信息技术安全技术信息安全管理体系概述和词汇(GB-T 29246-2017).docx

《信息技术安全技术信息安全管理体系概述和词汇(GB-T 29246-2017).docx》由会员分享，可在线阅读，更多相关《信息技术安全技术信息安全管理体系概述和词汇(GB-T 29246-2017).docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L80中华人民共和国国家标准GB/T 29246XXXX/ISO/IEC 27000:2016信息技术安全技术信息安全管理体系概述和词汇Information technology Security techniques Information security management systems Overview and vocabulary（ISO/IEC 27000:2016，IDT）（报批稿）2017-06-09XXXX - XX - XX发布XXXX - XX - XX实施GB/T 29246XXXX/ISO/IEC 27000:2016目次前言II引言III0.

2、1 概述III0.2 信息安全管理体系标准族III0.3 本标准的目的IV1 范围12 术语和定义13 信息安全管理体系133.1 概要133.2 什么是ISMS143.3 过程方法153.4 为什么ISMS重要153.5 建立、监视、保持和改进ISMS163.6 ISMS关键成功因素183.7 ISMS标准族的益处184 信息安全管理体系标准族184.1 一般信息184.2 给出概述和术语的标准194.3 规范要求的标准194.4 给出一般指南的标准204.5 给出行业特定指南的标准22附录A（资料性附录）条款表达的措辞形式24附录B（资料性附录）术语和术语归属25参考文献30前言本标准按照

3、GB/T 1.12009和GB/T 20000.22009给出的规则起草。本标准替代GB/T 292462012信息技术安全技术信息安全管理体系概述和词汇，与GB/T 292462012相比主要技术变化如下： ISMS标准族的组成标准由10项增加至19项（见0.2和4.14.5，2012年版0.2和4.14.5）； 术语和定义由46条增加至89条（见2.12.89，2012年版2.12.46）； 将附录“术语分类”改为“术语和术语归属”（见附录B，2012年版附录B）。本标准使用翻译法等同采用国际标准ISO/IEC 27000:2016信息技术安全技术信息安全管理体系概述和词汇（英文版）。本标

4、准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中电长城网际系统应用有限公司、中国电子技术标准化研究院、中国信息安全研究院有限公司。本标准主要起草人：闵京华、上官晓丽、许玉娜、王惠莅、罗锋盈、左晓栋、周亚超、马洪军、廖飞鸣、黄凯峰、马文荷。本标准所代替的历次版本发布情况为： GB/T 292462012信息技术安全技术信息安全管理体系概述和词汇引言0.1概述管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系（Information Security Management System，简称ISMS）标准

5、族。通过使用ISMS标准族，组织能够开发和实施管理其信息资产安全的框架，包括财务信息、知识产权和员工详细资料，或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信息做独立评估准备。0.2信息安全管理体系标准族信息安全管理体系（ISMS）标准族（见第4章）旨在帮助所有类型和规模的组织实施和运行ISMS。在信息技术安全技术通用标题下，ISMS标准族由下列标准组成（按标准号排序）： ISO/IEC 27000GB/T 29246信息安全管理体系概述和词汇（Information security management systems Overview and vocabulary

6、） ISO/IEC 27001GB/T 22080信息安全管理体系要求（Information security management systems Requirements） ISO/IEC 27002GB/T 22081信息安全控制实践指南（Code of practice for information security controls） ISO/IEC 27003GB/T 31496信息安全管理体系实施指南（Information security management system implementation guidance） ISO/IEC 27004GB/T 31497信

7、息安全管理测量（Information security management Measurement） ISO/IEC 27005GB/T 31722信息安全风险管理（Information security risk management） ISO/IEC 27006GB/T 25067信息安全管理体系审核认证机构的要求（Requirements for bodies providing audit and certification of information security management systems） ISO/IEC 27007信息安全管理体系审核指南（Guidelin

8、es for information security management systems auditing） ISO/IEC TR 27008GB/Z 32916信息安全控制措施审核员指南（Guidelines for auditors on information security controls） ISO/IEC 27009ISO/IEC 27001的行业特定应用要求（Sector-specific application of ISO/IEC 27001 Requirements） ISO/IEC 27010GB/T 32920行业间和组织间通信的信息安全管理（Informatio

9、n security management for inter-sector and inter-organizational communications） ISO/IEC 27011基于ISO/IEC 27002的电信组织信息安全管理指南（Information security management guidelines for telecommunications organizations based on ISO/IEC 27002） ISO/IEC 27013ISO/IEC 27001和ISO/IEC 20000-1综合实施指南（Guidance on the integrate

10、d implementation of ISO/IEC 27001 and ISO/IEC 200001） ISO/IEC 27014GB/T 32923信息安全治理（Governance of information security） ISO/IEC TR 27015金融服务信息安全管理指南（Information security management guidelines for financial services） ISO/IEC TR 27016信息安全管理组织经济学（Information security management Organizational economics

11、） ISO/IEC 27017基于ISO/IEC 27002的云服务信息安全控制实践指南（Code of practice for information security controls based on ISO/IEC 27002 for cloud services） ISO/IEC 27018可识别个人信息（PII）处理者在公有云中保护PII的实践指南（Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor

12、s） ISO/IEC 27019基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南（Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry）注：通用标题信息技术安全技术是指这些标准是由ISO/IEC的信息技术委员会（JTC1）下属的安全技术分委员会（SC27）制定的。不在通用标题信息技术安全技术之下，但也属于ISMS标准族的标准如下： ISO 27799健康信息学

13、使用ISO/IEC 27002的健康信息安全管理（Health informatics Information security management in health using ISO/IEC 27002）0.3本标准的目的本标准提供信息安全管理体系概述，并定义相关术语。注：附录A阐明在ISMS标准族中表达要求和（或）指南的措辞形式。ISMS标准族包括的标准：a) 定义ISMS及其认证机构的要求；b) 为建立、实施、维护和改进ISMS的整个过程提供直接支持、详细指南和（或）解释；c) 提出行业特定的ISMS指南；d) 提出ISMS的符合性评估。本标准提供的术语和定义： 包含ISMS标准族

14、中的通用术语和定义； 不包含ISMS标准族中的所有术语和定义； 不限制ISMS标准族定义所需的新术语。31信息技术安全技术信息安全管理体系概述和词汇1 范围本标准概述了信息安全管理体系（ISMS），提供了ISMS标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织（例如，商业企业、政府机构、非盈利组织）。2 术语和定义下列术语和定义适用于本文件。2.1 访问控制access control确保对资产的访问是基于业务和安全要求（2.63）进行授权和限制的手段。2.2 分析模型analytical model将一个或多个基本测度（2.10）和（或）导出测度（2.22）关联到决策准则（2.2

15、1）的算法或计算。2.3 攻击attack企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。2.4 属性attribute可由人工或自动化手段定量或定性辨别的对象（2.55）特性或特征。ISO/IEC 15939:2007，定义2.2，做了修改：将原定义中的“实体”替换为“对象”2.5 审核audit获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立的和文档化的过程（2.61）。注1：审核可以是内部审核（第一方）或外部审核（第二方或第三方），可以是结合审核（结合两个或两个以上学科）。注2：“审核证据”和“审核准则”在ISO 19011GB/T 19011中被定

16、义。2.6 审核范围audit scope审核（2.5）的程度和边界。ISO 19011:2011，定义3.14，做了修改：删除注12.7 鉴别authentication为一个实体声称的特征是正确的而提供的保障措施。2.8 真实性authenticity一个实体是其所声称实体的这种特性。2.9 可用性availability根据授权实体的要求可访问和可使用的特性。2.10 基本测度base measure用某个属性（2.4）及其量化方法定义的测度（2.47）。ISO/IEC 15939:2007，定义2.3，做了修改：删除注2注1：基本测度在功能上独立于其他测度（2.47）。2.11 能力c

17、ompetence应用知识和技能实现预期结果的才能。2.12 保密性confidentiality信息对未授权的个人、实体或过程（2.61）不可用或不泄露的特性。2.13 符合性conformity对要求（2.63）的满足。注1：术语“一致性”是被弃用的同义词。2.14 后果consequence事态（2.25）影响目标（2.56）的结果。ISO Guide 73:2009，定义3.6.1.3，做了修改注1：一个事态（2.25）可能导致一系列后果。注2：一个后果可以是确定的或不确定的，在信息安全（2.33）的语境下通常是负面的。注3：后果可以被定性或定量地表示。注4：初始后果可能因连锁效应升级

18、。2.15 持续改进continual improvement为提高性能（2.59）的反复活动。2.16 控制control改变风险（2.68）的措施。ISO Guide 73:2009，定义3.8.1.1注1：控制包括任何改变风险（2.68）的过程（2.61）、策略（2.60）、设备、实践或其他措施。注2：控制不一定总是达到预期或假定的风险改变效果。2.17 控制目标control objective描述控制（2.16）的实施结果所要达到目标的声明。2.18 纠正correction消除已查明的不符合（2.53）的措施。2.19 整改措施corrective action消除不符合（2.53

19、）成因以防再次发生的措施。2.20 数据data基本测度（2.10）、导出测度（2.22）和（或）指标（2.30）所赋值的集合。ISO/IEC 15939:2007，定义2.4，做了修改：增加注1注1：这个定义只适用于ISO/IEC 27004GB/T 31497的语境。2.21 决策准则decision criteria用于确定行动或进一步需要调查或者描述给定结果置信度的阈值、目标或模式。ISO/IEC 15939:2007，定义2.72.22 导出测度derived measure定义为两个或两个以上基本测度（2.10）值的函数的测度（2.10）。ISO/IEC 15939:2007，定义

20、2.8，做了修改：删除注12.23 文档化信息documented information组织（2.57）需要控制和维护的信息及其载体。注1：文档化信息可以采用任何格式，在任何载体中，出自任何来源。注2：文档化信息可能涉及 管理体系（2.46），包括相关过程（2.61）； 为组织（2.57）运作所创建的信息（文档）； 结果实现的证据（记录）。2.24 有效性effectiveness实现所计划活动和达成所计划结果的程度。2.25 事态event一组特定情形的发生或改变。ISO Guide 73:2009，定义3.5.1.3，做了修改：删除注4注1：一个事态可能是一个或多个发生，并可能有多种原因

21、。注2：一个事态可能由一些未发生的事情组成。注3：一个事态可能有时被称为“事件”或“事故”。2.26 执行管理者executive management为达成组织（2.57）意图，承担由组织治理者（2.29）委派的战略和策略实现责任的人或一组人。注1：执行管理者有时称为最高管理者（2.84），可以包括首席执行官、首席财务官、首席信息官和类似的角色。2.27 外部语境external context组织（2.57）寻求实现其目标（2.56）的外部环境。ISO Guide 73:2009，定义3.3.1.1注1：外部语境可以包括如下方面： 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争

22、环境，无论是国际的、国家的、地区的或地方的； 影响组织（2.57）目标（2.56）的关键驱动力和趋势； 与外部利益相关方（2.82）的关系及其认知和价值观。2.28 信息安全治理governance of information security指导和控制组织（2.57）信息安全（2.33）活动的体系。2.29 治理者governing body对组织（2.57）的性能（2.59）和合规负有责任的人或一组人。注1：治理者在某些司法管辖区可以是董事会。2.30 指标indicator针对定义的信息需求（2.31），为分析模型（2.2）导出的属性（2.4）提供估算或评价的测度（2.47）。2.31

23、 信息需求information need对目标（2.56）、目的、风险和问题进行管理所必需的洞察。ISO/IEC 15939:2007，定义2.122.32 信息处理设施information processing facilities任何的信息处理系统、服务或基础设施，或者其安置的物理位置。2.33 信息安全information security对信息的保密性（2.12）、完整性（2.40）和可用性（2.9）的保持。注1：另外，也可包括诸如真实性（2.8）、可核查性、抗抵赖（2.54）和可靠性（2.62）等其他特性。2.34 信息安全持续性information security con

24、tinuity确保信息安全（2.33）持续作用的过程（2.61）和规程。2.35 信息安全事态information security event识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全（2.33）策略（2.60）或控制（2.16）失效，或者一种可能与信息安全相关但还不为人知的情况。2.36 信息安全事件information security incident单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全（2.33）的信息安全事态（2.35）。2.37 信息安全事件管理information security incident management发现、报

25、告、评估、响应、处理和总结信息安全事件（2.36）的过程（2.61）。2.38 信息共享社区information sharing community同意共享信息的组织群体（2.57）。注1：组织（2.57）可以是一个人。2.39 信息系统information system应用、服务、信息技术资产或其他信息处理组件。2.40 完整性integrity准确和完备的特性。2.41 受益相关方interested party对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到其影响的人或组织（2.57）。2.42 内部语境internal context组织（2.57）寻求实现其目标的

26、内部环境。ISO Guide 73:2009，定义3.3.1.2注1：内部语境可以包括如下方面： 治理、组织结构、角色和职责； 策略（2.60）、目标（2.56）和要实现它们的战略； 在资源和知识方面的能力（如资本、时间、人员、过程（2.61）、系统和技术）； 信息系统（2.39）、信息流和决策过程（2.61）（正式的和非正式的）； 与内部利益相关方（2.82）的关系及其认知和价值观； 组织（2.57）的文化； 组织（2.57）采用的标准、指南和模型； 契约关系的形式和程度。2.43 信息安全管理体系项目ISMS project组织（2.57）为实施ISMS所开展的结构化活动。2.44 风险程

27、度level of risk以后果（2.14）和其可能性（2.45）的组合来表示的风险（2.68）大小。ISO Guide 73:2009，定义3.6.1.8，做了修改：删除定义中的“或风险组合”2.45 可能性likelihood某事发生的概率。ISO Guide 73:2009，定义3.6.1.1，做了修改：删除注1和注22.46 管理体系management system组织中相互关联或相互作用的要素集，用来建立策略（2.60）和目标（2.56）以及达到这些目标的过程（2.61）。注1：一个管理体系可能专注于单一学科或多个学科。注2：体系要素包括组织结构、角色和责任、规划、运行。注3：一

28、个管理体系范围可能包括组织（2.57）的整体、组织（2.57）的特定且确定的功能、组织（2.57）的特定且确定的部门，或者跨一组组织（2.57）的一个或多个功能。2.47 测度measure作为测量（2.48）结果赋值的变量。ISO/IEC 15939:2007，定义2.15，做了修改注1：术语“测度”是基本测度（2.10）、导出测度（2.22）和指标（2.30）的统称。2.48 测量measurement确定一个值的过程（2.61）。注1：在信息安全（2.33）的语境下，确定一个值的过程（2.61）需要使用测量方法（2.50）、测量函数（2.49）、分析模型（2.2）和决策准则（2.21），

29、获得关于信息安全（2.33）管理体系（2.46）及其相关控制（2.16）有效性（2.24）的信息。2.49 测量函数measurement function组合两个或两个以上基本测度（2.10）的算法或计算。ISO/IEC 15939:2007，定义2.202.50 测量方法measurement method用于按规定的尺度（2.80）量化属性（2.4）的通用逻辑操作序列。ISO/IEC 15939:2007，定义2.22，做了修改：删除注2注1：测量方法的类型取决于属性（2.4）量化操作的性质。可区分为以下两种类型： 主观的：包含人为判断的量化； 客观的：基于数字规则的量化。2.51 测量

30、结果measurement results对信息需要（2.31）的一个或多个指标（2.30）及其相关解释。2.52 监视monitoring确定系统、过程（2.61）或活动状态的行为。注1：为确定状态可能需要检查、监督或严密观察。2.53 不符合nonconformity对要求（2.63）的不满足。2.54 抗抵赖non-repudiation证明所声称事态（2.25）或行为的发生及其源头的能力。2.55 对象object通过测量（2.48）其属性（2.4）来描述其特性的事项。2.56 目标objective要实现的结果。注1：目标可以是战略性的、战术性的或操作性的。注2：目标可以涉及不同学科

31、（诸如金融、健康与安全以及环境目标），可以适用于不同层次（诸如战略、组织、项目、产品和过程（2.61）。注3：目标可以以其他方式表示，例如，作为预期结果、意图、操作准则，作为信息安全（2.33）目标，或者使用具有类似含义的其他词（例如，目的或标靶）。注4：在信息安全（2.33）管理体系（2.46）的语境下，组织（2.57）制定与信息安全（2.33）策略（2.60）一致的信息安全（2.33）目标以实现特定结果。2.57 组织organization具有自身的功能、责任、权威和关系来实现其目标（2.56）的人或一组人。注1：组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、

32、慈善机构或院校，或部分或其组合，不论注册与否，公共的还是私营的。2.58 外包outsource做出由外部组织（2.57）执行部分的组织（2.57）功能或过程（2.61）的安排。注1：外部组织在管理体系（2.46）的范围之外，尽管外包的功能或过程（2.61）在范围之内。2.59 性能performance可测量的结果。注1：性能可以涉及定量或定性的调查结果。注2：性能可以涉及活动、过程（2.61）、产品（包括服务）、系统或组织（2.57）的管理。2.60 策略policy由最高管理者（2.84）正式表达的组织（2.57）的意图和方向。2.61 过程process将输入转换成输出的相互关联或相关

33、作用的活动集。2.62 可靠性reliability与预期行为和结果一致的特性。2.63 要求requirement明示的、默认的或强制性的需要或期望。注1：“默认的”意指所考虑的需要或期望是不言而喻的，对于组织（2.57）或受益相关方（2.41）是惯例或常见做法。注2：指定要求是在例如文档化信息（2.23）中明示的。2.64 残余风险residual risk风险处置（2.79）后余下的风险（2.68）。注1：残余风险可能包含未识别的风险（2.68）。注2：残余风险也可以被称为“保留风险”。2.65 评审review针对实现所设立目标（2.54）的主题，为确定其适宜性、充分性和有效性（2.2

34、4）而采取的活动。ISO Guide 73:2009，定义3.8.2.2，做了修改：删除注12.66 评审对象review object被评审的特定事项。2.67 评审目标review objective描述评审（2.65）结果要达到什么的陈述。2.68 风险risk对目标的不确定性影响。ISO Guide 73:2009，定义1.1，做了修改注1：影响是指与期望的偏离（正向的或反向的）。注2：不确定性是对事态（2.25）及其结果（2.14）或可能性（2.45）的相关信息、理解或知识缺乏的状态（即使是部分的）。注3：风险常被表征为潜在的事态（2.25）和后果（2.14），或者它们的组合。注4：

35、风险常被表示为事态（2.25）的后果（2.14）（包括情形的改变）和其发生可能性（2.45）的组合。注5：在信息安全（2.33）管理体系（2.46）的语境下，信息安全（2.33）风险可被表示为对信息安全（2.33）目标（2.56）的不确定性影响。注6：信息安全（2.33）风险与威胁（2.83）利用信息资产或信息资产组的脆弱性（2.89）对组织（2.57）造成危害的潜力相关。2.69 风险接受risk acceptance接纳特定风险（2.68）的有根据的决定。ISO Guide 73:2009，定义3.7.1.6注1：可不经风险处置（2.79）或在风险处置（2.79）过程（2.61）中做出风险

36、接受。注2：接受的风险（2.68）要受到监视（2.52）和评审（2.65）。2.70 风险分析risk analysis理解风险（2.68）本质和确定风险等级（2.44）的过程（2.61）。ISO Guide 73:2009，定义3.6.1注1：风险分析提供风险评价（2.74）和风险处置（2.79）决策的基础。注2：风险分析包括风险估算。2.71 风险评估risk assessment风险识别（2.75）、风险分析（2.70）和风险评价（2.74）的整个过程（2.61）。ISO Guide 73:2009，定义3.4.12.72 风险沟通与咨询risk communication and co

37、nsultation组织（2.57）就风险（2.68）管理所进行的，提供、共享或获取信息以及与利益相关方（2.82）对话的持续和迭代过程（2.61）。注1：这些信息可能涉及到风险（2.68）的存在、性质、形式、可能性（2.45）、重要性、评价、可接受性和处置。注2：咨询是对问题进行决策或确定方向之前，在组织（2.57）和其利益相关方（2.82）之间进行知情沟通的双向过程（2.51）。咨询是 通过影响力而不是权力来影响决策的过程（2.61）； 决策的输入，而非联合决策。2.73 风险准则risk criteria评价风险（2.68）重要性的参照条款。SOURCE: ISO Guide 73:20

38、09, 3.3.1.3ISO Guide 73:2009，定义3.3.1.3注1：风险准则是基于组织的目标以及外部语境（2.27）和内部语境（2.42）。注2：风险准则可来自标准、法律、策略（2.60）和其他要求（2.63）。2.74 风险评价risk evaluation将风险分析（2.70）的结果与风险准则（2.73）比较以确定风险（2.68）和（或）其大小是否可接受或可容忍的过程（2.61）。ISO Guide 73:2009，定义3.7.1注1：风险评价辅助风险处置（2.79）的决策。2.75 风险识别risk identification发现、识别和描述风险（2.61）的过程（2.6

39、1）。ISO Guide 73:2009，定义3.5.1注1：风险识别涉及风险源、事态（2.25）及其原因和潜在后果（2.14）的识别。注2：风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方（2.82）的需要。2.76 风险管理risk management指导和控制组织（2.57）相关风险（2.57）的协调活动。ISO Guide 73:2009，定义2.12.77 风险管理过程risk management process管理策略（2.60）、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险（2.68）活动上的系统性应用。ISO Guide 7

40、3:2009，定义3.1，做了修改：增加注1注1：ISO/IEC 27005GB/T 31722使用术语“过程”（2.61）来描述全面风险管理。在风险管理（2.76）过程（2.61）中的要素被称为“活动”。2.78 风险责任者risk owner具有责任和权威来管理风险（2.68）的人或实体。ISO Guide 73:2009，定义3.5.1.52.79 风险处置risk treatment改变风险（2.68）的过程（2.61）。ISO Guide 73:2009，定义3.8.1，做了修改：将注1中的“决策”替换为“选择”注1：风险处置可能涉及如下方面： 通过决定不启动或不继续进行产生风险（2

41、.68）的活动来规避风险（2.68）； 承担或增加风险（2.68）以追求机会； 消除风险（2.68）源； 改变可能性（2.45）； 改变后果（2.14）； 与另外一方或多方共担风险（2.68）（包括合同和风险融资）； 有根据地选择保留风险（2.68）。注2：处理负面后果（2.14）的风险处置有时被称为“风险缓解”、“风险消除”、“风险防范”和“风险降低”。注3：风险处置可能产生新的风险（2.68）或改变现有风险（2.68）。2.80 尺度scale连续的或离散的值的有序集合，或者对应属性（2.4）的类集合。ISO/IEC 15939:2007，定义2.35，做了修改注1：尺度的类型取决于尺度上

42、值之间关系的性质。通常定义如下四种尺度类型： 名义的：测量（2.48）值是类别化的； 顺序的：测量（2.48）值是序列化的； 间距的：测量（2.48）值对应于属性（2.4）的等同量是等距离的； 比率的：测量（2.48）值对应于属性（2.4）的等同量是等距离的，其中零值对应于属性的空。这些只是尺度类型的示例。2.81 安全实施标准security implementation standard规定授权的安全实现方式的文件。2.82 利益相关方stakeholder对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到其影响的人或组织（2.57）。ISO Guide 73:2009，定义

43、3.2.1.1，做了修改：删除注12.83 威胁threat可能对系统或组织（2.57）造成危害的不期望事件的潜在原由。2.84 最高管理者top management最高层指导和控制组织（2.57）的人或一组人。注1：最高管理者具有在组织（2.57）内授权和提供资源的权力。注2：如果管理体系（2.46）的范围只涵盖组织（2.57）的一部分，则最高管理者就是指指导和控制组织（2.57）这部分的人或一组人。2.85 可信信息通信实体trusted information communication entity支持在信息共享社区（2.38）内进行信息交换的自主组织（2.57）。2.86 测量单位

44、unit of measurement按惯例被定义和被采纳的特定量，用于其他同类量与其比较以表示它们相对于这个量的大小。ISO/IEC 15939:2007，定义2.40，做了修改2.87 确认validation通过提供客观证据，证实满足特定预期使用或应用要求（2.63）的行为。ISO 9000:2015，定义3.8.12，做了修改2.88 验证verification通过提供客观证据，证实满足规定要求（2.63）的行为。ISO 9000:2015，定义3.8.4注1：这也可被称为符合性测试。2.89 脆弱性vulnerability可能被一个或多个威胁（2.83）利用的资产或控制（2.16）的弱点。3 信息安全管理体系3.1 概要各种类型和规模的组织：a) 收集、处理、存储和传输信息；b) 认识到信息及其相关过程、系统、网络和人是实现组织目标的重要资产；c) 面临可能影响资产运作的一系列风险；d) 通过实施信息安全控制应对其感知的风险。组织持有和处理的所有信息在使用中易受到攻击、过失、自然灾害（例如，洪