1. OBJETO
Esta norma establece directrices y principios generales para iniciar, implementar, mantener ymejorar la gestión de la seguridad de la información en una organización. Los objetivos
indicados en esta norma brindan una guía general sobre las metas aceptadas comúnmente
para la gestión de la seguridad de la información.
Los objetivos de control y los controles de esta norma están destinados a ser implementados
para satisfacer los requisitos identificados por la evaluación de riesgos. Esta norma puede
servir como guía práctica para el desarrollo de normas de seguridad de la organización y para
las prácticas eficaces de gestión de la seguridad, así como para crear confianza en las
actividades entre las organizaciones.
2. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento se aplican los siguientes términos y definiciones:2.1 Activo. Cualquier cosa que tenga valor para la organización.
[NTC 5411-1:2006]
2.2 Control. Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices,
prácticas o estructuras de la organización que pueden ser de naturaleza administrativa, técnica,
de gestión o legal.
NOTA Control también se usa cono sinónimo de salvaguarda o contramedida.
2.3 Directriz. Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los
objetivos establecidos en las políticas.
[NTC 5411-1:2006]
2.4 Servicios de procesamiento de información. Cualquier servicio, infraestructura o sistema
de procesamiento de información o los sitios físicos que los albergan.
2.5 Seguridad de la información. Preservación de la confidencialidad, integridad y
disponibilidad de la información, además, otras propiedades tales como autenticidad,
responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
2.6 Evento de seguridad de la información. Un evento de seguridad de la información es la
presencia identificada de un estado del sistema, del servicio o de la red que indica un posible
incumplimiento de la política de seguridad de la información, una falla de controles, o una
situación previamente desconocida que puede ser pertinente para la seguridad.
[ISO/IEC TR 18044:2000]
2.7 Incidente de seguridad de la información. Un incidente de seguridad de la información
está indicado por un solo evento o una serie de eventos inesperados o no deseados de
seguridad de la información que tienen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información.
[ISO/IEC TR 18044:2000]
2.8 Política. Toda intención y directriz expresada formalmente por la Dirección.
2.9 Riesgo. Combinación de la probabilidad de un evento y sus consecuencias.
[ISO/IEC Guía 73:2002]
2.10 Análisis de riesgos. Uso sistemático de la información para identificar las fuentes y
estimar el riesgo.
[ISO/IEC Guía 73:2002]
2.11 Evaluación de riesgos. Todo proceso de análisis y valoración del riesgo.
[ISO/IEC Guía 73:2002]
2.12 Valoración del riesgo. Proceso de comparación del riesgo estimado frente a criterios de
riesgo establecidos para determinar la importancia del riesgo.
[ISO/IEC Guía 73:2002]
2.13 Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo.
[ISO/IEC Guía 73:2002]
2.14 Tratamiento del riesgo. Proceso de selección e implementación de medidas apara
modificar el riesgo.
[ISO/IEC Guía 73:2002]
2.15 Tercera parte. Persona u organismo reconocido por ser independiente de las partes
involucradas, con relación al asunto en cuestión.
[ISO/IEC Guía 2:1996]
2.16 Amenaza. Causa potencial de un incidente no deseado, que puede ocasionar daño a un
sistema u organización.
[NTC 5411-1:2006]
2.17 Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser aprovechada por
una o más amenazas.
[NTC 5411-1:2006]
No hay comentarios.:
Publicar un comentario