1 Scope范圍

在范圍中，指出本標準提供了ISMS與控制措施的有效性測量。 本標準可以應用于各種類型的組織。

2 Normative references 規(guī)范性引用文件

ISO/IEC 27000: 2009; IS()/IEC 27001: 2005 3 Terms and definitions 術(shù)語和定義

本標準的術(shù)語和定義大量引用了ISO/IEC 15939: 2007，國內(nèi)雖然沒有這個最新版本的對應，但是有GB/T 20917-2007／ISO/IEC 15939: 2002，software engineering- Software measurement process軟件工程 軟件測量過程。

在正文的討論中，已經(jīng)提出實際上在整個ISMS的部署過程中，測量和風險管理實際兩個重要過程是自成體系的。這就導致有很多特殊的詞匯，這些詞匯本身不是管理體系這個領(lǐng)域的。例如：

base measure: measure defined in terms of an attribute and the method for quantifying it.基本測度：用某個屬性及其量化方法定義的測度。

indicator: measure that provides an estimate or evaluation of specified attributes de- rived from an analytical model with respect to defined information needs.指標：對由規(guī)定信息需要的相關(guān)模型導出的指定屬性提供估算或評價的測度。注意，這個詞匯在IS()/IEC 27001: 2005的正文中出現(xiàn)過，不過被翻譯成“指示器”了。

measure: variable to which a value is assigned as the result of measurement.測度： 通過執(zhí)行一次測量賦予實體屬性的數(shù)或類別。

measurement: process of obtaining information about the effectiveness of ISMS and controls using a measurement method,a measurement function, an analytical model, and decision criteria.測量：使用一種度量，把標度值（可以說數(shù)或類別）賦予實體的某個屬性。