Acción para rectificar la causa de una no conformidad detectada, un evento disruptivo u otra situación indeseable y prevenir que vuelva a ocurrir.

• NOTA 1: Puede haber más de una causa para una no conformidad.
• NOTA 2: La acción correctiva se toma para prevenir que algo vuelva a producirse, mientras que la acción preventiva se toma para prevenir que algo suceda.

Fuente:

Norma ISO 18788, Norma ISO 27000, Norma ISO 45001, Estándar ASIS BCM, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Cambio proactivo o mejora implementada para tratar una vulnerabilidad que todavía no ha causado una no conformidad, acción tomada para eliminar la causa de una no conformidad potencial u otra situación potencial no deseada.

• NOTA 1: Puede haber más de una causa para una no conformidad potencial.
• NOTA 2: La acción preventiva se toma para prevenir que algo suceda, mientras que la acción correctiva se toma para rectificar un problema y prevenir que vuelva a producirse.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS RA, Evaluacion de riesgos, Estándar ANSI/ASIS PAP, Estándar ASIS BCM, Estándar ANSI/ASIS PSC

Decisión informada en favor de retener, recibir o tomar un riesgo particular.

• NOTA 1: La aceptación del riesgo puede tener lugar sin que exista tratamiento del riesgo o durante el proceso de tratamiento del riesgo.
• Nota 2: La aceptación del riesgo también puede ser un proceso.
• Nota 3: Los riesgos aceptados son objeto de seguimiento

Fuente:

Norma ISO 18788, Norma ISO 27000, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ASIS BCM, Estándar ANSI/ASIS RA

Cualquier elemento que tenga valor tangible o intangible para la organización.

• NOTA 1: Los activos tangibles incluyen personas (consideradas los activos más valiosos), activos físicos y ambientales.
• NOTA 2: Los activos intangibles incluyen la información, la marca y la reputación.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Guia ASIS SA, Guía ASIS ESRM

Se refiere a las acciones, procesos y movimientos de la carga dentro de la cadena de suministro que ocurren después de que la carga deja el control directo operacional de la organización, incluyendo pero no limitado al seguro, finanzas, gestión de información y el empaque, almacenamiento y transferencia de la carga. 

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Se refiere a las acciones, procesos y movimientos de la carga dentro de la cadena de suministro que ocurren antes de que la carga se encuentre bajo el control directo operacional de la organización, incluyendo pero no limitado al seguro, finanzas, gestión de información y el empaque, almacenamiento y transferencia de la carga. 

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Extensión y límites de una auditoría

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Persona o grupo de personas responsables de la formulación de metas, objetivos, estrategias y políticas, y de la asignación de recursos, en una organización; dirigen y controlan una organización al más alto nivel.

• NOTA 1: La alta dirección tiene el poder para delegar autoridad y proporcionar recursos dentro de la organización
• NOTA 2: Si el alcance del sistema de gestión comprende sólo una parte de una organización, entonces “alta dirección” se refiere a quienes dirigen y controlan esa parte de la organización.
• NOTA 3: Por ejemplo, directores, gestores y directivos de una organización que pueden asegurarse de que se han establecido sistemas de gestión eficaces – incluyendo seguimiento financiero y sistemas de control– para proteger los activos, la capacidad de ganancia, el nivel de ingresos y la reputación de la organización.
• NOTA 4: La Alta Dirección, especialmente en una organización multinacional grande, puede no estar personalmente involucrada como se menciona en normas internacionales; sin embargo la responsabilidad de la Alta Dirección a través de la cadena de mando debe ser manifiesta.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información, Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo, Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ASIS BCM, Sistemas de gestión de la continuidad del negocio, Estándar ANSI/ASIS RA, Evaluacion de riesgos, Guía ASIS SA, Conciencia de Seguridad

Cualquier conducta verbal o física, acción o serie de acciones intencionales o se percibe razonablemente como que implica una intención de causar potencialmente un evento indeseado, que puede dar como resultado daños a las personas, a los activos, a un sistema o una organización o a su cadena de suministro, al entorno, o a la comunidad.

Fuente:

Norma ISO 27000, Norma ISO 28000, Estándar ASIS BCM, Estándar ANSI/ASIS PAP, Estándar ASIS/SHRM WVPI, Guía ASIS SA

Proceso de identificación y cuantificación de las causas potenciales de un evento indeseado que puede resultar en daños a las personas, activos, un sistema u organización, el entorno o la comunidad.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Proceso diseñado para identificar, evaluar y clasificar sistemáticamente los impactos positivos y negativos sobre las partes interesadas, los activos, los servicios y las actividades de una organización, basándose en la importancia de su misión o función, o en la importancia de una interrupción en la capacidad de la organización para cumplir con sus objetivos y expectativas.

• Nota: Determina qué cualidades o grados de riesgo son de mayor importancia para la ejecución exitosa de los objetivos de una organización o que podrían representar un punto de inflexión decisivo en la ejecución de la estrategia.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, “Estándar ANSI/ASIS RA, Evaluacion de riesgos”

Proceso de identificación y cuantificación de aquello que crea debilidad frente a una fuente de riesgo que puede conducir a consecuencias.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Proceso sistemático que permite caracterizar y comprender la naturaleza del riesgo y determinar el nivel de riesgo.

• NOTA 1: El análisis del riesgo proporciona las bases para la evaluación del riesgo y para tomar las decisiones relativas al tratamiento del riesgo.
• NOTA 2: El análisis del riesgo incluye la estimación del riesgo.

Fuente:

Norma ISO 18788, Norma ISO 27000, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Guía ISO 73, Guía ASIS SSE

Cantidad y tipo de riesgo que una organización está preparada para buscar o retener.

• NOTA: La cantidad total de exposición que una organización desea asumir sobre la base de las ventajas comparativas riesgo-rendimiento para uno o más resultados deseados y esperados.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Proceso sistemático que permite caracterizar y comprender la naturaleza del riesgo y determinar el nivel de riesgo.

• NOTA 1: El análisis del riesgo proporciona las bases para la evaluación del riesgo y para tomar las decisiones relativas al tratamiento del riesgo.
• NOTA 2: El análisis del riesgo incluye la estimación del riesgo.

Fuente:

Norma ISO 18788, Norma ISO 27000, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Guía ISO 73, Guía ASIS SSE

Proceso global y sistemático que comprende la identificación del riesgo, el análisis del riesgo y la evaluación del riesgo.

Fuente:

Norma ISO 18788, Norma ISO 27000, Estándar ASIS BCM, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Guía ISO 73

Tentativa de destruir, exponer, alterar, inhabilitar, robar o acceder sin autorización o hacer un uso no autorizado de un activo.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Propiedad o característica de un objeto que es cuantitativa o cualitativamente distinguible por medios humanos o automáticos.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Persona con atributos personales demostrados y competencia para llevar a cabo una auditoría.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PAP, Sistema de gestion de la protección física de activos

Aportación de garantías de que son correctas las características que una entidad reivindica para sí misma

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Propiedad consistente en que una entidad es lo que dice ser.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Satisfacción de las necesidades y expectativas físicas, mentales, sociales y cognitivas de un trabajador relacionadas con su trabajo.

• Nota 1: El bienestar en el trabajo también puede contribuir a la calidad de vida fuera del trabajo.
• Nota 2: El bienestar en el trabajo se refiere a todos los aspectos de la vida laboral, incluida la organización del trabajo, los factores sociales en el trabajo, el entorno de trabajo, el equipo y las tareas peligrosas.

Fuente:

Norma ISO 45003

Organización o persona que contrata, ha contratado previamente, o pretende contratar a otra entidad para que entregue un producto o realice un servicio en su nombre, que incluye según corresponda, cuando tal entidad subcontrata con otra empresa o fuerzas locales.

• NOTA 1: Ejemplos de clientes son consumidores, contratistas, usuarios finales, minoristas, beneficiarios y compradores.
• NOTA 2: El cliente puede ser interno (por ejemplo, otra división) o externo a la organización.

Fuente:

Norma ISO 18788, Código de conducta para proveedores de seguridad privada, Estándar ANSI/ASIS INV
Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Grupo de organizaciones (2.57) que acuerdan compartir información.

• NOTA: Una organización (2.57) puede ser un individuo.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Capacidad demostrable de aplicar conocimiento y habilidades con el fin de lograr los resultados previstos.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información, Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo, Estándar ANSI/ASIS RA, Evaluacion de riesgos

Procesos continuos, iterativos y bidireccionales que realiza una organización para proporcionar, compartir u obtener información y para establecer el diálogo con y entre partes interesadas y responsables de la toma de decisiones, antes de tomar una decisión en relación con la gestión del riesgo.

• NOTA 1: La información puede corresponder a la existencia, la naturaleza, la forma, la probabilidad, la importancia, la evaluación, la gravedad, la aceptabilidad y el tratamiento de la gestión del riesgo.
• NOTA 2: La consulta constituye un proceso de comunicación informada de doble via entre una organización y sus partes interesadas u otros, sobre un aspecto antes de tomar una decisión o determinar una orientación sobre dicho aspecto. La consulta es: Un proceso que impacta sobre una decisión a través de la influencia más que por la autoridad o poder; y una contribución para una toma de decisión, y no una toma de decisión conjunta.

Fuente:

Norma ISO 18788, Norma ISO 27000, Norma ISO 45001, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Guía ISO 73

Agrupación de organizaciones, individuos y grupos asociados que comparten intereses comunes.

NOTA 1: Las comunidades impactadas son los grupos de personas y organizaciones asociadas que se ven afectadas por la prestación, los proyectos o las operaciones de los servicios de seguridad.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Propiedad de la información por la que se mantiene inaccesible y no se revela a individuos, entidades o procesos (2.61) no autorizados.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Cumplimiento de un requisito.

• NOTA: El término “conformidad” es sinónimo pero está obsoleto”.

Fuente:

[ISO 9000:2005][ANSI/ASIS/RIMS RA.1-2015]​ [ANSI/ASIS PAP.1-2012],  [ANSI/ASIS PSC.1-2012]
[ANSI/ASIS PSC.2-2012], [ANSI/ASIS ORM.1-2017][ANSI/ASIS SPC.2 – 2014 – with note]

Cumplimiento de un requisito.

• NOTA: El término “conformance” es sinónimo, pero está en desuso.

Fuente:

Norma ISO 18788, Norma ISO 27000, Norma ISO 45001, Estándar ASIS BCM, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Resultado de un evento o efecto de una acción, circunstancia o decisión que afecta a los objetivos.

• NOTA 1: Un evento puede conducir a una serie de consecuencias.
• NOTA 2: Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre la consecución de los objetivos.
• NOTA 3: Las consecuencias se pueden expresar de forma cualitativa o cuantitativa.
• NOTA 4: Las consecuencias iniciales pueden escalar a través de efectos acumulativos a partir de un evento que activa reacciones en cadena.
• NOTA 5: Las consecuencias se califican en términos de la magnitud o la gravedad de los impactos.

Fuente:

Norma ISO 18788, Norma ISO 27000, Estándar ASIS BCM, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Guía ISO 73

Entorno externo en el que la organización busca alcanzar sus objetivos (2.56).

• NOTA: El entorno externo puede incluir lo siguiente: – el entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local, – los factores y las tendencias que tengan impacto sobre los objetivos (2.56) de la organización (2.57), – las relaciones con las partes interesadas externas (2.82), sus percepciones y sus valores.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Entorno interno en el que la organización (2.57) busca alcanzar sus objetivos.

• NOTA: El contexto interno puede incluir lo siguiente: – el gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas, – las políticas (2.60), los objetivos (2.56) y las estrategias que se establecen para conseguirlo, – las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos (2.61), sistemas y tecnologías), – los sistemas de información (2.39), los flujos de información y los procesos (2.61) de toma de decisiones (tanto formales como informales), – las relaciones con, y las percepciones y los valores de las partes interesadas internas (2.82), – la cultura de la organización (2.57), – las normas, las directrices y los modelos adoptados por la organización (2.57), – la forma y amplitud de las relaciones contractuales.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Procesos (2.61) y procedimientos para asegurar la continuidad de las actividades relacionadas con la seguridad de la información (2.33).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Establecer un acuerdo mediante el cual una organización (3.1) externa realiza parte de una función o proceso (3.25) de una organización

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Establecer un acuerdo mediante el cual una organización (2.57) externa realiza parte de una función o proceso (2.61) de una organización (2.57). NOTA 1 Una organización externa está fuera del alcance del sistema de gestión (2.46), aunque la función o proceso (2.61) contratado externamente forme parte del alcance.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Organización (3.1) externa que proporciona servicios a la organización en el lugar de trabajo (3.6) de acuerdo con las especificaciones, términos y condiciones acordados

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Medida que modifica un riesgo NOTA 1 Los controles incluyen cualquier proceso (2.61), política (2.60), dispositivo, práctica, u otras acciones que modifiquen un riesgo (2.68). NOTA 2 Los controles no siempre pueden proporcionar el efecto de modificación previsto o asumido.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Medios para asegurar que el acceso a los activos está autorizado y restringido en función de los requisitos de negocio y de seguridad

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Acción para eliminar una no conformidad (2.53) detectada

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Acción para eliminar la causa de una no conformidad detectada.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Umbrales, objetivos o patrones que se utilizan para determinar la necesidad de una acción o de una mayor investigación, o para describir el nivel de confianza en un resultado determinado

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Términos de referencia respecto a los que se evalúa la importancia de un riesgo.

• NOTA 1: Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto interno y externo.
• NOTA 2: Los criterios de riesgo se pueden obtener de normas [estándares], leyes, políticas y otros requisitos.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Efecto adverso en la condición física, mental o cognitiva de una persona

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Conjunto de valores asociados a medidas básicas (2.10), medidas derivadas (2.22) y/o indicadores

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Uso de fuerza razonable en defensa de uno mismo o de terceros.

• NOTA 1: La fuerza mortal solo debería utilizarse en defensa propia o en defensa de terceros cuando parece razonablemente necesaria frente a una amenaza de muerte o de lesiones graves inminentes, o para prevenir la comisión de un delito especialmente grave que implique un peligro para la vida de las personas.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Resultado medible

• NOTA 1: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
• NOTA 2: El desempeño se puede relacionar con la gestión de actividades, procesos (2.61), productos (incluidos servicios), sistemas u organizaciones (2.57).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Desempeño (3.25) relacionado con la eficacia (3.13) de la prevención de los daños y deterioro de la salud (3.18) para los trabajadores (3.3) y la provisión de lugares de trabajo (3.6) seguros y saludables

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Persona o grupo de personas en la(s) que los órganos de gobierno (2.29) han delegado la responsabilidad de implementar estrategias y políticas para alcanzar la misión de la organización (2.57).

• NOTA: La dirección ejecutiva a veces se llama alta dirección (2.84) y puede incluir directores generales, directores financieros, directores de la información, y otros roles similares.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Propiedad de ser accesible y estar listo para su uso a demanda de una entidad autorizada

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Información y su medio de soporte.

• NOTA: el medio de soporte puede ser papel, disco magnético, óptico o electrónico, fotografía o muestra patrón, o una combinación de estos.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (2.68).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Grado en el que se realizan las actividades planificadas y se logran los resultados planificados

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Evaluación de los programas de aseguramiento de la calidad, ensayando las funciones de los miembros de los equipos y del personal, y probando los sistemas de la organización (por ejemplo, la tecnología, los protocolos de presentación de informes, la administración) para demostrar la gestión y aseguramiento de la calidad, la competencia y la capacidad.

• NOTA 1: Los ejercicios incluyen actividades desempeñadas con el propósito de formar y condicionar en las respuestas apropiadas a las personas que trabajan para la organización, con el objetivo de lograr el máximo desempeño.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC,  Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Cualquier organización que realiza o contrata operaciones de seguridad y cuyas actividades empresariales incluyen la prestación de servicios de seguridad tanto en su propio nombre como en nombre de terceros.

• NOTA 1: Las empresas de seguridad privada y los proveedores de servicios de seguridad privada se conocen en conjunto como ESP.
• NOTA 2: Las ESP proporcionan servicios a sus clientes con el objetivo de garantizar su seguridad y la de otros.
• NOTA 3: Generalmente las ESP trabajan en circunstancias en que el gobierno puede ser débil o el estado de derecho/principio de legalidad están debilitadas debido a eventos causados por la naturaleza o el ser humano y prestan servicios para los cuales se puede requerir que el personal porte armas en el desempeño de sus deberes, de acuerdo con los términos de su contrato.
• NOTA 4: Los servicios de seguridad proporcionados por las ESP pueden incluir, por ejemplo: vigilancia; protección personal; medidas de protección física; capacitación y toma de conciencia sobre seguridad; evaluación del riesgo, la seguridad y amenazas; provisión de medidas de protección y defensivas para recintos y perímetros diplomáticos y residenciales; escolta de transporte; y análisis de políticas.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PSC

Organización (2.57) independiente que sustenta el intercambio de información dentro de un colectivo que comparte información (2.38).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Conjunto ordenado de valores, continuo o discreto, o un conjunto de categorías a las que se asigna el atributo (2.4).

• NOTA: El tipo de escala depende de la naturaleza de la relación entre los valores de la escala. Comúnmente se identifican cuatro tipos de escala de la siguiente manera: – nominal: los valores de medición (2.48) son categorías,ordinal: los valores de medición (2.48) son categorías ordenadas, – intervalo: los valores de las mediciones (2.48) se ajustan a rangos de valores cuantitativos del atributo (2.4), – proporción: los valores de las mediciones (2.48) son relativos y proporcionales al valor de otro atributo (2.4), correspondiendo el valor cero al valor cero del atributo. Estos son sólo ejemplos de tipos de escala.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Proceso usado para asignar valores a la probabilidad y a las consecuencias de un riesgo .

Fuente:

Guía ISO 73, Vocabulario gestión de riesgo

Proceso (2.61) de comparación de los resultados del análisis de riesgo (2.70) con los criterios de riesgo (2.73) para determinar si el riesgo (2.68) y/o su magnitud son aceptables o tolerables.

• NOTA: La evaluación del riesgo ayuda a la toma de decisiones sobre el tratamiento del riesgo (2.79).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Ocurrencia o cambio de un conjunto particular de circunstancias.

• NOTA 1: Un evento puede ser único o repetirse, y se puede deber a varias causas.
• NOTA 2: Un evento puede consistir en algo que no se llega a producir.
• NOTA 3: Algunas veces, un evento se puede calificar como un “incidente” o un “accidente”.
• NOTA 4: Un evento sin consecuencias también se puede citar como “cuasi accidente” o “incidente”.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Evento que interrumpe las actividades, operaciones o funciones planificadas, ya sea previsto o inesperado.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Cualquier evento que tenga el potencial de causar pérdida de vidas, daños a los activos tangibles o intangibles, o tener un impacto negativo sobre los derechos humanos y las libertades fundamentales de las partes interesadas internas y externas.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible violación de la política (2.60) de seguridad de la información (2.33), un fallo de los controles (2.16), o una situación desconocida hasta el momento y que puede ser relevante para la seguridad.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Elemento o actividad que tiene consecuencias potenciales.

Fuente:

Guía ISO 73, Vocabulario gestión de riesgo

Algoritmo o cálculo realizado para combinar dos o más medidas básicas (2.10)

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Procesos (2.61) para la detección, notificación, evaluación, respuesta, tratamiento, y aprendizaje de incidentes de seguridad de la información (2.36).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Actividades y prácticas sistemáticas y coordinadas por medio de las cuales una organización maneja de manera óptima sus riesgos y las amenazas e impactos potenciales asociados derivados de ellos. 

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Actividades coordinadas para dirigir y controlar una organización con respecto al aseguramiento de la calidad.

• NOTA: La dirección y control con respecto al aseguramiento de la calidad incluye generalmente el establecimiento de la política, la planificación y los objetivos que dirigen los procesos operacionales y la mejora continua.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Sistema mediante el cual una organización (2.57) dirige y supervisa las actividades de seguridad de la información (2.33).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Proceso que permite encontrar, alistar y caracterizar las fuentes.

Fuente:

Guía ISO 73, Vocabulario gestión de riesgo

Proceso que comprende la búsqueda, el reconocimiento y la descripción de los riesgos.

• NOTA 1: La identificación del riesgo implica la identificación de las fuentes de riesgo, los eventos, sus causas y sus consecuencias potenciales.
• NOTA 2: La identificación del riesgo puede implicar datos históricos, análisis teóricos, opiniones informadas y de expertos, así como necesidades de las partes interesadas.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Evento que podría tener, o tiene la capacidad de causar pérdidas, daños a objetivos, conducir a pérdidas humanas, intangibles o físicas, o a la interrupción de las operaciones, servicios o actividades de una organización, que, si no se gestiona, pueden escalar a una emergencia, crisis o desastre.

Fuente:

Norma ISO 45001, Estándar ASIS BCM, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS RA, Guía ASIS SA, Guía ASIS SSE

Evento singular o serie de eventos de seguridad de la información (2.35), inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información (2.33).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Medida (2.47) que proporciona una estimación o una evaluación de determinados atributos (2.4) usando un modelo analítico (2.2) para satisfacer unas determinadas necesidades de información (2.31).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Nombre, número de la Seguridad Social, fecha de nacimiento, número de licencia de conducir o de identificación oficial del Estado o del gobierno, número de registro de extranjeros, número de pasaporte del gobierno, número de identificación del empleador o del contribuyente;

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Planta, maquinaria, propiedad, edificios, vehículos, embarcaciones, instalaciones portuarias y otros elementos de infraestructura ó plantas y sistemas relacionados, que tienen una función o servicio empresarial distintivo y cuantificable.

• NOTA: Esta definición incluye cualquier código de software que sea crítico para la obtención de seguridad y la aplicación de gestión de la misma.

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Propiedad de salvaguardar la precisión y completitud de los activos.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Todo individuo, grupo u organización que puede afectar, ser afectado o sentirse él mismo afectado
por un riesgo.

Fuente:

Guía ISO 73, Vocabulario gestión de riesgo

Sugar bajo el control de la organización (3.1) donde una persona necesita estar o adonde necesita ir por razones de trabajo

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Proceso (2.61) para determinar un valor.

• NOTA: En el contexto de seguridad de la información (2.33), el proceso (2.61) para determinar un valor requiere información sobre la eficacia (2.24) de un sistema de gestión (2.46) de seguridad de la información (2.33) y sus correspondientes controles (2.16) utilizando un método de medición (2.50), una función de medición (2.49), un modelo analítico (2.2), y unos criterios de decisión (2.21)

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Variable a la que se le asigna un valor como resultado de una medición (2.48). NOTA El término “medidas” se utiliza para hacer referencia conjuntamente a medidas de base (2.10), medidas derivadas (2.22), e indicadores (2.30)

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Medida (2.47) definida por medio de un atributo (2.4) y el método para cuantificarlo.

• NOTA: Una medida básica es funcionalmente independiente de otras medidas.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Medida (2.47) que se define en función de dos o más valores de medidas básicas (2.10).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Requisito de desempeño detallado aplicable a la organización o a partes de ella, que tiene su origen en los objetivos y que es necesario establecer y cumplir para alcanzar dichos objetivos.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Nivel de desempeño específico requerido para lograr un objetivo de la gestión de la seguridad. 

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Secuencia lógica de operaciones, descritas genéricamente, utilizada en la cuantificación de un atributo (2.4) con respecto a una escala (2.80) especificada.

• NOTA: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo (2.4). Se pueden distinguir dos tipos de la siguiente manera: – subjetivo: la cuantificación se basa en el juicio humano, – objetivo: la cuantificación se basa en reglas numéricas.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Algoritmo o cálculo que combina una o más medidas básicas (2.10) y/o derivadas (2.22) siguiendo los criterios de decisión asociados a las mismas

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Conocimiento necesario para gestionar los objetivos, (2.56), las metas, el riesgo y los problemas

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Magnitud de un riesgo (2.68) o combinación de riesgos, expresados en términos de la combinación de las consecuencias (2.14) y de su probabilidad (2.45).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Incumplimiento de un requisito.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Capacidad para corroborar que es cierta la reivindicación de que ocurrió un cierto evento (2.25) o se realizó una cierta acción por parte de las entidades que lo originaron.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Documento que especifica las formas autorizadas para satisfacer las necesidades de seguridad.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Reglas de comportamiento social reconocidas y aceptadas.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Resultado a lograr.

• NOTA 1 Un objetivo puede ser estratégico, táctico u operativo.
• NOTA 2 Los objetivos pueden referirse a diferentes disciplinas (como financieras, de seguridad y salud y ambientales) y se pueden aplicar en diferentes niveles (como estratégicos, para toda la organización, para proyectos, productos y procesos (2.61).
• NOTA 3 Un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, un objetivo de seguridad de la información (2.33), o mediante el uso de términos con un significado similar (por ejemplo, finalidad o meta).
• NOTA 4 En el contexto de sistemas de gestión (2.46) de la seguridad de la información (2.33), la organización establece los objetivos de seguridad de la información (2.33), en concordancia con la política (2.60) de seguridad de la información (2.33), para lograr resultados específicos.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Declaración que describe lo que se quiere lograr como resultado de la implementación de controles

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Resultado ó logro específico de seguridad requerido para cumplir con la política de gestión de seguridad. 

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Declaración que describe lo que se quiere lograr como resultado de una revisión (2.65).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Objetivo (3.16) establecido por la organización (3.1) para lograr resultados específicos coherentes con la política de la SST (3.15)

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Aquello que se busca, o a lo que se aspira, relacionado con el aseguramiento de la calidad.

• NOTA 1: Los objetivos de la calidad se basan generalmente en la política de la calidad de la organización.
• NOTA 2: Los objetivos de la calidad se especifican generalmente para funciones y niveles pertinentes en la organización.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Elemento caracterizado por medio de la medición (2.48) de sus atributos (2.4).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Elemento específico que está siendo revisado.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Circunstancia o conjunto de circunstancias que pueden conducir a la mejora del desempeño de la SST

Fuente:

Norma ISO 45001
Sistemas de gestión de la seguridad y salud en el trabajo

Persona o conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones para el logro de sus objetivos (por ejemplo, compañía, corporación, firma, empresa, institución, institución de beneficencia, empresa unipersonal, asociación, o parte o una combinación de las anteriores).

Fuente:

Norma ISO 18788, Norma ISO 27000, Norma ISO 45001, Estándar ASIS BCM, Estándar ANSI/ASIS PAP
Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA

Conjunto de personas que responden de y rinden cuentas del desempeño (2.59) de la organización (2.57).

• NOTA: Algunas jurisdicciones, el órgano de gobierno puede ser el consejo de administración.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Persona u organización que puede afectar, estar afectada, o percibir que está afectada por una decisión o actividad.

• NOTA: Una persona que toma decisiones puede ser una parte interesada.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Implicación de los trabajadores (3.3) en el proceso o procesos de toma de decisiones en el sistema de gestión de la SST (3.11)

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Fuente de un daño potencial o condiciones (físicas u operativas) que tienen la capacidad de producir un tipo particular de efectos adversos.

Fuente:

Norma ISO 45001, Estándar ANSI/ASIS PAP

Las peores formas de trabajo infantil incluyen:

• a) Todas las formas de esclavitud o las prácticas análogas a la esclavitud, como la venta y la trata de niños, la servidumbre por deudas y la servidumbre, y el trabajo forzoso u obligatorio, incluido el reclutamiento forzoso u obligatorio de niños para utilizarlos en conflictos armados.
• b) El uso, proxenetismo u ofrecimiento de niños para la prostitución, la producción de pornografía o de actuaciones pornográficas.
• c) El uso, proxenetismo u ofrecimiento de niños para la realización de actividades ilícitas, en particular para la producción y el tráfico de estupefacientes, tal como se definen en los tratados internacionales pertinentes.
• d) El trabajo que, por su naturaleza o por las circunstancias en que se lleva a cabo, es probable que dañe la salud, la seguridad o la moral de los niños.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Manera en que un inversionista considera un riesgo a partir de un conjunto de valores o preocupaciones.

Fuente:

Guía ISO 73, Vocabulario gestión de riesgo

Plan de acción claramente definido y documentado, que típicamente cubre el personal, recursos, servicios y acciones claves necesarios para implementar el proceso de gestión de eventos.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PSC, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada

Parte de la gestión centrada en establecer objetivos de aseguramiento de la calidad y en especificar los procesos operacionales y los recursos relacionados necesarios para cumplir los objetivos de aseguramiento de la calidad.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Intenciones y dirección de una organización (3.1), como las expresa formalmente su alta dirección

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Intenciones y direcciones generales de una organización, relacionadas con la seguridad y estructura para el control de procesos y actividades relacionados con seguridad, que se derivan de la política y los requisitos de reglamentación de la organización y son coherentes con ellos.

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Política (3.14) para evitar los daños y el deterioro de la salud (3.18) relacionados con el trabajo a los trabajadores (3.3) y para proporcionar uno o varios lugares de trabajo (3.6) seguros y saludables

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Intenciones y dirección generales de una organización relacionadas con el aseguramiento de la calidad según lo expresado formalmente por su alta dirección.

• NOTA 1: Normalmente, la política de aseguramiento de la calidad es coherente con la política general de la organización, y proporciona un marco de trabajo para fijar los objetivos de aseguramiento de la calidad.
• NOTA 2: Los principios de gestión y aseguramiento de la calidad presentados en este estándar pueden constituir la base para establecer una política de la calidad coherente con los principios y obligaciones indicados en el ICoC y el Documento de Montreux.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Medidas que permiten a una organización evitar, impedir o limitar la probabilidad y el impacto de un evento potencialmente disruptivo.

Fuente:

Norma ISO 18788, Estándar ANSI/ASIS PAP, Estándar ANSI/ASIS RA, Estándar ANSI/ASIS BCM

Posibilidad de que algún hecho se produzca.

• NOTA: En la terminología de la gestión del riesgo, la palabra “probabilidad” se utiliza para indicar la posibilidad de que algún hecho se produzca, que esta posibilidad está definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos generales o de forma matemática (tales como una probabilidad o una frecuencia sobre un periodo de tiempo dado).

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Forma especificada de llevar a cabo una actividad o un proceso.

• NOTA 1: Los procedimientos pueden documentarse o no documentarse.
• NOTA 2: Cuando un procedimiento está documentado, se utiliza con frecuencia el término “procedimiento escrito” o “procedimiento documentado”. El documento que contiene un procedimiento puede denominarse “documento de procedimiento”.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de entrada en elementos de salida.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Aplicación sistemática de políticas (2.60), procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo (2.68)

• NOTA: La Norma ISO/IEC 27005 utiliza el término ‘proceso’ (2.61) para describir la gestión integral del riesgo. Los elementos dentro del proceso (2.61) de gestión del riesgo (2.76) se denominan ‘actividades’.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Son los medios mediante los cuales se logra un objetivo de gestión de la seguridad. 

Fuente:

Norma ISO 28000, Sistema de gestión de la seguridad para la cadena de suministro

Actividades estructuradas llevadas a cabo por una organización (2.57) para implementar un SGSI.

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Punto, paso o proceso en el que se pueden aplicar controles y puede prevenir una amenaza o peligro, eliminarlo o reducirlo hasta niveles aceptables .

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC, Estándar ANSI/ASIS RA, Evaluacion de riesgos

Documento que presenta los resultados obtenidos o proporciona evidencia de actividades desempeñadas.

• NOTA: Los registros pueden utilizarse, por ejemplo, para documentar la trazabilidad y para proporcionar evidencia de verificaciones, acciones preventivas y acciones correctivas.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Compilación de todos los riesgos identificados, analizados y evaluados en el proceso de apreciación del riesgo.

• NOTA: El registro de riesgos incluye información sobre la probabilidad, consecuencias, tratamientos y dueños de los riesgos.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Necesidad o expectativa que está establecida, generalmente implícita u obligatoria.

• NOTA 1 “Generalmente implícita” significa que es una costumbre o práctica común en la organización (2.57) y en las partes interesadas, que la necesidad o expectativa que se considera está implícita.
• NOTA 2 Un requisito especificado es el que está declarado, por ejemplo, en información documentada (2.23).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Requisitos (3.8) establecidos por ley que son aplicables a la organización (3.1), obligaciones

Fuente:

Norma ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo

Uno o más indicadores (2.30) y sus correspondientes interpretaciones que abordan una necesidad de información (2.31).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información

Actividad que se realiza para determinar la idoneidad, la adecuación y la eficacia del tema estudiado para conseguir los objetivos establecidos.

• NOTA: La revisión se puede aplicar a un marco de trabajo de la gestión del riesgo, a un proceso de gestión del riesgo, a un riesgo o al control.

Fuente:

Norma ISO 18788, Sistema de gestión para la calidad de las operaciones de las empresas de seguridad privada, Estándar ANSI/ASIS PSC

Efecto de la incertidumbre sobre la consecución de los objetivos.

• NOTA 1: Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.
• NOTA 2: La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un evento (2.25), de sus consecuencias (2.14) o de su probabilidad (2.45).
• NOTA 3: Con frecuencia, el riesgo se caracteriza por referencia a eventos (2.25) potenciales y a sus consecuencias (2.14) o una combinación de ambos.
• NOTA 4: Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias (2.14) de un evento (2.25) (incluyendo los cambios en las circunstancias) y de su probabilidad (2.45).
• NOTA 5: En el contexto de sistemas de gestión (2.46) de la seguridad de la información (2.33), los riesgos de seguridad de la información (2.33) se pueden expresar como el efecto de la incertidumbre sobre los objetivos (2.56) de seguridad de la información (2.33).
• NOTA 6: El riesgo de seguridad de la información (2.33) se relaciona con la posibilidad de que las amenazas (2.83) exploten vulnerabilidades (2.89) de un activo o grupo de activos de información y causen daño a una organización (2.57).

Fuente:

Norma ISO 27000, Sistemas de Gestión de la Seguridad de la Información