ISO下面設(shè)有technical committee( TC)，subcommittees( SC)以及working groups( WG)。本標(biāo)準(zhǔn)是由JTCl (Information technology，信息技術(shù)委員會(huì)，建立于1987年)，SC27 (IT Security techniques, IT 安全技術(shù))，WGl (Information security management system，信息安全管理體系組)所開發(fā)。更詳細(xì)的信息可以參考http：//www. iso. org中的介紹。

這些術(shù)語與定義在GB/T 22080-2008／ISO/IEC 27001：2005及GB/T 22081-2008／ IS()/IEC27002：2005大部分都出現(xiàn)過。要特別注意下面幾個(gè)定義的理解：

(1)信息資產(chǎn)：knowledge or data that has value to the organization.對(duì)組織有用的知識(shí)或數(shù)據(jù)。這個(gè)理解類似于我們平時(shí)理解的“信息本身”。

(2)風(fēng)險(xiǎn)分析(risk analysis)、風(fēng)險(xiǎn)估算(risk estimation)與風(fēng)險(xiǎn)評(píng)價(jià)(risk evalua- tion)，這三個(gè)詞匯都引用自IS()/IEC Guide 73: 2002。

其中，在GB/T 22080/ISO/IEC 27001：2005的3.11與3.13中已經(jīng)給出風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)價(jià)的定義，但是沒有給出風(fēng)險(xiǎn)估算的定義。不同的是對(duì)于風(fēng)險(xiǎn)分析的定義，在IS()/IEC 27000：2009額外給出了一個(gè)注：NOTE Risk analysis provides a basis for risk e— valuation，risk treatment and risk acceptance.風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置和風(fēng)險(xiǎn)接受提供了基礎(chǔ)。

ISO/IEC 27000：2009中將風(fēng)險(xiǎn)估算定義為activity to assign values to the probability and consequences of a risk.為風(fēng)險(xiǎn)發(fā)生的可能性及后果賦值的過程。

在這個(gè)定義中將風(fēng)險(xiǎn)的可能性和后果的賦值過程單獨(dú)列出稱為風(fēng)險(xiǎn)估算，這個(gè)過程實(shí)際上是風(fēng)險(xiǎn)分析的一部分，可以參考ISO/IEC 27005：2008和文獻(xiàn)[7]中對(duì)風(fēng)險(xiǎn)分析過

程的描述。IS()/IEC 27005：2008中將風(fēng)險(xiǎn)分析的過程分為：風(fēng)險(xiǎn)識(shí)別(Risk identifica- tion)和風(fēng)險(xiǎn)估算。在本書就沿用了這種劃分。