Seguridad de la información
¿Qué significan los términos evaluación de riesgos, declaración de aplicabilidad o anexo A?
Encuentre las respuestas a estos y otrs términos en nuestro glosario sobre la ISO 27001:2013.
Términos y definiciones del SGSI
-
ISO 27001:2013. La norma internacional para sistemas de gestión de seguridad de la información (SGSI). Se trata de un conjunto de actividades relacionadas con la gestión de los riesgos de la información. El SGSI es un marco de gestión general a través del cual la organización puede identificar, analizar y abordar lso riesgos relacionados con la información.
-
ISO 27002:2013. Indica los controles de seguridad de la información para el SGSI. Las empresas tienen liberatd para seleccionar e implementar otros controles.
-
ISO 27003:2013. Este documento proprociona orientación para la implementación de la ISO 27001:2013, inlcuyendo aspectos particulares del sistema de gestión. Su objetivo principal es proprocionar detalles y orientación sobre la norma ISO 27001:2013.
-
Información. La información es un activo que, al igual que otros activos comerciales importantes, es esencial para los negocios de una empresa. Por ello, necesita una protección adecuada.
-
Seguridad de la información. La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la información.
-
Confidencialidad. La información no está disponible ni se divulga a personas, entidades o procesos no autorizados.
-
Integridad. Este término hace referencia a la precisión e integridad de la información.
-
Disponibilidad. Definido como la información accesible y utilizable bajo solicitud de un organisno autorizado para ello.
-
Evaluación de riesgos. Identificación, análisis y evaluación de riesgos de todo el proceso.
-
Tratamiento del riesgo. Definido como el proceso para modificar el riesgo. El tratamiento del riesgo puede involucrar lo siguiente; evitar el riesgo al decidir no comenzar o continuar con la actividad, tomar o aumentar el riesgo buscando una oportunidad, eliminar el riesgo, cambiar la probabilidad, cambiar las consecuencias, compartir el riesgo o retener el riesgo.
-
Titular del riesgo. La persona o entidad con la responsabilidad y la autoridad para gestionar un riesgo.
-
Evento de seguridad de la información. Este término describe una ocurrencia identificada en un sistema, servicio o estado de la red que indica una posible infracción de la política de seguridad de la información o un fallo en los controles. Tamvién puede tratarse de una situación previamente desconocida que puede ser relevante para la seguridad de la información.
-
Incidente en la seguridad de la información. Definido como el evento de seguridad de la información no deseado que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
-
Continuidad de la seguridad de la información. Detalla los procesos y procedimientos para asegurar las operaciones de continuidad de la seguridad de la información.
-
Información documentada. La información requerida para ser controlada y mantenida por una organización y el medio en el que está contenida. Puede estar en cualquier formato y proceder de cualquier fuente y suele relacionarse ocn el sistema de gestión y sus procedimientos. Es la información creada para que la organización funcione y evidencia de los resultados logrados.
-
Declaración de aplicabilidad. Se refiere a los resultados de las evaluación de riesgos de la información y, en particular, a las decisiones sobre el tratamiento de dichos riesgos. Puede tomar la forma de una matriz que identifica varios riesgos de información en un eje y opciones de tratamiento del riesgo en el otro. También muestra cómo se deben tratar los riesgos, y quién es responsable de los mismos. Por lo general, hace referencia a los controles relevantes de la ISO/IEC 27002 pero la organización puede usar un marco completamente diferente.
-
Anexo A. Es una lista de títulos de las secciones de control según la SO 27002. El anexo es "normativo", lo que implica que se espera que las empresas certificadas lo utilicen, pero se permiten desviaciones en dicho tratamiento de riesgos.
-
Parte interesada. Aquella persona o empresa que puede afectar, verse afectada por una decisión o actividad.
-
Contexto interno. Ambiente interno en el que la empresa busca conseguir sus objetivos. El contexto interno incluye:
- Gobernanza, estructura organizacional, roles y responsabilidades.
- Políticas, objetivos y estrategias para alcanzarlos.
- Las capacidades, entendidas din términos de recursos y conocimiento.
- Sistemas de información, flujos de información y procesos de toma de decisiones.
- Relaciones, percepciones y valores de lartes interesadas internas.
- La cultura de la empresa.
- Normas, directrices y modelos adoptados por la organización
-
Contexto externo. Ambiente externo en el que la empresa busca conseguir sus objetivos. El contexto externo incluye:
- El entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local.
- Los impulsores clave y las tendencias que tienen impacto en los objetivos de la organización.
- Relaciones, percepción y valores de las partes interesadas externas.
- Control de acceso. Definido como los medios para asegurar que el acfeso a los bienes está autorizado y restringido a los requisitos de seguridad de la empresa.