ISO27000：2024 术语和定义（中文） 

1. 访问控制

确保根据业务和安全要求（56）对资产的访问进行授权和限制的方法。 2. 攻击

试图破坏、暴露、更改、禁用、窃取或获得未经授权的访问或使用资产。 3. 审计

为获取审计证据并客观地对其进行评价，以确定满足审计准则的程度而形成的系统的、独立的和文件化的过程（54）。 4. 审计范围

审计（3）程度和边界。 5. 认证

保证实体所声称的特征是正确的。 6. 真实性

一个实体是它所声称的性质。 7. 可用性

按授权实体的要求可访问和使用的特性。 8. 基本指标量

根据属性定义的指标量（42）及其量化的方法。 9. 能力

运用知识和技能达到预期结果的能力。 10. 保密性

信息不能向未经授权的个人、实体或过程（54）提供或披露的特性。 11. 符合性

满足要求（56）。 12. 后果

影响目标（49）的事件（21）的结果。 注1：一个事件可以导致一系列的后果。

注2：结果可以是确定的，也可以是不确定的，在信息安全的环境中，通常是负面的。

注3：结果可以定性或定量地表示。

注4：最初的后果可能会通过连锁反应逐步升级。

13. 持续改进

重复活动以提高绩效（52）。 14. 控制

修正风险（61）的措施。

注1：控制包括任何修正风险（61）的过程（54）、方针（53）、设备、做法或其他措施。

注2：有可能控制并不总是发挥预期的或假定的修正效果。 15. 控制目标

通过实施控制（14）将得到什么结果的声明描述。 16. 纠正

消除发现的不符合（47）的行动。 17. 纠正措施

采取措施消除不符合（47）的原因，防止不符合的再次发生。 18. 派生测量

定义为两个或多个基本测量（8）值的函数的指标量（42）。 19. 文件化的信息

需要由组织（50）控制和维护的信息及其所包含的媒介。 注1：文件化的信息可以是任何格式、媒体和任何来源。 注2：文件化的信息可能涉及：

? 管理体系（41），包括相关过程（54）； ? 为组织（50）运行而创建的信息（文件化）； ? 取得成果的证据（记录）。

20. 有效性

计划的活动得以实现和计划的结果得以实现的程度。 21. 事态

特定情况的发生或变化。

注1：事态可以是一个或多个现象，并且可以有多个原因。 注2：事态可以由未发生的事情组成。

注3：事态有时可以被称为“事件（incident）”或“事故（accident）”。 22. 外部环境

组织寻求实现其目标（49）的外部环境。 注1：外部环境可以包括以下内容：

国际、国家、区域或地方的文化、社会、政治、法律、规章、金融、技术、经济、自然和竞争环境；

对组织（50）目标有影响的关键驱动因素和趋势； 与外部利益相关方（37）的关系、认知和价值观。 23. 信息安全治理

使一个组织（50）的信息安全（28）活动得到指导和控制的系统。 24. 管理机构

对绩效（52）和组织（50）符合性负责的个人或团体。 25. 指标

提供估计或评价的指标量（42）。 26. 信息需求

对管理目标（49）、目的、风险和问题的洞察力 27. 信息处理设施

任何信息处理系统、服务或基础设施，或存放信息的物理位置。 28. 信息安全

信息的保密性（10）、完整性（36）和可用性（7）

注1：此外，其他属性，如真实性（6）、可问责性、不可否认性（48）和可靠性（55）也可能涉及。 29. 信息安全连续性

确保持续信息安全（28）运行的过程（54）和程序 30. 信息安全事态

系统、服务或网络状态的出现的，可能违反信息安全（28）方针（53）或控制（14）失败，或先前未知的可能与安全有关的情况。 31. 信息安全事件

单个或一系列不希望发生的或意外的信息安全事态（30），极有可能危及业务运行和信息安全（28） 32. 信息安全事件管理

一组检测、报告、评估、响应、处理及学习信息安全事件（31）的过程（54）。

33. 信息安全管理系统（ISMS）专业人员

建立、实施、维护和持续改进一个或多个信息安全管理系统过程（54）的人员 34. 信息共享组

同意共享信息的组织（50）小组。 注1：组织（50）可能使个人。 35. 信息系统

一组应用程序、服务、信息技术资产或其他信息处理组件 36. 完整性

准确性和完备性的性质 37. 利益相关方

能够影响、被影响，或认为自己被某决策或活动影响的个人或组织（50） 38. 内部环境

组织（50）寻求实现其目标的内部环境 注1：内部环境可以包括:

? 治理、组织结构、角色和责任；

? 方针（53）、目标（49）和实现这些目标的战略；

? 从资源和知识（如资本、时间、人员、过程（54）、系统和技术）方面

理解的能力；

? 信息系统（35）、信息流和决策过程（正式和非正式）； ? 与内部利益相关者（37）的关系、认知和价值观； ? 组织文化；

? 组织采用的标准、指导方针和模式； ? 合同关系的形式和范围。

39. 风险级别

以后果（12）及其可能性（40）组合表示的风险（61）大小 40. 可能性

事情发生的概率。 41. 管理体系

一组组织（50）中相互关联或相互作用的要素，以确定实现这些目标的方针（53）、目标（49）和过程（54）

注1：一个管理系统可以处理一个或多个学科。

注2：体系要素包括组织的结构、角色和职责、规划和运作。

注3：管理体系的范围可以包括整个组织、组织的具体和确定的职能、组织的具体和确定的部分，或跨组织组的一个或多个职能。 42. 指标量（measure）

作为测量（43）结果被赋值的变量。 43. 测量

确定一个值的过程（54）。 44. 测量功能

为合并两个或多个基本指标量（8）而执行的算法或计算。 45. 测量方法

一种操作的逻辑序列，一般地描述，用于对特定尺度的属性进行量化。 注1：测量方法的类型取决于用于量化属性的操作的性质。可以区分两种类型：

? 主观性：涉及人的判断的量化； ? 目标：基于数字规则的量化。

46. 监视

确定系统、过程（54）或活动的状态

注1：为了确定状态，可能需要检查、监督或批判性观察。 47. 不符合

为满足要求（63）。 48. 不可否认性

能够证明声称的事态（21）或行为的发生，及其发起实体的能力 49. 目标

要达到的结果。

注1：目标可以是战略性的、战术性的或操作性的。

注2：目标可与不同学科相关(如财务、健康和安全以及环境目的)，并可应用于不同级别（如战略、组织范围、项目、产品和过程（54））。

注3：目标可以其他方式表达，如预期的结果、目的、操作标准、信息安全目标或使用其他具有类似含义的词语。