2.1
control de acceso
los medios para garantizar que el acceso a los activos está autorizado y restringidas en base a los requerimientos del negocio y de seguridad
2.2
modelo analítico
algoritmo o cálculo que combina una o más medidas de base (2,10) y / o medidas derivadas (2.22) con criterios de decisión asociados
2.3
ataque
intentar destruir, exponer, alterar, inutilizar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo
2.4
atributo
propiedad o característica de un objeto (2.55) que puede distinguirse cuantitativamente o cualitativamente por medios humanos o automatizados [FUENTE: ISO / IEC 15939: 2007, modificada - "entidad" ha sido sustituido por "objeto" en la definición.]
2.5
auditoría
proceso sistemático, independiente y documentado (2.61) para obtener evidencia de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o de una auditoría externa (segundo parte o tercero), y puede ser una auditoría combinada (la combinación de dos o más disciplinas). Nota 2 a la entrada: "Auditar pruebas" y "criterios de auditoría" se definen en la norma ISO 19011.
2.6
alcance de auditoría
extensión y límites de una auditoría (2.5)
2.7
autenticación
prestación de la garantía de que una característica reclamada de una entidad es correcta
2.8
autenticidad
propiedad de que una entidad es lo que es dice ser
2.9
disponibilidad
propiedad de ser accesibles y utilizables a la demanda por una entidad autorizada
2.10
medida de base
medida (2.47) se define en términos de un atributo (2,4) y el método para la cuantificación de ella [FUENTE: ISO / IEC 15939: 2007] Nota 1 a la entrada: Una medida base es funcionalmente independiente de otras medidas.
2.11
competencia
capacidad de aplicar los conocimientos y habilidades para lograr resultados previstos
2.12
confidencialidad
propiedad de que la información no esté disponible o revelada a personas no autorizadas, entidades o procesos (2,61)
2.13
conformidad
cumplimiento de un requisito (2.63) Nota 1 a la entrada: El término "cumplimiento" es sinónimo aunque no se use.
2.14
consecuencia
resultado de un evento (2,25) que afectan a los objetivos (2,56) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: Un evento puede conducir a una serie de consecuencias. Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta, y en el contexto de seguridad de la información suele ser negativo. Nota 3 a la entrada: consecuencias pueden expresarse cualitativa o cuantitativamente. Nota 4 de la entrada: consecuencias iniciales pueden escalar a través de efectos en cadena.
2.15
mejora continua
actividad recurrente para mejorar el rendimiento (2.59)
2.16
control
Nota 1 a la entrada: Los controles incluyen cualquier proceso, la política, el dispositivo, la práctica u otras acciones que modifican el riesgo. Nota 2 a la entrada: Los controles no siempre pueden ejercer el efecto de modificar la intención o asumido.
2.17
objetivo de control
declaración que describe lo que se quiere lograr como resultado de los controles de aplicación (2.16)
2.18
corrección
acción para eliminar una no conformidad detectada (2.53)
2.19
acción correctiva
acción para eliminar la causa de una no conformidad (2.53) y para prevenir la recurrencia
2.20
datos
medidas de recaudación de los valores asignados a las medidas de base (2,10), derivados (2,22) y / o indicadores (2,30) [FUENTE: ISO / IEC 15939: 2007] Nota 1 a la entrada: Esta definición se aplica sólo en el contexto de la norma ISO / IEC 27004 : 2009.
2.21
criterios de decisión
umbrales, objetivos o patrones utilizados para determinar la necesidad de una acción o de una mayor investigación, o para describir el nivel de confianza en un resultado dado [FUENTE: ISO / IEC 15939: 2007]
2.22
medida derivada
medida (2,47) que se define como una función de dos o más valores de las medidas de base (2.10) [FUENTE: ISO / IEC 15939: 2007]
2.23
información documentada
requiere información para ser controlado y mantenido por una organización (2.57) y el medio en el que está contenido Nota 1 a la entrada: documentada información puede estar en cualquier formato y los medios de comunicación y de cualquier fuente. Nota 2 a la entrada: Documentado información puede referirse a - El sistema de gestión (2,46), incluyendo los procesos relacionados (2,61); - Información creada para que la organización para operar (documentación); - La evidencia de los resultados obtenidos (registros).
2.24
eficacia
grado en que las actividades planificadas se realizan y alcanzan los resultados planificados
2.25
evento
aparición o cambio de un conjunto particular de circunstancias [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: Un evento puede ser una o más ocurrencias, y pueden tener varias causas. Nota 2 a la entrada: Un evento puede consistir en algo que no sucede. Nota 3 a la entrada: Un evento a veces puede ser referido como un "incidente" o "accidente".
2.26
dirección ejecutiva
persona o grupo de personas que han delegado la responsabilidad del consejo de administración (2,29) para la implementación de estrategias y políticas para lograr el propósito de la organización (2.57) Nota 1 a la entrada: gestión Ejecutivo a veces se llama la alta dirección y pueden incluir Consejeros Delegados , directores financieros, directores de información, y papeles similares
2.27
contexto externo
entorno externo en el que la organización busca alcanzar sus objetivos [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: contexto externo puede incluir: - El entorno cultural, social, político, jurídico, normativo, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local; - Factores clave y tendencias que tienen impacto en los objetivos (2,56) de la organización (2.57); y - Relaciones con los y las percepciones y valores de los grupos de interés externos, (2.82).
2.28
gobernanza de la seguridad de información
sistema por el cual (2.57) las actividades de seguridad de información de una organización son dirigidas y controladas
2.29
órgano de gobierno
persona o grupo de personas que son responsables de la ejecución (2.59) y la conformidad de la organización (2.57) Nota 1 a la entrada: Junta de Gobierno puede en algunas jurisdicciones ser un consejo de administración.
2.30
indicador
medida (2,47) que proporciona una estimación o evaluación de atributos especificados (2.4) derivados de un modelo analítico (2.2) con respecto a la información definida necesita (2.31)
2.31
necesidad de información
conocimiento necesario para gestionar los objetivos, las metas, los riesgos y problemas [FUENTE: ISO / IEC 15939: 2007]
2.32
instalaciones de procesamiento de información
cualquier sistema de procesamiento de la información, servicios o infraestructuras, o la carcasa ubicación física que
2.33
seguridad de información
preservación de la confidencialidad (2,12), integridad (2.40) y disponibilidad (2.9) de la información Nota 1 a la entrada: Además, otras propiedades, como la autenticidad (2.8), la rendición de cuentas, no repudio (2,54) y fiabilidad (2,62) También puede ser involucrado.
2.34
información de la continuidad de seguridad
procesos (2.61) y procedimientos para garantizar la seguridad continua de la información (2,33) operaciones
2.35
evento de seguridad de la información
ocurrencia identificada de un sistema, servicio o estado de la red que indica una posible violación de la política de seguridad de la información o el fracaso de los controles, o una situación previamente desconocido que puede ser relevante la seguridad
2.36
incidente de seguridad de información
único o una serie de eventos de seguridad informática no deseados o inesperados (2.35) que tienen una probabilidad significativa de comprometer las operaciones de negocio y amenazando la seguridad de la información (2,33)
2.37
información de gestión de incidentes de seguridad
procesos (2.61) para detectar, informar, evaluar, responder a, trato con, y aprender de los incidentes de seguridad de la información (2,36)
2.38
información de la comunidad compartir
grupo de organizaciones que están de acuerdo para compartir información Nota 1 a la entrada: Una organización puede ser un individuo.
2.39
sistema de información
aplicaciones, servicios, activos de tecnología de información, u otros componentes de manejo de la información
2.40
integridad
propiedad de exactitud e integridad
2.41
parte interesada
persona u organización (2.57) que puede afectar, verse afectadas por, o percibirse a sí mismos podrían verse afectados por una decisión o actividad
2.42
contexto interno
ambiente interno, en el que la organización busca alcanzar sus objetivos [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: contexto interno puede incluir: - De gobierno, estructura organizativa, las funciones y responsabilidades; - Las políticas, los objetivos y las estrategias que existen para alcanzarlos; - Las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas, procesos, sistemas y tecnologías); - Sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como informales); - Relaciones con los y las percepciones y valores de los grupos de interés, internos; - La cultura de la organización; - Normas, directrices y modelos adoptados por la organización; y - Forma y el alcance de las relaciones contractuales.
2.43
Proyecto SGSI
actividades estructuradas realizadas por una organización (2.57) para implementar un SGSI
2.44
nivel de riesgo
magnitud de un riesgo (2,68) expresada en términos de la combinación de consecuencias (2,14) y su probabilidad (2.45) [FUENTE: Guía ISO 73: 2009, modificada - "o combinación de riesgos", ha sido eliminado.]
2.45
probabilidad
probabilidad de que algo suceda [FUENTE: Guía ISO 73: 2009]
2.46
Sistema de gestión
conjunto de elementos interrelacionados o que interactúan de una organización (2.57) para establecer políticas de (2.60) y objetivos (2,56) y procesos (2.61), para lograr esos objetivos
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas. Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, funciones y responsabilidades, la planificación, la operación de la organización, etc. Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones a través de un grupo de organizaciones.
2.47
medir
variable a la que se asigna un valor como el resultado de la medición (2.48) [FUENTE: ISO / IEC 15939: 2007] Nota 1 a la entrada: El término "medidas" se utiliza para referirse colectivamente a las medidas de base, las medidas derivadas, e indicadores.
2.48
medición
proceso (2.61) para determinar un valor de la Nota 1 de la entrada: En el contexto de seguridad de la información (2,33) el proceso de determinación de un valor requiere información sobre la efectividad (2.24) de un sistema de gestión de seguridad de la información (2,46) y sus controles asociados ( 2,16) utilizando un método de medición (2.50), una función de medición (2.49), un modelo analítico (2.2), y criterios de decisión (2,21).
2.49
función de medición
algoritmo o cálculo realizado para combinar dos o más medidas de base (2.10) [FUENTE: ISO / IEC 15939: 2007]
2.50
método de medición
secuencia lógica de operaciones, que se describe de forma genérica, que se utiliza en la cuantificación de un atributo (2.4) con respecto a una escala especificada (2.80) [FUENTE: ISO / IEC 15939: 2007] Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utiliza para cuantificar una atribuir. Dos tipos se pueden distinguir: - Subjetiva: la cuantificación implica juicio humano; - Objetivo: cuantificación basado en reglas numéricas.
2.51
resultados de medición
uno o más indicadores (2.30) y sus interpretaciones asociadas que abordan una necesidad de información (2,31)
2.52
monitoreo
determinar el estado de un sistema, un proceso (2.61) o una actividad Nota 1 a la entrada: Para determinar el estado puede haber una necesidad de revisar, supervisar o críticamente observar.
2.53
disconformidad
incumplimiento de un requisito (2.63)
2.54
no repudio
capacidad de probar la ocurrencia de un evento o acción reivindicada y sus entidades originarias
2.55
objeto
elemento caracteriza a través de la medición (2.48) de sus atributos (2,4)
2.56
objetivo
resultado que deba conseguirse la Nota 1 de la entrada: Un objetivo puede ser estratégico, táctico u operativo. Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (tales como financieros, de salud y seguridad, y las metas ambientales) y pueden aplicarse a diferentes niveles (como estratégica, en toda la organización, proyecto, producto y proceso (2.61) Nota 3. a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado deseado, un propósito, un criterio operativo, como un objetivo seguridad de la información, o por el uso de otras palabras con significado similar (por ejemplo, el objetivo, meta, o de destino). Nota 4 de la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los objetivos de seguridad de la información son establecidos por la organización, en consonancia con la política de seguridad de la información, para lograr resultados específicos.
2.57
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (2,56) Nota 1 a la entrada: El concepto de organización incluye pero no se limita a la única comerciante, empresa, corporación, firma, empresa, autoridad, asociación, la caridad o institución, o parte o combinación de los mismos, ya sea incorporada o no, públicos o privados.
2.58
externalizar
hacer un arreglo donde una organización externa (2,57) realiza parte de la función o proceso de una organización (2.61) Nota 1 a la entrada: Una organización externa está fuera del alcance del sistema de gestión (2,46), aunque la función subcontratada o proceso está dentro de la ámbito de aplicación.
2.59
actuación
resultado medible Nota 1 a la entrada: El rendimiento puede relacionarse ya sea para cuantitativos o cualitativos conclusiones. Nota 2 a la entrada: El rendimiento puede relacionarse con la gestión de las actividades, los procesos (2,61), productos (incluidos servicios), sistemas u organizaciones (2,57).
2.60
política
intenciones y dirección de una organización (2.57) como se expresan formalmente por la alta dirección (2,84)
2.61
proceso
conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados
2.62
confiabilidad
característica de comportamiento previsto consistente y resultados
2.63
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria Nota 1 a la entrada: "Generalmente implícita" significa que es habitual o una práctica común para la organización y las partes interesadas que la necesidad o expectativa bajo consideración se implica. Nota 2 a la entrada: Un requisito especificado es aquel que se manifestó, por ejemplo, en información documentada.
2.64
riesgo residual
riesgo (2,68) restante después del tratamiento del riesgo (2,79) Nota 1 a la entrada: Riesgo residual puede contener el riesgo identificado. Nota 2 a la entrada: Riesgo residual también puede ser conocido como "riesgo retenido".
2.65
revisión
la actividad emprendida para determinar la idoneidad, adecuación y efectividad (2.24) de la materia objeto de alcanzar los objetivos establecidos [FUENTE: Guía ISO 73: 2009]
2.66
opinión objeto
elemento específico en revisión
2.67
objetivo de la revisión
declaración describiendo lo que se quiere lograr como resultado de una revisión
2.68
riesgo
efecto de la incertidumbre en los objetivos [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: Un efecto es una desviación de lo esperado - positiva o negativa. Nota 2 a la entrada: La incertidumbre es el Estado, aunque sea parcial, de la deficiencia de información relacionada con, la comprensión o el conocimiento de un evento (2,25), su consecuencia (2,14), o la probabilidad (2.45). Nota 3 a la entrada: El riesgo se caracteriza a menudo por referencia a los eventos potenciales (2.25) y consecuencias (2,14), o una combinación de éstos. Nota 4 a la entrada: Riesgo se expresa a menudo en términos de una combinación de las consecuencias (2,14) de un evento (incluyendo cambios en las circunstancias) y la probabilidad asociada (2.45) de ocurrencia. Nota 5 de entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información se pueden expresar como efecto de la incertidumbre en los objetivos de seguridad de la información. Nota 6 de la entrada: riesgo para la seguridad de información se asocia con el potencial de que las amenazas (2,83) explotarán vulnerabilidades (2.89) de un activo de información o grupo de activos de información y por lo tanto causar daño a una organización.
2.69
aceptación del riesgo
informada decisión de tomar un riesgo en particular (2,68) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: la aceptación del riesgo puede ocurrir sin tratamiento del riesgo (2,79) o durante el proceso de tratamiento del riesgo. Nota 2 a la entrada: riesgos aceptadas están sujetas a supervisión (2.52) y revisión (2,65).
2.70
análisis de riesgo
proceso para comprender la naturaleza del riesgo (2,68) y para determinar el nivel de riesgo (2,44) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: Riesgo análisis proporciona la base para la evaluación del riesgo (2,74) y las decisiones sobre el tratamiento de riesgos (2,79). Nota 2 a la entrada: El análisis de riesgos incluye la estimación del riesgo.
2.71
Evaluación de riesgos
proceso general (2.61) de la identificación de riesgos (2,75), el análisis de riesgos (2,70) y la evaluación del riesgo (2,74) [FUENTE: Guía ISO 73: 2009]
2.72
la comunicación de riesgos y de consulta
procesos continuos e iterativos que una organización lleva a cabo para proporcionar, compartir u obtener información, y para entablar un diálogo con las partes interesadas (2.82) con respecto a la gestión del riesgo (2,68) Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza, forma , verosimilitud, importancia, la evaluación, la aceptabilidad y el tratamiento de los riesgos. Nota 2 a la entrada: La consulta es un proceso de dos vías de comunicación informada entre una organización y sus grupos de interés sobre un tema antes de tomar una decisión o determinación de una dirección en ese tema. La consulta es: - un proceso que los impactos sobre la decisión a través de la influencia en lugar de poder; y - un insumo para la toma de decisiones, no la toma de decisiones conjunta.
2.73
criterios de riesgo
términos de referencia contra el cual se evalúa la importancia del riesgo (2,68) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: Los criterios de riesgo se basan en los objetivos de la organización, y el contexto externo e interno. Nota 2 de la entrada: Los criterios de riesgo puede derivarse de las normas, las leyes, las políticas y otros requisitos.
2.74
Evaluación del riesgo
proceso (2.61) de la comparación de los resultados de análisis de riesgos (2.70) con los criterios de riesgo (2.73) para determinar si el riesgo (2,68) y / o su magnitud es aceptable o tolerable [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: asistencias de evaluación del riesgo en la decisión sobre el tratamiento del riesgo (2,79).
2.75
identificación de riesgos
proceso de encontrar, reconocer y describir los riesgos (2.68) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: Identificación de riesgos consiste en la identificación de las fuentes de riesgo, eventos, sus causas y sus posibles consecuencias. Nota 2 de la entrada: Identificación de riesgos puede implicar datos históricos, análisis teórico, informados y opiniones de expertos, y las necesidades de las partes interesadas.
2.76
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización (2.57) con respecto al riesgo (2,68) [FUENTE: Guía ISO 73: 2009]
2.77
proceso de gestión de riesgos
aplicación sistemática de políticas de gestión, procedimientos y prácticas a las actividades de comunicación, consultoría, estableciendo el contexto y la identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgo (2,68) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: ISO / IEC 27005 se utiliza el término "proceso" para describir la gestión del riesgo global. Los elementos dentro del proceso de gestión de riesgos se denominan «actividades».
2.78
propietario del riesgo
persona o entidad con la responsabilidad y la autoridad para gestionar el riesgo (2,68) [FUENTE: Guía ISO 73: 2009]
2.79
tratamiento de riesgos
proceso (2.61) para modificar el riesgo (2,68) [FUENTE: Guía ISO 73: 2009] Nota 1 a la entrada: el tratamiento de riesgos puede implicar: - Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo; - Toma o el aumento del riesgo con el fin de perseguir una oportunidad; - Eliminación de la fuente de riesgos; - El cambio de la probabilidad; - El cambio de las consecuencias; - Compartir el riesgo con la otra parte o partes (incluyendo los contratos y financiación de riesgos); y - que conserva el riesgo en la elección informada. Nota 2 a la entrada: tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como "mitigación de riesgos", "eliminación de riesgos", "prevención de riesgos" y "reducción del riesgo". Nota 3 a la entrada: el tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
2.80
escala
conjunto ordenado de valores, continuos o discretos, o un conjunto de categorías a las que se asigna el atributo (2,4) [FUENTE: ISO / IEC 15939: 2007] Nota 1 a la entrada: El tipo de escala depende de la naturaleza de la relación entre los valores de la escala. Cuatro tipos de escala se definen comúnmente: - nominal: los valores de medición son categóricas; - Ordinal: los valores de medición son las clasificaciones; - Intervalo: los valores de medición tienen la misma distancia que corresponden a cantidades iguales de atributo; - Relación: los valores de medición tienen la misma distancia que corresponden a cantidades iguales de atributo, donde el valor cero corresponde a ninguno de los atributos. Estos son sólo ejemplos de los tipos de escala.
2.81
estándar de implementación de seguridad
documentar especificando formas autorizadas para la realización de la seguridad
2.82
tenedor de apuestas
persona u organización que puede afectar, verse afectadas por, o percibirse a sí mismos podrían verse afectados por una decisión o actividad [FUENTE: Guía ISO 73: 2009]
2.83
amenaza
causa potencial de un incidente no deseado, que puede resultar en daño a un sistema u organización
2.84
Alta administración
persona o grupo de personas que dirige y controla una organización (2.57) al más alto nivel la Nota 1 de la entrada: La alta dirección tiene la facultad de delegar autoridad y proporcionar los recursos dentro de la organización. Nota 2 a la entrada: Si el alcance del sistema de gestión (2.46) cubre sólo una parte de una organización (2.57) y luego la parte superior gestión se refiere a los que dirigen y controlan esa parte de la organización (2.57).
2.85
información de confianza entidad de comunicación
organización autónoma el intercambio de información de apoyo dentro de una comunidad de intercambio de información
2.86
la unidad de medida
cantidad determinada, definida y aprobada por la convención, con la que se comparan otras magnitudes de la misma naturaleza con el fin de expresar su magnitud relativa a la cantidad [FUENTE: ISO / IEC 15939: 2007]
2.87
validación
confirmación, a través de la aportación de evidencia objetiva, de que se han cumplido los requisitos para un uso específico previsto o aplicación [FUENTE: ISO 9000: 2005]
2.88
verificación
confirmación, a través de la presentación de pruebas objetivas, que especifica los requisitos se han cumplido [FUENTE: ISO 9000: 2005] Nota 1 a la entrada: Esto también podría ser llamado prueba de conformidad.
2.89
vulnerabilidad
debilidad de un activo o de control (2.16) que puede ser explotado por una o más amenazas (2.83)
