SlideShare ist ein Scribd-Unternehmen logo

ISO 27001 Implementação Guia

Andre Verdugal
Andre Verdugal

O documento discute o processo de implementação e certificação da norma ISO 27001. Apresenta os principais requisitos das normas ISO 27001 e ISO 27002 no Brasil e descreve os passos para implementar um Sistema de Gestão de Segurança da Informação (ISMS) de acordo com a ISO 27001, incluindo a avaliação de riscos, declaração de aplicabilidade, plano de tratamento de riscos e modelo PDCA.

1 von 25
Downloaden Sie, um offline zu lesen
Processo de Implementação e Certificação da ISO 27001
• A - BS ISO / IEC 27001:2005 (ISO 27001) - Tecnologia da informação - Técnicas de segurança - Requisitos ISMS • B - BS ISO / IEC 27002:2005 (ISO 27002) - Tecnologia da informação - Técnicas de segurança - Código de prática para a Gestão de Segurança da Informação Referências
Hoje no Brasil quais são as normas para Sistema de Segurança da Informação? • As Normas para segurança da informação foram adotadas e traduzidas pela ABNT recebendo a denominação de: • NBR ISO/IEC 27001:2006 – Sistema de Gestão de Segurança da Informação. • NBR ISO/IEC 27002:2005 – Código de Práticas para Gestão de Segurança da Informação. A norma ISO 27001 refere-se à quais requisitos de sistemas de gestão da informação devem ser implementados pela organização e a ISO 27002 é um guia que orienta a utilização de controles de segurança da informação. Estas normas são genéricas por natureza.
ISO 27001- Geral • “Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. É esperado que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo,uma situação simples requer uma solução de um SGSI simples.” • “Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.”
Visão Geral da ISO 27001 • Incorporar um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infraestrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente • Controles adicionais podem ser incorporados ao ISMS se assim for desejado.
Razões para se adotar a ISO 27001 • Governança Corporativa. • Melhoria da eficácia da Segurança da Informação. • Diferencial de mercado. • Atender os requisitos de partes interessadas e dos clientes. • Única norma com aceitação global. • Redução potencial no valor do seguro. • Focada nas responsabilidades dos funcionários. • A norma cobre TI bem como a organização, pessoal e instalações. • Conformidade com as legislações.
Dificuldades para Implementação de um ISMS • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para Gestão de Risco. • Mesmo existindo Plano de Continuidade de Negócios, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta”ao estabelecer os parâmetros dos controles identificados na norma. • Falta de ação para identificar e usar controles fora da norma • Limitação de orçamento.
Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Oferecer confiança aos parceiros comerciais, partes interessadas e clientes. • Melhorar a conscientização sobre segurança. • Combinar recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema.
ISO 27001 -ISO 27001 - RoteiroRoteiro
 A ISO 27001 fornece um modelo para estabelecimento, implementação, operação, monitoração, revisão, manutenção e melhoria de um Sistema de Gestão da Segurança (ISMS).  A adoção de um ISMS deve ser uma decisão estratégica para a empresa. O desenho e implementação do ISMS de uma empresa é influenciado por suas necessidades e objetivos, requisitos de segurança, processos utilizados o tamanho e a estrutura da empresa.  Estes e seus sistemas de apoio devem mudar ao longo do tempo. Espera-se que a Implementação de um SGSI seja dimensionada de acordo com as necessidades da empresa, Por exemplo, uma situação simples requer um ISMS de solução simples.  O Padrão ISO 27001 pode ser usado em ordem para avaliar a conformidade por partes interessadas internas e externas. ISO 27001 ISO 27001 – Âmbito
 A ISO 27002 é o Código de prática para a Gestão de Segurança da Informação e estabelece diretrizes e princípios gerais para iniciação,implementação,manutenção e melhoria da gestão de segurança da informação em uma organização.  Os objetivos definidos na Norma Internacional fornecem orientações gerais sobre os objetivos comumente aceitos de gestão de segurança da informação.  Os objetivos de controle e os controles da Norma se destinam a ser implementadas para atender aos requisitos identificados por uma avaliação de risco.  O padrão pode servir como uma prática orientação para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gestão de segurança e para ajudar a construir confiança nas atividades inter organizacionais. ISO 27002 ISO 27002 - Âmbito
 A Gestão deve apoiar ativamente a segurança dentro da organização através de uma direção clara, demonstrando empenho, atribuição explícita, e reconhecimento das responsabilidades de segurança da informação.  A Gestão deve aprovar a política de segurança da informação, Atribuir funções de segurança e coordenar a implementação e revisão de segurança em toda a organização.  Documentos de Saída: Plano de Negócios Apoio da Gestão Apoio da Gestão
 Definir o escopo e os limites do ISMS em termos de características do negócio, a organização, a sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do âmbito.  Qualquer exclusão de controles necessárias para satisfazer os critérios de aceitação de risco precisa ser justificada. Definir o escopo Definindo o Escopo
 Todos os ativos devem ser claramente identificados e uma inventário de todos os ativos importantes deve ser elaborado e mantido.  O inventário de ativos deve incluir todas as informações necessárias para recuperação de um desastre, a seguir:  Tipo de ativo;  Formato (ou seja, informações, software, materiais, serviços, pessoas, bens intangíveis)  Localização;  Informações de backup;  Informações sobre a licença;  Valor do negócio. Inventário de Ativos Inventário de Ativos
 Avaliações de riscos devem identificar,quantificar e priorizar os riscos em relação a critérios para aceitação de riscos de acordo com os objetivos relevantes para a organização.  Os resultados devem orientar e determinar a ação de gestão adequadas e prioridades para o gerenciamento de riscos de segurança da informação e para implementar controles selecionados para proteger contra esses riscos.  O processo de avaliar riscos e selecionar controles pode precisar que seja realizado em um número x de vezes para cobrir diferentes partes da organização ou sistemas de informação individuais.  Avaliação dos riscos deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de risco) e o processo de comparação aos riscos estimados com base em critérios de risco para determinar o significado dos riscos (Avaliação de risco).  A avaliação de riscos de segurança deve ter uma âmbito claramente definido, a fim de ser eficaz e deve incluir relações com avaliações de risco em outras áreas, se for o caso. Avaliação de risco e Conduta de Segurança Avaliação de Risco
 A Declaração de Aplicabilidade (SOA) é um documento que lista informações dos objetivos de controle da segurança e controles de uma organização.  O SOA é derivado a partir dos resultados da avaliação de risco, Onde:  Tratamentos de risco foram selecionados;  Todos os requisitos legais e regulamentares pertinentes tenham sido identificados; As obrigações contratuais são totalmente compreendidas;  Uma revisão da organização precisa para o próprio negócio e requisitos foi realizada. Declaração de Aplicabilidade Declaração de Aplicabilidade
 A organização deve formular um plano de tratamento de risco (RTP) Que identifica a ação de gestão apropriada, recursos, responsabilidades e prioridades para o gerenciamento de riscos de segurança da informação.  A RTP deve ser inserida no contexto da política de segurança da informação da organização e deve identificar claramente o abordagem ao risco e os critérios para aceitação de risco.  O RTP é o documento-chave que liga todas as quatro fases do ciclo (PDCA) Plan, Do, Check, Act para o ISMS. Plano de Tratamento dos Riscos Plano de Tratamento de Risco
 O "Plan-Do-Check-Act" modelo (PDCA) é aplicado para estruturar todos os processos do ISMS.  O diagrama ilustra como um ISMS toma como entrada as informações sobre os requisitos de segurança e expectativas dos interessados e através das ações e​​ os processos necessários produz resultados de gestão de segurança de informação que atendem aquelas exigências e expectativas. Modelo PCDA
 Plano (Estabelecer o ISMS)  Estabelecer a política do ISMS, objetivos, processos e procedimentos relevantes para a gestão do risco e melhorar a segurança da informação para fornecer resultados de acordo com as políticas globais de uma organização e seus objetivos.  Fazer (Implementar e operar o ISMS)  Implementar e operar a política do ISMS, controles, processos e procedimentos.  Verificar (Monitor e rever o ISMS)  Avaliar, quando aplicável, a medida de desempenho do processo contra a política ISMS, objetivos e experiências práticas e relatar os resultados da gestão para a revisão.  Agir (Manter e melhorar o ISMS)  Tomar ações corretivas e preventivas, com base nos resultados do ISMS de auditoria interna e revisão da gestão ou outras informações relevantes, para alcançar a melhoria contínua do ISMS. Modelo PDCA
 Implementar o plano de tratamento de riscos a fim de alcançar os objetivos de controle identificados, o que inclui a consideração de financiamento e alocação de papéis e responsabilidades.  Implementar controles selecionados instituídos durante o ISMS para atender os objetivos de controle.  Definir a forma de medir a eficácia dos controles para permitir que os gerentes e funcionários determinem o quão bem controles planejados tiveram os seus objetivos alcançados.  Implementar programas de treinamento e conscientização. Desenvolver o ISMS e Implementação do programa Implementação do Programa ISMS
 É importante ser capaz de demonstrar a relação dos controles selecionados com os resultados da avaliação de riscos e processo de tratamento de risco, e posteriormente, de volta para a política do SGSI e objetivos.  A documentação do SGSI deve incluir:  Declarações documentadas da política ISMS e objetivos;  O escopo do SGSI;  Procedimentos e controles, em apoio do ISMS;  A descrição da metodologia de avaliação de risco;  O relatório de avaliação de risco;  O plano de tratamento de riscos;  Procedimentos documentados requeridos pela organização para assegurar o planejamento, operação e controle de seus processos de segurança da informação e descrever como medir a eficácia dos controles;  Registros requeridos pela Norma;  A Declaração de Aplicabilidade. Sistema de Gerenciamento De Segurança da Informação (ISMS) O ISMS
 A Alta Gestão examinará o ISMS da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar sua contínua pertinência, adequação e eficácia.  Esta revisão deve incluir a avaliação de oportunidades de melhoria e a necessidade de mudanças para o ISMS, incluindo a política de segurança da informação e os objetivos de segurança da informação.  Os resultados das análises devem ser claramente documentados e os registros devem ser mantidos.  Esta é realizada durante o 'Check' fase do ciclo PDCA e quaisquer ações corretivas adequadamente administrados. Ações corretivas Análise de Conformidade Análise de conformidade e Ações Corretivas
 Antes da auditoria externa o conselheiro de segurança da informação devem executar uma revisão abrangente do ISMS e SOA.  A auditoria não pode ocorrer até que tenha passado tempo suficiente para a organização demonstrar o cumprimento do ciclo PDCA total e com a cláusula 8 da ISO 27001, a exigência de melhoria contínua.  Os auditores vão estar procurando provas de que o ISMS continua melhorando, não apenas que ele foi implementado. Avaliação de Avaliação de Pré-certificação
 Certificação envolve a avaliação do ISMS da organização. A certificação ISMS assegura que a organização executou uma avaliação de riscos e identificou e implementou um sistema de controles de gestão adequados às necessidades de segurança da informação do negócio.  Evidência de que uma organização está em conformidade com a norma, e toda a documentação complementar, serão apresentados na forma de um documento de certificação ou certificado.  Os organismos de certificação devem assegurar-se que a organização de informações e avaliação adequada de risco de segurança refletem suas atividades comerciais que se estende até os limites e interfaces de suas atividades, conforme definido no padrão.  Os organismos de certificação devem confirmar que isso se reflete na organização do plano de tratamento de risco e sua Declaração de Aplicabilidade. Auditoria de Certificação Auditoria de Certificação
 A organização deve melhorar continuamente a eficácia do SGSI através do uso de:  A política de segurança da informação;  Objetivos de segurança de informação;  Resultados da auditoria;  Análise de eventos monitorados;  Ações corretivas e preventivas;  Gestão de revisão. Melhoria Continua Auditoria de Certificação

Empfohlen

Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 

Empfohlen

Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewShankar Subramaniyan
 
Cobit 5
Cobit 5Cobit 5
Cobit 5Rodrigo Silva Pinto
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Iso27001 The Road To Certification
Iso27001 The Road To CertificationIso27001 The Road To Certification
Iso27001 The Road To Certificationtschraider
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpdanselmo333
 
Network Architecture Review Checklist
Network Architecture Review ChecklistNetwork Architecture Review Checklist
Network Architecture Review ChecklistEberly Wilson
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Information Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsInformation Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsPECB
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM ArchitectureNishanth Kumar Pathi
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security StrategyAndrew Byers
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overviewJulia Urbina-Pineda
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 

Weitere ähnliche Inhalte

Was ist angesagt?

ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewShankar Subramaniyan
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Iso27001 The Road To Certification
Iso27001 The Road To CertificationIso27001 The Road To Certification
Iso27001 The Road To Certificationtschraider
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpdanselmo333
 
Network Architecture Review Checklist
Network Architecture Review ChecklistNetwork Architecture Review Checklist
Network Architecture Review ChecklistEberly Wilson
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Information Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsInformation Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsPECB
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security StrategyAndrew Byers
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overviewJulia Urbina-Pineda
 

Was ist angesagt? (20)

ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
Cobit 5
Cobit 5Cobit 5
Cobit 5
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Iso27001 The Road To Certification
Iso27001 The Road To CertificationIso27001 The Road To Certification
Iso27001 The Road To Certification
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
Network Architecture Review Checklist
Network Architecture Review ChecklistNetwork Architecture Review Checklist
Network Architecture Review Checklist
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Information Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsInformation Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO Standards
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM Architecture
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security Strategy
 
Security architecture
Security architectureSecurity architecture
Security architecture
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber Security
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overview
 

Andere mochten auch

Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Curso online sgsi y lopd
Curso online sgsi y lopdCurso online sgsi y lopd
Curso online sgsi y lopdSetival SCV
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Diego Souza
 

Andere mochten auch (20)

Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Curso online sgsi y lopd
Curso online sgsi y lopdCurso online sgsi y lopd
Curso online sgsi y lopd
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 

Ähnlich wie ISO 27001 Implementação Guia

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptxlucasriostst
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da InformaçãoAllan Piter Pressi
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 

Ähnlich wie ISO 27001 Implementação Guia (20)

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 

Mehr von Andre Verdugal

Você sabe o que seu filho faz na Internet e nos dispositivos móveis.
Você sabe o que seu filho faz na Internet e nos dispositivos móveis.Você sabe o que seu filho faz na Internet e nos dispositivos móveis.
Você sabe o que seu filho faz na Internet e nos dispositivos móveis.Andre Verdugal
 
SEUS DADOS ESTÃO SEGUROS?
SEUS DADOS ESTÃO SEGUROS?SEUS DADOS ESTÃO SEGUROS?
SEUS DADOS ESTÃO SEGUROS?Andre Verdugal
 
PROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINE
PROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINEPROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINE
PROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINEAndre Verdugal
 
EU USO SENHAS LONGAS E FORTES
EU USO SENHAS LONGAS E FORTESEU USO SENHAS LONGAS E FORTES
EU USO SENHAS LONGAS E FORTESAndre Verdugal
 
Currículo Tradicional
Currículo TradicionalCurrículo Tradicional
Currículo TradicionalAndre Verdugal
 

Mehr von Andre Verdugal (6)

Você sabe o que seu filho faz na Internet e nos dispositivos móveis.
Você sabe o que seu filho faz na Internet e nos dispositivos móveis.Você sabe o que seu filho faz na Internet e nos dispositivos móveis.
Você sabe o que seu filho faz na Internet e nos dispositivos móveis.
 
SEUS DADOS ESTÃO SEGUROS?
SEUS DADOS ESTÃO SEGUROS?SEUS DADOS ESTÃO SEGUROS?
SEUS DADOS ESTÃO SEGUROS?
 
PROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINE
PROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINEPROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINE
PROTEJA SUA IDENTIDADE, PRATIQUE HÁBITOS SEGUROS ON-LINE
 
EU USO SENHAS LONGAS E FORTES
EU USO SENHAS LONGAS E FORTESEU USO SENHAS LONGAS E FORTES
EU USO SENHAS LONGAS E FORTES
 
Currículo Tradicional
Currículo TradicionalCurrículo Tradicional
Currículo Tradicional
 
Dicas de lideranca
Dicas de liderancaDicas de lideranca
Dicas de lideranca
 

ISO 27001 Implementação Guia

  • 2. • A - BS ISO / IEC 27001:2005 (ISO 27001) - Tecnologia da informação - Técnicas de segurança - Requisitos ISMS • B - BS ISO / IEC 27002:2005 (ISO 27002) - Tecnologia da informação - Técnicas de segurança - Código de prática para a Gestão de Segurança da Informação Referências
  • 3. Hoje no Brasil quais são as normas para Sistema de Segurança da Informação? • As Normas para segurança da informação foram adotadas e traduzidas pela ABNT recebendo a denominação de: • NBR ISO/IEC 27001:2006 – Sistema de Gestão de Segurança da Informação. • NBR ISO/IEC 27002:2005 – Código de Práticas para Gestão de Segurança da Informação. A norma ISO 27001 refere-se à quais requisitos de sistemas de gestão da informação devem ser implementados pela organização e a ISO 27002 é um guia que orienta a utilização de controles de segurança da informação. Estas normas são genéricas por natureza.
  • 4. ISO 27001- Geral • “Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. É esperado que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo,uma situação simples requer uma solução de um SGSI simples.” • “Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.”
  • 5. Visão Geral da ISO 27001 • Incorporar um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infraestrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente • Controles adicionais podem ser incorporados ao ISMS se assim for desejado.
  • 6. Razões para se adotar a ISO 27001 • Governança Corporativa. • Melhoria da eficácia da Segurança da Informação. • Diferencial de mercado. • Atender os requisitos de partes interessadas e dos clientes. • Única norma com aceitação global. • Redução potencial no valor do seguro. • Focada nas responsabilidades dos funcionários. • A norma cobre TI bem como a organização, pessoal e instalações. • Conformidade com as legislações.
  • 7. Dificuldades para Implementação de um ISMS • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para Gestão de Risco. • Mesmo existindo Plano de Continuidade de Negócios, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta”ao estabelecer os parâmetros dos controles identificados na norma. • Falta de ação para identificar e usar controles fora da norma • Limitação de orçamento.
  • 8. Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Oferecer confiança aos parceiros comerciais, partes interessadas e clientes. • Melhorar a conscientização sobre segurança. • Combinar recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema.
  • 9. ISO 27001 -ISO 27001 - RoteiroRoteiro
  • 10.  A ISO 27001 fornece um modelo para estabelecimento, implementação, operação, monitoração, revisão, manutenção e melhoria de um Sistema de Gestão da Segurança (ISMS).  A adoção de um ISMS deve ser uma decisão estratégica para a empresa. O desenho e implementação do ISMS de uma empresa é influenciado por suas necessidades e objetivos, requisitos de segurança, processos utilizados o tamanho e a estrutura da empresa.  Estes e seus sistemas de apoio devem mudar ao longo do tempo. Espera-se que a Implementação de um SGSI seja dimensionada de acordo com as necessidades da empresa, Por exemplo, uma situação simples requer um ISMS de solução simples.  O Padrão ISO 27001 pode ser usado em ordem para avaliar a conformidade por partes interessadas internas e externas. ISO 27001 ISO 27001 – Âmbito
  • 11.  A ISO 27002 é o Código de prática para a Gestão de Segurança da Informação e estabelece diretrizes e princípios gerais para iniciação,implementação,manutenção e melhoria da gestão de segurança da informação em uma organização.  Os objetivos definidos na Norma Internacional fornecem orientações gerais sobre os objetivos comumente aceitos de gestão de segurança da informação.  Os objetivos de controle e os controles da Norma se destinam a ser implementadas para atender aos requisitos identificados por uma avaliação de risco.  O padrão pode servir como uma prática orientação para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gestão de segurança e para ajudar a construir confiança nas atividades inter organizacionais. ISO 27002 ISO 27002 - Âmbito
  • 12.  A Gestão deve apoiar ativamente a segurança dentro da organização através de uma direção clara, demonstrando empenho, atribuição explícita, e reconhecimento das responsabilidades de segurança da informação.  A Gestão deve aprovar a política de segurança da informação, Atribuir funções de segurança e coordenar a implementação e revisão de segurança em toda a organização.  Documentos de Saída: Plano de Negócios Apoio da Gestão Apoio da Gestão
  • 13.  Definir o escopo e os limites do ISMS em termos de características do negócio, a organização, a sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do âmbito.  Qualquer exclusão de controles necessárias para satisfazer os critérios de aceitação de risco precisa ser justificada. Definir o escopo Definindo o Escopo
  • 14.  Todos os ativos devem ser claramente identificados e uma inventário de todos os ativos importantes deve ser elaborado e mantido.  O inventário de ativos deve incluir todas as informações necessárias para recuperação de um desastre, a seguir:  Tipo de ativo;  Formato (ou seja, informações, software, materiais, serviços, pessoas, bens intangíveis)  Localização;  Informações de backup;  Informações sobre a licença;  Valor do negócio. Inventário de Ativos Inventário de Ativos
  • 15.  Avaliações de riscos devem identificar,quantificar e priorizar os riscos em relação a critérios para aceitação de riscos de acordo com os objetivos relevantes para a organização.  Os resultados devem orientar e determinar a ação de gestão adequadas e prioridades para o gerenciamento de riscos de segurança da informação e para implementar controles selecionados para proteger contra esses riscos.  O processo de avaliar riscos e selecionar controles pode precisar que seja realizado em um número x de vezes para cobrir diferentes partes da organização ou sistemas de informação individuais.  Avaliação dos riscos deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de risco) e o processo de comparação aos riscos estimados com base em critérios de risco para determinar o significado dos riscos (Avaliação de risco).  A avaliação de riscos de segurança deve ter uma âmbito claramente definido, a fim de ser eficaz e deve incluir relações com avaliações de risco em outras áreas, se for o caso. Avaliação de risco e Conduta de Segurança Avaliação de Risco
  • 16.  A Declaração de Aplicabilidade (SOA) é um documento que lista informações dos objetivos de controle da segurança e controles de uma organização.  O SOA é derivado a partir dos resultados da avaliação de risco, Onde:  Tratamentos de risco foram selecionados;  Todos os requisitos legais e regulamentares pertinentes tenham sido identificados; As obrigações contratuais são totalmente compreendidas;  Uma revisão da organização precisa para o próprio negócio e requisitos foi realizada. Declaração de Aplicabilidade Declaração de Aplicabilidade
  • 17.  A organização deve formular um plano de tratamento de risco (RTP) Que identifica a ação de gestão apropriada, recursos, responsabilidades e prioridades para o gerenciamento de riscos de segurança da informação.  A RTP deve ser inserida no contexto da política de segurança da informação da organização e deve identificar claramente o abordagem ao risco e os critérios para aceitação de risco.  O RTP é o documento-chave que liga todas as quatro fases do ciclo (PDCA) Plan, Do, Check, Act para o ISMS. Plano de Tratamento dos Riscos Plano de Tratamento de Risco
  • 18.  O "Plan-Do-Check-Act" modelo (PDCA) é aplicado para estruturar todos os processos do ISMS.  O diagrama ilustra como um ISMS toma como entrada as informações sobre os requisitos de segurança e expectativas dos interessados e através das ações e​​ os processos necessários produz resultados de gestão de segurança de informação que atendem aquelas exigências e expectativas. Modelo PCDA
  • 19.  Plano (Estabelecer o ISMS)  Estabelecer a política do ISMS, objetivos, processos e procedimentos relevantes para a gestão do risco e melhorar a segurança da informação para fornecer resultados de acordo com as políticas globais de uma organização e seus objetivos.  Fazer (Implementar e operar o ISMS)  Implementar e operar a política do ISMS, controles, processos e procedimentos.  Verificar (Monitor e rever o ISMS)  Avaliar, quando aplicável, a medida de desempenho do processo contra a política ISMS, objetivos e experiências práticas e relatar os resultados da gestão para a revisão.  Agir (Manter e melhorar o ISMS)  Tomar ações corretivas e preventivas, com base nos resultados do ISMS de auditoria interna e revisão da gestão ou outras informações relevantes, para alcançar a melhoria contínua do ISMS. Modelo PDCA
  • 20.  Implementar o plano de tratamento de riscos a fim de alcançar os objetivos de controle identificados, o que inclui a consideração de financiamento e alocação de papéis e responsabilidades.  Implementar controles selecionados instituídos durante o ISMS para atender os objetivos de controle.  Definir a forma de medir a eficácia dos controles para permitir que os gerentes e funcionários determinem o quão bem controles planejados tiveram os seus objetivos alcançados.  Implementar programas de treinamento e conscientização. Desenvolver o ISMS e Implementação do programa Implementação do Programa ISMS
  • 21.  É importante ser capaz de demonstrar a relação dos controles selecionados com os resultados da avaliação de riscos e processo de tratamento de risco, e posteriormente, de volta para a política do SGSI e objetivos.  A documentação do SGSI deve incluir:  Declarações documentadas da política ISMS e objetivos;  O escopo do SGSI;  Procedimentos e controles, em apoio do ISMS;  A descrição da metodologia de avaliação de risco;  O relatório de avaliação de risco;  O plano de tratamento de riscos;  Procedimentos documentados requeridos pela organização para assegurar o planejamento, operação e controle de seus processos de segurança da informação e descrever como medir a eficácia dos controles;  Registros requeridos pela Norma;  A Declaração de Aplicabilidade. Sistema de Gerenciamento De Segurança da Informação (ISMS) O ISMS
  • 22.  A Alta Gestão examinará o ISMS da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar sua contínua pertinência, adequação e eficácia.  Esta revisão deve incluir a avaliação de oportunidades de melhoria e a necessidade de mudanças para o ISMS, incluindo a política de segurança da informação e os objetivos de segurança da informação.  Os resultados das análises devem ser claramente documentados e os registros devem ser mantidos.  Esta é realizada durante o 'Check' fase do ciclo PDCA e quaisquer ações corretivas adequadamente administrados. Ações corretivas Análise de Conformidade Análise de conformidade e Ações Corretivas
  • 23.  Antes da auditoria externa o conselheiro de segurança da informação devem executar uma revisão abrangente do ISMS e SOA.  A auditoria não pode ocorrer até que tenha passado tempo suficiente para a organização demonstrar o cumprimento do ciclo PDCA total e com a cláusula 8 da ISO 27001, a exigência de melhoria contínua.  Os auditores vão estar procurando provas de que o ISMS continua melhorando, não apenas que ele foi implementado. Avaliação de Avaliação de Pré-certificação
  • 24.  Certificação envolve a avaliação do ISMS da organização. A certificação ISMS assegura que a organização executou uma avaliação de riscos e identificou e implementou um sistema de controles de gestão adequados às necessidades de segurança da informação do negócio.  Evidência de que uma organização está em conformidade com a norma, e toda a documentação complementar, serão apresentados na forma de um documento de certificação ou certificado.  Os organismos de certificação devem assegurar-se que a organização de informações e avaliação adequada de risco de segurança refletem suas atividades comerciais que se estende até os limites e interfaces de suas atividades, conforme definido no padrão.  Os organismos de certificação devem confirmar que isso se reflete na organização do plano de tratamento de risco e sua Declaração de Aplicabilidade. Auditoria de Certificação Auditoria de Certificação
  • 25.  A organização deve melhorar continuamente a eficácia do SGSI através do uso de:  A política de segurança da informação;  Objetivos de segurança de informação;  Resultados da auditoria;  Análise de eventos monitorados;  Ações corretivas e preventivas;  Gestão de revisão. Melhoria Continua Auditoria de Certificação

Hinweis der Redaktion

  1. This is our roadmap!
  2. There are many types of assets, including: a) Information: databases and data files, contracts and agreements, system documentation, research information, user manuals, training material, operational or support procedures, business continuity plans, fall-back arrangements, audit trails, and archived information; b) Software assets: application software, system software, development tools, and utilities; c) Physical assets: computer equipment, communications equipment, removable media, and other equipment; d) Services: computing and communications services, general utilities, e.g. heating, lighting, power, and air-conditioning; e) People, and their qualifications, skills, and experience; f) Intangibles, such as reputation and image of the organization.
  3. See page 80 to Reference C
  4. See pages 97/98 to Reference C