信息安全管理体系术语定义
内部用语
科技发展部秘密
科技发展部职责范围内生产运行所处理的以及为生产运行提供支持的，不为公众所知悉，并采取保密措施进行保护，泄露会使哈尔滨银行生产运行遭受损害的信息。
第三方
为科技发展部提供产品和服务的哈尔滨银行以外的单位。
第三方人员
第三方的员工或得到第三方授权为科技发展部提供服务的人员。
第三方驻场人员
在科技发展部内连续工作超过2天的第三方人员。
行内协作方
同科技发展部有工作往来的哈尔滨银行内部单位。
生产系统
提供业务服务的信息系统。
内部管理系统
科技发展部内部用于生产运维的信息系统，如服务台、运行保障平台等。
办公系统
包括办公自动化、邮件系统、文档服务器等办公专用的信息系统。
特权用户
具有系统最高权限的用户，如root，administrator，sysadmin等。
普通用户（简称用户）
信息系统中不具有超级用户权限和用户创建权限的一般用户。
用户管理员
对信息系统进行用户管理的人员。
合同
由哈尔滨银行或科技发展部与其他公民、法人、组织签订并具备民事法律关系的协议。
信息安全术语
资产
任何对组织有价值的东西。[GB/T 22080—2008/ISO/IEC 27001：2013，IDT《信息技术 安全技术 信息安全管理体系要求》（以下简称：GB/T 22080-2008）]
信息资产
信息及作为信息载体的各类资产。
保密性
信息资产不能被未授权的个人、实体或过程利用或知悉的特性。[GB/T 22080-2008]
完整性
信息资产不能被非授权更改或破坏的特性。[GB/T 22080-2008]
可用性
信息资产根据授权实体的要求可访问和利用的特性。[GB/T 22080-2008]
信息资产CIA属性
信息资产的保密性（C）、完整性（I）和可用性（A）的统称。
信息资产价值
由信息资产CIA属性的取值综合计算得到值，表达了信息资产的重要程度或敏感程度的高低，是信息资产的属性。
信息安全管理体系
基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是科技发展部整个管理体系的一部分。[GB/T 22080-2008]
威胁
可能导致对系统或组织危害的不希望事故潜在起因。[GB/T 20984-2007，《信息安全风险评估规范》（以下简称：GB/T 20984-2007）]
弱点
可能被威胁所利用的资产或若干资产的薄弱环节。[GB/T 20984-2007]
风险
事态的概率及其结果的组合。[GB/T 22081—2008/ISO/IEC 27002：2013，《IDT信息技术 安全技术 信息安全管理实用规则》（以下简称：GB/T 22081-2008）]
残余风险
采取安全控制措施后，信息资产仍然存在的风险。[GB/T 22080-2008]
（信息安全）风险评估
依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的CIA属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。[GB/T 20984-2007]
安全控制措施
保护资产、抵御威胁、减少弱点、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。[GB/T 20984-2007]
风险处理
选择并执行安全控制措施来更改风险的过程。[GB/T 22080-2008]
适用性声明
描述与信息安全管理体系相关的适用和控制目标和控制措施的文件[GB/T 22080-2008]
注：控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。
预防措施
为防止潜在的不符合、缺陷或其它不希望情况的发生，消除其原因所采取的措施。
纠正措施