Art. 35 · Definiciones

Art. 35

Definiciones

En vigor desde 13 mar 2015
Artículo 35 Definiciones A efectos del presente capítulo, se entenderá por: a)   «Acreditación»: autorización formal y aprobación concedidas a un sistema de información y comunicaciones por la Autoridad de Acreditación de Seguridad (AAS) para tratar ICUE en su entorno operativo, tras la validación formal del plan de seguridad y su correcta aplicación. b)   «Proceso de acreditación»: medidas necesarias y tareas requeridas con anterioridad a la acreditación por la AAS. Estas medidas y tareas se especificarán en una norma del proceso de acreditación. c)   «Sistema de información y comunicaciones» (SIC): sistema que permite manejar información en formato electrónico. Abarca todos los medios necesarios para su funcionamiento, incluidos la infraestructura, la organización y los recursos de personal e información. d)   «Riesgo residual»: riesgo que persiste una vez aplicadas las medidas de seguridad, dado que no es posible contrarrestar todas las amenazas ni eliminar todas las vulnerabilidades. e)   «Riesgo»: posibilidad de que una determinada amenaza se aproveche de las vulnerabilidades internas o externas de una organización o de cualquier sistema que esta utilice y al hacerlo ocasione daños a la organización o a sus activos tangibles o intangibles. Se mide como la combinación de la probabilidad de que se cumplan las amenazas y de su repercusión. f)   «Aceptación del riesgo»: decisión de aceptar, una vez tratado el riesgo, la persistencia de un riesgo residual. g)   «Evaluación del riesgo»: determinación de las amenazas y vulnerabilidades y realización del correspondiente análisis del riesgo, es decir, el análisis de la probabilidad y las repercusiones. h)   «Comunicación del riesgo»: sensibilización sobre los riesgos a las comunidades de usuarios de SIC e información sobre tales riesgos a las autoridades responsables de la aprobación y a las autoridades operativas. i)   «Tratamiento del riesgo»: atenuación, supresión o reducción del riesgo (adoptando una combinación adecuada de medidas técnicas, físicas, de gestión o de procedimiento), transferencia del riesgo o seguimiento del mismo.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:dec:2015:444:oj#art-35