TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento se aplican los
siguientes términos y definiciones:
2.1 Activo. Cualquier cosa que tenga valor para la
organización.
[NTC 5411-1:2006]
2.2 Control. Medios para gestionar el riesgo,
incluyendo políticas, procedimientos, directrices, prácticas o estructuras de
la organización que pueden ser de naturaleza administrativa, técnica, de
gestión o legal.
NOTA Control también se usa cono
sinónimo de salvaguarda o contra medida.
2.3 Directriz. Descripción que aclara lo que se
debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las
políticas.
[NTC 5411-1:2006]
2.4
Servicios de procesamiento de información. Cualquier servicio, infraestructura o sistema de
procesamiento de información o los sitios físicos que los albergan.
2.5 Seguridad de la información. Preservación de la confidencialidad,
integridad y
disponibilidad de la información, además, otras
propiedades tales como autenticidad,
responsabilidad, no-repudio y confiabilidad pueden estar
involucradas.
2.6 Evento de seguridad de la
información. Un
evento de seguridad de la información es la presencia identificada de un estado
del sistema, del servicio o de la red que indica un posible incumplimiento de
la política de seguridad de la información, una falla de controles, o una situación
previamente desconocida que puede ser pertinente para la seguridad.
[ISO/IEC TR 18044:2000]
2.7 Incidente de seguridad de la
información. Un
incidente de seguridad de la información está indicado por un solo evento o una
serie de eventos inesperados o no deseados de seguridad de la información que
tienen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la información.
[ISO/IEC TR 18044:2000]
2.8 Política. Toda intención y directriz expresada
formalmente por la Dirección.
2.9 Riesgo. Combinación de la probabilidad de un
evento y sus consecuencias.
[ISO/IEC Guía 73:2002]
2.10 Análisis de riesgos. Uso sistemático de la información para
identificar las fuentes y
estimar el riesgo. [ISO/IEC Guía 73:2002]
2.11 Evaluación de riesgos. Todo proceso de análisis y valoración
del riesgo.
[ISO/IEC Guía 73:2002]
2.12 Valoración del riesgo. Proceso de comparación del riesgo
estimado frente a criterios de riesgo establecidos para determinar la
importancia del riesgo.
[ISO/IEC Guía 73:2002]
2.13 Gestión del riesgo. Actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo.
[ISO/IEC Guía 73:2002]
2.14 Tratamiento del riesgo. Proceso de selección e implantación de medidas a para
modificar el riesgo.
[ISO/IEC Guía 73:2002]
2.15 Tercera parte. Persona u organismo reconocido por ser
independiente de las partes
involucradas, con relación al asunto en cuestión.
[ISO/IEC Guía 2:1996]
2.16 Amenaza. Causa potencial de un incidente no
deseado, que puede ocasionar daño a un sistema u organización.
[NTC 5411-1:2006]
2.17 Vulnerabilidad. Debilidad de un activo o grupo de
activos que puede ser aprovechada por una o más amenazas.
[NTC 5411-1:2006]
No hay comentarios:
Publicar un comentario