Alguns conceitos que são imprescindíveis para certificação ISO 27002.
Ativo: Algo de valor para a organização.
Informação: É um ativo da organização, e um ativo muito importante, ela pode ser escrita (papel), falada em conversas ou telefone etc, pode ser armazenada, exibida em vídeos e transmitida. Outros usos e meios de distribuição, armazenamento desse ativo são criados com uma rapidez incrível.
Segurança da Informação: A “Arte” de proteger a informação, garantir a continuação dos negócios, diminuir os riscos, maximizar o retorno dos investimentos e aproveitar as oportunidades.
Confidencialidade: É a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização.
Disponibilidade: Propriedade da Informação de estar sempre disponível e alcançável para as pessoas autorizadas.
Integridade: Garantir a precisão das informações e dos métodos de processamento aos quais ela é submetida
Ameaça: Uma potencial causa de acidente, que pode resultar em dano ou perda a um sistema ou organização.
Ex: Vivemos sobre constante ameaça de fraude bancária através de mensagens de e-mail falso.
Vulnerabilidade: Uma fraqueza de um bem ou conjunto de bens, que podem ser explorados por uma ou mais ameaças.
Ex: Uma estação de trabalho com sistemas desatualizados, sendo operado por uma usuário não consciente de fraudes clicar em um link do e-mail falso.
Risco: É a probabilidade de uma ameaça explorar uma ou várias vulnerabilidades causando prejuízos a organização.
Ex: Quais as chances dessa ameaça explorar essa vulnerabilidade ? Normalmente estimado em porcentagem %. (de cada 10.000 e-mails recebidos 10 são desse tipo)
Controle: Forma de gerenciar um risco ele pode ser administrativo, técnico, de gestão ou legal. e inclui recursos, pessoas, políticas e pode ser sinônimo de contra-medida.
Ex: Uma sistema de anti-spam é implementado evitando que a ameaça seja concretizada.
Diretriz: Descreve o que deve ser feito e como deve ser feito para atingir os objetivos estabelecidos nas políticas.
Política:objetivos a serem atingidos e expressa o comprometimento da direção com a segurança da informação.
Terceira Parte: fornecedores, clientes, consultores, seguradoras etc. que tem contato com a informação.
Recurso do Processamento da Informação ->qualquer equipamento que possa ser utilizado para acessar divulgar ou armazenar informações.
Evento de Segurança da Informação: Ocorrência que possa ser identificado que indica a violação de uma política ou falha de um controle. Ou qualquer coisa que possa ser significante par a SI,
Incidente de Segurança da Informação: Quando um evento pode comprometer a SI ou a operação dos negócios.