Termíny a definice
Pro účely tohoto dokumentu jsou platné následující definice.
3.1
aktivum (asset)
cokoliv, co má pro organizaci nějakou hodnotu
[ISO/IEC 13335-1:2004]
3.2
dostupnost (availability)
zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby
[ISO/IEC 13335-1:2004]
3.3
důvěrnost (confidentiality)
zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni
[ISO/IEC 13335-1:2004]
3.4
bezpečnost informací (information security)
zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např.
autentičnost, odpovědnost, nepopiratelnost a hodnověrnost
[ISO/IEC 17799:2005]
3.5
bezpečnostní událost (information security event)
bezpečnostní událost je identifikovaný stav systému, služby nebo sítě, ukazující na možné
porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat
o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací
[ISO/IEC TR 18044:2004]
3.6
bezpečnostní incident (information security incident)
bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních
událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace
a ohrožení bezpečnosti informací
3.7
systém řízení bezpečnosti informací ISMS (information security management
system)
část celkového systému řízení organizace, založená na přístupu (organizace) k rizikům činností,
která je zaměřena na ustavení, zavádění, provoz, monitorování, přezkoumání, udržování
a zlepšování bezpečnosti informací
POZNÁMKA
Systém řízení zahrnuje organizační strukturu, politiky, plánovací činnosti, odpovědnosti,
praktiky, postupy, procesy a zdroje.
3.8
integrita (integrity)
zajištění správnosti a úplnosti informací
[ISO/IEC 13335-1:2004]
3.9
zbytkové riziko (residual risk)
riziko, které zůstane po implementaci bezpečnostních opatření
[ISO/IEC Guide 73:2002]
3.10
akceptace rizika (risk acceptance)
rozhodnutí přijmout riziko
[ISO/IEC Guide 73:2002]
3.11
analýza rizik (risk analysis)
systematické používání informací k odhadu rizika a k určení jeho zdrojů
[ISO/IEC Guide 73:2002]
3.12
hodnocení rizik (risk assessment)
celkový proces analýzy a vyhodnocení rizik
[ISO/IEC Guide 73:2002]
3.13
vyhodnocení rizik (risk evaluation)
proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu
[ISO/IEC Guide 73:2002]
3.14
řízení rizik (risk management)
koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika
[ISO/IEC Guide 73:2002]
POZNÁMKA
Řízení rizik zpravidla zahrnuje hodnocení rizik, zvládání rizik, akceptaci a seznámení s rizikem
3.15
zvládání rizik (risk treatment)
proces výběru a přijímání opatření pro změnu rizika
[ISO/IEC Guide 73:2002]
3.16
prohlášení o aplikovatelnosti (statement of applicability)
dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která
jsou relevantní a aplikovatelná v rámci ISMS organizace
POZNÁMKA
Cíle opatření a jednotlivá bezpečnostní opatření jsou založena na výsledcích a závěrech
procesů hodnocení a zvládání rizik, legislativních a regulatorních požadavcích, smluvních
závazcích a požadavcích organizace na bezpečnost informací.