SlideShare ist ein Scribd-Unternehmen logo

SGSI Interpretação da NBR ISO 27001

J
jcfarit

MOD 6 SGSI

Bildung
1 von 24
Downloaden Sie, um offline zu lesen
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação
Módulo 6 Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: a) Executar procedimentos de monitoração, análise crítica e outros controles para: Prontamente detectar erros nos resultados de processamentos Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes pelo uso de indicadores Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI Exemplo de análise de dados utilizando o diagrama de Pareto: Durante a realização do produto ou do serviço, podemos documentar as não- conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para determinado período. Com estas informações poderemos construir o diagrama de Pareto como você poderá observar no próximo slide.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI O diagrama de Pareto é uma forma visual para percebermos melhor o impacto de cada problema no processo, e decidir qual não- conformidade vamos tratar, isto é, pesquisar as possíveis causas desta não- conformidade e definir ações para eliminá-las, evitando sua repetição. Exemplo de análise de dados utilizando o diagrama de Pareto:
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos. d) Revisar as análises/avaliações de risco a intervalos planejados e analisar criticamente os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a: 1) Organização 2) Tecnologias 3) Objetivos e processos do negócio 4) Ameaças identificadas 5) Eficácia dos controles implementados 6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social Sempre que uma mudança ocorre, poderemos ter alteração dos ativos, das ameaças e das vulnerabilidades, e portanto dos riscos.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: e) Conduzir auditorias internas a intervalos planejados. Existem auditorias de primeira parte (internas), de segunda parte (realizadas pelos clientes na organização ou pela organização em seus fornecedores) e de terceira parte (realizadas por organismos independentes como por exemplo uma certificadora). f) Realizar análises críticas do SGSI pela direção em períodos regulares, para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. Estas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão. A ISO 27001 especifica os temas mínimos a serem discutidos, e diz que como saída deve haver um plano de ação definido. g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica. h) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI.
4.2 – Estabelecendo e gerenciando o SGSI/ 4.2.4 – Manter e melhorar o SGSI A organização deve regularmente: a) Implementar as melhorias identificadas para o SGSI. b) Realizar ações corretivas e preventivas apropriadas, e aplicar lições aprendidas com a experiência da própria organização ou de outras. c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Garantir que as melhorias atingem os objetivos determinados.
Exercício Indique se é verdadeiro ou falso: 1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. 4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. 5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. 6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. 7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. 8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados.
Respostas Indique se é verdadeiro ou falso: 1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. (devem ser realizadas a intervalos planejados) 4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. (indicadores mostram as tendências, portanto orientam aumento ou redução de ocorrências, o que permite ações para prevenir incidentes) 5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. (devem ser atualizados sempre que necessário)
Respostas 6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. (a organização deve prontamente identificar tentativas de violação e incidentes) 7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as pessoas que têm responsabilidades atribuídas dentro do SGSI) 8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( V ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser justificado quando um controle do Anexo A não for utilizado)
Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado. É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI. Quando elaboramos a matriz de riscos já podemos indicar os controles e procedimentos relacionados. Isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos.
Extensão da documentação do SGSI Abrangência e detalhes da documentação depende de: Tamanho e tipo da empresa Complexidade dos serviços, produtos e processos Requisitos de clientes e regulamentaresCódigos e normas da indústria Educação, experiência e treinamento Estabilidade da força de trabalho Problemas de segurança no passado
4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir: a) Declarações documentadas das políticas e dos objetivos do SGSI b) O escopo do SGSI c) Procedimentos e controles que apóiam o SGSI d) Uma descrição da metodologia de análise/avaliação de riscos f) O relatório de análise/avaliação de riscos g) O plano de tratamento de riscos h) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança da informação, e para descrever como medir a eficácia dos controles i) Registros requeridos pela norma j) A declaração de aplicabilidade A documentação deve variar devido ao tamanho da organização, tipo de atividades, escopo e complexidade dos requisitos de segurança e do sistema gerenciado. Quando a norma cita apenas a palavra “procedimento” significa que o procedimento não precisa ser documentado. Se a norma disser “procedimento documentado” significa que o procedimento realmente precisa ser documentado.
4.3 – Requisitos de documentação 4.3.2 – Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: Aprovar documentos para adequação antes de sua emissão Analisar criticamente e atualizar,quando necessário, e reaprovar documentos Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso Assegurar que os documentos permaneçam legíveis e prontamente identificáveis Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação Assegurar que documentos de origem externa sejam identificados Assegurar que a distribuição de documentos seja controlada Prevenir o uso não intencional de documentos obsoletos Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito
Exercício Indique se é verdadeiro ou falso: 1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo. 2 - ( ) Normas não precisam ser controladas. 3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. 4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. 5 - ( ) Instruções de trabalho da produção precisam ficar na produção. 6 - ( ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.
Resposta 1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo. (é necessário que a documentação esteja claramente identificada) 2 - ( F ) Normas não precisam ser controladas. (normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve ser recolhida) 3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. (10 segundos é muito rápido, um documento não está disponível quando o profissional da área não consegue localizá-lo) 4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. (documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional a realizar todas estas atividades) 5 - ( V ) Instruções de trabalho da produção precisam ficar na produção. (documentos devem ficar disponíveis nos locais de uso) 6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado. (a norma exige um procedimento documentado)
4.3 – Requisitos de documentação 4.3.3 – Controle de registros Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI. Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais. Registros devem ser legíveis e prontamente identificáveis e recuperáveis. Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição. Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI. Exemplo de registro: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc.
Documentação do SGSI Procedimentos Instruções de trabalho, listas, formulários Registros Manual de segurança Nível 1 Nível 2 Nível 3 Nível 4 Fornece evidência objetiva da conformidade às exigências do SGSI, cláusula 4.3.3 Descreve como as tarefas e atividades específicas são feitas Descreve processos, quem, o que, quando e onde, cláusula 4.1 Política, escopo, avaliação de risco, declaração de aplicabilidade
Exercício Para um registro de acesso determine: Como ele pode ser identificado Onde ele pode ser armazenado Como se garante que está protegido Como pode ser recuperado, por exemplo se for necessário apresentá-lo ao cliente Por quanto tempo fica retido (guardado) Como é descartado
Resposta Para um registro de acesso podemos usar os seguintes controles: Identificação: normalmente é um livro numerado com as páginas numeradas Armazenamento: na gaveta da recepção Proteção: a gaveta da recepção Recuperação: basta solicitar ao recepcionista Tempo de retenção: um ano após o término do livro Descarte: jogado no lixo comum
Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005 Fim do módulo 6

Empfohlen

ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 

Empfohlen

ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCAbraão Sakelo
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006J Flávia Sales
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 AssesproAssespro Nacional
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Diego Souza
 

Weitere ähnliche Inhalte

Was ist angesagt?

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCAbraão Sakelo
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 

Was ist angesagt? (20)

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 

Andere mochten auch

Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Diego Souza
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TIEberson Pereira
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 

Andere mochten auch (6)

Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 

Ähnlich wie SGSI Interpretação da NBR ISO 27001

Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001VladmirNakiti
 
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)Ana Marques
 
Revisão geral ISO 9001
Revisão geral ISO 9001Revisão geral ISO 9001
Revisão geral ISO 9001Rogério Souza
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosTsiane Poppe Araujo
 
Aula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramentoAula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramentoTatiana Falcão
 
Dicas de Padronização de Processos
Dicas de Padronização de ProcessosDicas de Padronização de Processos
Dicas de Padronização de ProcessosGerisval Pessoa
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕESAUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕESAdriano Pereira
 
Indicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na PráticaIndicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na PráticaMichelle Raimundo dos Santos
 
MONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.ppt
MONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.pptMONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.ppt
MONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.pptValdir Conceição
 

Ähnlich wie SGSI Interpretação da NBR ISO 27001 (20)

Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001
 
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
 
Revisão geral ISO 9001
Revisão geral ISO 9001Revisão geral ISO 9001
Revisão geral ISO 9001
 
Auditoria iso 90011
Auditoria iso 90011Auditoria iso 90011
Auditoria iso 90011
 
Auditoria iso 9001
Auditoria iso 9001Auditoria iso 9001
Auditoria iso 9001
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processos
 
Aula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramentoAula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramento
 
Dicas de Padronização de Processos
Dicas de Padronização de ProcessosDicas de Padronização de Processos
Dicas de Padronização de Processos
 
4.5.5 auditoria interna
4.5.5 auditoria interna4.5.5 auditoria interna
4.5.5 auditoria interna
 
Norma 2015
Norma 2015Norma 2015
Norma 2015
 
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
 
ISO9001
ISO9001ISO9001
ISO9001
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Auditoria iso 9001
Auditoria iso 9001Auditoria iso 9001
Auditoria iso 9001
 
Treinamento Coso ICF 2013
Treinamento Coso ICF 2013Treinamento Coso ICF 2013
Treinamento Coso ICF 2013
 
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕESAUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
 
Indicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na PráticaIndicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na Prática
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Guiacorporativo.com.br o que é auditoria
Guiacorporativo.com.br o que é auditoriaGuiacorporativo.com.br o que é auditoria
Guiacorporativo.com.br o que é auditoria
 
MONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.ppt
MONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.pptMONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.ppt
MONITORAMENTO DO SISTEMA DE GESTÃO DA QUALIDADE.ppt
 

Mehr von jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefoniajcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruanijcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxjcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linuxjcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQLjcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimiblejcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimiblejcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digitaljcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switchesjcfarit
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.docjcfarit
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicosjcfarit
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicojcfarit
 

Mehr von jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
 

Kürzlich hochgeladen

Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...azulassessoria9
 
A QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfA QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfAna Lemos
 
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfRecomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfFrancisco Márcio Bezerra Oliveira
 
About Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de HotéisAbout Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de Hotéisines09cachapa
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...Rosalina Simão Nunes
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...IsabelPereira2010
 
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdfProjeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdfHELENO FAVACHO
 
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxSlides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxLuizHenriquedeAlmeid6
 
PROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdf
PROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdfPROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdf
PROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdfHELENO FAVACHO
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfcomercial400681
 
Bloco de português com artigo de opinião 8º A, B 3.docx
Bloco de português com artigo de opinião 8º A, B 3.docxBloco de português com artigo de opinião 8º A, B 3.docx
Bloco de português com artigo de opinião 8º A, B 3.docxkellyneamaral
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdfLeloIurk1
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfEmanuel Pio
 
Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)ElliotFerreira
 
Dicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim RangelDicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim RangelGilber Rubim Rangel
 
Revolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividadesRevolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividadesFabianeMartins35
 
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfPRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfprofesfrancleite
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfHELENO FAVACHO
 
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇJaineCarolaineLima
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Mary Alvarenga
 

Kürzlich hochgeladen (20)

Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
 
A QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfA QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdf
 
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfRecomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
 
About Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de HotéisAbout Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de Hotéis
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
 
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdfProjeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
 
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxSlides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
 
PROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdf
PROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdfPROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdf
PROJETO DE EXTENSÃO I - TERAPIAS INTEGRATIVAS E COMPLEMENTARES.pdf
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
 
Bloco de português com artigo de opinião 8º A, B 3.docx
Bloco de português com artigo de opinião 8º A, B 3.docxBloco de português com artigo de opinião 8º A, B 3.docx
Bloco de português com artigo de opinião 8º A, B 3.docx
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdf
 
Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)
 
Dicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim RangelDicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim Rangel
 
Revolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividadesRevolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividades
 
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfPRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
 
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.
 

SGSI Interpretação da NBR ISO 27001

  • 1. Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação
  • 2. Módulo 6 Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
  • 3. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  • 4. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: a) Executar procedimentos de monitoração, análise crítica e outros controles para: Prontamente detectar erros nos resultados de processamentos Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes pelo uso de indicadores Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
  • 5. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI Exemplo de análise de dados utilizando o diagrama de Pareto: Durante a realização do produto ou do serviço, podemos documentar as não- conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para determinado período. Com estas informações poderemos construir o diagrama de Pareto como você poderá observar no próximo slide.
  • 6. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI O diagrama de Pareto é uma forma visual para percebermos melhor o impacto de cada problema no processo, e decidir qual não- conformidade vamos tratar, isto é, pesquisar as possíveis causas desta não- conformidade e definir ações para eliminá-las, evitando sua repetição. Exemplo de análise de dados utilizando o diagrama de Pareto:
  • 7. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos. d) Revisar as análises/avaliações de risco a intervalos planejados e analisar criticamente os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a: 1) Organização 2) Tecnologias 3) Objetivos e processos do negócio 4) Ameaças identificadas 5) Eficácia dos controles implementados 6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social Sempre que uma mudança ocorre, poderemos ter alteração dos ativos, das ameaças e das vulnerabilidades, e portanto dos riscos.
  • 8. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: e) Conduzir auditorias internas a intervalos planejados. Existem auditorias de primeira parte (internas), de segunda parte (realizadas pelos clientes na organização ou pela organização em seus fornecedores) e de terceira parte (realizadas por organismos independentes como por exemplo uma certificadora). f) Realizar análises críticas do SGSI pela direção em períodos regulares, para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. Estas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão. A ISO 27001 especifica os temas mínimos a serem discutidos, e diz que como saída deve haver um plano de ação definido. g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica. h) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI.
  • 9. 4.2 – Estabelecendo e gerenciando o SGSI/ 4.2.4 – Manter e melhorar o SGSI A organização deve regularmente: a) Implementar as melhorias identificadas para o SGSI. b) Realizar ações corretivas e preventivas apropriadas, e aplicar lições aprendidas com a experiência da própria organização ou de outras. c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Garantir que as melhorias atingem os objetivos determinados.
  • 10. Exercício Indique se é verdadeiro ou falso: 1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. 4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. 5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. 6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. 7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. 8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados.
  • 11. Respostas Indique se é verdadeiro ou falso: 1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. (devem ser realizadas a intervalos planejados) 4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. (indicadores mostram as tendências, portanto orientam aumento ou redução de ocorrências, o que permite ações para prevenir incidentes) 5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. (devem ser atualizados sempre que necessário)
  • 12. Respostas 6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. (a organização deve prontamente identificar tentativas de violação e incidentes) 7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as pessoas que têm responsabilidades atribuídas dentro do SGSI) 8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( V ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser justificado quando um controle do Anexo A não for utilizado)
  • 13. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  • 14. 4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado. É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI. Quando elaboramos a matriz de riscos já podemos indicar os controles e procedimentos relacionados. Isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos.
  • 15. Extensão da documentação do SGSI Abrangência e detalhes da documentação depende de: Tamanho e tipo da empresa Complexidade dos serviços, produtos e processos Requisitos de clientes e regulamentaresCódigos e normas da indústria Educação, experiência e treinamento Estabilidade da força de trabalho Problemas de segurança no passado
  • 16. 4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir: a) Declarações documentadas das políticas e dos objetivos do SGSI b) O escopo do SGSI c) Procedimentos e controles que apóiam o SGSI d) Uma descrição da metodologia de análise/avaliação de riscos f) O relatório de análise/avaliação de riscos g) O plano de tratamento de riscos h) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança da informação, e para descrever como medir a eficácia dos controles i) Registros requeridos pela norma j) A declaração de aplicabilidade A documentação deve variar devido ao tamanho da organização, tipo de atividades, escopo e complexidade dos requisitos de segurança e do sistema gerenciado. Quando a norma cita apenas a palavra “procedimento” significa que o procedimento não precisa ser documentado. Se a norma disser “procedimento documentado” significa que o procedimento realmente precisa ser documentado.
  • 17. 4.3 – Requisitos de documentação 4.3.2 – Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: Aprovar documentos para adequação antes de sua emissão Analisar criticamente e atualizar,quando necessário, e reaprovar documentos Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso Assegurar que os documentos permaneçam legíveis e prontamente identificáveis Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação Assegurar que documentos de origem externa sejam identificados Assegurar que a distribuição de documentos seja controlada Prevenir o uso não intencional de documentos obsoletos Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito
  • 18. Exercício Indique se é verdadeiro ou falso: 1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo. 2 - ( ) Normas não precisam ser controladas. 3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. 4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. 5 - ( ) Instruções de trabalho da produção precisam ficar na produção. 6 - ( ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.
  • 19. Resposta 1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo. (é necessário que a documentação esteja claramente identificada) 2 - ( F ) Normas não precisam ser controladas. (normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve ser recolhida) 3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. (10 segundos é muito rápido, um documento não está disponível quando o profissional da área não consegue localizá-lo) 4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. (documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional a realizar todas estas atividades) 5 - ( V ) Instruções de trabalho da produção precisam ficar na produção. (documentos devem ficar disponíveis nos locais de uso) 6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado. (a norma exige um procedimento documentado)
  • 20. 4.3 – Requisitos de documentação 4.3.3 – Controle de registros Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI. Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais. Registros devem ser legíveis e prontamente identificáveis e recuperáveis. Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição. Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI. Exemplo de registro: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc.
  • 21. Documentação do SGSI Procedimentos Instruções de trabalho, listas, formulários Registros Manual de segurança Nível 1 Nível 2 Nível 3 Nível 4 Fornece evidência objetiva da conformidade às exigências do SGSI, cláusula 4.3.3 Descreve como as tarefas e atividades específicas são feitas Descreve processos, quem, o que, quando e onde, cláusula 4.1 Política, escopo, avaliação de risco, declaração de aplicabilidade
  • 22. Exercício Para um registro de acesso determine: Como ele pode ser identificado Onde ele pode ser armazenado Como se garante que está protegido Como pode ser recuperado, por exemplo se for necessário apresentá-lo ao cliente Por quanto tempo fica retido (guardado) Como é descartado
  • 23. Resposta Para um registro de acesso podemos usar os seguintes controles: Identificação: normalmente é um livro numerado com as páginas numeradas Armazenamento: na gaveta da recepção Proteção: a gaveta da recepção Recuperação: basta solicitar ao recepcionista Tempo de retenção: um ano após o término do livro Descarte: jogado no lixo comum
  • 24. Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005 Fim do módulo 6