山東CCRC信息安全服務規范術語與定義

CCRC---信息安全服務規范術語與定義

3.1. 信息安全服務 由供應商、組織機構或人員執行的一個安全過程或任務。 (ISO/IEC TR 15443-1:2005《信息技術 安全技術 信息技術安全保障框架 **部分：總攬和 框架》)

3.2. 信息安全風險評估 對特定威脅利用單個或一組資產脆弱性的可能性以及由此可能給組織帶來的損害進行識別、分析和評價的過程。

3.3. 信息安全應急處理 為應對信息系統運行過程中突發/重大信息安全事件的發生所做的準備,在事件發生時,按照既 定的程序對事件進行處理,以及在事件發生后所采取措施的過程。

3.4. 信息系統安全集成 按照信息系統建設的安全需求,采用信息系統安全工程的方法和理論,將安全單元、產品部件 進行集成的行為或活動。

3.5. 信息系統災難備份與恢復 將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力 進行備份,并在災難發生時,將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態、將 其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態的過程。 注：信息系統災難備份與恢復分為資源服務類(A 類)、技術服務類(B 類)兩個類別。 資源服務類(A 類),指災難備份資源服務提供方需具備災備中心場地資源、基礎設施、運維 管理等能力。 技術服務類(B 類),指災難備份技術服務提供方實施災備技術服務時具備災備方案設計、系 統建設與管理、預案制定與演練等能力。

3.6. 軟件安全開發 為解決軟件產品的漏洞問題,而將安全活動集成到系統開發和軟件質量保證活動中,在軟件開 發的每個關鍵點嵌入安全要素,通過安全需求分析、安全設計、安全編碼、安全測試等專業手段, 解決各階段可能出現的安全問題,有效減少軟件產品潛在的漏洞數量提高軟件產品安全質量的活動。 3.7. 信息系統安全運維 從面向業務的運維服務出發,依據安全需求對信息系統進行安全運維準備、安全運維實施,并 對實施安全運維服務的有效性進行評審,從而進行持續性改進,全過程、全生命周期地為信息系統 運行提供安全保障的過程。

3.8. 網絡安全審計 網絡安全審計是指網絡安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經 濟性進行檢查、監督,通過獲取審計證據并對其進行客觀評價所開展的系統的、*立的、形成文件 的活動。

3.9. 工業控制系統安全 工業控制系統安全服務圍繞提升工業控制系統的高可用性和業務連續性,提升功能安全、物理 安全和信息安全的保障能力為目標,涉及工業控制系統設計、建設、運維和技改各個階段,主要包 括系統集成、系統運維、應急處理、風險評估等工業控制系統安全服務,形成系統的、*立的、形 成文件的過程。