ESTÁNDAR ISO/IEC INTERNACIONAL 27001

Términos y definiciones

1 Activo: Cualquier cosa que tenga valor para la organización

2 Disponibilidad: la propiedad de estar disponible y utilizable cuando lo requiera una

entidad autorizada
3 Confidencialidad: la propiedad que esa información esté disponible y no sea divulgada
a personas, entidades o procesos no-autorizados
4 seguridad de información: preservación de la confidencialidad, integridad y
disponibilidad de la información; además, también pueden estar involucradas otras
propiedades como la autenticidad, responsabilidad, no-repudio y confiabilidad
5 evento de seguridad de la información: una ocurrencia identificada del estado de un
sistema, servicio o red indicando una posible violación de la política de seguridad de la
información o falla en las salvaguardas, o una situación previamente desconocida que
puede ser relevante para la seguridad.
6 incidente de seguridad de la información: un solo o una serie de eventos de seguridad
de la información no deseados o inesperados que tienen una significativa probabilidad
de comprometer las operaciones comerciales y amenazan la seguridad de la
información.
7 sistema de gestión de seguridad de la información: SGSI esa parte del sistema
gerencial general, basada en un enfoque de riesgo comercial; para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
información NOTA: El sistema gerencial incluye la estructura organizacional, políticas,
actividades de planeación, responsabilidades, prácticas, procedimientos, procesos y
recursos
8 integridad: la propiedad de salvaguardar la exactitud e integridad de los activos.
9 riesgo residual: el riesgo remanente después del tratamiento del riesgo
10 aceptación de riesgo: decisión de aceptar el riesgo
11 análisis de riesgo: uso sistemático de la información para identificar fuentes y para
estimar el riesgo
12 valuación del riesgo: proceso general de análisis del riesgo y evaluación del riesgo
13 evaluación del riesgo: proceso de comparar el riesgo estimado con el criterio de riesgo
dado para determinar la importancia del riesgo
14 gestión del riesgo: actividades coordinadas para dirigir y controlar una organización
con relación al riesgo
15 tratamiento del riesgo: proceso de tratamiento de la selección e implementación de
medidas para modificar el riesgo NOTA: En este Estándar Internacional el término
‘control’ se utiliza como sinónimo de ‘medida’.
16 enunciado de aplicabilidad: enunciado documentado que describe los objetivos de
control y los controles que son relevantes y aplicables al SGSI de la organización.