SlideShare a Scribd company logo

Iso27001 sgsi

Download as PPTX, PDF
Rafael Maia
Rafael Maia

A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.

Technology
1 of 30
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1
 FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE. 2/30
 Introdução ◦ Conceitos  Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles  Conclusão  Referências 3/30
 NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT) 2. ISO - Organização Internacional para Padronização 1. International Organization for Standardization 3. IEC - Comissão Eletrotécnica Internacional 1. International Electrotechnical Commission 4/30
 Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário  Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação  Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações  Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da informação 5/30
Publicado o código de prática pelo governo inglês Publicado pelo BSI como BS 7799 1992 1995 1º Grande revisão da BS 7799 1999 Republicado como padrão Internacional ISO/IEC 17799-1 2000 Publicada BS 7799-2 Especificação do SGSI 2002 Publicação BS 7799-2=ISO/IEC 27001 E NBR ISO/IEC 17799 2005 ABNT publica a NBR ISO/IEC 27001:2006 2006 ABNT publica a NBR ISO/IEC 27002:2007(Correção e Renomeação 17799-1) 2007 2013 27001:2013 substitui a 2005 6/30
 Conceitos ◦ Sistema  Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas 7/30
 Conceitos ◦ Gestão  São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega 8/30
 Conceitos ◦ Segurança da Informação  Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005 9/30
 Outros Conceitos ◦ Risco  A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização - ◦ Ameaça  Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização ◦ Vulnerabilidade  Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça ◦ Impacto  Mudança adversa no nível obtido dos objetivos de negócios ◦ Ativo  Qualquer coisa que tenha valor para a organização 10/30
11/30 Integrity Responsibility Confidentiality Availability Integrity Information Security Confidentiality Authenticity Responsibility Non repudiation Confidentiality Availability Integrity Information Security Reliability Authenticity Responsibility Non repudiation PeopleProducts Partners Process
12/30
 É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 13/30
 Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monito rização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.  É independente de fabricantes ◦ Se destina ao estabelecimento  Processos e Procedimento de acordo com realidade de cada organização 14/30
 A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e controles que as organizações devem adotar – NORMATIVO  INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma 2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001 15/30
16/30 ANEXO A- ISO27001:2006
17/30 ANEXO A- ISO27001:2006
 Reduz o risco de responsabilidade por não implantar um SGSI  Identifica e corrige pontos fracos  A alta direção assume a responsabilidade pela SI  Permite revisão independente do SGSI  Oferece confiança aos stakeholders  Melhor consciência sobre Segurança  Combina recursos com outros sistemas de gestão  Mecanismo para medir o sucesso do Sistema 18/30
 Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. 19/30
 Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes ◦ Objetivos de Controle  Documento da política de segurança da informação  Análise crítica da política de segurança da informação 20/30
21/30
 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. ◦ Objetivos de Controle  Incluindo segurança da informação no processo de gestão da continuidade de negócio  Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 22/30
23/30
 Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação ◦ Objetivos de Controle  Uso de senha  Política de mesa limpa e tela limpa 24/30
25/30
Prioridade!!! 26/30
27/30
 A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI. 28/30
 Normas da família 27000 29/30
30/30

Recommended

Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 

Recommended

Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
Fernando Palma
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
luanrjesus
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
Daniel Brandão
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
CompanyWeb
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
dgovs_pucrs
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
Fernando Palma
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
Redes de Computadores - Aula 02
Redes de Computadores - Aula 02Redes de Computadores - Aula 02
Redes de Computadores - Aula 02
thomasdacosta
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
Carlos Henrique Martins da Silva
 
ISO 9001
ISO 9001ISO 9001
ISO 9001
Beto Briscese
 
Fundamentos de sistemas de informação
Fundamentos de sistemas de informaçãoFundamentos de sistemas de informação
Fundamentos de sistemas de informação
Leonardo Melo Santos
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Banco de Dados - Conceitos Básicos
Banco de Dados - Conceitos BásicosBanco de Dados - Conceitos Básicos
Banco de Dados - Conceitos Básicos
Adriano Leite da Silva
 
Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013
José Nascimento
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
Anderson Simão
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
Leinylson Fontinele
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
Data Security
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
Adriano Martins Antonio
 

More Related Content

What's hot

Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
luanrjesus
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
dgovs_pucrs
 

What's hot (20)

Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Redes de Computadores - Aula 02
Redes de Computadores - Aula 02Redes de Computadores - Aula 02
Redes de Computadores - Aula 02
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
ISO 9001
ISO 9001ISO 9001
ISO 9001
 
Fundamentos de sistemas de informação
Fundamentos de sistemas de informaçãoFundamentos de sistemas de informação
Fundamentos de sistemas de informação
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Banco de Dados - Conceitos Básicos
Banco de Dados - Conceitos BásicosBanco de Dados - Conceitos Básicos
Banco de Dados - Conceitos Básicos
 
Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
 

Viewers also liked

Webinar iso20000 iso27000
Webinar iso20000 iso27000Webinar iso20000 iso27000
Webinar iso20000 iso27000
EXIN
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
PECB
 
PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005
PECB
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades Virtuais
Rodrigo Mesquita
 
Politica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalhoPolitica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalho
EvandroPFonseca
 

Viewers also liked (20)

Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
Webinar iso20000 iso27000
Webinar iso20000 iso27000Webinar iso20000 iso27000
Webinar iso20000 iso27000
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
 
ISO/IEC 27001 Foundation - PECB
ISO/IEC 27001 Foundation - PECBISO/IEC 27001 Foundation - PECB
ISO/IEC 27001 Foundation - PECB
 
PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades Virtuais
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Mudanças 5 edição pmbok
Mudanças 5 edição pmbokMudanças 5 edição pmbok
Mudanças 5 edição pmbok
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Politica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalhoPolitica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalho
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
Ilustración de Colecciones: Devolución 1er Colección Ilustrada
Ilustración de Colecciones: Devolución 1er Colección IlustradaIlustración de Colecciones: Devolución 1er Colección Ilustrada
Ilustración de Colecciones: Devolución 1er Colección Ilustrada
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
 

Similar to Iso27001 sgsi

Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
Simba Samuel
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
Dilamar Hoffmann
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
Rui Gomes
 

Similar to Iso27001 sgsi (20)

Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 

Iso27001 sgsi

  • 1. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1
  • 2.  FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE. 2/30
  • 3.  Introdução ◦ Conceitos  Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles  Conclusão  Referências 3/30
  • 4.  NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT) 2. ISO - Organização Internacional para Padronização 1. International Organization for Standardization 3. IEC - Comissão Eletrotécnica Internacional 1. International Electrotechnical Commission 4/30
  • 5.  Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário  Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação  Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações  Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da informação 5/30
  • 6. Publicado o código de prática pelo governo inglês Publicado pelo BSI como BS 7799 1992 1995 1º Grande revisão da BS 7799 1999 Republicado como padrão Internacional ISO/IEC 17799-1 2000 Publicada BS 7799-2 Especificação do SGSI 2002 Publicação BS 7799-2=ISO/IEC 27001 E NBR ISO/IEC 17799 2005 ABNT publica a NBR ISO/IEC 27001:2006 2006 ABNT publica a NBR ISO/IEC 27002:2007(Correção e Renomeação 17799-1) 2007 2013 27001:2013 substitui a 2005 6/30
  • 7.  Conceitos ◦ Sistema  Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas 7/30
  • 8.  Conceitos ◦ Gestão  São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega 8/30
  • 9.  Conceitos ◦ Segurança da Informação  Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005 9/30
  • 10.  Outros Conceitos ◦ Risco  A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização - ◦ Ameaça  Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização ◦ Vulnerabilidade  Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça ◦ Impacto  Mudança adversa no nível obtido dos objetivos de negócios ◦ Ativo  Qualquer coisa que tenha valor para a organização 10/30
  • 11. 11/30 Integrity Responsibility Confidentiality Availability Integrity Information Security Confidentiality Authenticity Responsibility Non repudiation Confidentiality Availability Integrity Information Security Reliability Authenticity Responsibility Non repudiation PeopleProducts Partners Process
  • 12. 12/30
  • 13.  É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 13/30
  • 14.  Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monito rização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.  É independente de fabricantes ◦ Se destina ao estabelecimento  Processos e Procedimento de acordo com realidade de cada organização 14/30
  • 15.  A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e controles que as organizações devem adotar – NORMATIVO  INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma 2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001 15/30
  • 18.  Reduz o risco de responsabilidade por não implantar um SGSI  Identifica e corrige pontos fracos  A alta direção assume a responsabilidade pela SI  Permite revisão independente do SGSI  Oferece confiança aos stakeholders  Melhor consciência sobre Segurança  Combina recursos com outros sistemas de gestão  Mecanismo para medir o sucesso do Sistema 18/30
  • 19.  Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. 19/30
  • 20.  Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes ◦ Objetivos de Controle  Documento da política de segurança da informação  Análise crítica da política de segurança da informação 20/30
  • 21. 21/30
  • 22.  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. ◦ Objetivos de Controle  Incluindo segurança da informação no processo de gestão da continuidade de negócio  Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 22/30
  • 23. 23/30
  • 24.  Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação ◦ Objetivos de Controle  Uso de senha  Política de mesa limpa e tela limpa 24/30
  • 25. 25/30
  • 27. 27/30
  • 28.  A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI. 28/30
  • 29.  Normas da família 27000 29/30
  • 30. 30/30