3 RETTEN TIL KJØNNSIDENTITET – EN GRUNNLEGGENDE
3.1 Retten til kjønnsidentitet etter menneskerettighetene
Segurança da informação
Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005]
Evento
Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044:2004].
Incidente
Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004].
Lead Auditor
Auditor líder credenciado pelo IRCA.
IRCA
O registro internacional de auditores certificados.
O Registro internacional de auditores certificados é pioneiro e o mais abrangente órgão no processo de certificação internacional de auditores em sistemas de gestão. Localizado em Londres, o IRCA certificou mais de 14.750 auditores em 150 países. Este organismo providencia auditores para os segmentos de serviços e indústria.
IRCA oferece programas de certificação que reconhecem a competência de auditores que podem auditar nos segmentos de sistemas da qualidade, ambiental, segurança e saúde ocupacional, desenvolvimento de software, segurança da informação e sistemas de gestão em segurança alimentar.
Os conceitos a seguir foram enunciados a partir da AS/NZS (4360, 2004, p. 6 a 11).
Conseqüência (consequence)
Resultado ou impacto de um evento.
NOTA 1: Pode haver mais de uma conseqüência de um evento. NOTA 2: As conseqüências podem variar de positivas a negativas.
NOTA 3: As conseqüências podem ser expressas qualitativa ou quantitativamente.
NOTA 4: As conseqüências são consideradas em relação à consecução dos objetivos.
Controle (control)
Processo, política, dispositivo, prática ou outra ação existente que atue a fim de minimizar os riscos negativos ou aumentar as oportunidades positivas.
NOTA: A palavra controle também pode ser aplicada a um processo projetado para dar razoável garantia em relação ao atendimento dos objetivos.
Avaliação dos controles (control assessment)
Análises críticas sistemáticas dos processos para garantir que os controles ainda se mantêm eficazes e adequados.
NOTA : A análise crítica periódica dos controles feita pela gerência de linha muitas vezes é denominada auto-avaliação dos controles (control
self assessment).
Evento (event)
Ocorrência de um conjunto específico de circunstâncias. NOTA 1: O evento pode ser certo ou incerto.
NOTA 2: O evento pode ser uma única ocorrência ou uma série de ocorrências.
Freqüência (frequency)
Medida do número de ocorrências por unidade de tempo.
Perigo (hazard)
Fonte de dano potencial.
Probabilidade* (likelihood)
Utilizada como descritor geral da probabilidade ou freqüência. NOTA: Pode ser expressa qualitativa ou quantitativamente. Também chamada de probabilidade subjetiva.
Perda (loss)
Qualquer conseqüência negativa ou efeito adverso seja ele financeiro ou de outra natureza.
Monitorar (monitor)
Verificar, supervisionar, observar de maneira crítica ou mensurar regulamente o progresso de uma atividade, ação ou sistema a fim de identificar alterações em relação ao nível de desempenho requerido ou esperado.
Organização (organization)
Grupo de instalações e pessoas com um conjunto de responsabilidades, autoridades e relações.
EXEMPLO: Companhia, corporação, firma, empresa, instituição, organização beneficente, comerciante, associação, ou parte ou combinação destas.
NOTA 1: O conjunto é geralmente ordenado.
NOTA 2: Uma organização pode ser pública ou privada.
NOTA 3: Esta definição é válida para propósitos das normas de sistemas de gestão da qualidade.
Probabilidade (probability)
Medida da probabilidade de ocorrência expressa como um número entre 0 e 1.
NOTA 1: O ISO/IEC Guide 73 define probabilidade como o grau de probabilidade de determinado evento ocorrer.
NOTA 2: A ISO 3534-1:1993, apresenta uma definição matemática de probabilidade como “número real na escala de 0 a 1 vinculado a um evento aleatório. Ela também observa que probabilidade “pode se referir à freqüência relativa de ocorrência a longo prazo ou ao grau de confiança de que um evento irá ocorrer. Para um alto grau de confiança, a probabilidade fica próxima de 1.
NOTA 3: Freqüência ou probabilidade subjetiva em vez de probabilidade objetiva podem ser utilizadas para descrever um risco.
Risco residual (residual risk)
Risco remanescente após a implementação do tratamento de riscos.
Risco (risk)
Possibilidade de ocorrer algo que terá um impacto nos objetivos.
NOTA 1: Um risco é geralmente especificado em termos de um evento ou circunstância e das conseqüências que pode gerar.
NOTA 2: Risco é mensurado pela combinação das conseqüências de um evento e sua probabilidade.
Análise de riscos (risk analysis)
Processo sistemático para compreender a natureza do risco e deduzir o nível de risco.
NOTA 1: Fornece a base para a avaliação de riscos e para decisões sobre o tratamento de riscos.
Processo de avaliação de riscos (risk assessment)
Processo completo de identificação de riscos, análise de riscos e avaliação de riscos.
Evitar riscos (risk avoidance)
Decisão de não se envolver em, ou de se retirar de, uma situação de risco.
Critérios de riscos (risk criteria)
Termos de referência através dos quais a significância do risco é avaliada. NOTA: Os critérios de riscos podem incluir os custos e benefícios a eles associados, requisitos legais e regulamentares, aspectos ambientais e socioeconômicos, interesses das partes envolvidas, prioridades e outras entradas para o processo de avaliação.
Avaliação de riscos (risk evaluation)
Processo de comparação entre o nível de risco e os critérios de riscos. NOTA 1: A avaliação de riscos auxilia nas decisões sobre o tratamento de riscos.
Identificação de riscos (risk identification)
Processo para determinar o que, onde, quando, por que e como algo poderia ocorrer.
Gestão de riscos (risk management)
Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos.
Processo de gestão de riscos (risk management process)
Aplicação sistemática de políticas, procedimentos e práticas de gestão às atividades de comunicação, estabelecimento de contextos, identificação, análise, avaliação, tratamento, monitoramento e análise crítica de riscos.
Conjunto de elementos do sistema de gestão de uma organização relacionados à gestão de riscos.
NOTA 1: Elementos do sistema de gestão podem incluir planejamento estratégico, tomada de decisão e outras estratégias, processos e práticas para lidar com riscos.
NOTA 2: O grau de retenção de riscos pode depender dos critérios de riscos.
Redução de riscos (risk reduction)
Ações tomadas para diminuir a probabilidade, as conseqüências negativas, ou ambas, associadas a um risco.
Retenção de riscos (risk retention)
Aceitação do ônus de uma perda, ou dos benefícios de um ganho, resultante de um determinado risco.
NOTA 1: A retenção de riscos inclui a aceitação de riscos que não tenham sido identificados.
NOTA 2: O grau de retenção de riscos pode depender dos critérios de riscos.
Compartilhar riscos (risk sharing)
Compartilhar com outra parte o ônus de uma perda ou os benefícios de um ganho com um determinado risco.
NOTA 1: Requisitos legais ou regulamentares podem limitar, proibir ou obrigar a compartilhar alguns riscos.
NOTA 2: Pode-se compartilhar riscos através de seguros ou de outros acordos.
NOTA 3: Compartilhar riscos pode gerar novos riscos ou modificar um risco existente.
Tratamento de riscos (risk treatment)
Processo de seleção e implementação de medidas para modificar um risco.
NOTA 1: O termo tratamento de riscos às vezes é usado para as medidas em si.
NOTA 2: As medidas de tratamento de riscos podem incluir evitar, modificar, compartilhar ou reter o risco.
Partes envolvidas (stakeholders)
Pessoas e organizações que podem afetar, ser ou se considerar afetadas por uma decisão, atividade ou risco.
NOTA: O termo “parte envolvida” também pode incluir “partes interessadas”, conforme definição da ISO 14050 e da ISO 14004.