ISO下面設有technical committee( TC)，subcommittees( SC)以及working groups( WG)。本標準是由JTCl (Information technology，信息技術委員會，建立于1987年)，SC27 (IT Security techniques, IT 安全技術)，WGl (Information security management system，信息安全管理體系組)所開發。更詳細的信息可以參考http：//www. iso. org中的介紹。

這些術語與定義在GB/T 22080-2008／ISO/IEC 27001：2005及GB/T 22081-2008／ IS()/IEC27002：2005大部分都出現過。要特別注意下面幾個定義的理解：

(1)信息資產：knowledge or data that has value to the organization.對組織有用的知識或數據。這個理解類似于我們平時理解的“信息本身”。

(2)風險分析(risk analysis)、風險估算(risk estimation)與風險評價(risk evalua- tion)，這三個詞匯都引用自IS()/IEC Guide 73: 2002。

其中，在GB/T 22080/ISO/IEC 27001：2005的3.11與3.13中已經給出風險分析與風險評價的定義，但是沒有給出風險估算的定義。不同的是對于風險分析的定義，在IS()/IEC 27000：2009額外給出了一個注：NOTE Risk analysis provides a basis for risk e— valuation，risk treatment and risk acceptance.風險分析為風險評價、風險處置和風險接受提供了基礎。

ISO/IEC 27000：2009中將風險估算定義為activity to assign values to the probability and consequences of a risk.為風險發生的可能性及后果賦值的過程。

在這個定義中將風險的可能性和后果的賦值過程單獨列出稱為風險估算，這個過程實際上是風險分析的一部分，可以參考ISO/IEC 27005：2008和文獻[7]中對風險分析過

程的描述。IS()/IEC 27005：2008中將風險分析的過程分為：風險識別(Risk identifica- tion)和風險估算。在本書就沿用了這種劃分。