Términos y definiciones dentro de la ISO-27001

La siguiente terminología aplica a esta norma:
Recurso (Asset): Cualquier cosa que tenga valor para la organización.

Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.

Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.

Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.

Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.

Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información.

Sistema de administración de la seguridad de la información (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información.

Nota:el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.

Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.

Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.

Aceptación de riesgo: Decisión de aceptar un riesgo.

Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.

Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.

Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.

ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a “Análisis y Valoración”, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial.

Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización.

Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo.

Nota:el término “control” en esta norma es empleado como sinónimo de “Medida o medición”.

Declaración de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organización del ISMS.

Nota:Estos controles están basados en los resultados y conclusiones de la valoración y los procesos de tratamiento de riesgo, los requerimientos y regulaciones legales, las obligaciones contractuales y los requerimientos de negocio para la seguridad de la información que defina la organización.

ISMS (Information Security Managemet System).

Requerimientos generales:

La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA comentado en el punto 0.2.

Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para:

• Aprobar documentos y prioridades o clasificación de empleo.
• Revisiones, actualizaciones y reaprobaciones de documentos.
• Asegurar que los cambios y las revisiones de documentos sean identificados.
• Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.
• Asegurar que los documentos permanezcan legibles y fácilmente identificables.
• Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación.
• Asegurar que los documentos de origen externo sean identificados.
• Asegurar el control de la distribución de documentos.
• Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito

Responsabilidades de administración:

La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:

• Establecimiento de la política del ISMS
• Asegurar el establecimiento de los objetivos y planes del ISMS.
• Establecer roles y responsabilidades para la seguridad de la información.
• Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.
• Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS (5.2.1).
• Decidir los criterios de aceptación de riesgos y los niveles del mismo.
• Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan a la administración para la revisión del ISMS (ver 7.)

Formación, preparación y competencia:

La organización asegurará que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación, guías y programas de formación y preparación).