信息安全管理体系术语定义

1、信息安全管理体系术语定义1. 内部用语1.1. 科技发展部秘密科技发展部职责范围内生产运行所处理的以及为生产运行提供支持的，不为公众所知悉，并采取保密措施进行保护，泄露会使哈尔滨银行生产运行遭受损害的信息。1.2. 第三方为科技发展部提供产品和服务的哈尔滨银行以外的单位。1.3. 第三方人员第三方的员工或得到第三方授权为科技发展部提供服务的人员。1.4. 第三方驻场人员在科技发展部内连续工作超过2天的第三方人员。1.5. 行内协作方同科技发展部有工作往来的哈尔滨银行内部单位。1.6. 生产系统提供业务服务的信息系统。1.7. 内部管理系统科技发展部内部用于生产运维的信息系统，如服务台、运行保障

2、平台等。1.8. 办公系统包括办公自动化、邮件系统、文档服务器等办公专用的信息系统。1.9. 特权用户具有系统最高权限的用户，如root，administrator，sysadmin等。1.10. 普通用户（简称用户）信息系统中不具有超级用户权限和用户创建权限的一般用户。1.11. 用户管理员对信息系统进行用户管理的人员。1.12. 合同由哈尔滨银行或科技发展部与其他公民、法人、组织签订并具备民事法律关系的协议。2. 信息安全术语2.1. 资产任何对组织有价值的东西。GB/T220802008/ISO/IECXXXXXX27001:2013,IDT信息技术安全技术信息安全管理体系要求（以下简称

3、：GB/T22080-2008）2.2. 信息资产信息及作为信息载体的各类资产。2.3. 保密性信息资产不能被未授权的个人、实体或过程利用或知悉的特性。GB/T22080-20082.4. 完整性信息资产不能被非授权更改或破坏的特性。GB/T22080-20082.5. 可用性信息资产根据授权实体的要求可访问和利用的特性。GB/T22080-20082.6. 信息资产CIA属性信息资产的保密性（C）完整性（I）和可用性（A）的统称。2.7. 信息资产价值由信息资产CIA属性的取值综合计算得到值，表达了信息资产的重要程度或敏感程度的高低，是信息资产的属性。2.8. 信息安全管理体系基于业务风险方

4、法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是科技发展部整个管理体系的一部分。GB/T22080-20082.9. 威胁可能导致对系统或组织危害的不希望事故潜在起因。GB/T20984-2007,信息安全风险评估规范（以下简称：GB/T20984-2007）2.10. 弱点可能被威胁所利用的资产或若干资产的薄弱环节°GB/T20984-20072.11. 风险事态的概率及其结果的组合。GB/T220812008/ISO/IEC27002：2013，IDT信息技术安全技术信息安全管理实用规则（以下简称：GB/T22081-2008）2.12. 残余风险采取安全控制措施后

5、，信息资产仍然存在的风险°GB/T22080-20082.13. （信息安全）风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的CIA属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。GB/T20984-20072.14. 安全控制措施保护资产、抵御威胁、减少弱点、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制°GB/T20984-20072.15. 风险处理选择并执行安全控制措施来更改风险的过程。GB/T22080-2008

6、2.16. 适用性声明描述与信息安全管理体系相关的适用和控制目标和控制措施的文件GB/T22080-2008注：控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。2.17. 预防措施为防止潜在的不符合、缺陷或其它不希望情况的发生，消除其原因所采取的措施。2.18. 纠正措施为防止已出现的不符合、缺陷或其它不希望的情况的再次发生，消除其原因所采取的措施。2.19. 性能信息系统对用户获取需求的响应能力。2.20. 容量信息系统环境的载荷和提供用户服务的能力。2.21. 会话超时退出机制对信息系统的访问时间超过信息系统设定的时间后，

7、信息系统强制用户退出的机制，也包含信息系统对设定时间内没有任何操作的用户进行强制退出的机制。2.22. 密码错误超限锁定机制当用户在一定时间内连续登录错误的次数超过信息系统设定的阈值时，信息系统对用户进行自动锁定的机制。2.23. 远程接入从组织物理范围之外接入到组织网络的行为。2.24. 远程访问在组织物理范围之外对组织信息系统进行访问的行为。2.25. 介质包括但不限于带库、磁带、硬盘、光盘、u盘等存储介质。2.26. 可移动介质可移动的计算机存储介质，不包括纸质介质。2.27. 密码为保护信息资产免受非法访问而设置的字符序列。2.28. 密钥由加密机生产的控制加密与解密操作的一系列符号。

8、2.29. 信息系统典型的信息系统由三部分组成，硬件设备（计算机硬件设备和网络硬件设备）；系统软件（计算机系统软件和网络系统软件）；应用程序（包括由其处理、存储的信息）GB/T20984-20072.30. 信息安全隐患/信息安全事态系统、服务或网络的一种可识别的状态的发生，可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态°GB/Z20985-2007，信息安全事件管理指南（以下简称：GB/Z20985-2007）2.31. 信息安全事件由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息资产造成危害，或对组织日常工作造成负面影响的事件。GB/Z209

9、86-2007，信息安全事件分级分类指南（以下简称：GB/Z20986-2007）2.32. 业务影响分析（BIA）分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。GB/T20988-2007,信息系统灾难恢复规范（以下简称：GB/T20988-2007）2.33. 业务连续性计划（BCP）定义并记录一系列的步骤和信息，当有事件发生时确保科技发展部的关键信息系统能够连续运营在一个可接受的、预先制定的等级上。GB/Z20985-20072.34. 灾难恢复计划（DRP）帮助科技发展部从灾难的影响中恢复正常运营的计划。GB/T20988-20072.35. 业务连续性管理计划包括事件管理计划、业务连续性计划和灾难恢复计划。GB/Z20985-20072.36. 灾难由于人为或自然的原因，造成信息系统严重故障或瘫痪，使科技发展部IT服务水平不可接受、达到特定的时间的突发性事件。GB/TXXXXXX20988-20072.37. 移动代码一种软件