ISO下面设有technical committee( TC),subcommittees( SC)以及working groups( WG)。本标准是由JTCl (Information technology,信息技术委员会,建立于1987年),SC27 (IT Security techniques, IT 安全技术),WGl (Information security management system,信息安全管理体系组)所开发。更详细的信息可以参考http://www. iso. org中的介绍。
这些术语与定义在GB/T 22080-2008/ISO/IEC 27001:2005及GB/T 22081-2008/ IS()/IEC27002:2005大部分都出现过。要特别注意下面几个定义的理解:
(1)信息资产:knowledge or data that has value to the organization.对组织有用的知识或数据。这个理解类似于我们平时理解的“信息本身”。
(2)风险分析(risk analysis)、风险估算(risk estimation)与风险评价(risk evalua- tion),这三个词汇都引用自IS()/IEC Guide 73: 2002。
其中,在GB/T 22080/ISO/IEC 27001:2005的3.11与3.13中已经给出风险分析与风险评价的定义,但是没有给出风险估算的定义。不同的是对于风险分析的定义,在IS()/IEC 27000:2009额外给出了一个注:NOTE Risk analysis provides a basis for risk e— valuation,risk treatment and risk acceptance.风险分析为风险评价、风险处置和风险接受提供了基础。
ISO/IEC 27000:2009中将风险估算定义为activity to assign values to the probability and consequences of a risk.为风险发生的可能性及后果赋值的过程。
在这个定义中将风险的可能性和后果的赋值过程单独列出称为风险估算,这个过程实际上是风险分析的一部分,可以参考ISO/IEC 27005:2008和文献[7]中对风险分析过
程的描述。IS()/IEC 27005:2008中将风险分析的过程分为:风险识别(Risk identifica- tion)和风险估算。在本书就沿用了这种划分。