1、GB/T20984-20223.1.5安全需求security requirement为保证组织业务规划的正常运作而在安全措施方面提出的要求。3.1.6安全措施security control保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。3.1.7信息系统生命周期information system lifecycle信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。来源:GB/T31509-2015,3.1.23.1.8自评估self-assessment由评估对象所有者自身发起,组成机构内部的评估小组,依据
2、国家有关法规与标准,对评估对象安全管理进行评估的活动。来源:GB/T28453-2012,3.2,有修改3.1.9检查评估inspection assessment由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动。来源:GB/T28453-2012,3.3,有修改3.2缩略语下列缩略语适用于本文件。App:应用程序(Application)IT:信息技术(Information Technology)PaaS:平台即服务(Platform as a Service)UPS:不间断电源(Uninterrupted Power Supply)VPN:虚拟专用络(Virtual Private Network)4风险评估框架及流程4.1风险要素关系风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,并基于以上要素开展风险评估。2
