092204.7ISMS标准族的益处 123283285信息安全管理体系标准族 124187885.1通用信息 12465655.2概述和术语标准：ISO/IEC27000（GB/T29246（本文件）） 12656875.3要求标准 127277625.3.1ISO/IEC27001（GB/T22080） 12725845.3.2ISO/IEC27006（GB/T25067） 1279155.3.3ISO/IEC27009（GB/T38631） 127178035.4通用指南标准 128172445.4.1ISO/IEC27002（GB/T22081） 128209685.4.2ISO/IEC27003（GB/T31496） 128216875.4.3ISO/IEC27004（GB/T31497） 128116815.4.4ISO/IEC27005（GB/T31722） 128309295.4.5ISO/IEC27007（GB/T28450） 129265325.4.6ISO/IECTS27008（GB/Z32916） 129295525.4.7ISO/IEC27013 130109895.4.8ISO/IEC27014（GB/T32923） 13022455.4.9ISO/IECTR27016 130254735.4.10ISO/IEC27021 131130415.5具体行业指南标准 131123935.5.1ISO/IEC27010（GB/T32920） 13152735.5.2ISO/IEC27011 131129085.5.3ISO/IEC27017 13164655.5.4ISO/IEC27018 13114195.5.5ISO/IEC27019 132310395.5.6ISO27799 13325501参考文献 135GB/T29246-2023/ISO/IEC27000:2018《信息安全技术—信息安全管理体系——概述和词汇》理解与应用指导材料GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》——包含ISMS标准族中的通用术语和定义；——不限制ISMS标准族定义需使用的新术语。范围——包含ISMS标准族中的通用术语和定义；——不限制ISMS标准族定义需使用的新术语。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》2规范性引用文件本文件没有规范性引用文件。规范性引用文件本文件没有规范性引用文件。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3术语和定义3.1访问控制accesscontrol确保对资产访问是基于业务和安全要求（3.56）进行授权和限制的手段。术语和定义访问控制确保对资产访问是基于业务和安全要求进行授权和限制的手段。核心目的：基于业务和安全要求：信息授权与限制；明确手段：应用场景：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.2攻击attack企图破坏、泄露、篡改、禁用、窃取或者未经授权访问或未经授权使用资产的行为。企图破坏、泄露、篡改、禁用、窃取或者未经授权访问或未经授权使用资产的行为。行为性质：行为目的：行为对象：行为后果：防御措施：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.3审核audit为获取审核证据并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程（3.54）。注1：审核可能是内部审核（第一方）或外部审核（第二方或第三方），也可能是联合审核（结合两个或更多管理体系）。注2：内部审核由组织（3.50）自己或由外部方代表进行。为获取审核证据并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。目的与过程；审核的主要目的是获取关于被审核对象（如信息安全管理体系）的审核证据，并基于这些证据进行客观评价；这一过程旨在确定被审核对象在多大程度上满足预定的审核准则。系统性；审核是一个系统化的过程，涉及多个有序的步骤和活动，确保审核的全面性和一致性；它通常包括准备阶段、实施阶段、报告阶段和后续跟进阶段。独立性；审核应保持独立性，以确保审核结果的客观性和公正性；审核应由与被审核对象无直接利益关系的人员或团队进行。形成文件；审核的结果应以文件形式记录下来，包括审核报告和其他相关文件；这些文件应详细记录审核过程、发现的问题、提出的建议以及审核结论。审核类型；审核可以是内部审核（由组织自己进行或委托外部方代表进行）或外部审核（由第二方或第三方进行）；联合审核是指同时考虑两个或更多管理体系的审核，旨在评估这些体系之间的协调性和整体效果。内部审核与外部审核的区别；内部审核通常由组织内部的人员进行，可能包括专门的审核团队或指定员工；外部审核则由独立于组织的第三方机构进行，以提供更客观、全面的评价。与信息安全管理体系的关系：审核是信息安全管理体系持续改进的重要组成部分。通过定期审核，组织可以识别体系中的不足和潜在风险，并采取措施加以改进。审核准则的重要性：审核准则为审核过程提供了明确的判断依据和标准。这些准则可能来源于法律法规、行业标准、组织内部政策等。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.4审核范围auditscope审核（3.3）的程度和边界。[来源：ISO19011:2011，3.14，有修改：删除注]审核的程度和边界。定义核心程度与边界；影响因素实际应用与信息安全管理体系的关系。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.5鉴别authentication为一个实体所声称特征的正确性而提供的确保措施。为一个实体所声称特征的正确性而提供的确保措施。目的：确保措施；实体：声称特征：正确性验证：信息安全意义：应用场景：与其他安全措施的关系：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.6真实性authenticity一个实体是其所声称实体的性质。一个实体是其所声称实体的性质。核心含义：真实性是指一个实体（如数据、信息、文档、人员、系统等）与其所声称或展示的身份、特性或属性相一致的性质。实体识别；真实性关注的是实体本身的真实性，即该实体是否确切地代表了它所声称的那个实体；在信息安全领域，这通常涉及验证信息来源、数据完整性以及系统或设备的真实性。声称与实际的一致性；真实性要求实体所声称的特征、属性或身份必须与其实际状况完全一致；任何偏差或不一致都可能影响信息的可信度，进而对信息安全构成威胁。信息安全的重要性；真实性是信息安全的一个基本要素，它对于维护信息的完整性和可信度至关重要；在处理敏感信息或进行关键业务操作时，确保信息的真实性是防止欺诈、篡改和误用信息的关键步骤。验证方法；验证实体的真实性通常需要借助一系列技术手段和管理措施，如数字签名、加密技术、身份验证协议等；这些方法旨在提供可靠的验证机制，以确保实体所声称的特征得到有效确认。应用场景：真实性在多个信息安全领域得到广泛应用，包括但不限于数据加密、电子签名、身份验证、网络通信等；在这些场景中，确保信息的真实性对于维护系统的安全性和可信度至关重要。与其他属性的关系：真实性通常与完整性、保密性等其他信息安全属性密切相关。一个实体的真实性得到验证，通常也意味着该实体的其他关键属性（如完整性）得到了保护。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.7可用性availability可由经授权实体按需访问和使用的性质。可由经授权实体按需访问和使用的性质。核心含义；经授权实体；按需访问；对信息安全的重要性；影响因素；与其他属性的关系；GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.8基本测度basemeasure用某一属性及其量化方法定义的测度（3.42）。注：基本测度在功能上独立于其他测度。[来源：ISO/IEC/IEEE15939:2017，3.3，有修改：删除注2]用某一属性及其量化方法定义的测度。定义核心：基本测度是基于某一具体属性及其量化方法来定义的一种度量标准。这里的“属性”指的是被测量的对象或系统的某一特征或方面，而“量化方法”则是指将该属性转换为可比较数值的具体方式；属性与量化方法：基本测度首先需要明确测量的属性，例如系统的响应时间、数据的完整性等。然后，通过适当的量化方法（如统计、计算、评估等）将这些属性转换为可量化的数值，以便进行比较和分析；独立性：注解中强调基本测度在功能上独立于其他测度。基本测度是自成体系的，它不需要依赖于其他测度来定义或解释其意义。每个基本测度都应该有明确的定义和量化标准，能够独立提供关于系统或对象某一方面的信息；应用意义：基本测度是构建更复杂信息系统测量体系的基础。通过将多个基本测度组合起来，可以形成更全面的系统性能评估指标。例如，在信息安全管理体系中，可以通过多个基本测度来评估系统的保密性、完整性和可用性；与信息安全管理体系的关系：在信息安全管理体系中，基本测度是评估信息安全风险、监控信息安全绩效以及持续改进信息安全措施的重要工具。通过定义明确的基本测度，组织可以系统地收集和分析相关信息，以便及时发现潜在的安全风险并采取相应的应对措施。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.9能力/胜任力competence运用知识和技能实现预期结果的能力。运用知识和技能实现预期结果的能力。定义核心：实现预期结果；多维性；在信息安全管理体系中，运用知识和技能实现预期结果的能力（即能力/胜任力）主要包括以下几个方面；信息安全知识；技术技能；管理技能；人际交往和沟通能力；问题解决和决策能力；持续学习和适应能力；动态性；在信息安全管理体系中的重要性：评估与培养。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.10保密性confidentiality信息对未授权的个人、实体或过程（3.54）不可用或不泄露的性质。信息对未授权的个人、实体或过程不可用或不泄露的性质。定义核心：未授权访问：不可用性：不泄露性：信息的重要性：与信息安全管理体系的关系：控制措施：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.11符合/合格conformity满足要求（3.56）。满足要求。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.12后果consequence某事件（3.21）对目标（3.49）影响的结果。注1：一个事件（3.21）可能导致一系列后果。注2：一个后果可能是确定的或不确定的，在信息安全（3.28）的语境下通常是负面的。注3：后果可能定性或定量表示。注4：初始后果可能通过连锁效应升级。[来源：ISOGuide73:2009，3.6.1.3，有修改：更改注2]某事件对目标影响的结果。后果是指某一特定事件发生后，对组织既定目标产生影响的结果。这种影响可以是正面的，但在信息安全管理体系中，后果通常是负面的，比如数据泄露、服务中断等；后果是由某一事件引发的，这个事件对组织的目标产生了影响。组织的目标可以是战略性的、战术性的或操作性的，而后果则是这些目标实现过程中可能遇到的障碍或变化；一个事件可能导致多个后果，这些后果之间可能存在直接或间接的联系。组织需要全面评估事件可能带来的所有后果，以便采取适当的应对措施；后果可能是确定的，也可能是不确定的。在某些情况下，组织可能无法准确预测事件将带来哪些具体后果，只能根据历史经验、风险评估等方法进行大致估计；后果可以用定性或定量的方式来表示。定性表示通常涉及对后果性质的描述，如“严重”、“中等”、“轻微”等；定量表示则涉及具体的数值或度量标准，如经济损失的金额、服务中断的时间等；初始后果可能通过连锁效应进一步升级，对组织造成更大的影响。例如，一次数据泄露事件可能不仅导致直接的经济损失，还可能损害组织的声誉、失去客户信任，进而引发一系列负面的连锁反应。因此，组织在评估后果时，需要充分考虑其可能带来的长远影响。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.13持续改进continualimprovement提高绩效（3.52）的循环活动。提高绩效的循环活动。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.14控制措施control改变风险（3.61）的措施。注1：控制措施包括任何改变风险（3.61）的过程（3.54）、策略（3.53）、装置、实践或其他行动。注2：控制措施控制并非总能取得预期效果或设想的处理效果。[来源：ISOGuide73:2009，3.8.1.1，有修改：更改注2]改变风险的措施。“控制措施”是指那些旨在改变信息安全风险状态的具体手段或方法。它们被设计用来减少风险的发生可能性、降低风险的潜在影响，或者两者兼有；控制措施的形式多样，包括但不限于过程、策略、装置、实践或其他任何能够影响风险的行动。这意味着组织在选择和实施控制措施时，具有很大的灵活性和选择空间；控制措施的直接目的是改变风险，即降低特定信息安全风险的发生概率、影响程度或两者兼而有之。这是通过实施一系列预防、检测、响应和恢复等活动来实现的；值得注意的是，控制措施的实施并不一定总是能够达到预期的效果。这可能是由于多种原因造成的，如控制措施的设计缺陷、执行不力、外部环境的变化等。因此，组织需要持续监视和评估控制措施的有效性，并根据需要进行调整；控制措施是信息安全风险管理的重要组成部分。在识别、评估和分析风险之后，组织需要设计和实施适当的控制措施来降低风险水平，并确保这些控制措施与组织的信息安全目标和策略保持一致；由于信息安全威胁和风险的动态性，控制措施也需要随着时间和环境的变化而不断调整和改进。组织应建立一种机制来定期评审控制措施的有效性，并根据需要进行更新或替换，以确保其始终能够有效地降低风险并保护组织的信息资产。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.15控制目标controlobjective描述控制措施（3.14）的实施结果所要达到目标的声明。描述控制措施的实施结果所要达到目标的声明。“控制目标”是对控制措施实施后期望达到的具体结果的明确表述。它是指导控制措施选择和实施的重要参考，确保了控制措施与组织的信息安全目标和策略保持一致；控制目标是针对特定控制措施而言的，它阐明了这些控制措施实施后应达到的效果或标准。控制措施的选择和实施应以实现控制目标为导向，确保每一项控制措施都能为降低信息安全风险做出贡献；控制目标的表述应清晰、具体，以便于理解和执行。它应明确指出控制措施实施后应达到的具体效果，如降低特定风险的发生概率、减轻风险的潜在影响等；控制目标应与组织的信息安全策略保持一致。它们是实现信息安全策略的具体步骤和手段，确保了控制措施的选择和实施与组织的整体信息安全方向相符；控制目标在信息安全管理体系中具有重要的指导作用。它们为控制措施的选择、实施和评估提供了明确的依据，确保了控制措施的有效性和针对性；随着组织环境和信息安全风险的变化，控制目标也可能需要相应地进行调整。组织应定期评审控制目标的有效性，并根据需要进行更新或修改，以确保其始终与组织的信息安全需求和策略保持一致。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.16纠正correction为消除已发现的不符合（3.47）所采取的措施。为消除已发现的不符合所采取的措施。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.17纠正措施/整改措施correctiveaction为消除不符合（3.47）的原因并防止再发生所采取的措施。为消除不符合的原因并防止再发生所采取的措施。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.18导出测度derivedmeasure定义为两个或两个以上基本测度（3.8）值的函数的测度（3.42）。[来源：ISO/IEC/IEEE15939:2017，3.8，有修改：删除注]定义为两个或两个以上基本测度值的函数的测度。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.19成文信息documentedinformation组织（3.50）需要控制并保持的信息及其载体。注1：成文信息可以任何格式和载体存在，并可来自任何来源。注2：成文信息可能涉及——管理体系（3.41），包括相关过程（3.54）；——为组织（3.50）运行而创建的信息（一组文件）；——实现结果的证据（记录）。组织需要控制并保持的信息及其载体。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.20有效性effectiveness完成策划的活动并得到策划的结果的程度。完成策划的活动并得到策划的结果的程度。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.21事件event特定情况的发生或改变。注1：一个事件可以包括一个或多个情形，并且可以由多个原因导致和产生多个后果。注2：事件可以包括预期会发生但没发生的事情，也可能是预期不会发生但发生的事情。注3：事件有可能是一个风险源。事件有时可能称为“事故”。[来源：ISOGuide73:2009，3.5.1.3，有修改：删除注4]某一类情形的发生或变化。情形的发生或变化：事件指组织中具体发生的某件事情或某个状态的变化。这种变化可能是突发的，也可能是渐进的，但都会对组织的运营产生影响；一个事件可以包括一个或多个情形，并且可以由多个原因导致和产生多个后果；一个或多个情形：事件不仅仅是单一情况的简单发生，它可能包含多个相关联或独立的情形。例如，一次信息安全事件可能涉及多个系统、设备或数据的同时或连续受影响；多个原因：事件的发生往往不是单一的，而是由多种因素共同作用的结果。理解这些原因有助于事件的预防和应对；多个后果：事件发生后，可能产生一系列连锁反应，涉及不同层面和不同范围的影响。对后果的全面评估是事件管理和响应的关键；示例：一个数据泄露事件可能包括多个情形，如未授权访问数据库、恶意软件感染导致数据外泄，以及内部员工误操作共享敏感信息等。这些情形共同构成了数据泄露事件的不同方面。该事件可能由多种原因导致，如系统漏洞未被及时修补、安全意识不足，以及访问控制策略不严格等。数据泄露事件产生的后果也是多方面的，包括经济损失、客户信任度下降、法律合规风险增加等。事件可以包括预期会发生但没发生的事情，也可能是预期不会发生但发生的事情；预期会发生但没发生的事情：这指的是那些被预测到有可能发生，但实际上并未发生的事件。虽然这些事件未实际造成直接影响，但它们的未发生可能反映出预防措施的有效性，或需要进一步分析原因以改进预测模型。[示例]在年度安全审核计划中，预计会对关键业务系统进行一次全面的渗透测试，以发现潜在的安全漏洞。然而，由于资源调配问题，该渗透测试未能如期进行。虽然这次未发生的渗透测试没有直接造成负面影响，但它揭示了安全审核计划执行中的不足，需要采取措施加以改进；预期不会发生但发生的事情：这类事件往往出乎意料，可能带来更大的冲击和破坏。对这类事件的快速响应和有效管理至关重要，以减少其负面影响。[示例]某公司采取了多重安全措施来保护其财务系统，包括防火墙、入侵检测系统以及定期的安全评估。然而，由于一个未知零日漏洞被利用，财务系统仍然遭受了黑客攻击，导致数据泄露。这次攻击是组织预期之外的事件，需要迅速响应并评估其带来的风险。事件有可能是一个风险源：某些事件本身可能就是新的风险源，其发生可能引发一系列新的风险。因此，在事件管理过程中，不仅要关注当前事件的直接后果，还要识别和评估其可能带来的新风险，以便采取适当的预防和控制措施。[示例]在一次信息安全事故中，公司的官方网站被黑客篡改，发布了虚假信息。这一事件不仅直接损害了公司的声誉，还引发了客户信任危机和市场波动。更重要的是，该事件成为了一个新的风险源，因为它可能引发连锁反应，如监管机构调查、法律诉讼，以及合作伙伴关系的紧张等。为了应对这些潜在风险，公司需要立即启动危机管理计划，并与相关方沟通协调；事故与事件的关联：事件有时可能称为“事故”。“事故”一词通常用于描述那些导致不良后果的事件。因此，当事件造成损失或破坏时，它往往被称为“事故”。但从广义上讲，事件是一个更中性的概念，涵盖了所有特定情况的发生或改变，无论其后果如何。[示例]当公司的数据库服务器因为硬件故障而宕机，导致业务系统中断数小时，这一事件被定性为信息安全事故。因为它不仅影响了业务的正常运行，还可能导致客户数据丢失和隐私泄露等严重后果。在事故处理过程中，公司需要迅速启动应急预案，恢复系统服务，并评估事故对业务和法律合规的影响。同时，还需要对事故原因进行深入调查，以防止类似事件再次发生。在这个语境下，“事件”因其造成的严重性和不良影响而被称为“事故”。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.22外部环境externalcontext组织（3.50）追求其目标（3.49）实现时所处的外部状况。注：外部环境可能包括如下内容：——文化、社会、政治、法律、监管、金融、技术、经济、自然和竞争环境，无论是国际的、国家的、地区的还是地方的；——与外部相关方（3.37）的关系及其认知和价值观。[来源：ISOGuide73:2009，3.3.1.1]组织追求其目标实现时所处的外部状况。外部状况的定义：外部环境特指组织在努力实现其目标时所处的外部条件和状况。这些条件既可能是静态的，也可能是动态的；外部环境可能包括如下内容：文化、社会、政治、法律、监管、金融、技术、经济、自然和竞争环境：与国际的、国家的、地区的还是地方的层面相关：与外部相关方的关系及其认知和价值观：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.23信息安全治理governanceofinformationsecurity指导和控制组织（3.50）信息安全（3.28）活动的体系。指导和控制组织信息安全活动的体系。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.24治理机构governingbody对组织（3.50）的绩效（3.52）和合规负有责任的个人或集体。注：在某些司法管辖区，治理者可能是董事会。对组织的绩效和合规负有责任的个人或集体。定义核心：治理机构是指负责监督和管理组织绩效及合规性的个人或集体。这一实体或集体在组织内部拥有一定的权威性和责任，确保组织的运营活动不仅符合既定的业务目标，同时也遵循相关的法律法规和内部政策；对组织绩效和合规负有责任：实现组织个人或集体：治理机构可以由一个或多个个人组成，在某些情况下，它也可能是一个专门的委员会或团队，负责特定的治理职能。司法管辖区的特定情况：在某些司法管辖区，治理机构可能是董事会。这反映了不同国家和地区对组织治理结构的不同要求和规定。因此，在理解和应用治理机构这一概念时，需要考虑具体的法律环境和监管要求。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.25指标indicator提供估算或评价的测度（3.42）。提供估算或评价的测度。方面安全GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.26信息需求informationneed对目标（3.49）目的、风险和问题进行管理所需的了解。[来源：ISO/IEC/IEEE15939:2017，3.12]对目标、目的、风险和问题进行管理所需的了解。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.27信息处理设施informationprocessingfacilities任何信息处理系统、服务或基础设施，或者其安置的物理位置。任何信息处理系统、服务或基础设施，或者其安置的物理位置。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.28信息安全informationsecurity对信息的保密性（3.10）完整性（3.36）和可用性（3.7）的保全。注：另外，还可能包括其他特性，诸如真实性（3.6）可问责性、抗抵赖性（3.48）和可靠性（3.55）。对信息的保密性、完整性和可用性的保全。定义核心：保密性（Confidentiality）；完整性（Integrity）可用性（Availability）除了上述三个基本属性外，信息安全还可能涉及其他特性，如真实性、可问责性、抗抵赖性和可靠性；GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.29信息安全连续性informationsecuritycontinuity保障信息安全（3.28）持续运行的过程（3.54）和规程。保障信息安全持续运行的过程和规程。核心目的：保障对象：实现方式：综合措施：持续性要求：风险管理视角：法律与合规性：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.30信息安全事件informationsecurityevent识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全（3.28）策略（3.53）或控制措施（3.14）识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全策略或控制措施失效，或者可能与信息安全相关的先前未知情况。事件识别：潜在违反；即时性：影响范围：后续行动：法律与合规性：附件A：信息安全技术网络安全事件分类表事件类别事件类别定义事件子类别事件子类别定义系统，或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播网络蠕虫事件网络扫描探测事件网络钓鱼事件网页篡改事件暗链植入事件通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址（网站）攻击者获得某主机的控制权后，能以该主机为跳板继续攻击组织内网其他隐私侵犯事件网络欺诈事件人为故意或意外地损害网络功能而导致业务损失或造成社会危害的网络安全资源未授权使用事件导致业务损失或造成社会危害的网络安全事件。提前发现这些漏洞或网络漏洞事件网络配置合规缺陷事件自然灾害事件公共卫生事件GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.31信息安全事故informationsecurityincident单个或一系列不希望或意外的、极有可能危及业务运营并威胁信息安全（3.28）的信息安全事件（3.30）。单个或一系列不希望或意外的、极有可能危及业务运营并威胁信息安全的信息安全事件事故的定义：事件的特性对信息安全的影响：业务连续性风险：管理与应对：法律与合规考虑：信息安全事件和信息安全事故比较维度信息安全事件信息安全事故定义识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全策略或控制措施。单个或一系列不希望或意外的、极有可能危及业务运营并威胁信息安全的信息安全事件。组成可以是单个事件。由一个或多个信息安全事件组成。性质不一定具有直接的业务影响，但表明存在潜在的安全风险。具有显著的业务影响，直接威胁到业务运营和信息安全。预期性不希望或意外发生。同样是不希望或意外发生，但后果更严重。对业务影响可能对业务产生间接影响，取决于事件的具体情况和后续处理。直接危及业务运营，可能导致服务中断、数据泄露等严重后果。管理响应需要进行监控、评估和可能的响应，但不一定立即采取重大行动。需要迅速启动应急响应流程，包括事件识别、评估、报告、响应、恢复和后续改进。法律与合规可能涉及法律或合规性问题，具体取决于事件的性质和影响。更可能涉及法律或合规性问题，要求组织及时报告并采取补救措施。联系信息安全事故是由一个或多个信息安全事件组成的，事件是事故的基础和组成部分。信息安全事件可能升级为信息安全事故，特别是当它们对业务运营和信息安全构成重大威胁时。区别关注单个事件的状态和潜在影响。关注事件集合的整体影响和应急响应。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.32信息安全事件管理informationsecurityincidentmanagement发现、报告、评估、响应、处理和总结信息安全事件（3.31）的一组过程（3.54）。发现、报告、评估、响应、处理和总结信息安全事件的一组过程。管理范围：信息安全事件管理针对的是信息安全事件（3.31），这些事件可能单个发生或作为一系列事件出现，且对信息安全构成威胁；管理过程的完整性：信息安全事件管理涵盖了一系列连续的过程，包括发现、报告、评估、响应、处理和总结，这些过程共同构成了一个完整的管理周期；发现过程：发现是事件管理的第一步，涉及监控和检测信息安全事件的发生，确保组织能够及时了解潜在的安全威胁；报告过程：报告要求组织在发现事件后，按照预定的程序及时向上级或相关部门报告事件详情，以便迅速启动应急响应机制；评估过程：评估是对信息安全事件进行详细分析，确定其性质、范围、影响及潜在后果的过程，为后续的响应和处理提供依据；响应过程：响应是指根据评估结果，采取必要的措施来减轻事件对业务运营和信息安全的影响，防止事态进一步恶化；处理过程：处理涉及对信息安全事件进行根本原因分析，采取纠正措施以防止类似事件再次发生，并恢复受影响系统的正常运行；总结过程：总结是对整个事件管理过程进行回顾和反思，提炼经验教训，改进事件管理流程，提升组织的信息安全事件应对能力。过程性：信息安全事件管理强调过程性，即每个步骤都有其特定的目标和任务，需要按顺序逐步完成，以确保事件得到有效控制和处理；系统性：这些过程相互关联、相互支持，共同构成了一个系统化的管理体系，有助于组织在面对信息安全事件时保持冷静、有序和高效。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.33信息安全管理体系（ISMS）专业人员informationsecuritymanagementsystem(ISMS)professional建立、实施、保持和持续改进一个或多个信息安全管理体系过程（3.54）的人员。建立、实施、保持和持续改进一个或多个信息安全管理体系过程的人员。角色与职责；信息安全管理体系（ISMS）专业人员是负责信息安全管理体系全生命周期管理的人员；他们的工作范围涵盖从ISMS的建立、实施到后续的维护和持续改进等多个阶段。信息安全管理体系（ISMS）专业人员通常包括以下几类：ISMS项目经理或负责人：负责整体规划和协调ISMS项目的实施，包括制定项目计划、分配资源、监控进度和确保项目按时按质完成；信息安全官（CISO）或信息安全经理：高级管理人员，负责制定信息安全策略、方针和目标，并指导ISMS的实施、维护和持续改进工作；他们通常直接向组织的高级管理层报告；信息安全顾问或咨询师：具有信息安全专业知识和经验的专业人士，为组织提供ISMS相关的咨询、培训和审核服务，帮助组织建立、优化和符合信息安全标准；ISMS审核员：负责定期对ISMS进行内部或外部审核，评估其符合性和有效性，提出改进建议，并跟踪改进措施的实施情况；信息安全管理团队成员：包括信息安全分析师、风险评估师、事件响应团队成员等，他们各自负责信息安全管理体系中特定领域的具体工作，如风险评估、事件管理、合规性监控等；IT管理人员和技术专家：IT部门的管理人员和技术专家在ISMS实施和维护过程中扮演重要角色，他们负责信息系统和技术设施的安全配置、漏洞管理和应急响应等工作；业务流程负责人：负责特定业务流程的管理人员，他们需要与信息安全团队紧密合作，确保业务流程中信息资产的安全，并参与相关安全控制措施的设计和实施；培训和发展人员：负责设计和实施ISMS相关的培训计划，提升组织内部人员的信息安全意识和技能，确保他们能够理解并遵循信息安全政策和程序；法律顾问和合规专员：负责确保ISMS的设计和实施符合相关的法律法规要求，提供法律意见，协助组织处理与信息安全相关的法律事务和合规性问题。专业技能要求；这些专业人员应具备丰富的信息安全知识和实践经验，熟悉ISMS的相关标准、法律法规和最佳实践；他们应了解组织的业务流程、组织结构、信息系统和技术架构，以便能够有效地设计、部署和维护ISMS。多过程管理能力。ISMS专业人员不仅关注单一的ISMS过程，还应能够管理一个或多个相互关联、相互作用的ISMS过程；这要求他们具备全局视野和综合能力，能够协调各个过程之间的关系，确保ISMS的整体有效性和一致性。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.34信息共享社区informationsharingcommunity同意共享信息的组织（3.50）群体。注：组织（3.50）可能是个人。同意共享信息的组织群体。信息共享社区的定义；信息共享社区是由一组同意相互共享信息的组织所构成的群体；这种共享行为是基于共同的意愿和目标，旨在通过信息的交流和利用，提升各成员组织的信息安全水平和应对能力。组织的广泛性；“组织”具有广泛的含义，它不仅仅指传统的企业、机构或团体，还可能包括个人；信息共享社区的成员可以包括各种类型的实体，只要它们同意共享信息并遵守社区的规则和原则。信息共享社区通常包括以下几类：企业组织：各种类型的企业，无论其规模大小、行业领域或所有权结构，只要它们认识到信息共享的重要性并愿意参与共享，就可以成为信息共享社区的一员。这些企业可能来自制造业、金融服务业、信息技术业、零售业、教育业等多个领域；政府机构：政府部门和机构也是信息共享社区的重要组成部分。它们通常负责监管关键基础设施、收集和分析威胁情报，并通过共享这些信息来增强国家的信息安全防御能力。政府机构之间的信息共享对于应对跨国威胁和协调应急响应至关重要；非营利组织：专注于信息安全、网络防御、隐私保护等领域的非营利组织经常参与信息共享社区。它们可能通过提供培训、发布研究报告、组织研讨会等方式，促进信息安全知识的传播和最佳实践的共享；行业协会和联盟：特定行业的协会和联盟通常会建立信息共享机制，以促进成员之间的合作与交流。这些机制有助于成员组织及时了解行业内的最新威胁动态、最佳防御措施和合规性要求；安全服务提供商：提供信息安全咨询、审核、监测和应急响应等服务的企业也是信息共享社区的重要成员。它们通过共享威胁情报、服务案例和经验教训，帮助客户提升信息安全防护能力，并促进整个行业的服务水平提升；学术研究机构：大学、研究所等学术机构在信息安全领域发挥着重要作用。它们通过开展前沿研究、培养专业人才和发布研究成果，为信息共享社区提供理论支持和实践指导。同时，学术研究机构也积极参与信息共享活动，推动信息安全领域的知识创新和技术进步；个人专家和安全爱好者：虽然注释中提到“组织可能是个人”，但在实际的信息共享社区中，个人专家和安全爱好者通常通过加入专业组织、参与在线论坛或社群等方式间接参与信息共享。他们凭借丰富的专业知识和实践经验，为社区贡献独特的见解和有价值的信息。信息共享的重要性；信息共享在信息安全领域具有重要意义。通过共享威胁情报、最佳实践、安全漏洞等信息，组织可以更快地识别和应对信息安全风险，减少潜在损失；信息共享社区为成员提供了一个协作和交流的平台，有助于促进整个行业或领域的信息安全水平的提升。社区的规则与原则；为了确保信息共享的有效性和安全性，信息共享社区通常会制定一系列的规则和原则；这些规则和原则可能涉及信息共享的范围、方式、保密要求、责任追究等方面，旨在保障成员的合法权益和信息安全。个人作为组织成员的特殊性。在某些情况下，个人也可以作为信息共享社区的成员参与其中；这为个体专家、研究人员或安全爱好者提供了一个参与信息共享和交流的机会，有助于扩大信息共享社区的影响力和覆盖范围。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.35信息系统informationsystem应用、服务、信息技术资产或其他信息处理组件的组合。应用、服务、信息技术资产或其他信息处理组件的组合。信息系统的定义组成要素应用：指为完成特定任务或实现特定功能而设计的软件程序。在信息系统中，应用是用户直接交互和操作的对象，用于处理数据和信息；服务：指为信息系统提供必要支持的功能或活动，如数据存储、网络通信、身份认证等。这些服务通常由底层的技术组件或基础设施提供，以确保信息系统的正常运行；信息技术资产：信息技术资产是构成信息系统的重要物质基础，包括硬件设备（如服务器、路由器、交换机等）、软件程序（如操作系统、数据库管理系统、中间件等）以及数据资源（如用户信息、业务数据等）；信息处理组件：信息系统中用于处理数据和信息的基本单元，它们可以是软信息系统的整体性：；信息系统的多样性：GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.36完整性integrity准确和完备的性质。准确和完备的性质。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.37相关方/利益相关者interestedparty；stakeholder可能对一项决策或活动产生影响，或被其影响，或认为自己受到其影响的个人或组织（3.50）。可能对一项决策或活动产生影响，或被其影响，或认为自己受到其影响的个人或组织。相关方是一个广泛的概念，涵盖了可能对特定决策或活动产生影响，或被这些决策或活动影响，以及自认为受到这些决策或活动影响的所有个人或组织；这个定义不仅包括了直接的相关方，如决策者、执行者、受影响的个体或团体，还包括了间接的相关方，如供应链中的合作伙伴、监管机构、行业协会等。相关方；相关方相关方；；相关方类别子类别信息安全管理体系（ISMS）相关说明具体典型示例监管者和立法者负责制定和监督信息安全法规、政策和标准的政府机构或部门国家互联网信息办公室、工业和信息化部、公安部网络安全保卫局股东所有者对组织有所有权或投资权益，关注组织信息安全状况对其投资的影响国有企业大股东、国内私募股权基金投资者提供资金支持，期望组织维护高水平的信息安全以保护其投资A股市场投资者、国内风险投资公司供方分包方提供与信息安全相关的产品或服务，其安全性直接影响组织的信息安全奇安信、天融信等网络安全设备供方、阿里云等云服务提供商顾问提供信息安全咨询、评估或建议，帮助组织建立和维护ISMS国内信息安全咨询公司（如安恒信息、绿盟科技等）外包方承担组织部分信息安全职能的外部服务提供商，需确保其服务满足组织的信息安全要求国内IT外包服务提供商（如海思科技、中科软等）行业协会制定和推广信息安全行业标准、最佳实践，提供信息安全培训和认证中国信息协会信息安全专业委员会、中国网络安全产业联盟竞争对手同一行业内的其他组织，其信息安全状况可能对组织产生竞争影响或风险同行业内的其他中国企业，如华为、腾讯、阿里巴巴等客户和消费者使用组织的产品或服务，期望其信息安全得到保护，对组织的信息安全有直接影响国内企业客户、电商平台用户、手机应用用户活动团体关注信息安全议题的社会组织，可能对组织的信息安全实践进行监督和倡导中国网络空间安全协会、中国消费者权益保护协会相关方类别子类别信息安全管理体系（ISMS）相关说明具体典型示例决策者最高管理者对组织的信息安全策略、目标和资源进行最终决策的人员公司CEO、总经理、董事会成员所有者流程所有者负责特定业务流程的人员，需确保流程中的信息安全业务流程负责人、部门经理系统所有者负责特定信息系统的人员，需确保系统的安全性系统管理员、应用负责人信息所有者负责特定信息资产的人员，需确保信息资产的保密性、完整性和可用性数据管理员、知识产权负责人支持功能信息技术提供技术支持，确保信息系统的安全运行IT部门成员、网络安全工程师人力资源负责员工的信息安全培训和意识提升HR部门成员、培训专员员工和用户员工组织内的正式员工，需遵守信息安全政策和流程各部门员工、基层管理人员用户使用组织信息系统的内部人员，包括正式员工和非正式员工实习生、临时工、合作伙伴员工信息安全专业人员负责信息安全策略的制定、实施和监督信息安全官、信息安全顾问、渗透测试人员GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.38内部环境internalcontext组织（3.50）追求其目标（3.49）实现时所处的内部状况。注：内部环境可能包括如下方面：——治理、组织结构、角色和职责；——策略（3.53）目标（3.49）及其实现战略；——在资源和知识（如资本、时间、人员、过程（3.54）系统和技术）方面的能力；——信息系统（3.35）信息流和决策过程（3.54）（正式的和非正式的）；——与内部相关方（3.37）的关系及其认知和价值观；——组织（3.50）的文化；——组织采用的标准、指南和模型；——合同关系的形式和范围。[来源：ISOGuide73:2009，3.3.1.2]组织寻求实现其目标的内部环境。内部环境的定义：内部环境是指组织在追求其目标实现过程中所处的内部状况。它是组织内部各种因素的综合体现，对组织的决策、运营和绩效产生深远影响；内部环境的组成要素：治理、组织结构、角色和职责：这些要素构成了组织的基本框架和运作机制，决定了组织内部权力分配、决策流程和责任归属；策略、目标及其实现战略：组织通过制定明确的策略和目标，并规划相应的实现战略，来指导其日常运营和发展方向；资源和知识方面的能力：包括财务资源、人力资源、时间资源以及技术和知识资源等，这些资源是组织实现其目标的基础和保障；信息系统、信息流和决策过程：信息系统作为组织内部信息处理和传递的枢纽，其效率和安全性直接影响组织的决策质量和运营效率；信息流和决策过程的顺畅与否也直接关系到组织的响应速度和竞争力；与内部相关方的关系及其认知和价值观：内部相关方包括员工、管理层、各部门等，他们之间的关系、认知和价值观的契合度对于组织的内部协作和氛围营造至关重要；组织文化：组织文化是组织在长期发展过程中形成的独特价值观、信念和行为规范体系，它深深植根于组织成员的心中，并影响着组织的各个方面；组织采用的标准、指南和模型：这些标准和模型为组织提供了规范化、科学化的管理依据和操作指南，有助于提升组织的整体管理水平和运营效率；合同关系的形式和范围：组织在与外部合作伙伴、供应商等建立合同关系时，需要明确合同的形式和范围，以确保双方权益得到保障并促进合作顺利进行；内部环境对组织的影响：内部环境是组织运营和发展的基础条件之一，它直接影响着组织的决策质量、运营效率和市场竞争力。一个稳定、高效、和谐的内部环境有助于提升组织的整体绩效和市场地位；反之，则可能给组织带来诸多不利因素和挑战。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.39风险水平levelofrisk单一风险（3.61）或组合风险的大小，以后果（3.12）和可能性（3.40）的组合来表达。[来源：ISOGuide73:2009，3.6.1.8，有修改：删除定义中的“或风险组合”]单一风险或组合风险的大小，以后果和可能性的组合来表达。风险水平的定义；风险水平是衡量单一风险或组合风险大小的一个指标；它通过综合考虑风险的后果（即风险发生后可能造成的影响或损失）和可能性（即风险发生的几率）来量化风险的大小。构成要素；后果：指风险事件发生后可能导致的实际结果或影响。后果可以是正面的（如机会）或负面的（如威胁），但在风险水平的评估中，通常更关注负面后果。后果的严重程度可以用定量或定性的方式来表示；可能性：指风险事件发生的概率或频率。可能性同样可以用定量（如具体概率值）或定性（如高、中、低）的方式来表示。评估方法；风险水平是后果和可能性的组合表达。这意味着在评估风险水平时，需要同时考虑这两个因素。一般来说，后果越严重且可能性越高的风险，其风险水平也越高；风险评估过程中，通常会采用一定的方法或工具来量化后果和可能性，并将两者结合起来计算得出具体的风险水平值。在信息安全管理体系中的应用。在信息安全管理体系中，对风险水平的评估是制定和实施风险管理措施的重要依据。通过识别、分析和评估风险水平，组织可以优先关注那些风险水平较高的风险事件，并采取有效的控制措施来降低或消除这些风险。风险水平的评估结果还可以用于指导资源的分配和优先级排序，确保信息安全管理工作的高效性和针对性。“风险水平”概念应用示例假设某组织拥有一个电子商务网站，该网站处理大量用户的个人信息和交易数据。在运营过程中，组织识别出以下单一风险：风险事件：未经授权的访问攻击风险描述：黑客可能通过某种漏洞未经授权地访问网站服务器，获取用户个人信息和交易数据。风险水平评估：为了评估这一风险的风险水平，我们需要考虑其后果和可能性。后果：具体描述：如果黑客成功获取用户个人信息和交易数据，可能会导致用户隐私泄露、经济损失（如欺诈交易）和声誉损害；量化表示：假设每次隐私泄露事件平均影响1000名用户，每位用户可能因此遭受平均100元的直接经济损失，同时组织因声誉损害可能面临100万元的潜在损失。可能性：具体描述：根据组织的安全评估报告和历史数据，此类未经授权的访问攻击在过去一年中发生了3次，且当前系统存在已知的未修补漏洞，增加了被攻击的可能性；量化表示：假设在未来一年内，此类攻击再次发生的概率为每月1%，即年概率为12%。风险水平计算风险水平是后果和可能性的组合表达。一种简单的量化方法是使用后果的期望值（平均损失）与可能性的乘积来表示。单次事件的平均损失=1000用户*100元/用户+1,000,000元（声誉损害）=2,000,000元年期望损失=单次事件的平均损失*年发生概率=2,000,000元*12%=240,000元因此，该未经授权的访问攻击的风险水平可以量化为年期望损失240,000元，这是一个结合了后果严重性和发生可能性的具体数值，有助于组织理解和评估该风险的重要性。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.40可能性likelihood某件事发生的机会。[来源：ISOGuide73:2009，3.6.1.1，有修改：删除注1和注2]某件事发生的机会。定义核心：可能性指某一特定事件在未来发生的几率或机会。它是对事件发生与否的不确定性的量化表达；应用范围：在信息安全管理体系中，可能性通常用于评估信息安全风险。风险的可能性描述了风险事件（如数据泄露、未授权访问等）发生的潜在频率或概率；量化方式；可能性可以是定量的，如使用具体的概率值（如0.1,0.5,0.9）来表示事件发生的可能性大小；也可以是定性的，如使用描述性的词汇（如低、中、高）来近似表示可能性的等级。与风险评估的关系；在风险评估过程中，可能性是确定风险水平（levelofrisk）的关键因素之一。风险水平是通过综合考虑风险的后果（即如果风险发生会造成什么影响）和可能性（即风险发生的几率）来确定的；一般来说，后果越严重且可能性越高的风险，其风险水平也越高，需要组织给予更多的关注和优先处理。影响因素：可能性的大小受到多种因素的影响，包括但不限于：威胁的固有属性（如黑客技术的先进性）、脆弱性的存在与否及其严重程度、现有控制措施的有效性等；评估方法：评估可能性的方法多种多样，包括基于历史数据的统计分析、专家判断、情景模拟等。选择哪种方法取决于组织的具体情况、可用资源以及风险评估的目的和范围。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.41管理体系managementsystem组织（3.50）中相互关联或相互作用，用来建立策略（3.53）和目标（3.49）以及实现这些目标过程（3.54）的要素集合。注1：管理体系可能专注于单一领域或多个领域。注2：体系要素包括组织的结构、角色和职责、策划和运行。注3：管理体系范围可能包括组织（3.50）的整体、组织的具体且确定的功能或部门，或者跨组织群的一项或多项职能。组织中相互关联或相互作用，用来建立策略和目标以及实现这些目标过程的要素集合。管理体系可能专注于单一领域或多个领域。它可以根据组织的需要，灵活地应用于不同的管理领域，如质量管理、环境管理、信息安全管理等；管理体系的范围也可以灵活调整，可能包括组织的整体、组织的具体且确定的职能或部门，或GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.42测度measure作为测量（3.43）结果赋值的变量。[来源：ISO/IEC/IEEE15939:2017，3.15，有修改：删除注]作为测量结果赋值的变量。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.43测量measurement确定数值的过程（3.54）。确定数值的过程。定义核心：测量是一个系统性的过程，旨在通过一定的方法和手段获取被测量对象的量化数值。这个过程涉及对被测对象的观测、比较、记录和赋值；目的与结果：测量的主要目的是确定某一特定属性或参数的数值。这个数值是对被测对象特征的量化表示，反映了被测量属性的量值大小；过程特性：测量过程需要遵循一定的标准和程序，以确保测量结果的准确性和可靠性。这包括选择合适的测量工具、确定适当的测量条件和方法、进行必要的校准和验证等；与过程的关系：测量是过程的一个组成部分，特别是与监控、评估和改进等活动密切相关。通过测量，组织可以获取关键绩效指标、风险参数等数据，为决策和管理提供依据；信息安全管理体系中的测量对象（测量应用范围）；信息安全绩效：评估信息安全活动的成效，如安全事件的处理效率、安全漏洞的修复速度等；信息安全风险：测量信息安全风险的各个方面，包括风险发生的可能性、风险的潜在影响、剩余风险等；控制措施的有效性：评估所实施的信息安全控制措施的效果，如访问控制策略的执行情况、加密技术的有效性等；信息系统的安全性：对信息系统进行定期的安全性评估，包括系统漏洞扫描、渗透测试等；合规性：测量组织对法律法规、行业标准以及内部政策的遵守情况；业务连续性：评估组织在面临中断事件时的恢复能力和响应时间；资源利用：测量信息安全相关资源的使用效率，如人力、财力、物力的投入与产出比；员工意识和能力：通过培训测试、问卷调查等方式测量员工对信息安全的认识和应对能力。信息安全管理体系中测量的示例；示例1：安全事件处理效率测量；测量对象：安全事件从发现到解决的时间；过程：记录每个安全事件的发现时间、报告时间、处理开始时间、解决时间，并计算平均解决时间；结果：得到安全事件处理的平均周期，用于评估处理效率。示例2：风险可能性测量；测量对象：特定信息安全风险在未来发生的可能性；过程：基于历史数据、专家评估、威胁情报等信息，使用定量或定性方法评估风险发生的概率；结果：得到风险发生的可能性评分，用于风险排序和决策支持。示例3：控制措施有效性测量；测量对象：防火墙的入侵阻止率；过程：统计防火墙在一段时间内成功阻止的入侵尝试次数与总入侵尝试次数的比例；结果：得到防火墙的入侵阻止率，评估控制措施的有效性。示例4：信息系统安全性评估；测量对象：信息系统的漏洞数量及严重程度；过程：使用自动化工具对信息系统进行全面扫描，识别并记录漏洞信息，根据漏洞的CVE评分评估其严重程度；结果：得到信息系统的漏洞清单及评分，用于指导修复工作。示例5：合规性测量；测量对象：组织对特定法规或标准的遵守情况；过程：通过内部审核、第三方审核或自我评估等方式，检查组织活动是否符合相关法规或标准的要求；结果：得到合规性评估报告，指出存在的问题和改进建议。示例6：业务连续性恢复时间测量测量对象：关键业务系统在中断后的恢复时间；过程：模拟业务中断场景，记录从发现中断到系统完全恢复运行所需的时间；结果：得到恢复时间目标（RTO）的实际值，评估业务连续性计划的有效性。重要性：测量是量化管理的基础。通过准确、可靠的测量，组织可以了解其信息安全状况和管理效果，识别潜在的问题和改进机会，制定针对性的改进措施，并监控其实施效果。这对于组织的持续改进和风险管理至关重要。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.44测量函数measurementfunction组合两个或两个以上基本测度（3.8）的算法或计算。[来源：ISO/IEC/IEEE15939:2017，3.20]组合两个或两个以上基本测度的算法或计算。【示例】信息安全风险水平计算：目的：计算某一特定信息安全风险的综合水平，以支持风险管理和决策制定。基本测度：风险发生概率（P）：表示该风险在未来某一时间段内发生的可能性，通常以百分比或小数形式表示；风险后果（影响程度）（I）：表示该风险如果发生，对组织资产或业务目标可能造成的损害程度，可以通过量化评估得到一个数值。测量函数：为了计算综合风险水平，可以采用一个简单的乘积算法作为测量函数。这个函数将风险发生概率（P）和风险影响程度（I）相乘，得到一个表示综合风险水平的数值（R）。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.45测量方法measurementmethod用于按规定的尺度量化属性的，一般描述的操作规程。注：测量方法的类型取决于属性量化操作的性质。能区分为以下两种类型：——主观的：涉及人为判断的量化；——客观的：基于数字规则的量化。[来源：ISO/IEC/IEEE15939:2017，3.21，有修改：删除注2]主观测量方法：安全意识问卷调查；量化属性：员工的信息安全意识水平；操作规程：设计一份包含多个选择题或判断题的问卷，涵盖信息安全政策、最佳实践、潜在威胁识别等方面；员工填写问卷后，根据正确答案的比例来量化其安全意识水平。客户满意度调查；量化属性：客户对组织信息安全措施和服务的满意度；操作规程：通过电子邮件、电话访谈或在线调查等方式，向客户发送满意度问卷；问卷内容可能包括客户对信息保密性、可用性、服务响应速度等方面的评价；收集反馈后，根据设定的评分标准（如五分制）量化满意度。专家评审；量化属性：信息安全控制措施的有效性或风险评估的准确性；操作规程：组织领域内的专家对特定控制措施或风险评估报告进行评审，根据专家的经验和专业知识给出评分或等级评定；评分可能基于控制措施的完整性、实施效果、对风险的缓解程度等因素。客观测量方法：渗透测试：。漏洞扫描：。性能指标监控：。日志分析。。GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》GB/T29246—2023《信息安全技术—信息安全管理体系——概述和词汇》3.46监视monitoring确定体系、过程（3.54）或活动状态的行为。注：为确定状态可能需要检查、监督或严密观察。确定体系、过程或活动状态的行为。定义核心：监视是一种行为，其核心目的是确定某个体系、过程或活动的当前状态。这种状态可能涉及运行的正常性、安全性、效率或任何其他关键性能指标。监视对象：在信息安全管理体系（ISMS）中，监视的对象非常广泛，包括但不限于以下几个方面：信息安全管理体系（ISMS）整体：监视ISMS的整体运行状态，包括其有效性、合规性和持续改进情况；信息安全过程；风险评估过程：监视风险评估的准确性和时效性，以及风险处理措施的有效性；风险处置过程：监视风险处置措施的执行情况和效果，确保风险得到有效管理；访问控制过程：监视访问权限的分配、变更和撤销情况，以及访问活动的合规性；事件管理过程：监视安全事件的发生、响应和报告情况，确保事件得到及时处理；配置管理过程：监视系统和应用程序的配置变更情况，确保配置的准确性和一致性；审核过程：监视内部审核和管理评审的执行情况，确保ISMS的合规性和持续改进。信息系统；网络和系统状态：监视网络流量、系统性能、资源利用率等指标，确保信息系统的稳定运行；安全设备和解决方