Sistema de Seguridad de la Información: Términos y definiciones

ciberseguretat - seguretat de la informació

Términos y definiciones de un “Sistema de Seguridad de la Información” – SGSI:

  • Activo: Cualquier bien que tiene valor para la organización (ISO 13335). Su gestión se puede optimizar con un “Sistema de Gestión de la Seguridad de la Información” o “SGSI” según ISO 27001, implantado con nuestra consultoría ISO.
  • Disponibilidad. Se refiere a la propiedad de ser accesible y utilizable por una entidad autorizada. (ISO 13335)
  • Confidencialidad. La propiedad vinculada con la seguridad de la información por la que la información no se one a disposición o se revela a individuos, entidades o procesos no autorizados. (ISO 13335)
  • Seguridad de la información: La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además de alcanzar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no rechazo (ISO 17799).
  • Evento de seguridad de la información. La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política, un fallo de las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad de la información. [ISO/IEC TR 18044]
  • Incidente de seguridad de la información. Un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometerse las operaciones empresariales y de amenazar la seguridad de la información. (ISO 18044)
  • Sistema de gestión de la seguridad de la información (SGSI). La parte del sistema de gestión, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.
    El sistema de gestión de la seguridad de la información o SGSI incluye la estructura organizativa. las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Puede seguir los requisitos de la norma ISO 27001.
  • Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos. (ISO 13335)
  • Riesgo residual: Riesgo remanente que existe después que se hayan tomado las medidas de seguridad. [ISO Guide 73]
  • Aceptación del riesgo: La decisión de aceptar un riesgo a la seguridad de la información. [ISO Guide 73].
  • Análisis de riesgos. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos a la seguridad de la información. [ISO Guide 73]
  • Evaluación de riesgos: El proceso general del análisis y estimación de los riesgos en el análisis y estimación de los riesgos. [ISO Guide 73]
  • Estimación de riesgos. El proceso de comparación del riesgo en la seguridad de la información estimado con los criterios de riesgo, por eso determinar su importancia. [ISO Guide 73]
  • Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización respecte a los riesgos de la seguridad de la información. [ISO Guide 73]
  • Tratamiento de riesgos: El proceso de selección e implementación de les medidas encaminadas a modificar los riesgos de la seguridad. [ISO Guide 73].
  • Declaración de aplicabilidad. Declaración documentada que describe los objetivos de control y los controles que son relevantes para el “Sistema de Gestión de la Seguridad de la Información” aplicables.
    Los controles del “Sistema de Gestión de Seguridad de la Información” se basan en los resultados de la evaluación de riesgos (requisitos legales o reglamentarios, obligaciones contractuales).