Termíny a definice

Pro účely tohoto dokumentu jsou platné následující definice.

2.1

aktivum (asset)

cokoliv, co má pro organizaci nějakou hodnotu

[ISO/IEC 13335-1:2004]

2.2

opatření (control)

prostředek řízení rizik, zahrnuje politiky, směrnice, metodické pokyny, praktiky nebo organizační

struktury, které mohou být povahy administrativní, technické, řídící nebo legislativní.

POZNÁMKA V anglickém originálu je termín „control“ synonymem slovům „safeguard“

(bezpečnostní opatření) a „counteremasure“ (protiopatření). Dle kontextu je „control“ překládáno

jako opatření, bezpečnostní opatření, případně kontrola

2.3

metodický postup, doporučení, postup (guideline)

popis, který objasňuje co a jak má být uděláno, k dosažení cílů stanovených v jednotlivých

politikách organizace

[ISO/IEC 13335-1:2004]

2.4

prostředky pro zpracování informací (information processing facilities)

jakýkoliv systém, služba nebo infrastruktura, zpracovávající informace anebo lokality, ve kterých

jsou umístěny

2.5

bezpečnost informací (information security)

zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např.

autentičnost, odpovědnost, nepopiratelnost a hodnověrnost

2.6

bezpečnostní událost (information security event)

bezpečnostní událost je identifikovaný stav systému, služby nebo sítě, ukazující na možné

porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat

o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací

[ISO/IEC TR 18044:2004]

2.7

bezpečnostní incident (information security incident)

bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních

událostí u kterých existuje vysoká pravděpodobnost kompromitace činností organizace

a ohrožení bezpečnosti informací

[ISO/IEC TR 18044:2004]

2.8

politika (policy)

celkový záměr a směr formálně vyjádřený vedením organizace

2.9

riziko (risk)

kombinace pravděpodobnosti, že dojde k nechtěné události a následků, které by z takové

události mohly vzniknout

[ISO/IEC TR 18044:2004]

2.10

analýza rizik (risk analysis)

systematické používání informací k odhadu rizika a k určení jeho zdrojů

[ISO/IEC Guide 73:2002]

2.11

hodnocení rizik (risk assessment)

celkový proces analýzy a vyhodnocení rizik

[ISO/IEC Guide 73:2002]

2.12

vyhodnocení rizik (risk evaluation)

proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu

[ISO/IEC Guide 73:2002]

2.13

řízení rizik (risk management)

koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika

POZNÁMKA Řízení rizik zpravidla zahrnuje hodnocení rizik, zvládání rizik, akceptaci

a seznámení s rizikem

[ISO/IEC Guide 73:2002]

2.14

zvládání rizik (risk treatment)

proces výběru a přijímání opatření pro změnu rizika

[ISO/IEC Guide 73:2002]

2.15

třetí strana (third party)

osoba, organizace nebo jiná seskupení, která jsou nezávislá na přímo zainteresovaných

stranách

[ISO/IEC Guide 2:1996]

2.16

hrozba (threat)

potenciální příčina nechtěného incidentu, která může vyústit v poškození systému nebo

organizace

[ISO/IEC 13335-1:2004]

2.17

zranitelnost (vulnerability)

slabina aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami

[ISO/IEC 13335-1:2004]