| Dados e informação... |
| ... dados, informação não processada; informação, dado processado, dado útil. |
| Ciclo de vida da informação... |
| ... fases pelas quais a informação passa (criação, edição, armazenamento, transporte e descarte), exigindo proteção em todas as estapas. |
| Sistemas de informação... |
| ... responsáveis pela transferência e processamento de dados, formados pela interação entre usuários, processos, tecnologias e dados para apoiar o processamento de um negócio. |
| Segurança vs. proteção... |
| ... a proteção, o mecanismo (como fazer), a segurança, a política (o que fazer), visando a preservação dos dados. |
| Tríade da segurança (CID)... |
| ... confidencialidade (acesso restrito a autorizados), integridade (garantia das características originais sem alterações indevidas) e disponibilidade (garantia de acesso quando necessário. |
| Outros atributos de segurança... |
| ... autenticidade (garantia de veracidade da fonte), irretratabilidade/não repúdio (impossibilidade de negar a autoria) e legalidade (aderência a legislação vigente). |
| Classificação da informação... |
| ... níveis de proteção baseados no grau de sigilo e importância. |
| Classificação na administração pública... |
| ... ultrasecreto, secreto, reservado e público. |
| Classificação em empresas privadas... |
| ... confidencial, privada, sigilosa e pública. |
| Ameaças à segurança... |
| ... eventos que causam a perda de atributos de segurança, podem ser humanas (intecionais ou não) e não humanas (desastres naturais, falhas técnicas...). |
| International Organization for Standardization (ISO)... |
| ... organização não-governamental independente que desenvolve e publica normas técnicas internacionais para garantir a qualidade, segurança, eficiência e interoperabilidade de produtos, serviços e sistemas. |
| ISO/IEC 15408... |
| ... norma flexível para análise e avalição da segurança de produtos e sistemas de TI. |
| Família ISO 27000... |
| ... conjunto de normas para a gestão da segurança da informação. |
| ISO 27001 vs. ISO 27002... |
| ... a primeira diz o que deve ser feito (requisitos para certificação), enquanto a segunda diz como pode ser feito (guia de controles e melhores práticas. |
| ISO 27005 vs. ISO 31000... |
| ... a primeira é a norma mãe sobre riscos corporativos gerais, enquanto a segunda aplica esses conceitos especificamente aos riscos de segurança da informação. |
| Controles e contramedidas... |
| ... salvaguardas técnicas ou administrativas para evitar ou minimizar perdas. As contramedidas podem ser preventivas, de redução, de detecção, repressivas ou corretivas de danos. |
| Estratégias de riscos... |
| ... ações comuns para lidar com riscos: prevenção (neutralizar antes), redução (minimizar danos ou probabilidades) e tolerância (aceitação do risco quando o custo da segurança é inviável). |