《信息技术-服务管理实施策划示例》中规定的术语和定义适用于本《信息安全/ 信息技术服务管理手册》。

3.2 缩写

本组织、本公司、我公司：指上海辉电电力设备工程有限公司。

ISMS：Information Security Management Systems 信息安全管理体系；

ITSMS:InformationTechnology Service Management System 信息技术服务管理体系

SOA:：Statement of Applicability 适用性声明；

PDCA:：Plan Do Check Action 计划、实施、检查、改进。

3.3 信息系统

信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和

规章制度组成的以处理信息流为目的的人机一体化系统，是一个由人、计算机及其他外 围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。

3.4 计算机病毒

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3.5 信息安全事件

指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统 从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

3.6 信息安全

保护信息的机密性，完整性和可用性。

3.7 相关方

关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为： 政府、上级部门、供方、用户等。

3.8 资产

对组织有潜在或实际价值的物品、事物或实体。

3.9 配置项

为交付一项或多项服务需要控制的元素。

3.10 服务

通过帮助客户达成其期望的结果而向客户交付价值的手段。

3.11 服务等级指标

组织承诺的服务具体的可测量的特性。

3.1.12 风险

不确定性的影响。

注 1：影响是指偏离预期-积极或消极的。

注 2：不确定性是指对事件，其后果或可能性的信息缺失或只了解部分信息的状态。

注 3：通常用潜在事件（如 ISO 指南 73:2009,3.5.1.3 定义）和后果（如 ISO 指南 73:2009,3.6.1.3 定义），或者两者的组合来表现风险的特性。

4 组织环境

4.1理解组织及其环境

本公司应确定与 ISMS/ITSMS 相关的目的和影响其达到预期效果的能力的内外部问题。依据GB/T 22080-2017/ISO/IEC 27001:2013