SlideShare ist ein Scribd-Unternehmen logo

Traduccion terminos y definiciones

J
Juan Rodrigo Tapia Mamani

beni

Internet
1 von 12
Downloaden Sie, um offline zu lesen
Términos y definiciones ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones: - Plataforma de navegación en línea ISO: disponible en https://www.iso.org/obp - IEC Electropedia: disponible en https://www.electropedia.org/ 3.1 control de acceso: medios para garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad 3.2 ataque: intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo 3.3 auditoría: proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla objetivamente para determinar hasta qué punto se cumplen los criterios de auditoría Nota 1: una auditoría puede ser una auditoría interna o una auditoría externa, y puede ser una auditoría combinada (combinando dos o más disciplinas). Nota 2: una auditoría interna es realizada por la organización misma o por una parte externa en su nombre. Nota 3: "Evidencia de auditoría" y "criterios de auditoría" se definen en ISO 19011. 3.4 Alcance de la auditoría: alcance y límites de una auditoría 3.5 Autenticación: garantía de que una característica reclamada de una entidad es correcta 3.6 autenticidad: propiedad que una entidad es lo que dice ser. 3.7 disponibilidad propiedad de ser accesible y utilizable a pedido por una entidad autorizada. 3.8 medida base Medida (3.42) definida en términos de un atributo y el método para cuantificarlo. Nota 1 a la entrada: una medida base es funcionalmente independiente de otras medidas. [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.3, modificado - Se ha eliminado la Nota 2 a la entrada.] 3.9 competencia
Capacidad de aplicar conocimientos y habilidades para lograr los resultados esperados. 3.10confidencialidad propiedad de que la información no se pone a disposición o se divulga a personas, entidades o entidades no autorizadas, o procesos (3.54) 3.11 conformidad cumplimiento de un requisito (3.56) 3.12 consecuencia resultado de un evento (3.21) que afecta objetivos (3.49) Nota 1 a la entrada: un evento puede llevar a una serie de consecuencias. Nota 2 a la entrada: una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la información, generalmente es negativo. Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativamente o cuantitativamente. Nota 4 a la entrada: las consecuencias iniciales pueden escalar a través de los efectos secundarios. 3.13 mejora continua: actividad recurrente para mejorar el rendimiento (3.52) Al aire libre 3.14 controlar: Medida que está modificando el riesgo (3.61). Nota 1 a la entrada: los controles incluyen cualquier proceso (3.54), política (3.53), dispositivo, práctica u otras acciones que modifican el riesgo (3.61). Nota 2 a la entrada: es posible que los controles no siempre ejerzan el efecto de modificación previsto o supuesto. [FUENTE: Guía ISO 73: 2009, 3.8.1.1 - Se ha cambiado la Nota 2 a la entrada.] 3.15 Objetivo de control: Declaración que describe lo que se debe lograr como resultado de la implementación de controles (3.14) 3.16 corrección: Acción para eliminar una no conformidad detectada (3.47).
3.17 Acción correctiva: Acción para eliminar la causa de una no conformidad (3.47) y para prevenir la recurrencia. 3.18 medida derivada: Medida (3.42) que se define como una función de dos o más valores de medidas base (3.8) [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.8, modificado - Se ha eliminado la Nota 1 a la entrada.] 3.19 informacion documentada: La información que debe ser controlada y mantenida por una organización (3.50) y el medio en el que se encuentra Nota 1 a la entrada: la información documentada puede estar en cualquier formato y medio y desde cualquier fuente. Nota 2 a la entrada: la información documentada puede referirse - el sistema de gestión (3.41), incluidos los procesos relacionados (3.54); - información creada para que la organización (3.50) opere (documentación); - Evidencia de resultados logrados (registros). 3.20 Eficacia: En qué medida se realizan las actividades planificadas y se logran los resultados planificados. 3.21 Evento: ocurrencia o cambio de un conjunto particular de circunstancias Nota 1 a la entrada: un evento puede ser una o más apariciones y puede tener varias causas. Nota 2 a la entrada: un evento puede consistir en algo que no sucede. Nota 3 a la entrada: un evento a veces se puede denominar como un “incidente” o “accidente”. [FUENTE: Guía ISO 73: 2009, 3.5.1.3, modificada - Se ha eliminado la Nota 4 a la entrada.] 3.22 contexto externo: Entorno externo en el que la organización busca alcanzar sus objetivos (3.49). Nota 1 a la entrada: el contexto externo puede incluir lo siguiente: - el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local; - factores clave y tendencias que tienen impacto en los objetivos de la organización (3.50); - Relaciones, percepciones y valores de partes interesadas externas (3.37).
[FUENTE: Guía ISO 73: 2009, 3.3.1.1] 3.23 gobernanza de la seguridad de la información: sistema por el cual las actividades de seguridad de la información (3.28) de una organización (3.28) son dirigidas y controladas 3.24 Órgano rector: Persona o grupo de personas que son responsables del desempeño (3.52) y la conformidad de la organización (3.50). Nota 1 a la entrada: El órgano rector puede, en algunas jurisdicciones, ser una junta directiva. 3.25 medida de indicador: (3.42) que proporciona una estimación o evaluación 3.26 la información necesita: la información necesaria para gestionar los objetivos (3.49), objetivos, riesgos y problemas [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.12] 3.27 facilidades de procesamiento de información cualquier procesamiento de información sistema, servicio o infraestructura, o la ubicación física que lo alberga 3.28 seguridad de la información preservación de la confidencialidad (3.10), integridad (3.36) y disponibilidad (3.7) de la información Nota 1 a la entrada: Además, otras propiedades, como la autenticidad (3.6) La responsabilidad, la no repudiación (3.48) y la confiabilidad (3.55) también pueden involucrarse. 3.29 procesos de continuidad de la seguridad de la información (3.54) y procedimientos para garantizar la continuidad de las operaciones de seguridad de la información (3.28). 3.30 evento de seguridad de la información identificado como ocurrencia de un sistema, servicio o estado de la red que indica un posible incumplimiento de la política de seguridad de la información (3.28) (3.53) o falla de controles (3.14), o una situación previamente desconocida que puede ser relevante para la seguridad 3.31 Incidente de seguridad de la información. uno o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información. 3.32 Gestión de incidentes de seguridad de la información.
Conjunto de procesos para detectar, informar, evaluar, responder, tratar y aprender en forma de incidentes de seguridad de la información. 3.33 Sistema de gestión de seguridad de la información (SGSI) profesional Persona que establece, implementa, mantiene y mejora continuamente una o más información. 3.34 Comunidad de intercambio de información Grupo de organizaciones que aceptan compartir información. 3.35 Sistema de información conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información. 3.36 Integridad. propiedad de la exactitud y la integridad 3.37 Tenedor de apuestas: persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad 3.38 contexto interno: entorno interno en el que la organización busca alcanzar sus objetivos. Nota 1: el contexto interno puede incluir: - gobierno, estructura organizacional, roles y responsabilidades; - políticas, objetivos y las estrategias que existen para alcanzarlos; - las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías); - sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales); - relaciones con, y percepciones y valores de las partes interesadas internas; - la cultura de la organización;
- normas, lineamientos y modelos adoptados por la organización; - Forma y alcance de las relaciones contractuales. 3.39 nivel de riesgo: magnitud de un riesgo expresado en términos de la combinación de consecuencias y su probabilidad 3.40 probabilidad: posibilidad de que algo suceda 3.41 sistema de gestión: conjunto de elementos interrelacionados o interactivos de una organización para establecer políticas, objetivos y procesos para alcanzar esos objetivos Nota 1: un sistema de gestión puede abordar una sola disciplina o varias disciplinas. Nota 2: Los elementos del sistema incluyen la estructura de la organización, roles y responsabilidades, planificación y operación. Nota 3: el alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un grupo de organizaciones. Medida 3.42: variable a la que se asigna un valor como resultado de la medición 3.43 Medición: proceso para determinar un valor 3.44 Función de medición: Algoritmo o cálculo realizado para combinar dos o más medidas base. 3.45 Método de medida: secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una escala especificada Nota: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo. Se pueden distinguir dos tipos:  subjetivo: Cuantificación que involucra el juicio humano;  objetivo: Cuantificación basada en reglas numéricas. 3.46 Vigilancia determinar el estado de un sistema, un proceso o una actividad.
Nota: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente. 3.47 Disconformidad: no cumplimiento de un requisito 3.48 No repudio: Capacidad para demostrar la ocurrencia de un evento o acción reclamada y sus entidades de origen. 3,49 objetivo: resultado a lograr Nota 1 a la entrada: un objetivo puede ser estratégico, táctico u operacional. Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como finanzas, salud y seguridad, y objetivos ambientales) y se pueden aplicar a diferentes niveles [tales como estratégico, de organización, proyecto, producto proceso (3.54)]. Nota 3 a la entrada: un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado intencional, un propósito, un criterio operacional, como un objetivo de seguridad de la información o por el uso de otras palabras con un significado similar (por ejemplo, objetivo, objetivo u objetivo). Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los objetivos de seguridad de la información son establecido por la organización, de conformidad con la política de seguridad de la información, para lograr resultados específicos. 3,50 organización: Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones. Para lograr sus objetivos (3.49). Nota 1 a la entrada: El concepto de organización incluye, pero no se limita a, comerciante individual, compañía, corporación, firma, empresa, autoridad, sociedad, organización benéfica o institución, o parte o combinación de los mismos, ya sea incorporada O no, pública o privada. 3.51 externalizar: hacer un arreglo donde una organización externa (3.50) realiza parte de la función de una organización proceso (3.54) Nota 1 a la entrada: una organización externa está fuera del alcance del sistema de gestión (3.41), aunque La función o proceso subcontratado está dentro del alcance.
3.52 actuación: resultado medible Nota 1 a la entrada: El rendimiento puede relacionarse con resultados cuantitativos o cualitativos. Nota 2 a la entrada: El rendimiento puede relacionarse con la gestión de actividades, procesos (3.54), productos (incluidos servicios), sistemas u organizaciones (3.50). 3.53 política: intenciones y dirección de una organización (3.50), según lo expresado formalmente por su alta dirección (3.75) 3.54 proceso: conjunto de actividades interrelacionadas o interactivas que transforman entradas en salidas 3.55 Fiabilidad: propiedad de un comportamiento y resultados consistentes previstos 3.56 Requisito: necesidad o expectativa que se indique, generalmente implícita u obligatoria Nota 1 a la entrada: "Generalmente implícita" significa que es costumbre o práctica común para la organización y partes interesadas de que está implícita la necesidad o la expectativa que se está considerando. Nota 2 a la entrada: Un requisito especificado es uno que se indica, por ejemplo, en la información documentada. 3.57riesgo residual: riesgo (3,61) restante después del tratamiento con riesgo (3,72) Nota 1 a la entrada: El riesgo residual puede contener riesgo no identificado. Nota 2 a la entrada: El riesgo residual también puede denominarse "riesgo retenido". 3.58 Revisión: actividad emprendida para determinar la idoneidad, adecuación y eficacia (3.20) de la materia alcanzar los objetivos establecidos (3.49) [FUENTE: Guía ISO 73:2009, 3.8.2.2, modificada — Se ha eliminado la Nota 1 a la entrada.] 3.59 objeto de revisión: elemento específico que se está revisando 3.60 objetivo de revisión: declaración que describe lo que se debe lograr como resultado de un examen (3.59).
3.61 Riesgo: Efecto de la incertidumbre sobre los objetivos. Nota 1 a la entrada: un efecto es una desviación de lo esperado - positivo o negativo Nota 2 a la entrada: la incertidumbre es el estado, incluso parcial, de la deficiencia de la información relacionada con, comprensión o conocimiento de, un evento, su consecuencia, o probabilidad. Nota 3 a la entrada: el riesgo se caracteriza a menudo por referencia a "eventos" potenciales (como se define en la Guía 73: 2009 de ISO, 3.5.1.3) y “consecuencias” (como se define en la Guía 73: 2009 de la ISO, 3.6.1.3), o una combinación de éstas. Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la "probabilidad" asociada (según se define en la Guía 73: 2009 de la ISO, 3.6.1.1) de la ocurrencia. Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden ser expresado como efecto de la incertidumbre sobre los objetivos de seguridad de la información. Nota 6 a la entrada: el riesgo de que la seguridad de la información está asociado con la posibilidad de que las amenazas aprovechen la vulnerabilidad es de un activo de información o grupo de activos de información y, por lo tanto, causa daño a una organización. 3.62 Aceptación del riesgo: Decisión informada de tomar un riesgo particular (3.61) Nota 1 a la entrada: la aceptación del riesgo puede ocurrir sin tratamiento de riesgo (3.72) o durante el proceso (3.54) de riesgo tratamiento. Nota 2 a la entrada: Los riesgos aceptados están sujetos a monitoreo (3.46) y revisión (3.58). 3.63 Análisis de riesgo: Proceso (3.54) para comprender la naturaleza del riesgo (3.61) y para determinar el nivel de riesgo (3.39) Nota 1 a la entrada: El análisis de riesgos proporciona la base para la evaluación de riesgos (3.67) y las decisiones sobre el tratamiento de riesgos (3.72). Nota 2 a la entrada: El análisis de riesgos incluye la estimación de riesgos. 3.64 Evaluación de riesgos: Proceso global (3.54) de identificación de riesgos (3.68), análisis de riesgos (3.63) y evaluación de riesgos (3.67)
3.65 Comunicación y consulta de riesgos: Conjunto de procesos continuos e iterativos (3.54) que una organización lleva a cabo para proporcionar, compartir u obtener información y entablar un diálogo con las partes interesadas (3.37) sobre la gestión de riesgos (3.61) Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza, forma, probabilidad (3.41), significado, Evaluación, aceptabilidad y tratamiento del riesgo. Nota 2 a la entrada: la consulta es un proceso bidireccional de comunicación informada entre una organización (3.50) y sus partes interesadas en un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es - un proceso que impacta en una decisión a través de la influencia en lugar del poder; y - una entrada para la toma de decisiones, no toma de decisiones conjunta. 3.66 Criterios de riesgo: Términos de referencia contra los cuales se evalúa la importancia del riesgo (3.61) Nota 1 a la entrada: los criterios de riesgo se basan en los objetivos de la organización, el contexto externo (3.22) y los criterios del contexto internos (3.38). Nota 2 a la entrada: los criterios de riesgo pueden derivarse de estándares, leyes, políticas (3.53) y otros requisitos (3.56). 3,67 evaluación de riesgo: proceso (3.54) de comparar los resultados del análisis de riesgo (3.63) con los criterios de riesgo (3.66) para determinar si el riesgo (3.61) y / o su magnitud es aceptable o tolerable Nota 1 a la entrada: La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos (3.72). [FUENTE: Guía ISO 73: 2009, 3.7.1] 3.68 identificación de riesgo: proceso (3.54) de búsqueda, reconocimiento y descripción de riesgos (3.61) Nota 1 a la entrada: La identificación del riesgo implica la identificación de las fuentes de riesgo, los eventos (3.21), sus causas y sus posibles consecuencias (3.12). Nota 2 a la entrada: la identificación de riesgos puede incluir datos históricos, análisis teóricos, opiniones informadas y de expertos, y las necesidades de los interesados (3.37).
[FUENTE: Guía ISO 73: 2009, 3.5.1] 3,69 gestión de riesgos: actividades coordinadas para dirigir y controlar una organización (3.50) con respecto al riesgo (3.61) [FUENTE: Guía ISO 73: 2009, 2.1] Al aire libre © ISO / IEC 2018 - Todos los derechos reservados 9 Al aire libre ISO / IEC 27000: 2018 (E) 3.70 proceso de gestión de riesgos: Aplicación sistemática de políticas de gestión (3.53), procedimientos y prácticas a las actividades de comunicación, consulta, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgos (3.61) Nota 1 a la entrada: ISO / IEC 27005 utiliza el término "proceso" (3.54) para describir la gestión de riesgos en general. Los elementos dentro del proceso de gestión de riesgos (3.69) se conocen como "actividades". [FUENTE: Guía ISO 73: 2009, 3.1, modificada - Se ha agregado la Nota 1 a la entrada.] 3.71 propietario de riesgo: Persona o entidad con la responsabilidad y autoridad para gestionar un riesgo (3.61) [FUENTE: Guía ISO 73: 2009, 3.5.1.5] 3.72 tratamiento de riesgo: Proceso (3.54) para modificar riesgo (3.61). Nota 1 a la entrada: El tratamiento del riesgo puede incluir: - evitar el riesgo al decidir no comenzar o continuar con la actividad que genera el riesgo; - tomar o aumentar el riesgo para buscar una oportunidad; - eliminar la fuente de riesgo; - cambiando la probabilidad (3.40); - cambiando las consecuencias (3.12); - compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo); - Retener el riesgo por elección informada. Nota 2 a la entrada: los tratamientos de riesgo que tratan las consecuencias negativas a veces se denominan “mitigación de riesgo”, “eliminación de riesgo”, “prevención de riesgo” y “reducción de riesgo”. Nota 3 a la entrada: El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
[FUENTE: Guía ISO 73: 2009, 3.8.1, modificada - “decisión” ha sido reemplazada por “elección” en la Nota 1 de la entrada.] 3.73 Estándar de implementación de seguridad: Documento que especifica formas autorizadas para realizar la seguridad. 3.74 Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización (3.50) 3.75 Alta dirección: Persona o grupo de personas que dirige y controla una organización (3.50) al nivel más alto Nota 1 a la entrada: la alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización. Nota 2 a la entrada: si el alcance del sistema de gestión (3.41) cubre solo parte de una organización, la alta gerencia se refiere a aquellos que dirigen y controlan esa parte de la organización. Nota 3 a la entrada: la alta dirección a veces se denomina administración ejecutiva y puede incluir a los directores ejecutivos, los directores financieros, los directores de información y otros cargos similares. 3.76 Entidad de comunicación de información confiable: Organización autónoma (3.50) que apoya el intercambio de información dentro de una comunidad de intercambio de información (3.34) 3.77 Vulnerabilidad: Debilidad de un activo o control (3.14) que puede ser explotado por una o más amenazas (3.74)

Empfohlen

Iso analisis de la norma iso 9001 segunda parte v 2020
Iso analisis de la norma iso 9001 segunda parte v 2020Iso analisis de la norma iso 9001 segunda parte v 2020
Iso analisis de la norma iso 9001 segunda parte v 2020Primala Sistema de Gestion
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3rubendario_10
 
Comparativa OHSAS 18001:1999 y OHSAS: 2007
Comparativa OHSAS 18001:1999 y OHSAS: 2007Comparativa OHSAS 18001:1999 y OHSAS: 2007
Comparativa OHSAS 18001:1999 y OHSAS: 2007Prevencionar
 
Modulo III, parte 1
Modulo III, parte 1Modulo III, parte 1
Modulo III, parte 1ANTONIO GARCÍA HERRÁIZ
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Actividad 3
Actividad 3Actividad 3
Actividad 3Operaciones Portrans
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 

Empfohlen

Iso analisis de la norma iso 9001 segunda parte v 2020
Iso analisis de la norma iso 9001 segunda parte v 2020Iso analisis de la norma iso 9001 segunda parte v 2020
Iso analisis de la norma iso 9001 segunda parte v 2020Primala Sistema de Gestion
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3rubendario_10
 
Comparativa OHSAS 18001:1999 y OHSAS: 2007
Comparativa OHSAS 18001:1999 y OHSAS: 2007Comparativa OHSAS 18001:1999 y OHSAS: 2007
Comparativa OHSAS 18001:1999 y OHSAS: 2007Prevencionar
 
Modulo III, parte 1
Modulo III, parte 1Modulo III, parte 1
Modulo III, parte 1ANTONIO GARCÍA HERRÁIZ
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Actividad 3
Actividad 3Actividad 3
Actividad 3Operaciones Portrans
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 
29895047 enfoque-de-sistemas
29895047 enfoque-de-sistemas29895047 enfoque-de-sistemas
29895047 enfoque-de-sistemasGloria Azúa
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
EAI-Unidad IV
EAI-Unidad IVEAI-Unidad IV
EAI-Unidad IVgparra989
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
Seguridad
Seguridad Seguridad
Seguridad Lisbey Urrea
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridadAronte Enterprise Services, S.L.
 
Guia fundamentos de analisis y desarrollo de sistemas
Guia fundamentos de analisis y desarrollo de sistemasGuia fundamentos de analisis y desarrollo de sistemas
Guia fundamentos de analisis y desarrollo de sistemas53140294
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.jackelinearevalocarrascal
 
norma-iso-19011-2018.docx
norma-iso-19011-2018.docxnorma-iso-19011-2018.docx
norma-iso-19011-2018.docxEnDiosesposible
 
Fundamentos de analisis y desarrollo de sistemas
Fundamentos de analisis y desarrollo de sistemasFundamentos de analisis y desarrollo de sistemas
Fundamentos de analisis y desarrollo de sistemaskellygomezj
 
Fundamentos de Analisis y Desarrollo de Sistemas
Fundamentos de Analisis y Desarrollo de SistemasFundamentos de Analisis y Desarrollo de Sistemas
Fundamentos de Analisis y Desarrollo de Sistemaskellygomezj
 
Políticas de Seguridad Informática
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
Políticas de Seguridad InformáticaRobert Rodriguez
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemaswalter bortone
 
Campos brayam microsoft_word
Campos brayam microsoft_wordCampos brayam microsoft_word
Campos brayam microsoft_wordBrayamStivenCamposOs
 
Elba reyes
Elba reyesElba reyes
Elba reyesMaria Veronica Urdaneta Martinez
 
Elba reyes
Elba reyesElba reyes
Elba reyesastridferrebus
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfAlexisNivia
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 

Weitere ähnliche Inhalte

Ähnlich wie Traduccion terminos y definiciones

29895047 enfoque-de-sistemas
29895047 enfoque-de-sistemas29895047 enfoque-de-sistemas
29895047 enfoque-de-sistemasGloria Azúa
 
EAI-Unidad IV
EAI-Unidad IVEAI-Unidad IV
EAI-Unidad IVgparra989
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
Guia fundamentos de analisis y desarrollo de sistemas
Guia fundamentos de analisis y desarrollo de sistemasGuia fundamentos de analisis y desarrollo de sistemas
Guia fundamentos de analisis y desarrollo de sistemas53140294
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
norma-iso-19011-2018.docx
norma-iso-19011-2018.docxnorma-iso-19011-2018.docx
norma-iso-19011-2018.docxEnDiosesposible
 
Fundamentos de analisis y desarrollo de sistemas
Fundamentos de analisis y desarrollo de sistemasFundamentos de analisis y desarrollo de sistemas
Fundamentos de analisis y desarrollo de sistemaskellygomezj
 
Fundamentos de Analisis y Desarrollo de Sistemas
Fundamentos de Analisis y Desarrollo de SistemasFundamentos de Analisis y Desarrollo de Sistemas
Fundamentos de Analisis y Desarrollo de Sistemaskellygomezj
 
Políticas de Seguridad Informática
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
Políticas de Seguridad InformáticaRobert Rodriguez
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfAlexisNivia
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 

Ähnlich wie Traduccion terminos y definiciones (20)

29895047 enfoque-de-sistemas
29895047 enfoque-de-sistemas29895047 enfoque-de-sistemas
29895047 enfoque-de-sistemas
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
EAI-Unidad IV
EAI-Unidad IVEAI-Unidad IV
EAI-Unidad IV
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad
Seguridad Seguridad
Seguridad
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
Guia fundamentos de analisis y desarrollo de sistemas
Guia fundamentos de analisis y desarrollo de sistemasGuia fundamentos de analisis y desarrollo de sistemas
Guia fundamentos de analisis y desarrollo de sistemas
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.
 
norma-iso-19011-2018.docx
norma-iso-19011-2018.docxnorma-iso-19011-2018.docx
norma-iso-19011-2018.docx
 
Fundamentos de analisis y desarrollo de sistemas
Fundamentos de analisis y desarrollo de sistemasFundamentos de analisis y desarrollo de sistemas
Fundamentos de analisis y desarrollo de sistemas
 
Fundamentos de Analisis y Desarrollo de Sistemas
Fundamentos de Analisis y Desarrollo de SistemasFundamentos de Analisis y Desarrollo de Sistemas
Fundamentos de Analisis y Desarrollo de Sistemas
 
Políticas de Seguridad Informática
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
Políticas de Seguridad Informática
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Campos brayam microsoft_word
Campos brayam microsoft_wordCampos brayam microsoft_word
Campos brayam microsoft_word
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 

Kürzlich hochgeladen

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfLUZMARIAAYALALOPEZ
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Kürzlich hochgeladen (7)

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 

Traduccion terminos y definiciones

  • 1. Términos y definiciones ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones: - Plataforma de navegación en línea ISO: disponible en https://www.iso.org/obp - IEC Electropedia: disponible en https://www.electropedia.org/ 3.1 control de acceso: medios para garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad 3.2 ataque: intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo 3.3 auditoría: proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla objetivamente para determinar hasta qué punto se cumplen los criterios de auditoría Nota 1: una auditoría puede ser una auditoría interna o una auditoría externa, y puede ser una auditoría combinada (combinando dos o más disciplinas). Nota 2: una auditoría interna es realizada por la organización misma o por una parte externa en su nombre. Nota 3: "Evidencia de auditoría" y "criterios de auditoría" se definen en ISO 19011. 3.4 Alcance de la auditoría: alcance y límites de una auditoría 3.5 Autenticación: garantía de que una característica reclamada de una entidad es correcta 3.6 autenticidad: propiedad que una entidad es lo que dice ser. 3.7 disponibilidad propiedad de ser accesible y utilizable a pedido por una entidad autorizada. 3.8 medida base Medida (3.42) definida en términos de un atributo y el método para cuantificarlo. Nota 1 a la entrada: una medida base es funcionalmente independiente de otras medidas. [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.3, modificado - Se ha eliminado la Nota 2 a la entrada.] 3.9 competencia
  • 2. Capacidad de aplicar conocimientos y habilidades para lograr los resultados esperados. 3.10confidencialidad propiedad de que la información no se pone a disposición o se divulga a personas, entidades o entidades no autorizadas, o procesos (3.54) 3.11 conformidad cumplimiento de un requisito (3.56) 3.12 consecuencia resultado de un evento (3.21) que afecta objetivos (3.49) Nota 1 a la entrada: un evento puede llevar a una serie de consecuencias. Nota 2 a la entrada: una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la información, generalmente es negativo. Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativamente o cuantitativamente. Nota 4 a la entrada: las consecuencias iniciales pueden escalar a través de los efectos secundarios. 3.13 mejora continua: actividad recurrente para mejorar el rendimiento (3.52) Al aire libre 3.14 controlar: Medida que está modificando el riesgo (3.61). Nota 1 a la entrada: los controles incluyen cualquier proceso (3.54), política (3.53), dispositivo, práctica u otras acciones que modifican el riesgo (3.61). Nota 2 a la entrada: es posible que los controles no siempre ejerzan el efecto de modificación previsto o supuesto. [FUENTE: Guía ISO 73: 2009, 3.8.1.1 - Se ha cambiado la Nota 2 a la entrada.] 3.15 Objetivo de control: Declaración que describe lo que se debe lograr como resultado de la implementación de controles (3.14) 3.16 corrección: Acción para eliminar una no conformidad detectada (3.47).
  • 3. 3.17 Acción correctiva: Acción para eliminar la causa de una no conformidad (3.47) y para prevenir la recurrencia. 3.18 medida derivada: Medida (3.42) que se define como una función de dos o más valores de medidas base (3.8) [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.8, modificado - Se ha eliminado la Nota 1 a la entrada.] 3.19 informacion documentada: La información que debe ser controlada y mantenida por una organización (3.50) y el medio en el que se encuentra Nota 1 a la entrada: la información documentada puede estar en cualquier formato y medio y desde cualquier fuente. Nota 2 a la entrada: la información documentada puede referirse - el sistema de gestión (3.41), incluidos los procesos relacionados (3.54); - información creada para que la organización (3.50) opere (documentación); - Evidencia de resultados logrados (registros). 3.20 Eficacia: En qué medida se realizan las actividades planificadas y se logran los resultados planificados. 3.21 Evento: ocurrencia o cambio de un conjunto particular de circunstancias Nota 1 a la entrada: un evento puede ser una o más apariciones y puede tener varias causas. Nota 2 a la entrada: un evento puede consistir en algo que no sucede. Nota 3 a la entrada: un evento a veces se puede denominar como un “incidente” o “accidente”. [FUENTE: Guía ISO 73: 2009, 3.5.1.3, modificada - Se ha eliminado la Nota 4 a la entrada.] 3.22 contexto externo: Entorno externo en el que la organización busca alcanzar sus objetivos (3.49). Nota 1 a la entrada: el contexto externo puede incluir lo siguiente: - el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local; - factores clave y tendencias que tienen impacto en los objetivos de la organización (3.50); - Relaciones, percepciones y valores de partes interesadas externas (3.37).
  • 4. [FUENTE: Guía ISO 73: 2009, 3.3.1.1] 3.23 gobernanza de la seguridad de la información: sistema por el cual las actividades de seguridad de la información (3.28) de una organización (3.28) son dirigidas y controladas 3.24 Órgano rector: Persona o grupo de personas que son responsables del desempeño (3.52) y la conformidad de la organización (3.50). Nota 1 a la entrada: El órgano rector puede, en algunas jurisdicciones, ser una junta directiva. 3.25 medida de indicador: (3.42) que proporciona una estimación o evaluación 3.26 la información necesita: la información necesaria para gestionar los objetivos (3.49), objetivos, riesgos y problemas [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.12] 3.27 facilidades de procesamiento de información cualquier procesamiento de información sistema, servicio o infraestructura, o la ubicación física que lo alberga 3.28 seguridad de la información preservación de la confidencialidad (3.10), integridad (3.36) y disponibilidad (3.7) de la información Nota 1 a la entrada: Además, otras propiedades, como la autenticidad (3.6) La responsabilidad, la no repudiación (3.48) y la confiabilidad (3.55) también pueden involucrarse. 3.29 procesos de continuidad de la seguridad de la información (3.54) y procedimientos para garantizar la continuidad de las operaciones de seguridad de la información (3.28). 3.30 evento de seguridad de la información identificado como ocurrencia de un sistema, servicio o estado de la red que indica un posible incumplimiento de la política de seguridad de la información (3.28) (3.53) o falla de controles (3.14), o una situación previamente desconocida que puede ser relevante para la seguridad 3.31 Incidente de seguridad de la información. uno o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información. 3.32 Gestión de incidentes de seguridad de la información.
  • 5. Conjunto de procesos para detectar, informar, evaluar, responder, tratar y aprender en forma de incidentes de seguridad de la información. 3.33 Sistema de gestión de seguridad de la información (SGSI) profesional Persona que establece, implementa, mantiene y mejora continuamente una o más información. 3.34 Comunidad de intercambio de información Grupo de organizaciones que aceptan compartir información. 3.35 Sistema de información conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información. 3.36 Integridad. propiedad de la exactitud y la integridad 3.37 Tenedor de apuestas: persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad 3.38 contexto interno: entorno interno en el que la organización busca alcanzar sus objetivos. Nota 1: el contexto interno puede incluir: - gobierno, estructura organizacional, roles y responsabilidades; - políticas, objetivos y las estrategias que existen para alcanzarlos; - las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías); - sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales); - relaciones con, y percepciones y valores de las partes interesadas internas; - la cultura de la organización;
  • 6. - normas, lineamientos y modelos adoptados por la organización; - Forma y alcance de las relaciones contractuales. 3.39 nivel de riesgo: magnitud de un riesgo expresado en términos de la combinación de consecuencias y su probabilidad 3.40 probabilidad: posibilidad de que algo suceda 3.41 sistema de gestión: conjunto de elementos interrelacionados o interactivos de una organización para establecer políticas, objetivos y procesos para alcanzar esos objetivos Nota 1: un sistema de gestión puede abordar una sola disciplina o varias disciplinas. Nota 2: Los elementos del sistema incluyen la estructura de la organización, roles y responsabilidades, planificación y operación. Nota 3: el alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un grupo de organizaciones. Medida 3.42: variable a la que se asigna un valor como resultado de la medición 3.43 Medición: proceso para determinar un valor 3.44 Función de medición: Algoritmo o cálculo realizado para combinar dos o más medidas base. 3.45 Método de medida: secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una escala especificada Nota: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo. Se pueden distinguir dos tipos:  subjetivo: Cuantificación que involucra el juicio humano;  objetivo: Cuantificación basada en reglas numéricas. 3.46 Vigilancia determinar el estado de un sistema, un proceso o una actividad.
  • 7. Nota: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente. 3.47 Disconformidad: no cumplimiento de un requisito 3.48 No repudio: Capacidad para demostrar la ocurrencia de un evento o acción reclamada y sus entidades de origen. 3,49 objetivo: resultado a lograr Nota 1 a la entrada: un objetivo puede ser estratégico, táctico u operacional. Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como finanzas, salud y seguridad, y objetivos ambientales) y se pueden aplicar a diferentes niveles [tales como estratégico, de organización, proyecto, producto proceso (3.54)]. Nota 3 a la entrada: un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado intencional, un propósito, un criterio operacional, como un objetivo de seguridad de la información o por el uso de otras palabras con un significado similar (por ejemplo, objetivo, objetivo u objetivo). Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los objetivos de seguridad de la información son establecido por la organización, de conformidad con la política de seguridad de la información, para lograr resultados específicos. 3,50 organización: Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones. Para lograr sus objetivos (3.49). Nota 1 a la entrada: El concepto de organización incluye, pero no se limita a, comerciante individual, compañía, corporación, firma, empresa, autoridad, sociedad, organización benéfica o institución, o parte o combinación de los mismos, ya sea incorporada O no, pública o privada. 3.51 externalizar: hacer un arreglo donde una organización externa (3.50) realiza parte de la función de una organización proceso (3.54) Nota 1 a la entrada: una organización externa está fuera del alcance del sistema de gestión (3.41), aunque La función o proceso subcontratado está dentro del alcance.
  • 8. 3.52 actuación: resultado medible Nota 1 a la entrada: El rendimiento puede relacionarse con resultados cuantitativos o cualitativos. Nota 2 a la entrada: El rendimiento puede relacionarse con la gestión de actividades, procesos (3.54), productos (incluidos servicios), sistemas u organizaciones (3.50). 3.53 política: intenciones y dirección de una organización (3.50), según lo expresado formalmente por su alta dirección (3.75) 3.54 proceso: conjunto de actividades interrelacionadas o interactivas que transforman entradas en salidas 3.55 Fiabilidad: propiedad de un comportamiento y resultados consistentes previstos 3.56 Requisito: necesidad o expectativa que se indique, generalmente implícita u obligatoria Nota 1 a la entrada: "Generalmente implícita" significa que es costumbre o práctica común para la organización y partes interesadas de que está implícita la necesidad o la expectativa que se está considerando. Nota 2 a la entrada: Un requisito especificado es uno que se indica, por ejemplo, en la información documentada. 3.57riesgo residual: riesgo (3,61) restante después del tratamiento con riesgo (3,72) Nota 1 a la entrada: El riesgo residual puede contener riesgo no identificado. Nota 2 a la entrada: El riesgo residual también puede denominarse "riesgo retenido". 3.58 Revisión: actividad emprendida para determinar la idoneidad, adecuación y eficacia (3.20) de la materia alcanzar los objetivos establecidos (3.49) [FUENTE: Guía ISO 73:2009, 3.8.2.2, modificada — Se ha eliminado la Nota 1 a la entrada.] 3.59 objeto de revisión: elemento específico que se está revisando 3.60 objetivo de revisión: declaración que describe lo que se debe lograr como resultado de un examen (3.59).
  • 9. 3.61 Riesgo: Efecto de la incertidumbre sobre los objetivos. Nota 1 a la entrada: un efecto es una desviación de lo esperado - positivo o negativo Nota 2 a la entrada: la incertidumbre es el estado, incluso parcial, de la deficiencia de la información relacionada con, comprensión o conocimiento de, un evento, su consecuencia, o probabilidad. Nota 3 a la entrada: el riesgo se caracteriza a menudo por referencia a "eventos" potenciales (como se define en la Guía 73: 2009 de ISO, 3.5.1.3) y “consecuencias” (como se define en la Guía 73: 2009 de la ISO, 3.6.1.3), o una combinación de éstas. Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la "probabilidad" asociada (según se define en la Guía 73: 2009 de la ISO, 3.6.1.1) de la ocurrencia. Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden ser expresado como efecto de la incertidumbre sobre los objetivos de seguridad de la información. Nota 6 a la entrada: el riesgo de que la seguridad de la información está asociado con la posibilidad de que las amenazas aprovechen la vulnerabilidad es de un activo de información o grupo de activos de información y, por lo tanto, causa daño a una organización. 3.62 Aceptación del riesgo: Decisión informada de tomar un riesgo particular (3.61) Nota 1 a la entrada: la aceptación del riesgo puede ocurrir sin tratamiento de riesgo (3.72) o durante el proceso (3.54) de riesgo tratamiento. Nota 2 a la entrada: Los riesgos aceptados están sujetos a monitoreo (3.46) y revisión (3.58). 3.63 Análisis de riesgo: Proceso (3.54) para comprender la naturaleza del riesgo (3.61) y para determinar el nivel de riesgo (3.39) Nota 1 a la entrada: El análisis de riesgos proporciona la base para la evaluación de riesgos (3.67) y las decisiones sobre el tratamiento de riesgos (3.72). Nota 2 a la entrada: El análisis de riesgos incluye la estimación de riesgos. 3.64 Evaluación de riesgos: Proceso global (3.54) de identificación de riesgos (3.68), análisis de riesgos (3.63) y evaluación de riesgos (3.67)
  • 10. 3.65 Comunicación y consulta de riesgos: Conjunto de procesos continuos e iterativos (3.54) que una organización lleva a cabo para proporcionar, compartir u obtener información y entablar un diálogo con las partes interesadas (3.37) sobre la gestión de riesgos (3.61) Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza, forma, probabilidad (3.41), significado, Evaluación, aceptabilidad y tratamiento del riesgo. Nota 2 a la entrada: la consulta es un proceso bidireccional de comunicación informada entre una organización (3.50) y sus partes interesadas en un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es - un proceso que impacta en una decisión a través de la influencia en lugar del poder; y - una entrada para la toma de decisiones, no toma de decisiones conjunta. 3.66 Criterios de riesgo: Términos de referencia contra los cuales se evalúa la importancia del riesgo (3.61) Nota 1 a la entrada: los criterios de riesgo se basan en los objetivos de la organización, el contexto externo (3.22) y los criterios del contexto internos (3.38). Nota 2 a la entrada: los criterios de riesgo pueden derivarse de estándares, leyes, políticas (3.53) y otros requisitos (3.56). 3,67 evaluación de riesgo: proceso (3.54) de comparar los resultados del análisis de riesgo (3.63) con los criterios de riesgo (3.66) para determinar si el riesgo (3.61) y / o su magnitud es aceptable o tolerable Nota 1 a la entrada: La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos (3.72). [FUENTE: Guía ISO 73: 2009, 3.7.1] 3.68 identificación de riesgo: proceso (3.54) de búsqueda, reconocimiento y descripción de riesgos (3.61) Nota 1 a la entrada: La identificación del riesgo implica la identificación de las fuentes de riesgo, los eventos (3.21), sus causas y sus posibles consecuencias (3.12). Nota 2 a la entrada: la identificación de riesgos puede incluir datos históricos, análisis teóricos, opiniones informadas y de expertos, y las necesidades de los interesados (3.37).
  • 11. [FUENTE: Guía ISO 73: 2009, 3.5.1] 3,69 gestión de riesgos: actividades coordinadas para dirigir y controlar una organización (3.50) con respecto al riesgo (3.61) [FUENTE: Guía ISO 73: 2009, 2.1] Al aire libre © ISO / IEC 2018 - Todos los derechos reservados 9 Al aire libre ISO / IEC 27000: 2018 (E) 3.70 proceso de gestión de riesgos: Aplicación sistemática de políticas de gestión (3.53), procedimientos y prácticas a las actividades de comunicación, consulta, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgos (3.61) Nota 1 a la entrada: ISO / IEC 27005 utiliza el término "proceso" (3.54) para describir la gestión de riesgos en general. Los elementos dentro del proceso de gestión de riesgos (3.69) se conocen como "actividades". [FUENTE: Guía ISO 73: 2009, 3.1, modificada - Se ha agregado la Nota 1 a la entrada.] 3.71 propietario de riesgo: Persona o entidad con la responsabilidad y autoridad para gestionar un riesgo (3.61) [FUENTE: Guía ISO 73: 2009, 3.5.1.5] 3.72 tratamiento de riesgo: Proceso (3.54) para modificar riesgo (3.61). Nota 1 a la entrada: El tratamiento del riesgo puede incluir: - evitar el riesgo al decidir no comenzar o continuar con la actividad que genera el riesgo; - tomar o aumentar el riesgo para buscar una oportunidad; - eliminar la fuente de riesgo; - cambiando la probabilidad (3.40); - cambiando las consecuencias (3.12); - compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo); - Retener el riesgo por elección informada. Nota 2 a la entrada: los tratamientos de riesgo que tratan las consecuencias negativas a veces se denominan “mitigación de riesgo”, “eliminación de riesgo”, “prevención de riesgo” y “reducción de riesgo”. Nota 3 a la entrada: El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
  • 12. [FUENTE: Guía ISO 73: 2009, 3.8.1, modificada - “decisión” ha sido reemplazada por “elección” en la Nota 1 de la entrada.] 3.73 Estándar de implementación de seguridad: Documento que especifica formas autorizadas para realizar la seguridad. 3.74 Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización (3.50) 3.75 Alta dirección: Persona o grupo de personas que dirige y controla una organización (3.50) al nivel más alto Nota 1 a la entrada: la alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización. Nota 2 a la entrada: si el alcance del sistema de gestión (3.41) cubre solo parte de una organización, la alta gerencia se refiere a aquellos que dirigen y controlan esa parte de la organización. Nota 3 a la entrada: la alta dirección a veces se denomina administración ejecutiva y puede incluir a los directores ejecutivos, los directores financieros, los directores de información y otros cargos similares. 3.76 Entidad de comunicación de información confiable: Organización autónoma (3.50) que apoya el intercambio de información dentro de una comunidad de intercambio de información (3.34) 3.77 Vulnerabilidad: Debilidad de un activo o control (3.14) que puede ser explotado por una o más amenazas (3.74)