ACTIVO En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organización.

AMENAZA Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.

CONFIDENCIALIDAD Acceso a la información por parte únicamente de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]: Característica o propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados.

DISPONIBILIDAD  Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: Característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.

INTEGRIDAD Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.Según [ISO/IEC 13335-1:2004]: Propiedad o característica de salvaguardar la exactitud y completitud de los activos.

RIESGO Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.

VULNERABILIDAD Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.