Scope范围Normative references 规范性引用文件
1 Scope范围
在范围中,指出本标准提供了ISMS与控制措施的有效性测量。 本标准可以应用于各种类型的组织。
2 Normative references 规范性引用文件
ISO/IEC 27000: 2009; IS()/IEC 27001: 2005 3 Terms and definitions 术语和定义
本标准的术语和定义大量引用了ISO/IEC 15939: 2007,国内虽然没有这个最新版本的对应,但是有GB/T 20917-2007/ISO/IEC 15939: 2002,software engineering- Software measurement process软件工程 软件测量过程。
在正文的讨论中,已经提出实际上在整个ISMS的部署过程中,测量和风险管理实际两个重要过程是自成体系的。这就导致有很多特殊的词汇,这些词汇本身不是管理体系这个领域的。例如:
base measure: measure defined in terms of an attribute and the method for quantifying it.基本测度:用某个属性及其量化方法定义的测度。
indicator: measure that provides an estimate or evaluation of specified attributes de- rived from an analytical model with respect to defined information needs.指标:对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。注意,这个词汇在IS()/IEC 27001: 2005的正文中出现过,不过被翻译成“指示器”了。
measure: variable to which a value is assigned as the result of measurement.测度: 通过执行一次测量赋予实体属性的数或类别。
measurement: process of obtaining information about the effectiveness of ISMS and controls using a measurement method,a measurement function, an analytical model, and decision criteria.测量:使用一种度量,把标度值(可以说数或类别)赋予实体的某个属性。