信息安全管理体系术语定义

信息安全管理体系术语定义

1.内部用语

1.1.科技发展部秘密

科技发展部职责范围内生产运行所处理的以及为生产运行提供支持的，不为公众所知悉，并采取保密措施进行保护，泄露会使哈尔滨银行生产运行遭受损害的信息。

1.2.第三方

为科技发展部提供产品和服务的哈尔滨银行以外的单位。

1.3.第三方人员

第三方的员工或得到第三方授权为科技发展部提供服务的人员。

1.4.第三方驻场人员

在科技发展部内连续工作超过2天的第三方人员。

1.5.行内协作方

同科技发展部有工作往来的哈尔滨银行内部单位。

1.6.生产系统

提供业务服务的信息系统。

1.7.内部管理系统

科技发展部内部用于生产运维的信息系统，如服务台、运行保障平台等。

1.8.办公系统

包括办公自动化、邮件系统、文档服务器等办公专用的信息系统。

1.9.特权用户

具有系统最高权限的用户，如root，administrator，sysadmin 等。

1.10.普通用户（简称用户）

信息系统中不具有超级用户权限和用户创建权限的一般用户。

1.11.用户管理员

对信息系统进行用户管理的人员。

1.1

2.合同

由哈尔滨银行或科技发展部与其他公民、法人、组织签订并具备民事法律关系的协议。

2.信息安全术语

2.1.资产

任何对组织有价值的东西。[GB/T 22080—2008/ISO/IEC

27001：2013，IDT《信息技术安全技术信息安全管理体系要求》（以下简称：GB/T 22080-2008）]

2.2.信息资产

信息及作为信息载体的各类资产。

2.3.保密性

信息资产不能被未授权的个人、实体或过程利用或知悉的特性。[GB/T 22080-2008]

2.4.完整性

信息资产不能被非授权更改或破坏的特性。[GB/T 22080-2008] 2.5.可用性

信息资产根据授权实体的要求可访问和利用的特性。[GB/T 22080-2008]

2.6.信息资产CIA属性

信息资产的保密性（C）、完整性（I）和可用性（A）的统称。

2.7.信息资产价值

由信息资产CIA属性的取值综合计算得到值，表达了信息资产的重要程度或敏感程度的高低，是信息资产的属性。

2.8.信息安全管理体系

基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是科技发展部整个管理体系的一部分。[GB/T 22080-2008]

2.9.威胁

可能导致对系统或组织危害的不希望事故潜在起因。[GB/T 20984-2007，《信息安全风险评估规范》（以下简称：GB/T 20984-2007）]

2.10.弱点

可能被威胁所利用的资产或若干资产的薄弱环节。[GB/T 20984-2007]

2.11.风险

事态的概率及其结果的组合。[GB/T 22081—2008/ISO/IEC 27002：2013，《IDT信息技术安全技术信息安全管理实用规则》（以下简称：GB/T 22081-2008）]

2.12.残余风险

采取安全控制措施后，信息资产仍然存在的风险。[GB/T 22080-2008]

2.1

3.（信息安全）风险评估

依据有关信息安全技术与管理标准，对信息系统及由其处理、

传输和存储的信息的CIA属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。[GB/T 20984-2007]

2.14.安全控制措施

保护资产、抵御威胁、减少弱点、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。[GB/T 20984-2007] 2.15.风险处理

选择并执行安全控制措施来更改风险的过程。[GB/T 22080-2008]

2.16.适用性声明

描述与信息安全管理体系相关的适用和控制目标和控制措施的文件[GB/T 22080-2008]

注：控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。

2.17.预防措施

为防止潜在的不符合、缺陷或其它不希望情况的发生，消除其原因所采取的措施。

2.18.纠正措施

为防止已出现的不符合、缺陷或其它不希望的情况的再次发生，消除其原因所采取的措施。

2.19.性能

信息系统对用户获取需求的响应能力。

2.20.容量

信息系统环境的载荷和提供用户服务的能力。

2.21.会话超时退出机制

对信息系统的访问时间超过信息系统设定的时间后，信息系统强制用户退出的机制，也包含信息系统对设定时间内没有任何操作的用户进行强制退出的机制。

2.22.密码错误超限锁定机制

当用户在一定时间内连续登录错误的次数超过信息系统设定的阈值时，信息系统对用户进行自动锁定的机制。

2.2

3.远程接入

从组织物理范围之外接入到组织网络的行为。

2.24.远程访问

在组织物理范围之外对组织信息系统进行访问的行为。

2.25.介质

包括但不限于带库、磁带、硬盘、光盘、U盘等存储介质。2.26.可移动介质

可移动的计算机存储介质，不包括纸质介质。

2.27.密码

为保护信息资产免受非法访问而设置的字符序列。

2.28.密钥

由加密机生产的控制加密与解密操作的一系列符号。

2.29.信息系统

典型的信息系统由三部分组成，硬件设备（计算机硬件设备和网络硬件设备）；系统软件（计算机系统软件和网络系统软件）；应用程序（包括由其处理、存储的信息）。[GB/T 20984-2007]

2.30.信息安全隐患/信息安全事态

系统、服务或网络的一种可识别的状态的发生，可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。[GB/Z 20985-2007，《信息安全事件管理指南》（以下简称：GB/Z 20985-2007）]

2.31.信息安全事件

由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息资产造成危害，或对组织日常工作造成负面影响的事件。[GB/Z