Ativo:
Qualquer coisa que tenha valor para a organização.
Disponibilidade:
Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
Confidencialidade:
Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
Segurança da informação:
Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
Evento de segurança da informação:
Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.Incidente de segurança da informação:
Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
Sistema de gestão da segurança da informação -SGSI:
A parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
Obs: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
Integridade:
Propriedade de salvaguarda da exatidão e completeza de ativos.
Risco residual:
Risco remanescente após o tratamento de riscos.
Aceitação do risco:
Decisão de aceitar um risco.
Análise de riscos:
Uso sistemático de informações para identificar fontes e estimar o risco.
Análise/avaliação de riscos:
Processo completo de análise e avaliação de riscos.
Avaliação de riscos:
Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
Gestão de riscos:
Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.
Referência:
ABNT NBR ISO/IEC 27001
Nenhum comentário:
Postar um comentário