Pro účely tohoto dokumentu jsou platné následující definice.

3.1

aktivum (asset)

cokoliv, co má pro organizaci nějakou hodnotu

[ISO/IEC 13335-1:2004]

3.2

dostupnost (availability)

zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby

[ISO/IEC 13335-1:2004]

3.3

důvěrnost (confidentiality)

zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni

[ISO/IEC 13335-1:2004]

3.4

bezpečnost informací (information security)

zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např.

autentičnost, odpovědnost, nepopiratelnost a hodnověrnost

[ISO/IEC 17799:2005]

3.5

bezpečnostní událost (information security event)

bezpečnostní událost je identifikovaný stav systému, služby nebo sítě, ukazující na možné

porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat

o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací

[ISO/IEC TR 18044:2004]

3.6

bezpečnostní incident (information security incident)

bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních

událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace

a ohrožení bezpečnosti informací

3.7

systém řízení bezpečnosti informací ISMS (information security management

system)

část celkového systému řízení organizace, založená na přístupu (organizace) k rizikům činností,

která je zaměřena na ustavení, zavádění, provoz, monitorování, přezkoumání, udržování

a zlepšování bezpečnosti informací

POZNÁMKA

Systém řízení zahrnuje organizační strukturu, politiky, plánovací činnosti, odpovědnosti,

praktiky, postupy, procesy a zdroje.

3.8

integrita (integrity)

zajištění správnosti a úplnosti informací

[ISO/IEC 13335-1:2004]

3.9

zbytkové riziko (residual risk)

riziko, které zůstane po implementaci bezpečnostních opatření

[ISO/IEC Guide 73:2002]

3.10

akceptace rizika (risk acceptance)

rozhodnutí přijmout riziko

[ISO/IEC Guide 73:2002]

3.11

analýza rizik (risk analysis)

systematické používání informací k odhadu rizika a k určení jeho zdrojů

[ISO/IEC Guide 73:2002]

3.12

hodnocení rizik (risk assessment)

celkový proces analýzy a vyhodnocení rizik

[ISO/IEC Guide 73:2002]

3.13

vyhodnocení rizik (risk evaluation)

proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu

[ISO/IEC Guide 73:2002]

3.14

řízení rizik (risk management)

koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika

[ISO/IEC Guide 73:2002]

POZNÁMKA

Řízení rizik zpravidla zahrnuje hodnocení rizik, zvládání rizik, akceptaci a seznámení s rizikem

3.15

zvládání rizik (risk treatment)

proces výběru a přijímání opatření pro změnu rizika

[ISO/IEC Guide 73:2002]

3.16

prohlášení o aplikovatelnosti (statement of applicability)

dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která

jsou relevantní a aplikovatelná v rámci ISMS organizace

POZNÁMKA

Cíle opatření a jednotlivá bezpečnostní opatření jsou založena na výsledcích a závěrech

procesů hodnocení a zvládání rizik, legislativních a regulatorních požadavcích, smluvních

závazcích a požadavcích organizace na bezpečnost informací.