GBT31497-2015 ISO IEC 27004:2009 信息安全管理 测量(OCR)_纯图版.pdf_文件预览下载文件 范围
为了评估按照GB/T 22080—2008规定实施的信息安全管理体系(Information Security Manage
ment System,简称 ISMS)和控制措施或控制措施组的有效性,本标准提供了如何编制测度和测量以及
如何使用的指南。
本标准适用于各种类型和规模的组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080—2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001∶2005,
IDT)
GB/T 29246—2012 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000;
2009,IDT)
3 术语和定义
GB/T 29246—2012中界定的以及下列术语和定义适用于本文件。
3.1
分析模型 analytical mode】
将一个或多个基本和/或导出测度关联到决策准则的算法或计算。
[GB/'T 20917—2007]
3.2
属性 attribute
可由人或自动化工具定量或定性辨别的对象特征或特性。
[GB/'T 20917—2007]
3.3
基本测度 base measSure
用某个属性及其量化方法定义的测度。
fGB/T 20917—2007]
注∶一个基本测度在功能上独立于其他测度。
3.4
数据 data
赋予基本测度、导出测度和(或)指标的值的集合。
[GB/T 20917—2007]
1GB/'T 31497—2015/ISO/IEC 27004:2009
3.5
决策准则 decision criteria
用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标性能或模式
[GB/T 209172007]
3.6
导出测度 derived measure
定义为两个或两个以上基本测度的函数的测度。
GB/T 20917—2007]
3.7
指标 indicator
为由规定信息需要的相关分析模型导出的指定属性提供估算或评价的测度。
3.8
信息需要 information need
针对目标、目的、风险和问题的管理,所表达的必要见解。
[GB/T 20917—2007]
3.9
测度 measure
通过执行一次测量赋予对象属性的数或类别。
[GB/T 209172007]
注∶术语"测度"是基本测度、导出测度和指标的统称。
示例∶测量出的缺陷率与规划的缺陷率之间的比较,其差异就与指示一个问题的评估紧密联系在一起。
3.10
测量measurement
使用测量方法、测量函数、分析模型和决策准则来获取有关 ISMS 和控制措施有效性信息的过程
3.11
测量函数 measurement function
为组合两个或两个以上基本测度而执行的算法或计算。
GB/T 209172007-
3.12
测量方法 measurement method
一般描述为,用于以指定的标度量化属性的逻辑操作序列。
[GB/T 209172007]
注∶测量方法类型取决于用来量化属性的操作本质。可分为两种类型∶
主观类一涉及人为判断的量化;
客观类一基于数字规则的量化。
3.13
测量结果 measurement results
处理某信息需要的一个或多个指标及其相应的解释。
3.14
对象 object
通过对其属性的测量所表征出来的项。
3.15
标度 SCale
值的一个有序集合,连续的或离散的;或由属性所映射的一个范畴集合。
2
文件大小:167.13 MB上传时间:2022-11-14 17:59:36