1. Términos y definiciones
ISO e IEC mantienen bases de datos terminológicas para su uso en la
normalización en las siguientes direcciones:
- Plataforma de navegación en línea ISO: disponible en https://www.iso.org/obp
- IEC Electropedia: disponible en https://www.electropedia.org/
3.1 control de acceso: medios para garantizar que el acceso a los activos esté
autorizado y restringido según los requisitos comerciales y de seguridad
3.2 ataque: intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso
no autorizado o hacer un uso no autorizado de un activo
3.3 auditoría: proceso sistemático, independiente y documentado para obtener
evidencia de auditoría y evaluarla objetivamente para determinar hasta qué punto
se cumplen los criterios de auditoría
Nota 1: una auditoría puede ser una auditoría interna o una auditoría externa, y
puede ser una auditoría combinada (combinando dos o más disciplinas).
Nota 2: una auditoría interna es realizada por la organización misma o por una parte
externa en su nombre.
Nota 3: "Evidencia de auditoría" y "criterios de auditoría" se definen en ISO 19011.
3.4 Alcance de la auditoría: alcance y límites de una auditoría
3.5 Autenticación: garantía de que una característica reclamada de una entidad es
correcta
3.6 autenticidad: propiedad que una entidad es lo que dice ser.
3.7 disponibilidad
propiedad de ser accesible y utilizable a pedido por una entidad autorizada.
3.8 medida base
Medida (3.42) definida en términos de un atributo y el método para cuantificarlo.
Nota 1 a la entrada: una medida base es funcionalmente independiente de otras
medidas.
[FUENTE: ISO / IEC / IEEE 15939: 2017, 3.3, modificado - Se ha eliminado la Nota
2 a la entrada.]
3.9 competencia
2. Capacidad de aplicar conocimientos y habilidades para lograr los resultados
esperados.
3.10confidencialidad
propiedad de que la información no se pone a disposición o se divulga a personas,
entidades o entidades no autorizadas, o
procesos (3.54)
3.11 conformidad
cumplimiento de un requisito (3.56)
3.12 consecuencia
resultado de un evento (3.21) que afecta objetivos (3.49)
Nota 1 a la entrada: un evento puede llevar a una serie de consecuencias.
Nota 2 a la entrada: una consecuencia puede ser cierta o incierta y, en el contexto
de la seguridad de la información, generalmente es
negativo.
Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativamente o
cuantitativamente.
Nota 4 a la entrada: las consecuencias iniciales pueden escalar a través de los
efectos secundarios.
3.13 mejora continua: actividad recurrente para mejorar el rendimiento (3.52)
Al aire libre
3.14 controlar: Medida que está modificando el riesgo (3.61).
Nota 1 a la entrada: los controles incluyen cualquier proceso (3.54), política (3.53),
dispositivo, práctica u otras acciones que modifican el riesgo (3.61).
Nota 2 a la entrada: es posible que los controles no siempre ejerzan el efecto de
modificación previsto o supuesto.
[FUENTE: Guía ISO 73: 2009, 3.8.1.1 - Se ha cambiado la Nota 2 a la entrada.]
3.15 Objetivo de control: Declaración que describe lo que se debe lograr como
resultado de la implementación de controles (3.14)
3.16 corrección: Acción para eliminar una no conformidad detectada (3.47).
3. 3.17 Acción correctiva: Acción para eliminar la causa de una no conformidad (3.47)
y para prevenir la recurrencia.
3.18 medida derivada: Medida (3.42) que se define como una función de dos o más
valores de medidas base (3.8) [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.8,
modificado - Se ha eliminado la Nota 1 a la entrada.]
3.19 informacion documentada: La información que debe ser controlada y
mantenida por una organización (3.50) y el medio en el que se encuentra
Nota 1 a la entrada: la información documentada puede estar en cualquier formato
y medio y desde cualquier fuente.
Nota 2 a la entrada: la información documentada puede referirse
- el sistema de gestión (3.41), incluidos los procesos relacionados (3.54);
- información creada para que la organización (3.50) opere (documentación);
- Evidencia de resultados logrados (registros).
3.20 Eficacia: En qué medida se realizan las actividades planificadas y se logran
los resultados planificados.
3.21 Evento: ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: un evento puede ser una o más apariciones y puede tener
varias causas.
Nota 2 a la entrada: un evento puede consistir en algo que no sucede.
Nota 3 a la entrada: un evento a veces se puede denominar como un “incidente” o
“accidente”.
[FUENTE: Guía ISO 73: 2009, 3.5.1.3, modificada - Se ha eliminado la Nota 4 a la
entrada.]
3.22 contexto externo: Entorno externo en el que la organización busca alcanzar
sus objetivos (3.49).
Nota 1 a la entrada: el contexto externo puede incluir lo siguiente:
- el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico,
económico, natural y competitivo, ya sea internacional, nacional, regional o local;
- factores clave y tendencias que tienen impacto en los objetivos de la organización
(3.50);
- Relaciones, percepciones y valores de partes interesadas externas (3.37).
4. [FUENTE: Guía ISO 73: 2009, 3.3.1.1]
3.23 gobernanza de la seguridad de la información: sistema por el cual las
actividades de seguridad de la información (3.28) de una organización (3.28) son
dirigidas y controladas
3.24 Órgano rector: Persona o grupo de personas que son responsables del
desempeño (3.52) y la conformidad de la organización (3.50).
Nota 1 a la entrada: El órgano rector puede, en algunas jurisdicciones, ser una junta
directiva.
3.25 medida de indicador: (3.42) que proporciona una estimación o evaluación
3.26 la información necesita: la información necesaria para gestionar los objetivos
(3.49), objetivos, riesgos y problemas [FUENTE: ISO / IEC / IEEE 15939: 2017, 3.12]
3.27 facilidades de procesamiento de información cualquier procesamiento de
información sistema, servicio o infraestructura, o la ubicación física que lo alberga
3.28 seguridad de la información preservación de la confidencialidad (3.10),
integridad (3.36) y disponibilidad (3.7) de la información Nota 1 a la entrada:
Además, otras propiedades, como la autenticidad (3.6) La responsabilidad, la no
repudiación (3.48) y la confiabilidad (3.55) también pueden involucrarse.
3.29 procesos de continuidad de la seguridad de la información (3.54) y
procedimientos para garantizar la continuidad de las operaciones de seguridad de
la información (3.28).
3.30 evento de seguridad de la información identificado como ocurrencia de un
sistema, servicio o estado de la red que indica un posible incumplimiento de la
política de seguridad de la información (3.28) (3.53) o falla de controles (3.14), o
una situación previamente desconocida que puede ser relevante para la seguridad
3.31 Incidente de seguridad de la información.
uno o una serie de eventos de seguridad de la información no deseados o
inesperados que tienen una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la información.
3.32 Gestión de incidentes de seguridad de la información.
5. Conjunto de procesos para detectar, informar, evaluar, responder, tratar y aprender
en forma de incidentes de seguridad de la información.
3.33 Sistema de gestión de seguridad de la información (SGSI) profesional
Persona que establece, implementa, mantiene y mejora continuamente una o más
información.
3.34 Comunidad de intercambio de información
Grupo de organizaciones que aceptan compartir información.
3.35 Sistema de información
conjunto de aplicaciones, servicios, activos de tecnología de la información u otros
componentes de manejo de información.
3.36 Integridad.
propiedad de la exactitud y la integridad
3.37 Tenedor de apuestas: persona u organización que puede afectar, verse
afectada o percibirse como afectada por una decisión o actividad
3.38 contexto interno: entorno interno en el que la organización busca alcanzar
sus objetivos.
Nota 1: el contexto interno puede incluir:
- gobierno, estructura organizacional, roles y responsabilidades;
- políticas, objetivos y las estrategias que existen para alcanzarlos;
- las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo,
capital, tiempo, personas, procesos, sistemas y tecnologías);
- sistemas de información, flujos de información y procesos de toma de decisiones
(tanto formales como informales);
- relaciones con, y percepciones y valores de las partes interesadas internas;
- la cultura de la organización;
6. - normas, lineamientos y modelos adoptados por la organización;
- Forma y alcance de las relaciones contractuales.
3.39 nivel de riesgo: magnitud de un riesgo expresado en términos de la
combinación de consecuencias y su probabilidad
3.40 probabilidad: posibilidad de que algo suceda
3.41 sistema de gestión: conjunto de elementos interrelacionados o interactivos
de una organización para establecer políticas, objetivos y procesos para alcanzar
esos objetivos
Nota 1: un sistema de gestión puede abordar una sola disciplina o varias disciplinas.
Nota 2: Los elementos del sistema incluyen la estructura de la organización, roles y
responsabilidades, planificación y operación.
Nota 3: el alcance de un sistema de gestión puede incluir la totalidad de la
organización, funciones específicas e identificadas de la organización, secciones
específicas e identificadas de la organización, o una o más funciones en un grupo
de organizaciones.
Medida 3.42: variable a la que se asigna un valor como resultado de la medición
3.43 Medición: proceso para determinar un valor
3.44 Función de medición: Algoritmo o cálculo realizado para combinar dos o más
medidas base.
3.45 Método de medida: secuencia lógica de operaciones, descrita genéricamente,
utilizada para cuantificar un atributo con respecto a una escala especificada
Nota: El tipo de método de medición depende de la naturaleza de las operaciones
utilizadas para cuantificar un atributo. Se pueden distinguir dos tipos:
subjetivo: Cuantificación que involucra el juicio humano;
objetivo: Cuantificación basada en reglas numéricas.
3.46 Vigilancia
determinar el estado de un sistema, un proceso o una actividad.
7. Nota: Para determinar el estado, puede ser necesario verificar, supervisar u
observar críticamente.
3.47 Disconformidad: no cumplimiento de un requisito
3.48 No repudio: Capacidad para demostrar la ocurrencia de un evento o acción
reclamada y sus entidades de origen.
3,49 objetivo: resultado a lograr
Nota 1 a la entrada: un objetivo puede ser estratégico, táctico u operacional.
Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas
(como finanzas, salud y seguridad, y
objetivos ambientales) y se pueden aplicar a diferentes niveles [tales como
estratégico, de organización, proyecto, producto proceso (3.54)].
Nota 3 a la entrada: un objetivo se puede expresar de otras maneras, por ejemplo,
como un resultado intencional, un propósito, un
criterio operacional, como un objetivo de seguridad de la información o por el uso
de otras palabras con un significado similar (por ejemplo,
objetivo, objetivo u objetivo).
Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la
información, los objetivos de seguridad de la información son
establecido por la organización, de conformidad con la política de seguridad de la
información, para lograr resultados específicos.
3,50 organización: Persona o grupo de personas que tiene sus propias funciones
con responsabilidades, autoridades y relaciones.
Para lograr sus objetivos (3.49).
Nota 1 a la entrada: El concepto de organización incluye, pero no se limita a,
comerciante individual, compañía, corporación, firma,
empresa, autoridad, sociedad, organización benéfica o institución, o parte o
combinación de los mismos, ya sea incorporada O no, pública o privada.
3.51 externalizar: hacer un arreglo donde una organización externa (3.50) realiza
parte de la función de una organización proceso (3.54)
Nota 1 a la entrada: una organización externa está fuera del alcance del sistema de
gestión (3.41), aunque
La función o proceso subcontratado está dentro del alcance.
8. 3.52 actuación: resultado medible
Nota 1 a la entrada: El rendimiento puede relacionarse con resultados cuantitativos
o cualitativos.
Nota 2 a la entrada: El rendimiento puede relacionarse con la gestión de actividades,
procesos (3.54), productos (incluidos servicios), sistemas u organizaciones (3.50).
3.53 política: intenciones y dirección de una organización (3.50), según lo
expresado formalmente por su alta dirección (3.75)
3.54 proceso: conjunto de actividades interrelacionadas o interactivas que
transforman entradas en salidas
3.55 Fiabilidad: propiedad de un comportamiento y resultados consistentes
previstos
3.56 Requisito: necesidad o expectativa que se indique, generalmente implícita u
obligatoria
Nota 1 a la entrada: "Generalmente implícita" significa que es costumbre o práctica
común para la organización y
partes interesadas de que está implícita la necesidad o la expectativa que se está
considerando.
Nota 2 a la entrada: Un requisito especificado es uno que se indica, por ejemplo, en
la información documentada.
3.57riesgo residual: riesgo (3,61) restante después del tratamiento con riesgo
(3,72)
Nota 1 a la entrada: El riesgo residual puede contener riesgo no identificado.
Nota 2 a la entrada: El riesgo residual también puede denominarse "riesgo retenido".
3.58 Revisión: actividad emprendida para determinar la idoneidad, adecuación y
eficacia (3.20) de la materia
alcanzar los objetivos establecidos (3.49)
[FUENTE: Guía ISO 73:2009, 3.8.2.2, modificada — Se ha eliminado la Nota 1 a la
entrada.]
3.59 objeto de revisión: elemento específico que se está revisando
3.60 objetivo de revisión: declaración que describe lo que se debe lograr como
resultado de un examen (3.59).
9. 3.61 Riesgo: Efecto de la incertidumbre sobre los objetivos.
Nota 1 a la entrada: un efecto es una desviación de lo esperado - positivo o negativo
Nota 2 a la entrada: la incertidumbre es el estado, incluso parcial, de la deficiencia
de la información relacionada con, comprensión o conocimiento de, un evento, su
consecuencia, o probabilidad.
Nota 3 a la entrada: el riesgo se caracteriza a menudo por referencia a "eventos"
potenciales (como se define en la Guía 73: 2009 de ISO, 3.5.1.3) y “consecuencias”
(como se define en la Guía 73: 2009 de la ISO, 3.6.1.3), o una combinación de
éstas.
Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación
de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la
"probabilidad" asociada (según se define en la Guía 73: 2009 de la ISO, 3.6.1.1) de
la ocurrencia.
Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la
información, los riesgos de seguridad de la información pueden ser expresado como
efecto de la incertidumbre sobre los objetivos de seguridad de la información.
Nota 6 a la entrada: el riesgo de que la seguridad de la información está asociado
con la posibilidad de que las amenazas aprovechen la vulnerabilidad es de un activo
de información o grupo de activos de información y, por lo tanto, causa daño a una
organización.
3.62 Aceptación del riesgo: Decisión informada de tomar un riesgo particular
(3.61)
Nota 1 a la entrada: la aceptación del riesgo puede ocurrir sin tratamiento de riesgo
(3.72) o durante el proceso (3.54) de riesgo tratamiento.
Nota 2 a la entrada: Los riesgos aceptados están sujetos a monitoreo (3.46) y
revisión (3.58).
3.63 Análisis de riesgo: Proceso (3.54) para comprender la naturaleza del riesgo
(3.61) y para determinar el nivel de riesgo (3.39)
Nota 1 a la entrada: El análisis de riesgos proporciona la base para la evaluación de
riesgos (3.67) y las decisiones sobre el tratamiento de riesgos (3.72).
Nota 2 a la entrada: El análisis de riesgos incluye la estimación de riesgos.
3.64 Evaluación de riesgos: Proceso global (3.54) de identificación de riesgos
(3.68), análisis de riesgos (3.63) y evaluación de riesgos (3.67)
10. 3.65 Comunicación y consulta de riesgos: Conjunto de procesos continuos e
iterativos (3.54) que una organización lleva a cabo para proporcionar, compartir u
obtener información y entablar un diálogo con las partes interesadas (3.37) sobre la
gestión de riesgos (3.61)
Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza,
forma, probabilidad (3.41), significado,
Evaluación, aceptabilidad y tratamiento del riesgo.
Nota 2 a la entrada: la consulta es un proceso bidireccional de comunicación
informada entre una organización (3.50) y sus partes interesadas en un tema antes
de tomar una decisión o determinar una dirección sobre ese tema. La consulta es
- un proceso que impacta en una decisión a través de la influencia en lugar del
poder; y
- una entrada para la toma de decisiones, no toma de decisiones conjunta.
3.66 Criterios de riesgo: Términos de referencia contra los cuales se evalúa la
importancia del riesgo (3.61)
Nota 1 a la entrada: los criterios de riesgo se basan en los objetivos de la
organización, el contexto externo (3.22) y los criterios del contexto internos (3.38).
Nota 2 a la entrada: los criterios de riesgo pueden derivarse de estándares, leyes,
políticas (3.53) y otros requisitos (3.56).
3,67 evaluación de riesgo: proceso (3.54) de comparar los resultados del análisis
de riesgo (3.63) con los criterios de riesgo (3.66) para determinar si el riesgo (3.61)
y / o su magnitud es aceptable o tolerable
Nota 1 a la entrada: La evaluación de riesgos ayuda en la decisión sobre el
tratamiento de riesgos (3.72).
[FUENTE: Guía ISO 73: 2009, 3.7.1]
3.68 identificación de riesgo: proceso (3.54) de búsqueda, reconocimiento y
descripción de riesgos (3.61)
Nota 1 a la entrada: La identificación del riesgo implica la identificación de las
fuentes de riesgo, los eventos (3.21), sus causas y sus posibles consecuencias
(3.12).
Nota 2 a la entrada: la identificación de riesgos puede incluir datos históricos,
análisis teóricos, opiniones informadas y de expertos, y las necesidades de los
interesados (3.37).
12. [FUENTE: Guía ISO 73: 2009, 3.8.1, modificada - “decisión” ha sido reemplazada
por “elección” en la Nota 1 de la entrada.]
3.73 Estándar de implementación de seguridad: Documento que especifica
formas autorizadas para realizar la seguridad.
3.74 Amenaza: Causa potencial de un incidente no deseado, que puede causar
daños a un sistema u organización (3.50)
3.75 Alta dirección: Persona o grupo de personas que dirige y controla una
organización (3.50) al nivel más alto
Nota 1 a la entrada: la alta dirección tiene el poder de delegar autoridad y
proporcionar recursos dentro de la organización.
Nota 2 a la entrada: si el alcance del sistema de gestión (3.41) cubre solo parte de
una organización, la alta gerencia se refiere a aquellos que dirigen y controlan esa
parte de la organización.
Nota 3 a la entrada: la alta dirección a veces se denomina administración ejecutiva
y puede incluir a los directores ejecutivos, los directores financieros, los directores
de información y otros cargos similares.
3.76 Entidad de comunicación de información confiable: Organización
autónoma (3.50) que apoya el intercambio de información dentro de una comunidad
de intercambio de información (3.34)
3.77 Vulnerabilidad: Debilidad de un activo o control (3.14) que puede ser
explotado por una o más amenazas (3.74)