Definizioni 1

Question 1

Rischio
[ISO 31000]

Answer 1

Effetto dell’incertezza sugli obiettivi
- Un effetto è una deviazione dal previsto. Può essere positivo, negativo o entrambi e può affrontare, creare o portare a opportunità e minacce.
- Gli obiettivi possono avere aspetti e categorie diverse e possono essere applicati
a diversi livelli.
- Il rischio è solitamente espresso in termini di fonti di rischio, potenziali eventi, loro conseguenze e loro probabilità.

Question 2

Rischio
[ISO 27000]

Answer 2

Effetto dell’incertezza sugli obiettivi
- Un effetto è una deviazione dal previsto: positivo o negativo.
- L’incertezza è lo stato, anche parziale, di carenza di informazioni relative,
comprensione o conoscenza di, un evento, la sua conseguenza o probabilità.
- Il rischio è spesso caratterizzato dal riferimento a potenziali “eventi” (come definito
nella Guida ISO 73:2009, 3.5.1.3) e “conseguenze” (come definito nella Guida
ISO 73:2009, 3.6.1.3), o una combinazione di questi.
- Il rischio è spesso espresso in termini di una combinazione delle conseguenze di
un evento (compresi i cambiamenti nelle circostanze) e la relativa “probabilità”
(come definita nella Guida ISO 73:2009, 3.6.1.1) di occorrenza.
- Nel contesto dei sistemi di gestione della sicurezza delle informazioni, i rischi per
la sicurezza delle informazioni possono essere espressi come effetto
dell’incertezza sugli obiettivi di sicurezza delle informazioni.
- Il rischio per la sicurezza delle informazioni è associato al potenziale che le minacce
sfruttino le vulnerabilità di una risorsa informativa o di un gruppo di risorse
informative e quindi causino danni a un’organizzazione.

Question 3

Risk
Management

Answer 3

Attività coordinate per dirigere e controllare un’organizzazione per quanto riguarda
il rischio

Question 4

Risk
Management
Process

Answer 4

Applicazione sistematica di politiche, procedure e pratiche di gestione alle attività di
comunicazione, consulenza, definizione del contesto e identificazione, analisi,
valutazione, trattamento, monitoraggio e revisione del rischio

Question 5

Process
[ISO 9000]

Answer 5

Insieme di attività interconnesse o interagenti che utilizzano input per fornire un
risultato previsto
- Se il “risultato previsto” di un processo è chiamato output (3.7.5), prodotto (3.7.6)
o servizio (3.7.7) dipende dal contesto del riferimento.
- Gli input di un processo sono generalmente gli output di altri processi e gli output
di un processo sono generalmente gli input di altri processi.
- Due o più processi interconnessi e interagenti in serie possono anche essere
indicati come processo.
- I processi in un’organizzazione (3.2.1) sono generalmente pianificati ed eseguiti in
condizioni controllate per aggiungere valore.
- Un processo in cui la conformità (3.6.11) della produzione risultante non può
essere facilmente o economicamente convalidata è spesso indicato come un
“processo speciale”.
- Questo costituisce uno dei termini comuni e delle definizioni fondamentali per gli
standard del sistema di gestione ISO indicati nell’allegato SL del supplemento ISO
consolidato alle direttive ISO/IEC, parte 1. La definizione originale è stata modificata
per evitare la circolarità tra processo e output e sono state aggiunte le note da 1 a
5 alla voce.

Question 6

Procedure
[ISO 9000]

Answer 6

Modo specificato per svolgere un’attività o un processo
- Le procedure possono essere documentate o meno.

Question 7

Project

Answer 7

Sforzo temporaneo per raggiungere uno o più obiettivi definiti

Question 8

Stakeholders

Answer 8

Persona o organizzazione che può influenzare, essere influenzata da, o

percepiscono di essere influenzati da una decisione o attività
- Il termine “interested party” può essere usato come alternativa a “stakeholder”.

Question 9

Evento

Answer 9

Occorrenza o cambiamento di una particolare serie di circostanze

• Un evento può avere una o più occorrenze e può avere diverse cause e diverse
  conseguenze (3.6).
• Un evento può anche essere qualcosa che è previsto che non accade, o
  qualcosa che non è previsto che accade.
• Un evento può essere una fonte di rischio.

Question 10

Conseguenza

Answer 10

Esito di un evento che influisce sugli obiettivi

• Una conseguenza può essere certa o incerta e può avere effetti diretti o indiretti
  positivi o negativi sugli obiettivi.
• Le conseguenze possono essere espresse qualitativamente o quantitativamente.
• Qualsiasi conseguenza può aumentare attraverso effetti a cascata e cumulativi.

Question 11

Likelihood (probabilità)

Answer 11

Possibilità che succeda qualcosa

• Nella terminologia di gestione del rischio, la parola “verosimiglianza” è usata per
  riferirsi alla possibilità che qualcosa accada, sia definita, misurata o determinata
  oggettivamente o soggettivamente, qualitativamente o quantitativamente, e
  descritta usando termini generali o matematicamente (come una probabilità o
  una frequenza in un determinato periodo di tempo).
• Il termine inglese “ verosimiglianza “ non ha un equivalente diretto in alcune lingue;
  invece, viene spesso usato l’equivalente del termine “probabilità”. Tuttavia, in
  inglese, “probabilità” è spesso interpretata in modo restrittivo come un termine
  matematico. Pertanto, nella terminologia di gestione del rischio, la “probabilità” è
  usata con l’intento che dovrebbe avere la stessa interpretazione ampia del termine
  “probabilità” in molte lingue diverse dall’inglese.

Question 12

Livello di rischio

Answer 12

Entità di un rischio, espressa in termini di combinazione di conseguenze e loro

probabilità

Question 13

Controlli

Answer 13

Misura che mantiene e/o modifica il rischio

• I controlli includono, ma non sono limitati a, qualsiasi processo, politica,
  dispositivo, pratica o altre condizioni e/o azioni che mantengono e/o modificano
  il rischio.
• I controlli potrebbero non sempre esercitare l’effetto di modifica previsto o
  presunto.

Question 14

Proprietario del rischio

Answer 14

Persona o entità con la responsabilità e l’autorità di gestire un rischio

Question 15

Information
Security

Answer 15

Mantenimento della riservatezza, dell’integrità e della disponibilità delle informazioni

Question 16

Riservatezza

Answer 16

Proprietà che le informazioni non sono rese disponibili o divulgate a persone non

autorizzate, entità o processi

Question 17

Integrità

Answer 17

Proprietà di accuratezza e completezza

Question 18

Disponibilità

Answer 18

Proprietà di essere accessibile e utilizzabile su richiesta da un’entità autorizzata

Question 19

Autenticity

Answer 19

Proprietà che un’entità è ciò che afferma di essere

Question 20

Non ripudio

Answer 20

Capacità di provare il verificarsi di un evento o un’azione rivendicata e delle sue
entità originarie.

Question 21

Affidabilità

Answer 21

Proprietà di un comportamento e di risultati coerenti

Question 22

Accountability

Answer 22

Proprietà che riguarda la responsabilità e la possibilità di attribuire la responsabilità

di un evento a un entità.
- Non è definito nella 27000

Question 23

Sistema di gestione

Answer 23

Insieme di elementi interconnessi o interagenti di un organizzazione per stabilire

politiche e obiettivi e processi per raggiungere tali obiettivi
- Un sistema di gestione può affrontare una singola disciplina o più discipline.
- Gli elementi del sistema includono la struttura, i ruoli e le responsabilità
dell’organizzazione, la pianificazione e il funzionamento.
- L’ambito di un sistema di gestione può includere l’intera organizzazione, le
funzioni specifiche e identificate dell’organizzazione, le sezioni specifiche e
identificate dell’organizzazione o una o più funzioni in un gruppo di organizzazioni.