Certificacao iso 27001

2,372 views

Published on

  • Be the first to comment

Certificacao iso 27001

  1. 1. Processo de Implementação e Certificação da ISO 27001
  2. 2. • A - BS ISO / IEC 27001:2005 (ISO 27001) - Tecnologia da informação - Técnicas de segurança - Requisitos ISMS • B - BS ISO / IEC 27002:2005 (ISO 27002) - Tecnologia da informação - Técnicas de segurança - Código de prática para a Gestão de Segurança da Informação Referências
  3. 3. Hoje no Brasil quais são as normas para Sistema de Segurança da Informação? • As Normas para segurança da informação foram adotadas e traduzidas pela ABNT recebendo a denominação de: • NBR ISO/IEC 27001:2006 – Sistema de Gestão de Segurança da Informação. • NBR ISO/IEC 27002:2005 – Código de Práticas para Gestão de Segurança da Informação. A norma ISO 27001 refere-se à quais requisitos de sistemas de gestão da informação devem ser implementados pela organização e a ISO 27002 é um guia que orienta a utilização de controles de segurança da informação. Estas normas são genéricas por natureza.
  4. 4. ISO 27001- Geral • “Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. É esperado que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo,uma situação simples requer uma solução de um SGSI simples.” • “Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.”
  5. 5. Visão Geral da ISO 27001 • Incorporar um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infraestrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente • Controles adicionais podem ser incorporados ao ISMS se assim for desejado.
  6. 6. Razões para se adotar a ISO 27001 • Governança Corporativa. • Melhoria da eficácia da Segurança da Informação. • Diferencial de mercado. • Atender os requisitos de partes interessadas e dos clientes. • Única norma com aceitação global. • Redução potencial no valor do seguro. • Focada nas responsabilidades dos funcionários. • A norma cobre TI bem como a organização, pessoal e instalações. • Conformidade com as legislações.
  7. 7. Dificuldades para Implementação de um ISMS • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para Gestão de Risco. • Mesmo existindo Plano de Continuidade de Negócios, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta”ao estabelecer os parâmetros dos controles identificados na norma. • Falta de ação para identificar e usar controles fora da norma • Limitação de orçamento.
  8. 8. Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Oferecer confiança aos parceiros comerciais, partes interessadas e clientes. • Melhorar a conscientização sobre segurança. • Combinar recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema.
  9. 9. ISO 27001 -ISO 27001 - RoteiroRoteiro
  10. 10.  A ISO 27001 fornece um modelo para estabelecimento, implementação, operação, monitoração, revisão, manutenção e melhoria de um Sistema de Gestão da Segurança (ISMS).  A adoção de um ISMS deve ser uma decisão estratégica para a empresa. O desenho e implementação do ISMS de uma empresa é influenciado por suas necessidades e objetivos, requisitos de segurança, processos utilizados o tamanho e a estrutura da empresa.  Estes e seus sistemas de apoio devem mudar ao longo do tempo. Espera-se que a Implementação de um SGSI seja dimensionada de acordo com as necessidades da empresa, Por exemplo, uma situação simples requer um ISMS de solução simples.  O Padrão ISO 27001 pode ser usado em ordem para avaliar a conformidade por partes interessadas internas e externas. ISO 27001 ISO 27001 – Âmbito
  11. 11.  A ISO 27002 é o Código de prática para a Gestão de Segurança da Informação e estabelece diretrizes e princípios gerais para iniciação,implementação,manutenção e melhoria da gestão de segurança da informação em uma organização.  Os objetivos definidos na Norma Internacional fornecem orientações gerais sobre os objetivos comumente aceitos de gestão de segurança da informação.  Os objetivos de controle e os controles da Norma se destinam a ser implementadas para atender aos requisitos identificados por uma avaliação de risco.  O padrão pode servir como uma prática orientação para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gestão de segurança e para ajudar a construir confiança nas atividades inter organizacionais. ISO 27002 ISO 27002 - Âmbito
  12. 12.  A Gestão deve apoiar ativamente a segurança dentro da organização através de uma direção clara, demonstrando empenho, atribuição explícita, e reconhecimento das responsabilidades de segurança da informação.  A Gestão deve aprovar a política de segurança da informação, Atribuir funções de segurança e coordenar a implementação e revisão de segurança em toda a organização.  Documentos de Saída: Plano de Negócios Apoio da Gestão Apoio da Gestão
  13. 13.  Definir o escopo e os limites do ISMS em termos de características do negócio, a organização, a sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do âmbito.  Qualquer exclusão de controles necessárias para satisfazer os critérios de aceitação de risco precisa ser justificada. Definir o escopo Definindo o Escopo
  14. 14.  Todos os ativos devem ser claramente identificados e uma inventário de todos os ativos importantes deve ser elaborado e mantido.  O inventário de ativos deve incluir todas as informações necessárias para recuperação de um desastre, a seguir:  Tipo de ativo;  Formato (ou seja, informações, software, materiais, serviços, pessoas, bens intangíveis)  Localização;  Informações de backup;  Informações sobre a licença;  Valor do negócio. Inventário de Ativos Inventário de Ativos
  15. 15.  Avaliações de riscos devem identificar,quantificar e priorizar os riscos em relação a critérios para aceitação de riscos de acordo com os objetivos relevantes para a organização.  Os resultados devem orientar e determinar a ação de gestão adequadas e prioridades para o gerenciamento de riscos de segurança da informação e para implementar controles selecionados para proteger contra esses riscos.  O processo de avaliar riscos e selecionar controles pode precisar que seja realizado em um número x de vezes para cobrir diferentes partes da organização ou sistemas de informação individuais.  Avaliação dos riscos deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de risco) e o processo de comparação aos riscos estimados com base em critérios de risco para determinar o significado dos riscos (Avaliação de risco).  A avaliação de riscos de segurança deve ter uma âmbito claramente definido, a fim de ser eficaz e deve incluir relações com avaliações de risco em outras áreas, se for o caso. Avaliação de risco e Conduta de Segurança Avaliação de Risco
  16. 16.  A Declaração de Aplicabilidade (SOA) é um documento que lista informações dos objetivos de controle da segurança e controles de uma organização.  O SOA é derivado a partir dos resultados da avaliação de risco, Onde:  Tratamentos de risco foram selecionados;  Todos os requisitos legais e regulamentares pertinentes tenham sido identificados; As obrigações contratuais são totalmente compreendidas;  Uma revisão da organização precisa para o próprio negócio e requisitos foi realizada. Declaração de Aplicabilidade Declaração de Aplicabilidade
  17. 17.  A organização deve formular um plano de tratamento de risco (RTP) Que identifica a ação de gestão apropriada, recursos, responsabilidades e prioridades para o gerenciamento de riscos de segurança da informação.  A RTP deve ser inserida no contexto da política de segurança da informação da organização e deve identificar claramente o abordagem ao risco e os critérios para aceitação de risco.  O RTP é o documento-chave que liga todas as quatro fases do ciclo (PDCA) Plan, Do, Check, Act para o ISMS. Plano de Tratamento dos Riscos Plano de Tratamento de Risco
  18. 18.  O "Plan-Do-Check-Act" modelo (PDCA) é aplicado para estruturar todos os processos do ISMS.  O diagrama ilustra como um ISMS toma como entrada as informações sobre os requisitos de segurança e expectativas dos interessados e através das ações e​​ os processos necessários produz resultados de gestão de segurança de informação que atendem aquelas exigências e expectativas. Modelo PCDA
  19. 19.  Plano (Estabelecer o ISMS)  Estabelecer a política do ISMS, objetivos, processos e procedimentos relevantes para a gestão do risco e melhorar a segurança da informação para fornecer resultados de acordo com as políticas globais de uma organização e seus objetivos.  Fazer (Implementar e operar o ISMS)  Implementar e operar a política do ISMS, controles, processos e procedimentos.  Verificar (Monitor e rever o ISMS)  Avaliar, quando aplicável, a medida de desempenho do processo contra a política ISMS, objetivos e experiências práticas e relatar os resultados da gestão para a revisão.  Agir (Manter e melhorar o ISMS)  Tomar ações corretivas e preventivas, com base nos resultados do ISMS de auditoria interna e revisão da gestão ou outras informações relevantes, para alcançar a melhoria contínua do ISMS. Modelo PDCA
  20. 20.  Implementar o plano de tratamento de riscos a fim de alcançar os objetivos de controle identificados, o que inclui a consideração de financiamento e alocação de papéis e responsabilidades.  Implementar controles selecionados instituídos durante o ISMS para atender os objetivos de controle.  Definir a forma de medir a eficácia dos controles para permitir que os gerentes e funcionários determinem o quão bem controles planejados tiveram os seus objetivos alcançados.  Implementar programas de treinamento e conscientização. Desenvolver o ISMS e Implementação do programa Implementação do Programa ISMS
  21. 21.  É importante ser capaz de demonstrar a relação dos controles selecionados com os resultados da avaliação de riscos e processo de tratamento de risco, e posteriormente, de volta para a política do SGSI e objetivos.  A documentação do SGSI deve incluir:  Declarações documentadas da política ISMS e objetivos;  O escopo do SGSI;  Procedimentos e controles, em apoio do ISMS;  A descrição da metodologia de avaliação de risco;  O relatório de avaliação de risco;  O plano de tratamento de riscos;  Procedimentos documentados requeridos pela organização para assegurar o planejamento, operação e controle de seus processos de segurança da informação e descrever como medir a eficácia dos controles;  Registros requeridos pela Norma;  A Declaração de Aplicabilidade. Sistema de Gerenciamento De Segurança da Informação (ISMS) O ISMS
  22. 22.  A Alta Gestão examinará o ISMS da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar sua contínua pertinência, adequação e eficácia.  Esta revisão deve incluir a avaliação de oportunidades de melhoria e a necessidade de mudanças para o ISMS, incluindo a política de segurança da informação e os objetivos de segurança da informação.  Os resultados das análises devem ser claramente documentados e os registros devem ser mantidos.  Esta é realizada durante o 'Check' fase do ciclo PDCA e quaisquer ações corretivas adequadamente administrados. Ações corretivas Análise de Conformidade Análise de conformidade e Ações Corretivas
  23. 23.  Antes da auditoria externa o conselheiro de segurança da informação devem executar uma revisão abrangente do ISMS e SOA.  A auditoria não pode ocorrer até que tenha passado tempo suficiente para a organização demonstrar o cumprimento do ciclo PDCA total e com a cláusula 8 da ISO 27001, a exigência de melhoria contínua.  Os auditores vão estar procurando provas de que o ISMS continua melhorando, não apenas que ele foi implementado. Avaliação de Avaliação de Pré-certificação
  24. 24.  Certificação envolve a avaliação do ISMS da organização. A certificação ISMS assegura que a organização executou uma avaliação de riscos e identificou e implementou um sistema de controles de gestão adequados às necessidades de segurança da informação do negócio.  Evidência de que uma organização está em conformidade com a norma, e toda a documentação complementar, serão apresentados na forma de um documento de certificação ou certificado.  Os organismos de certificação devem assegurar-se que a organização de informações e avaliação adequada de risco de segurança refletem suas atividades comerciais que se estende até os limites e interfaces de suas atividades, conforme definido no padrão.  Os organismos de certificação devem confirmar que isso se reflete na organização do plano de tratamento de risco e sua Declaração de Aplicabilidade. Auditoria de Certificação Auditoria de Certificação
  25. 25.  A organização deve melhorar continuamente a eficácia do SGSI através do uso de:  A política de segurança da informação;  Objetivos de segurança de informação;  Resultados da auditoria;  Análise de eventos monitorados;  Ações corretivas e preventivas;  Gestão de revisão. Melhoria Continua Auditoria de Certificação

×