ISO 27001 是資訊安全管理系統（ISMS）的國際標準，其中包含許多重要術語，協助組織有效管理和保護資訊安全。以下是一些關鍵的 ISO 27001 術語及其通俗解釋：

資訊資產（Information Assets）
簡單來說，就是有價值的資訊和相關支援系統，例如文件、資料庫、軟體、硬體設備等，這些都是組織需要保護的重要資產。

風險評估（Risk Assessment）
就是找出哪些資訊資產可能會遇到安全威脅，然後評估這些威脅可能對組織造成多大的影響。這有點像是為資訊安全做一次健康檢查。

風險處理（Risk Treatment）
這是組織在評估風險後所採取的行動，目的在降低風險的影響或發生的機會。這些行動包括避免風險、轉移風險、減輕風險，或在某些情況下接受風險。

資訊安全政策（Information Security Policy）
這是一份由組織高層制定並批准的文件，主要說明組織在資訊安全方面的目標、責任和要求。可以理解為組織在資訊安全方面的「規則手冊」，告訴大家什麼該做、什麼不該做。