信息安全管理體系術(shù)語(yǔ)定義

1、信息安全管理體系術(shù)語(yǔ)定義1. 內(nèi)部用語(yǔ)1.1. 科技發(fā)展部秘密科技發(fā)展部職責(zé)范圍內(nèi)生產(chǎn)運(yùn)行所處理的以及為生產(chǎn)運(yùn)行提供支持的，不為公眾所知悉，并采取保密措施進(jìn)行保護(hù)，泄露會(huì)使哈爾濱銀行生產(chǎn)運(yùn)行遭受損害的信息。1.2. 第三方為科技發(fā)展部提供產(chǎn)品和服務(wù)的哈爾濱銀行以外的單位。1.3. 第三方人員第三方的員工或得到第三方授權(quán)為科技發(fā)展部提供服務(wù)的人員。1.4. 第三方駐場(chǎng)人員在科技發(fā)展部?jī)?nèi)連續(xù)工作超過(guò)2天的第三方人員。1.5. 行內(nèi)協(xié)作方同科技發(fā)展部有工作往來(lái)的哈爾濱銀行內(nèi)部單位。1.6. 生產(chǎn)系統(tǒng)提供業(yè)務(wù)服務(wù)的信息系統(tǒng)。1.7. 內(nèi)部管理系統(tǒng)科技發(fā)展部?jī)?nèi)部用于生產(chǎn)運(yùn)維的信息系統(tǒng)，如服務(wù)臺(tái)、運(yùn)行保障

2、平臺(tái)等。1.8. 辦公系統(tǒng)包括辦公自動(dòng)化、郵件系統(tǒng)、文檔服務(wù)器等辦公專(zhuān)用的信息系統(tǒng)。1.9. 特權(quán)用戶(hù)具有系統(tǒng)最高權(quán)限的用戶(hù)，如root，administrator，sysadmin等。1.10. 普通用戶(hù)（簡(jiǎn)稱(chēng)用戶(hù)）信息系統(tǒng)中不具有超級(jí)用戶(hù)權(quán)限和用戶(hù)創(chuàng)建權(quán)限的一般用戶(hù)。1.11. 用戶(hù)管理員對(duì)信息系統(tǒng)進(jìn)行用戶(hù)管理的人員。1.12. 合同由哈爾濱銀行或科技發(fā)展部與其他公民、法人、組織簽訂并具備民事法律關(guān)系的協(xié)議。2. 信息安全術(shù)語(yǔ)2.1. 資產(chǎn)任何對(duì)組織有價(jià)值的東西。GB/T220802008/ISO/IECXXXXXX27001:2013,IDT信息技術(shù)安全技術(shù)信息安全管理體系要求（以下簡(jiǎn)稱(chēng)

3、：GB/T22080-2008）2.2. 信息資產(chǎn)信息及作為信息載體的各類(lèi)資產(chǎn)。2.3. 保密性信息資產(chǎn)不能被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或知悉的特性。GB/T22080-20082.4. 完整性信息資產(chǎn)不能被非授權(quán)更改或破壞的特性。GB/T22080-20082.5. 可用性信息資產(chǎn)根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性。GB/T22080-20082.6. 信息資產(chǎn)CIA屬性信息資產(chǎn)的保密性（C）完整性（I）和可用性（A）的統(tǒng)稱(chēng)。2.7. 信息資產(chǎn)價(jià)值由信息資產(chǎn)CIA屬性的取值綜合計(jì)算得到值，表達(dá)了信息資產(chǎn)的重要程度或敏感程度的高低，是信息資產(chǎn)的屬性。2.8. 信息安全管理體系基于業(yè)務(wù)風(fēng)險(xiǎn)方

4、法，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系，是科技發(fā)展部整個(gè)管理體系的一部分。GB/T22080-20082.9. 威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。GB/T20984-2007,信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（以下簡(jiǎn)稱(chēng)：GB/T20984-2007）2.10. 弱點(diǎn)可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)°GB/T20984-20072.11. 風(fēng)險(xiǎn)事態(tài)的概率及其結(jié)果的組合。GB/T220812008/ISO/IEC27002：2013，IDT信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則（以下簡(jiǎn)稱(chēng)：GB/T22081-2008）2.12. 殘余風(fēng)險(xiǎn)采取安全控制措施后

5、，信息資產(chǎn)仍然存在的風(fēng)險(xiǎn)°GB/T22080-20082.13. （信息安全）風(fēng)險(xiǎn)評(píng)估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的CIA屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。GB/T20984-20072.14. 安全控制措施保護(hù)資產(chǎn)、抵御威脅、減少弱點(diǎn)、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制°GB/T20984-20072.15. 風(fēng)險(xiǎn)處理選擇并執(zhí)行安全控制措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。GB/T22080-2008

6、2.16. 適用性聲明描述與信息安全管理體系相關(guān)的適用和控制目標(biāo)和控制措施的文件GB/T22080-2008注：控制目標(biāo)和控制措施是基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求。2.17. 預(yù)防措施為防止?jié)撛诘牟环?、缺陷或其它不希望情況的發(fā)生，消除其原因所采取的措施。2.18. 糾正措施為防止已出現(xiàn)的不符合、缺陷或其它不希望的情況的再次發(fā)生，消除其原因所采取的措施。2.19. 性能信息系統(tǒng)對(duì)用戶(hù)獲取需求的響應(yīng)能力。2.20. 容量信息系統(tǒng)環(huán)境的載荷和提供用戶(hù)服務(wù)的能力。2.21. 會(huì)話超時(shí)退出機(jī)制對(duì)信息系統(tǒng)的訪問(wèn)時(shí)間超過(guò)信息系統(tǒng)設(shè)定的時(shí)間后，

7、信息系統(tǒng)強(qiáng)制用戶(hù)退出的機(jī)制，也包含信息系統(tǒng)對(duì)設(shè)定時(shí)間內(nèi)沒(méi)有任何操作的用戶(hù)進(jìn)行強(qiáng)制退出的機(jī)制。2.22. 密碼錯(cuò)誤超限鎖定機(jī)制當(dāng)用戶(hù)在一定時(shí)間內(nèi)連續(xù)登錄錯(cuò)誤的次數(shù)超過(guò)信息系統(tǒng)設(shè)定的閾值時(shí)，信息系統(tǒng)對(duì)用戶(hù)進(jìn)行自動(dòng)鎖定的機(jī)制。2.23. 遠(yuǎn)程接入從組織物理范圍之外接入到組織網(wǎng)絡(luò)的行為。2.24. 遠(yuǎn)程訪問(wèn)在組織物理范圍之外對(duì)組織信息系統(tǒng)進(jìn)行訪問(wèn)的行為。2.25. 介質(zhì)包括但不限于帶庫(kù)、磁帶、硬盤(pán)、光盤(pán)、u盤(pán)等存儲(chǔ)介質(zhì)。2.26. 可移動(dòng)介質(zhì)可移動(dòng)的計(jì)算機(jī)存儲(chǔ)介質(zhì)，不包括紙質(zhì)介質(zhì)。2.27. 密碼為保護(hù)信息資產(chǎn)免受非法訪問(wèn)而設(shè)置的字符序列。2.28. 密鑰由加密機(jī)生產(chǎn)的控制加密與解密操作的一系列符號(hào)。

8、2.29. 信息系統(tǒng)典型的信息系統(tǒng)由三部分組成，硬件設(shè)備（計(jì)算機(jī)硬件設(shè)備和網(wǎng)絡(luò)硬件設(shè)備）；系統(tǒng)軟件（計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用程序（包括由其處理、存儲(chǔ)的信息）GB/T20984-20072.30. 信息安全隱患/信息安全事態(tài)系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)°GB/Z20985-2007，信息安全事件管理指南（以下簡(jiǎn)稱(chēng)：GB/Z20985-2007）2.31. 信息安全事件由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息資產(chǎn)造成危害，或?qū)M織日常工作造成負(fù)面影響的事件。GB/Z209

9、86-2007，信息安全事件分級(jí)分類(lèi)指南（以下簡(jiǎn)稱(chēng)：GB/Z20986-2007）2.32. 業(yè)務(wù)影響分析（BIA）分析業(yè)務(wù)功能及其相關(guān)信息系統(tǒng)資源、評(píng)估特定災(zāi)難對(duì)各種業(yè)務(wù)功能的影響的過(guò)程。GB/T20988-2007,信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（以下簡(jiǎn)稱(chēng)：GB/T20988-2007）2.33. 業(yè)務(wù)連續(xù)性計(jì)劃（BCP）定義并記錄一系列的步驟和信息，當(dāng)有事件發(fā)生時(shí)確?？萍及l(fā)展部的關(guān)鍵信息系統(tǒng)能夠連續(xù)運(yùn)營(yíng)在一個(gè)可接受的、預(yù)先制定的等級(jí)上。GB/Z20985-20072.34. 災(zāi)難恢復(fù)計(jì)劃（DRP）幫助科技發(fā)展部從災(zāi)難的影響中恢復(fù)正常運(yùn)營(yíng)的計(jì)劃。GB/T20988-20072.35. 業(yè)務(wù)連續(xù)性管理計(jì)劃包括事件管理計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃。GB/Z20985-20072.36. 災(zāi)難由于人為或自然的原因，造成信息系統(tǒng)嚴(yán)重故障或癱瘓，使科技發(fā)展部IT服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件。GB/TXXXXXX20988-20072.37. 移動(dòng)代碼一種軟件