CAPITULO 1

1. OBJETO

Esta norma establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos indicados en esta norma brindan una guía general sobre las metas aceptadas comúnmente para la gestión de la seguridad de la información.

Los objetivos de control y los controles de esta norma están destinados a ser implementados para satisfacer los requisitos identificados por la evaluación de riesgos. Esta norma puede servir como guía práctica para el desarrollo de normas de seguridad de la organización y para las prácticas eficaces de gestión de la seguridad, así como para crear confianza en las actividades entre las organizaciones.

CAPITULO 2

2. TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento se aplican los siguientes términos y definiciones:

2.1 Activo. Cualquier cosa que tenga valor para la organización.

[NTC 5411-1:2006]

2.2 Control. Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal.

NOTA Control también se usa cono sinónimo de salvaguarda o contramedida.

2.3 Directriz. Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las políticas.

[NTC 5411-1:2006]

2.4 Servicios de procesamiento de información. Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan.

2.5 Seguridad de la información. Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.

2.6 Evento de seguridad de la información. Un evento de seguridad de la información es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad de la información, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad.

[ISO/IEC TR 18044:2000]

2.7 Incidente de seguridad de la información. Un incidente de seguridad de la información está indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

[ISO/IEC TR 18044:2000]

2.8 Política. Toda intención y directriz expresada formalmente por la Dirección.

2.9 Riesgo. Combinación de la probabilidad de un evento y sus consecuencias.

[ISO/IEC Guía 73:2002]

2.10 Análisis de riesgos. Uso sistemático de la información para identificar las fuentes y estimar el riesgo.

[ISO/IEC Guía 73:2002]

2.11 Evaluación de riesgos. Todo proceso de análisis y valoración del riesgo.

[ISO/IEC Guía 73:2002]

2.12 Valoración del riesgo. Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo.

[ISO/IEC Guía 73:2002]

2.13 Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

[ISO/IEC Guía 73:2002]

2.14 Tratamiento del riesgo. Proceso de selección e implementación de medidas apara modificar el riesgo.

[ISO/IEC Guía 73:2002]

2.15 Tercera parte. Persona u organismo reconocido por ser independiente de las partes involucradas, con relación al asunto en cuestión.

[ISO/IEC Guía 2:1996]

2.16 Amenaza. Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización.

[NTC 5411-1:2006]

2.17 Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser aprovechada por una o más amenazas.

[NTC 5411-1:2006]