Termes i definicions d’un “Sistema de Seguretat de la Informació” – “SGSI“:
- Actiu: Qualsevol be que té valor per l’organització (ISO 13335). La seva gestió es pot optimitzar amb un “Sistema de Gestió de la Seguretat de la Informació” o “SGSI” segons ISO 27001, implantat amb la nostra consultoria ISO.
- Disponibilitat. Es refereix a la propietat de ser accessible i utilitzable per una entitat autoritzada. (ISO 13335)
- Confidencialitat. La propietat vinculada amb la seguretat de la informació per la que la informació no es posa a disposició o es revela a individus, entitats o processos no autoritzats. (ISO 13335)
- Seguretat de la informació: La preservació de la confidencialitat, la integritat i la disponibilitat de la informació, podent, a més abastar altres propietats, com l’autenticitat, la responsabilitat, la fiabilitat i el no refús (ISO 17799).
- Esdeveniment de seguretat de la informació. L’ocurrència detectada en un estat d’un sistema, servei o xarxa que indica una possible violació de la política, una errada de les salvaguardes o una situació desconeguda fins el moment i que pot ser rellevant per la seguretat de la informació. [ISO/IEC TR 18044]
- Incident de seguretat de la informació. Un únic esdeveniment o una sèrie d’esdeveniment de seguretat de la informació, inesperats o no desitjats, que tenen una probabilitat significativa de comprometre les operacions empresarials i d’amenaçar la seguretat de la informació. (ISO 18044)
- Sistema de gestió de la seguretat de la informació (SGSI). La part del sistema de gestió, basada en un enfoc de risc empresarial, que s’estableix per crear, implementar, operar, supervisar, revisar, mantenir i millorar la seguretat de la informació.
El sistema de gestió de la seguretat de la informació o SGSI inclou l’estructura organitzativa. les polítiques, les activitats de planificació, les responsabilitats, les pràctiques, els procediments, els processos i els recursos. Pot seguir els requisits de la norma ISO 27001. - Integritat: La propietat de salvaguardar l’exactitud i completesa dels actius. (ISO 13335)
- Risc residual: Risc romanent que existeix després que s’hagin pres les mesures de seguretat. [ISO Guide 73]
- Acceptació del risc: La decisió d’acceptar un risc a la seguretat de la informació. [ISO Guide 73].
- Anàlisi de riscos. Utilització sistemàtica de la informació disponible per identificar perills i estimar els riscos a la seguretat de la informació. [ISO Guide 73]
- Avaluació de riscos: El procés general de l’anàlisi i estimació dels riscos a l’anàlisi i estimació dels riscos. [ISO Guide 73]
- Estimació de riscos. El procés de comparació del risc a la seguretat de la informació estimat amb els criteris de risc, per així determinar la seva importància. [ISO Guide 73]
- Gestió de riscos: Activitats coordinades per dirigir i controlar una organització respecte als riscos de la seguretat de la informació. [ISO Guide 73]
- Tractament de riscos: El procés de selecció i implementació de les mesures encaminades a modificar els riscos de la seguretat. [ISO Guide 73].
- Declaració d’aplicabilitat. Declaració documentada que descriu els objectius de control i els controls que son rellevants pel “Sistema de Gestió de la Seguretat de la Informació” aplicables.
Els controls del “Sistema de Gestió de Seguretat de la Informació” es basen en els resultats de l’avaluació de riscos (requisits legals o reglamentaris, obligacions contractuals).