SlideShare ist ein Scribd-Unternehmen logo

ISO 27001 4

J
jcfarit

Este documento apresenta um resumo do Módulo 4 de um curso sobre a interpretação da norma NBR ISO/IEC 27001:2006. O módulo explica os termos e definições centrais da norma, como ativo, segurança da informação, risco e gestão de riscos. Também descreve os objetivos da norma de estabelecer requisitos para um Sistema de Gestão de Segurança da Informação e como ela pode ser aplicada em qualquer organização.

Bildung
1 von 22
Downloaden Sie, um offline zu lesen
Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005
Norma NBR ISO/IEC 27001 – Índice 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI Anexo A – Objetivos de controle e controles Anexo B – Princípios da OECD e desta norma Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma
0 – Introdução 0.1 – Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.
0.2 – Abordagem de processo Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação • Necessidades de SI • Expectativas de SI • Requisitos organizacionais • Requisitos da ISO 27001 • Processos da organização Entrada Saída
0.2 – Abordagem de processo A B C E D ... A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas
0.2 – Abordagem de processo Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Fazer Implementar os processos Verificar Monitorar/medir processos e produtos Agir Agir para melhorar continuamente o desempenho dos processos
0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI Partes interessadas Partes interessadas Estabelecer Manter e melhorar Implementar e operar Monitorar e revisar Expectativas e requisitos de segurança da informação Segurança da Informação gerenciada P C AD Ciclo de desenvolvimento, manutenção e melhoria
0.2 – Abordagem de processo Fase “planejar” Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade
0.2 – Abordagem de processo Fase “fazer” Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle
0.2 – Abordagem de processo Fase “verificar” Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis
0.2 – Abordagem de processo Fase “agir” Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos
0.3 – Compatibilidade com outros sistema de gestão ISO 27001 – Gestão de Segurança da Informação é alinhada com: ISO 9001 – Gestão da Qualidade e com ISO 14001 – Gestão do Meio Ambiente e com OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização.
1 – Objetivo 1.1 – Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
Requisitos genéricos Exclusões (itens não atendidos pela organização): • Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. • Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 1.2 – Aplicação Qualquer tipo Qualquer tamanho Qualquer produto/serviço A ISO 27001 é aplicável a qualquer organização
NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a Gestão de Segurança da Informação 2 – Referência normativa
3 – Termos e definições Ativo – qualquer coisa que tenha valor para a organização Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação
3 – Termos e definições Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos Risco residual – risco remanescente após o tratamento de riscos Aceitação do risco – decisão de aceitar um risco Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco
3 – Termos e definições Análise/avaliação de riscos – processo completo de análise e avaliação de riscos Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
Exercício Indique se é verdadeiro ou falso: 1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”. 6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
Resposta Indique se é verdadeiro ou falso: 1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”) 6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 Fim do módulo 4

Empfohlen

ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
jcfarit
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
Fernando Palma
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
Dilamar Hoffmann
 

Empfohlen

ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
jcfarit
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
Fernando Palma
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
Dilamar Hoffmann
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
J Flávia Sales
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Abraão Sakelo
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Abraão Sakelo
 

Was ist angesagt? (20)

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 

Ähnlich wie ISO 27001 4

Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdffundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
erickfariacosta1
 

Ähnlich wie ISO 27001 4 (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdffundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Sistemas de gestao integrados
Sistemas de gestao integradosSistemas de gestao integrados
Sistemas de gestao integrados
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007
 
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso onlineCurso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
 

Mehr von jcfarit

Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
jcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
jcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
jcfarit
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
jcfarit
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
jcfarit
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
jcfarit
 

Mehr von jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
 

Kürzlich hochgeladen

Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
comercial400681
 
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
PatriciaCaetano18
 
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
azulassessoria9
 
atividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdf
atividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdfatividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdf
atividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdf
Autonoma
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
azulassessoria9
 
Sistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturasSistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturas
rfmbrandao
 

Kürzlich hochgeladen (20)

3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
 
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
 
O que é arte. Definição de arte. História da arte.
O que é arte. Definição de arte. História da arte.O que é arte. Definição de arte. História da arte.
O que é arte. Definição de arte. História da arte.
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
 
Educação Financeira - Cartão de crédito665933.pptx
Educação Financeira - Cartão de crédito665933.pptxEducação Financeira - Cartão de crédito665933.pptx
Educação Financeira - Cartão de crédito665933.pptx
 
Apresentação | Dia da Europa 2024 - Celebremos a União Europeia!
Apresentação | Dia da Europa 2024 - Celebremos a União Europeia!Apresentação | Dia da Europa 2024 - Celebremos a União Europeia!
Apresentação | Dia da Europa 2024 - Celebremos a União Europeia!
 
M0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptxM0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptx
 
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptx
 
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.ppt
 
aprendizagem significatica, teórico David Ausubel
aprendizagem significatica, teórico David Ausubelaprendizagem significatica, teórico David Ausubel
aprendizagem significatica, teórico David Ausubel
 
Slides 9º ano 2024.pptx- Geografia - exercicios
Slides 9º ano 2024.pptx- Geografia - exerciciosSlides 9º ano 2024.pptx- Geografia - exercicios
Slides 9º ano 2024.pptx- Geografia - exercicios
 
atividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdf
atividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdfatividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdf
atividade-de-portugues-paronimos-e-homonimos-4º-e-5º-ano-respostas.pdf
 
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
 
Sistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturasSistema articular aula 4 (1).pdf articulações e junturas
Sistema articular aula 4 (1).pdf articulações e junturas
 
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxSlides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
 

ISO 27001 4

  • 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  • 2. Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005
  • 3. Norma NBR ISO/IEC 27001 – Índice 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI Anexo A – Objetivos de controle e controles Anexo B – Princípios da OECD e desta norma Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma
  • 4. 0 – Introdução 0.1 – Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.
  • 5. 0.2 – Abordagem de processo Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação • Necessidades de SI • Expectativas de SI • Requisitos organizacionais • Requisitos da ISO 27001 • Processos da organização Entrada Saída
  • 6. 0.2 – Abordagem de processo A B C E D ... A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas
  • 7. 0.2 – Abordagem de processo Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Fazer Implementar os processos Verificar Monitorar/medir processos e produtos Agir Agir para melhorar continuamente o desempenho dos processos
  • 8. 0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI Partes interessadas Partes interessadas Estabelecer Manter e melhorar Implementar e operar Monitorar e revisar Expectativas e requisitos de segurança da informação Segurança da Informação gerenciada P C AD Ciclo de desenvolvimento, manutenção e melhoria
  • 9. 0.2 – Abordagem de processo Fase “planejar” Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade
  • 10. 0.2 – Abordagem de processo Fase “fazer” Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle
  • 11. 0.2 – Abordagem de processo Fase “verificar” Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis
  • 12. 0.2 – Abordagem de processo Fase “agir” Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos
  • 13. 0.3 – Compatibilidade com outros sistema de gestão ISO 27001 – Gestão de Segurança da Informação é alinhada com: ISO 9001 – Gestão da Qualidade e com ISO 14001 – Gestão do Meio Ambiente e com OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização.
  • 14. 1 – Objetivo 1.1 – Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
  • 15. Requisitos genéricos Exclusões (itens não atendidos pela organização): • Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. • Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 1.2 – Aplicação Qualquer tipo Qualquer tamanho Qualquer produto/serviço A ISO 27001 é aplicável a qualquer organização
  • 16. NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a Gestão de Segurança da Informação 2 – Referência normativa
  • 17. 3 – Termos e definições Ativo – qualquer coisa que tenha valor para a organização Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação
  • 18. 3 – Termos e definições Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos Risco residual – risco remanescente após o tratamento de riscos Aceitação do risco – decisão de aceitar um risco Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco
  • 19. 3 – Termos e definições Análise/avaliação de riscos – processo completo de análise e avaliação de riscos Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
  • 20. Exercício Indique se é verdadeiro ou falso: 1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”. 6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 21. Resposta Indique se é verdadeiro ou falso: 1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”) 6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 22. Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 Fim do módulo 4