e） 脆弱性

可能被威胁利用对资产造成损害的薄弱环节。

f） 影响

信息安全事件造成的后果。

g） 风险

风险是指人为或自然的威胁利用系统存在的脆弱性，导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。

h） 信息安全风险评估

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

i） 风险管理

组织中识别风险、分析风险和控制风险的活动。

j） 安全措施

保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。

附录B 大型复杂电子政务系统等级保护实施过程示例

B.1 大型复杂电子政务系统描述

大型复杂电子政务系统主要是指涉及多个行政级别、多种网络以及各类繁杂的信息系统等特征的系统，一般具有以下特点：

a） 覆盖多级行政级别，涉及的部门多、范围和地域广；

b） 信息系统种类繁多、应用众多、服务类型多并且结构复杂；

c） 网络建设涉及涉密政务内网、涉密和非涉密政务专网、政务外网以及互联网。大型复杂电子政务系统信息安全建设保障工作目前存在的主要困难包括：

1） 信息安全涵盖内容极为广泛，从物理安全，网络安全，系统安全一直到应用安全，数据安全，安全管理，安全组织等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；

2） 安全保障是个系统化的工程，各个要素之间存在紧密联系，互相依赖，牵一发而动全身；

3） 安全保障是个长期性的工作，伴随信息系统的整个生命周期，是一个不断实施、检查和改进的过程；

4） 不同行业、不同信息化发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性；

5） 安全保障除了耗费人力财力，还会损失易用性，降低效率，所以应该考虑信息安全要求与资金人力投入的平衡,控制安全的成本。