SlideShare a Scribd company logo

ISO 27001 4

J
jcfarit

Este documento apresenta um resumo do Módulo 4 de um curso sobre a interpretação da norma NBR ISO/IEC 27001:2006. O módulo explica os termos e definições centrais da norma, como ativo, segurança da informação, risco e gestão de riscos. Também descreve os objetivos da norma de estabelecer requisitos para um Sistema de Gestão de Segurança da Informação e como ela pode ser aplicada em qualquer organização.

Education
1 of 22
Download to read offline
Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005
Norma NBR ISO/IEC 27001 – Índice 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI Anexo A – Objetivos de controle e controles Anexo B – Princípios da OECD e desta norma Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma
0 – Introdução 0.1 – Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.
0.2 – Abordagem de processo Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação • Necessidades de SI • Expectativas de SI • Requisitos organizacionais • Requisitos da ISO 27001 • Processos da organização Entrada Saída
0.2 – Abordagem de processo A B C E D ... A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas
0.2 – Abordagem de processo Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Fazer Implementar os processos Verificar Monitorar/medir processos e produtos Agir Agir para melhorar continuamente o desempenho dos processos
0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI Partes interessadas Partes interessadas Estabelecer Manter e melhorar Implementar e operar Monitorar e revisar Expectativas e requisitos de segurança da informação Segurança da Informação gerenciada P C AD Ciclo de desenvolvimento, manutenção e melhoria
0.2 – Abordagem de processo Fase “planejar” Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade
0.2 – Abordagem de processo Fase “fazer” Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle
0.2 – Abordagem de processo Fase “verificar” Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis
0.2 – Abordagem de processo Fase “agir” Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos
0.3 – Compatibilidade com outros sistema de gestão ISO 27001 – Gestão de Segurança da Informação é alinhada com: ISO 9001 – Gestão da Qualidade e com ISO 14001 – Gestão do Meio Ambiente e com OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização.
1 – Objetivo 1.1 – Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
Requisitos genéricos Exclusões (itens não atendidos pela organização): • Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. • Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 1.2 – Aplicação Qualquer tipo Qualquer tamanho Qualquer produto/serviço A ISO 27001 é aplicável a qualquer organização
NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a Gestão de Segurança da Informação 2 – Referência normativa
3 – Termos e definições Ativo – qualquer coisa que tenha valor para a organização Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação
3 – Termos e definições Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos Risco residual – risco remanescente após o tratamento de riscos Aceitação do risco – decisão de aceitar um risco Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco
3 – Termos e definições Análise/avaliação de riscos – processo completo de análise e avaliação de riscos Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
Exercício Indique se é verdadeiro ou falso: 1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”. 6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
Resposta Indique se é verdadeiro ou falso: 1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”) 6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 Fim do módulo 4

Recommended

ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 

Recommended

ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006J Flávia Sales
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCAbraão Sakelo
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 

More Related Content

What's hot

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCAbraão Sakelo
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 

What's hot (20)

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 

Similar to ISO 27001 4

Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Kleber Silva
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2Fabrício Basto
 
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdffundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdferickfariacosta1
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013Felipe Prado
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso onlineCurso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso onlineGAC CURSOS ONLINE
 

Similar to ISO 27001 4 (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdffundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Sistemas de gestao integrados
Sistemas de gestao integradosSistemas de gestao integrados
Sistemas de gestao integrados
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007
 
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso onlineCurso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
 

More from jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefoniajcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruanijcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxjcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linuxjcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQLjcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimiblejcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimiblejcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digitaljcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switchesjcfarit
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.docjcfarit
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicosjcfarit
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicojcfarit
 

More from jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
 

Recently uploaded

Atividade do poema sobre mãe de mário quintana.pdf
Atividade do poema sobre mãe de mário quintana.pdfAtividade do poema sobre mãe de mário quintana.pdf
Atividade do poema sobre mãe de mário quintana.pdfmaria794949
 
Respostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdf
Respostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdfRespostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdf
Respostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdfssuser06ee57
 
Poema - Reciclar é preciso
Poema - Reciclar é precisoPoema - Reciclar é preciso
Poema - Reciclar é precisoMary Alvarenga
 
04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf
04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf
04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdfARIANAMENDES11
 
"Nós Propomos! Mobilidade sustentável na Sertã"
"Nós Propomos! Mobilidade sustentável na Sertã""Nós Propomos! Mobilidade sustentável na Sertã"
"Nós Propomos! Mobilidade sustentável na Sertã"Ilda Bicacro
 
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptxSlides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptxLuizHenriquedeAlmeid6
 
CONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docx
CONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docxCONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docx
CONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docxEduardaMedeiros18
 
Exercícios de Clima no brasil e no mundo.pdf
Exercícios de Clima no brasil e no mundo.pdfExercícios de Clima no brasil e no mundo.pdf
Exercícios de Clima no brasil e no mundo.pdfRILTONNOGUEIRADOSSAN
 
clubinho-bio-2.pdf vacinas saúde importância
clubinho-bio-2.pdf vacinas saúde importânciaclubinho-bio-2.pdf vacinas saúde importância
clubinho-bio-2.pdf vacinas saúde importânciaLuanaAlves940822
 
Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Rosana Andrea Miranda
 
Multiplicação - Caça-número
Multiplicação - Caça-número Multiplicação - Caça-número
Multiplicação - Caça-número Mary Alvarenga
 
Memórias_póstumas_de_Brás_Cubas_ Machado_de_Assis
Memórias_póstumas_de_Brás_Cubas_ Machado_de_AssisMemórias_póstumas_de_Brás_Cubas_ Machado_de_Assis
Memórias_póstumas_de_Brás_Cubas_ Machado_de_Assisbrunocali007
 
Apresentação sobre as etapas do desenvolvimento infantil
Apresentação sobre as etapas do desenvolvimento infantilApresentação sobre as etapas do desenvolvimento infantil
Apresentação sobre as etapas do desenvolvimento infantilMariaHelena293800
 
GRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdf
GRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdfGRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdf
GRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdfrarakey779
 
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdfufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdfManuais Formação
 
Meu corpo - Ruth Rocha e Anna Flora livro
Meu corpo - Ruth Rocha e Anna Flora livroMeu corpo - Ruth Rocha e Anna Flora livro
Meu corpo - Ruth Rocha e Anna Flora livroBrenda Fritz
 
Unidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxUnidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxRaquelMartins389880
 
Hans Kelsen - Teoria Pura do Direito - Obra completa.pdf
Hans Kelsen - Teoria Pura do Direito - Obra completa.pdfHans Kelsen - Teoria Pura do Direito - Obra completa.pdf
Hans Kelsen - Teoria Pura do Direito - Obra completa.pdfrarakey779
 
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdfAs Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdfcarloseduardogonalve36
 
Fotossíntese para o Ensino médio primeiros anos
Fotossíntese para o Ensino médio primeiros anosFotossíntese para o Ensino médio primeiros anos
Fotossíntese para o Ensino médio primeiros anosbiancaborges0906
 

Recently uploaded (20)

Atividade do poema sobre mãe de mário quintana.pdf
Atividade do poema sobre mãe de mário quintana.pdfAtividade do poema sobre mãe de mário quintana.pdf
Atividade do poema sobre mãe de mário quintana.pdf
 
Respostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdf
Respostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdfRespostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdf
Respostas prova do exame nacional Port. 2008 - 1ª fase - Criterios.pdf
 
Poema - Reciclar é preciso
Poema - Reciclar é precisoPoema - Reciclar é preciso
Poema - Reciclar é preciso
 
04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf
04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf
04_GuiaDoCurso_Neurociência, Psicologia Positiva e Mindfulness.pdf
 
"Nós Propomos! Mobilidade sustentável na Sertã"
"Nós Propomos! Mobilidade sustentável na Sertã""Nós Propomos! Mobilidade sustentável na Sertã"
"Nós Propomos! Mobilidade sustentável na Sertã"
 
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptxSlides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
 
CONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docx
CONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docxCONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docx
CONTO-3º-4º-E-5ºANO-A-PRINCESA-E-A-ERVILHA[1] (1).docx
 
Exercícios de Clima no brasil e no mundo.pdf
Exercícios de Clima no brasil e no mundo.pdfExercícios de Clima no brasil e no mundo.pdf
Exercícios de Clima no brasil e no mundo.pdf
 
clubinho-bio-2.pdf vacinas saúde importância
clubinho-bio-2.pdf vacinas saúde importânciaclubinho-bio-2.pdf vacinas saúde importância
clubinho-bio-2.pdf vacinas saúde importância
 
Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024
 
Multiplicação - Caça-número
Multiplicação - Caça-número Multiplicação - Caça-número
Multiplicação - Caça-número
 
Memórias_póstumas_de_Brás_Cubas_ Machado_de_Assis
Memórias_póstumas_de_Brás_Cubas_ Machado_de_AssisMemórias_póstumas_de_Brás_Cubas_ Machado_de_Assis
Memórias_póstumas_de_Brás_Cubas_ Machado_de_Assis
 
Apresentação sobre as etapas do desenvolvimento infantil
Apresentação sobre as etapas do desenvolvimento infantilApresentação sobre as etapas do desenvolvimento infantil
Apresentação sobre as etapas do desenvolvimento infantil
 
GRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdf
GRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdfGRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdf
GRAMÁTICA NORMATIVA DA LÍNGUA PORTUGUESA UM GUIA COMPLETO DO IDIOMA.pdf
 
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdfufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
ufcd_9649_Educação Inclusiva e Necessidades Educativas Especificas_índice.pdf
 
Meu corpo - Ruth Rocha e Anna Flora livro
Meu corpo - Ruth Rocha e Anna Flora livroMeu corpo - Ruth Rocha e Anna Flora livro
Meu corpo - Ruth Rocha e Anna Flora livro
 
Unidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxUnidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docx
 
Hans Kelsen - Teoria Pura do Direito - Obra completa.pdf
Hans Kelsen - Teoria Pura do Direito - Obra completa.pdfHans Kelsen - Teoria Pura do Direito - Obra completa.pdf
Hans Kelsen - Teoria Pura do Direito - Obra completa.pdf
 
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdfAs Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
 
Fotossíntese para o Ensino médio primeiros anos
Fotossíntese para o Ensino médio primeiros anosFotossíntese para o Ensino médio primeiros anos
Fotossíntese para o Ensino médio primeiros anos
 

ISO 27001 4

  • 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  • 2. Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005
  • 3. Norma NBR ISO/IEC 27001 – Índice 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI Anexo A – Objetivos de controle e controles Anexo B – Princípios da OECD e desta norma Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma
  • 4. 0 – Introdução 0.1 – Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.
  • 5. 0.2 – Abordagem de processo Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação • Necessidades de SI • Expectativas de SI • Requisitos organizacionais • Requisitos da ISO 27001 • Processos da organização Entrada Saída
  • 6. 0.2 – Abordagem de processo A B C E D ... A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas
  • 7. 0.2 – Abordagem de processo Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Fazer Implementar os processos Verificar Monitorar/medir processos e produtos Agir Agir para melhorar continuamente o desempenho dos processos
  • 8. 0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI Partes interessadas Partes interessadas Estabelecer Manter e melhorar Implementar e operar Monitorar e revisar Expectativas e requisitos de segurança da informação Segurança da Informação gerenciada P C AD Ciclo de desenvolvimento, manutenção e melhoria
  • 9. 0.2 – Abordagem de processo Fase “planejar” Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade
  • 10. 0.2 – Abordagem de processo Fase “fazer” Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle
  • 11. 0.2 – Abordagem de processo Fase “verificar” Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis
  • 12. 0.2 – Abordagem de processo Fase “agir” Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos
  • 13. 0.3 – Compatibilidade com outros sistema de gestão ISO 27001 – Gestão de Segurança da Informação é alinhada com: ISO 9001 – Gestão da Qualidade e com ISO 14001 – Gestão do Meio Ambiente e com OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização.
  • 14. 1 – Objetivo 1.1 – Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
  • 15. Requisitos genéricos Exclusões (itens não atendidos pela organização): • Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. • Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 1.2 – Aplicação Qualquer tipo Qualquer tamanho Qualquer produto/serviço A ISO 27001 é aplicável a qualquer organização
  • 16. NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a Gestão de Segurança da Informação 2 – Referência normativa
  • 17. 3 – Termos e definições Ativo – qualquer coisa que tenha valor para a organização Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação
  • 18. 3 – Termos e definições Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos Risco residual – risco remanescente após o tratamento de riscos Aceitação do risco – decisão de aceitar um risco Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco
  • 19. 3 – Termos e definições Análise/avaliação de riscos – processo completo de análise e avaliação de riscos Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
  • 20. Exercício Indique se é verdadeiro ou falso: 1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”. 6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 21. Resposta Indique se é verdadeiro ou falso: 1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”) 6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 22. Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 Fim do módulo 4