Segurança da informação
O que significam os termos avaliação dos riscos, declaração de aplicabilidade ou Anexo A?
Encontre respostas para estes e outros termos no nosso glossário ISO 27001:2013.
Termos e definições do SGSI
-
ISO 27001:2013. La norma internacional para sistemas de gestión de seguridad de la información (SGSI). Se trata de un conjunto de actividades relacionadas con la gestión de los riesgos de la información. El SGSI es un marco de gestión general a través del cual la organización puede identificar, analizar y abordar lso riesgos relacionados con la información.
-
ISO 27002:2013. Indica os controlos de segurança da informação para o SGSI. As empresas são livres de selecionar e implementar outros controlos.
-
ISO 27003:2013. Este documento fornece orientações para a implementação da norma ISO 27001:2013, incluindo aspetos específicos do sistema de gestão. O seu principal objetivo é fornecer pormenores e orientações sobre a norma ISO 27001:2013.
-
Informação. A informação é um ativo que, tal como outros activos comerciais importantes, é essencial para a atividade de uma empresa. Por conseguinte, necessita de uma proteção adequada.
-
Segurança da informação. A segurança da informação assegura a confidencialidade, a disponibilidade e a integridade da informação.
-
Confidencialidade. As informações não estão disponíveis nem são divulgadas a pessoas, entidades ou processos não autorizados.
-
Integridade. Este termo refere-se à exatidão e ao carácter exaustivo da informação.
-
Disponibilidade. Definida como a informação que é acessível e utilizável a pedido de um organismo autorizado.
-
Avaliação dos riscos. Identificação, análise e avaliação dos riscos de todo o processo.
-
Tratamento do risco. Definido como o processo de modificação do risco. O tratamento do risco pode envolver o seguinte: evitar o risco decidindo não iniciar ou prosseguir a atividade, assumir ou aumentar o risco procurando uma oportunidade, eliminar o risco, alterar a probabilidade, alterar as consequências, partilhar o risco ou reter o risco.
-
Proprietário do risco. A pessoa ou entidade com a responsabilidade e autoridade para gerir um risco.
-
Evento de segurança da informação. Este termo descreve uma ocorrência identificada num sistema, serviço ou estado da rede que indica uma possível violação da política de segurança da informação ou uma falha dos controlos. Pode também ser uma situação previamente desconhecida que pode ser relevante para a segurança da informação.
-
Incidente de segurança da informação. Definido como um evento indesejado de segurança da informação que tem uma probabilidade significativa de comprometer as operações comerciais e ameaçar a segurança da informação.
-
Continuidade da segurança da informação. Descreve os processos e procedimentos para garantir a continuidade das operações de segurança da informação.
-
Informação documentada. A informação que deve ser controlada e mantida por uma organização e o suporte em que se encontra. Pode estar em qualquer formato e provir de qualquer fonte e está normalmente relacionada com o sistema de gestão e os seus procedimentos. É a informação criada para o funcionamento da organização e a evidência dos resultados alcançados.
-
Declaração de aplicabilidade. Refere-se aos resultados das avaliações dos riscos de informação e, em particular, às decisões sobre o tratamento desses riscos. Pode assumir a forma de uma matriz que identifica vários riscos de informação num eixo e opções de tratamento de riscos no outro. Também mostra como os riscos devem ser tratados e quem é responsável por eles. Refere-se normalmente aos controlos ISO/IEC 27002 relevantes, mas a organização pode utilizar um quadro completamente diferente.
-
Anexo A. Trata-se de uma lista de rubricas de secções de controlo de acordo com a norma SO 27002. O anexo é "normativo", o que implica que se espera que as empresas certificadas o utilizem, mas são permitidos desvios a este tratamento de risco.
-
Parte interessada. Persona o empresa que puede afectar o verse afectada por una decisión o actividad.
-
Contexto interno. O ambiente interno no qual a empresa procura atingir os seus objectivos. O contexto interno inclui:
- Governação, estrutura organizacional, funções e responsabilidades.
- Políticas, objectivos e estratégias para os alcançar.
- Capacidades, entendidas em termos de recursos e conhecimentos.
- Sistemas de informação, fluxos de informação e processos de tomada de decisão.
- As relações, as percepções e os valores das partes interessadas internas.
- A cultura da empresa.
- Normas, directrizes e modelos adoptados pela organização.
-
Contexto externo. O ambiente externo no qual a empresa procura atingir os seus objectivos. O contexto externo inclui:
- O ambiente cultural, social, político, jurídico, regulamentar, financeiro, tecnológico, económico, natural e competitivo, quer seja internacional, nacional, regional ou local.
- Principais factores e tendências com impacto nos objectivos da organização.
- Relações, percepções e valores das partes interessadas externas.
- Controlo do acesso. Definido como o meio de garantir que o acesso aos activos é autorizado e restringido aos requisitos de segurança da empresa.