Termíny a definice
Pro účely tohoto dokumentu jsou platné následující definice.
2.1
aktivum (asset)
cokoliv, co má pro organizaci nějakou hodnotu
[ISO/IEC 13335-1:2004]
2.2
opatření (control)
prostředek řízení rizik, zahrnuje politiky, směrnice, metodické pokyny, praktiky nebo organizační
struktury, které mohou být povahy administrativní, technické, řídící nebo legislativní.
POZNÁMKA V anglickém originálu je termín „control“ synonymem slovům „safeguard“
(bezpečnostní opatření) a „counteremasure“ (protiopatření). Dle kontextu je „control“ překládáno
jako opatření, bezpečnostní opatření, případně kontrola
2.3
metodický postup, doporučení, postup (guideline)
popis, který objasňuje co a jak má být uděláno, k dosažení cílů stanovených v jednotlivých
politikách organizace
[ISO/IEC 13335-1:2004]
2.4
prostředky pro zpracování informací (information processing facilities)
jakýkoliv systém, služba nebo infrastruktura, zpracovávající informace anebo lokality, ve kterých
jsou umístěny
2.5
bezpečnost informací (information security)
zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např.
autentičnost, odpovědnost, nepopiratelnost a hodnověrnost
2.6
bezpečnostní událost (information security event)
bezpečnostní událost je identifikovaný stav systému, služby nebo sítě, ukazující na možné
porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat
o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací
[ISO/IEC TR 18044:2004]
2.7
bezpečnostní incident (information security incident)
bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních
událostí u kterých existuje vysoká pravděpodobnost kompromitace činností organizace
a ohrožení bezpečnosti informací
[ISO/IEC TR 18044:2004]
2.8
politika (policy)
celkový záměr a směr formálně vyjádřený vedením organizace
2.9
riziko (risk)
kombinace pravděpodobnosti, že dojde k nechtěné události a následků, které by z takové
události mohly vzniknout
[ISO/IEC TR 18044:2004]
2.10
analýza rizik (risk analysis)
systematické používání informací k odhadu rizika a k určení jeho zdrojů
[ISO/IEC Guide 73:2002]
2.11
hodnocení rizik (risk assessment)
celkový proces analýzy a vyhodnocení rizik
[ISO/IEC Guide 73:2002]
2.12
vyhodnocení rizik (risk evaluation)
proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu
[ISO/IEC Guide 73:2002]
2.13
řízení rizik (risk management)
koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika
POZNÁMKA Řízení rizik zpravidla zahrnuje hodnocení rizik, zvládání rizik, akceptaci
a seznámení s rizikem
[ISO/IEC Guide 73:2002]
2.14
zvládání rizik (risk treatment)
proces výběru a přijímání opatření pro změnu rizika
[ISO/IEC Guide 73:2002]
2.15
třetí strana (third party)
osoba, organizace nebo jiná seskupení, která jsou nezávislá na přímo zainteresovaných
stranách
[ISO/IEC Guide 2:1996]
2.16
hrozba (threat)
potenciální příčina nechtěného incidentu, která může vyústit v poškození systému nebo
organizace
[ISO/IEC 13335-1:2004]
2.17
zranitelnost (vulnerability)
slabina aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami
[ISO/IEC 13335-1:2004]