SlideShare uma empresa Scribd logo

Introdução à Série ISO/IEC 27k

Transferir como PPTX, PDF
Aldson Diego
Aldson Diego

Material da disciplina Segurança da Informação, lecionado no Instituto Federal de Rondônia - Ariquemes

Liderança e gerenciamento
1 de 29
Introdução Algumas Organizações de Padronização
Introdução Hierarquia das Organizações INTERNACIONAL NACIONAL IEC/ISO ABNT Brasil BSI Inglaterra ANSI Estados Unidos
Introdução Por que Padronizar?
Introdução Objetivos das Normas É aquilo que se estabelece como medida para a realização de uma atividade. Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.
Introdução Os objetivos das normas segundo a ABNT são: Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; Segurança: proteger a vida humana e a saúde;
Introdução Os objetivos das normas segundo a ABNT são: Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.
Introdução Como tudo começou Fundação do BSI (1901) Presente em mais de 86 países Fórum normalizador do Reino Unido. Principal membro fundador do ISO.
Introdução As normas BS 7799 Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação; NORMA ANO 1995BS 7799-1
Introdução As normas BS 7799 Sistema de Gerenciamento da Segurança da Informação; NORMA ANO 1999BS 7799-2
Introdução As normas BS 7799 Análise e Gerenciamento de Riscos; NORMA ANO 2005BS 7799-3
Introdução A norma ISO/IEC 17799 A norma ISO/IEC 17799 é uma cópia fiel do padrão britânico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002 NORMA ANO 2000ISO/IEC 17799
Introdução Herança de Normas BS 7799-1 BS 7799-2 BS 7799-3 ISO/IEC 17799 ISO/IEC 27002 ISO/IEC 27001 ISO/IEC 27000 ISO/IEC 27005
Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Define os requisitos para um sistemas de gestão de segurança da informação.
Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Boas práticas para a gestão de segurança da informação.
Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Guia para a implantação de um sistema de gestão de segurança da informação.
Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação.
Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Fornece as diretrizes para o processo de gestão de riscos de segurança da informação.
Série ISO/IEC 27K Estrutura da norma 27001 0. Introdução 1. Objetivo 2. Referência Normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção (Geral / Entradas para análise crítica / Saídas da análise crítica) 8. Melhorias no SGSI (Melhoria contínua / Ação corretiva / Ação preventiva)
Sistema de Gestão de Segurança (SGSI) Um SGSI tem o objetivo de: Estabelecer Implementar Operar Monitorar Analisar Manter Melhorar Informação Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional. Esse sistema denomina-se o ciclo PDCA E I O M A M M
Sistema de Gestão de Segurança (SGSI) Ciclo PDCA ESTABELECER IMPLEMENTAR E OPERAR MONITORAR E ANÁLISAR MANTER E MELHORAR
Sistema de Gestão de Segurança (SGSI) Benefícios da ISO/IEC 27001:2005 A norma é projetada para assegurar que você selecione os controles de segurança adequados e proporcionais que o ajudem a proteger os ativos da informação para gerar confiança nas partes interessadas, incluindo seus clientes. A ISO/IEC 27001 define os requisitos para um Sistema de segurança da informação.
Sistema de Gestão de Segurança (SGSI) Benefícios da ISO/IEC 27001:2005 Auxilia as organizações ao prover uma abordagem estruturada e proativa para a segurança da informação. É um investimento para o futuro da companhia. Um sistema de gestão “baseado em riscos” para ajudar organizações planejarem, implementarem e manterem um sistema de gestão de segurança da informação (SGSI).
Sistema de Gestão de Segurança (SGSI) Termos e definições da norma ISO/IEC 27001. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Ativo: qualquer coisa que tenha valor para a organização Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
Sistema de Gestão de Segurança (SGSI) Termos e definições da norma ISO/IEC 27001. Evento de segurança da informação: Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança Incidente de segurança da Informação: Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
ABNT NBR ISO/IEC 17799:2005 Objetivos. Estabelecer códigos de boas práticas para a gestão de segurança da informação. Dar instrumentos para a implantação de segurança da informação de acordo com as características de uma empresa.
ABNT NBR ISO/IEC 17799:2005 Objetivos. A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade (CID) das informações.
ABNT NBR ISO/IEC 17799:2005 Benefícios proporcionados  Vantagem competitiva;  Melhoria no desempenho do negócio e gerenciamento de riscos;  Atrair novos investidores, melhoria da reputação da marca e remoção de barreiras comerciais;  Redução de Gastos;  Operações com menos burocracias e redução de perda;  Evolução da comunicação interna;  Melhoria da satisfação do cliente.
ABNT NBR ISO/IEC 17799:2005 Seções de controle da norma: 1. Política de Segurança da Informação; 2. Organizando a Segurança da Informação 3. Gestão de Ativos 4. Segurança em Recursos Humanos; 5. Segurança Física e do Ambiente; 6. Gestão de Operações e Comunicações; 7. Controle de Acesso; 8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação; 9. Gestão de Incidentes de Segurança da Informação 10. Gestão da Continuidade do Negócio; 11. Conformidade.

Recomendados

Network security
Network securityNetwork security
Network security
Gichelle Amon
 
Inetsecurity.in Ethical Hacking presentation
Inetsecurity.in Ethical Hacking presentationInetsecurity.in Ethical Hacking presentation
Inetsecurity.in Ethical Hacking presentation
Joshua Prince
 
Iot(security)
Iot(security)Iot(security)
Iot(security)
Shreya Pohekar
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Kunal Gawade, CFE
 
Introduction to cyber security
Introduction to cyber security Introduction to cyber security
Introduction to cyber security
RaviPrashant5
 
Presentation cyber forensics & ethical hacking
Presentation cyber forensics & ethical hackingPresentation cyber forensics & ethical hacking
Presentation cyber forensics & ethical hacking
Ambuj Kumar
 
Module 8 System Hacking
Module 8 System HackingModule 8 System Hacking
Module 8 System Hacking
leminhvuong
 
Data Security - English
Data Security - EnglishData Security - English
Data Security - English
Data Security
 

Recomendados

Network security
Network securityNetwork security
Network security
Gichelle Amon
 
Inetsecurity.in Ethical Hacking presentation
Inetsecurity.in Ethical Hacking presentationInetsecurity.in Ethical Hacking presentation
Inetsecurity.in Ethical Hacking presentation
Joshua Prince
 
Iot(security)
Iot(security)Iot(security)
Iot(security)
Shreya Pohekar
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Kunal Gawade, CFE
 
Introduction to cyber security
Introduction to cyber security Introduction to cyber security
Introduction to cyber security
RaviPrashant5
 
Presentation cyber forensics & ethical hacking
Presentation cyber forensics & ethical hackingPresentation cyber forensics & ethical hacking
Presentation cyber forensics & ethical hacking
Ambuj Kumar
 
Module 8 System Hacking
Module 8 System HackingModule 8 System Hacking
Module 8 System Hacking
leminhvuong
 
Data Security - English
Data Security - EnglishData Security - English
Data Security - English
Data Security
 
Network security
Network securityNetwork security
Network security
Nandini Raj
 
Mian
MianMian
Mian
Dom Mike
 
Forensics Analysis and Validation
Forensics Analysis and Validation Forensics Analysis and Validation
Forensics Analysis and Validation
Jyothishmathi Institute of Technology and Science Karimnagar
 
Data security
Data securityData security
Data security
Soumen Mondal
 
Basic Dynamic Analysis of Malware
Basic Dynamic Analysis of MalwareBasic Dynamic Analysis of Malware
Basic Dynamic Analysis of Malware
Natraj G
 
Secure electronic transaction
Secure electronic transactionSecure electronic transaction
Secure electronic transaction
Nishant Pahad
 
Security Awareness & Training
Security Awareness & TrainingSecurity Awareness & Training
Security Awareness & Training
novemberchild
 
Digital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research ChallengeDigital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research Challenge
Aung Thu Rha Hein
 
Internet security
Internet securityInternet security
Internet security
Mohamed El-malki
 
Password Cracking
Password CrackingPassword Cracking
Password Cracking
Sagar Verma
 
Computer storage
Computer storageComputer storage
Computer storage
Jerome Luison
 
Introduction to Data Protection and Information Security
Introduction to Data Protection and Information SecurityIntroduction to Data Protection and Information Security
Introduction to Data Protection and Information Security
Jisc Scotland
 
Cryptographic algorithms
Cryptographic algorithmsCryptographic algorithms
Cryptographic algorithms
Anamika Singh
 
Ethics in-information-security
Ethics in-information-securityEthics in-information-security
Ethics in-information-security
Milinda Wickramasinghe
 
Computer security
Computer securityComputer security
Computer security
Mahesh Singh Madai
 
Security technologies
Security technologiesSecurity technologies
Security technologies
Dhani Ahmad
 
Cryptography and network security
Cryptography and network securityCryptography and network security
Cryptography and network security
patisa
 
Seminar ppt on digital signature
Seminar ppt on digital signatureSeminar ppt on digital signature
Seminar ppt on digital signature
jolly9293
 
Firewall presentation
Firewall presentationFirewall presentation
Firewall presentation
Amandeep Kaur
 
Keyloggers and Spywares
Keyloggers and SpywaresKeyloggers and Spywares
Keyloggers and Spywares
Ankit Mistry
 
Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
Jardiel Bastos
 
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
Daliane Castro
 

Mais conteúdo relacionado

Mais procurados

Cryptography and network security
Cryptography and network securityCryptography and network security
Cryptography and network security
patisa
 
Firewall presentation
Firewall presentationFirewall presentation
Firewall presentation
Amandeep Kaur
 

Mais procurados (20)

Network security
Network securityNetwork security
Network security
 
Mian
MianMian
Mian
 
Forensics Analysis and Validation
Forensics Analysis and Validation Forensics Analysis and Validation
Forensics Analysis and Validation
 
Data security
Data securityData security
Data security
 
Basic Dynamic Analysis of Malware
Basic Dynamic Analysis of MalwareBasic Dynamic Analysis of Malware
Basic Dynamic Analysis of Malware
 
Secure electronic transaction
Secure electronic transactionSecure electronic transaction
Secure electronic transaction
 
Security Awareness & Training
Security Awareness & TrainingSecurity Awareness & Training
Security Awareness & Training
 
Digital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research ChallengeDigital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research Challenge
 
Internet security
Internet securityInternet security
Internet security
 
Password Cracking
Password CrackingPassword Cracking
Password Cracking
 
Computer storage
Computer storageComputer storage
Computer storage
 
Introduction to Data Protection and Information Security
Introduction to Data Protection and Information SecurityIntroduction to Data Protection and Information Security
Introduction to Data Protection and Information Security
 
Cryptographic algorithms
Cryptographic algorithmsCryptographic algorithms
Cryptographic algorithms
 
Ethics in-information-security
Ethics in-information-securityEthics in-information-security
Ethics in-information-security
 
Computer security
Computer securityComputer security
Computer security
 
Security technologies
Security technologiesSecurity technologies
Security technologies
 
Cryptography and network security
Cryptography and network securityCryptography and network security
Cryptography and network security
 
Seminar ppt on digital signature
Seminar ppt on digital signatureSeminar ppt on digital signature
Seminar ppt on digital signature
 
Firewall presentation
Firewall presentationFirewall presentation
Firewall presentation
 
Keyloggers and Spywares
Keyloggers and SpywaresKeyloggers and Spywares
Keyloggers and Spywares
 

Destaque

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
Daliane Castro
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
Fernando Palma
 

Destaque (10)

Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
 
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informação
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 

Semelhante a Introdução à Série ISO/IEC 27k

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 

Semelhante a Introdução à Série ISO/IEC 27k (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 

Introdução à Série ISO/IEC 27k

  • 1.
  • 5. Introdução Objetivos das Normas É aquilo que se estabelece como medida para a realização de uma atividade. Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.
  • 6. Introdução Os objetivos das normas segundo a ABNT são: Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; Segurança: proteger a vida humana e a saúde;
  • 7. Introdução Os objetivos das normas segundo a ABNT são: Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.
  • 8. Introdução Como tudo começou Fundação do BSI (1901) Presente em mais de 86 países Fórum normalizador do Reino Unido. Principal membro fundador do ISO.
  • 9. Introdução As normas BS 7799 Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação; NORMA ANO 1995BS 7799-1
  • 10. Introdução As normas BS 7799 Sistema de Gerenciamento da Segurança da Informação; NORMA ANO 1999BS 7799-2
  • 11. Introdução As normas BS 7799 Análise e Gerenciamento de Riscos; NORMA ANO 2005BS 7799-3
  • 12. Introdução A norma ISO/IEC 17799 A norma ISO/IEC 17799 é uma cópia fiel do padrão britânico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002 NORMA ANO 2000ISO/IEC 17799
  • 13. Introdução Herança de Normas BS 7799-1 BS 7799-2 BS 7799-3 ISO/IEC 17799 ISO/IEC 27002 ISO/IEC 27001 ISO/IEC 27000 ISO/IEC 27005
  • 14. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Define os requisitos para um sistemas de gestão de segurança da informação.
  • 15. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Boas práticas para a gestão de segurança da informação.
  • 16. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Guia para a implantação de um sistema de gestão de segurança da informação.
  • 17. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação.
  • 18. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Fornece as diretrizes para o processo de gestão de riscos de segurança da informação.
  • 19. Série ISO/IEC 27K Estrutura da norma 27001 0. Introdução 1. Objetivo 2. Referência Normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção (Geral / Entradas para análise crítica / Saídas da análise crítica) 8. Melhorias no SGSI (Melhoria contínua / Ação corretiva / Ação preventiva)
  • 20. Sistema de Gestão de Segurança (SGSI) Um SGSI tem o objetivo de: Estabelecer Implementar Operar Monitorar Analisar Manter Melhorar Informação Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional. Esse sistema denomina-se o ciclo PDCA E I O M A M M
  • 21. Sistema de Gestão de Segurança (SGSI) Ciclo PDCA ESTABELECER IMPLEMENTAR E OPERAR MONITORAR E ANÁLISAR MANTER E MELHORAR
  • 22. Sistema de Gestão de Segurança (SGSI) Benefícios da ISO/IEC 27001:2005 A norma é projetada para assegurar que você selecione os controles de segurança adequados e proporcionais que o ajudem a proteger os ativos da informação para gerar confiança nas partes interessadas, incluindo seus clientes. A ISO/IEC 27001 define os requisitos para um Sistema de segurança da informação.
  • 23. Sistema de Gestão de Segurança (SGSI) Benefícios da ISO/IEC 27001:2005 Auxilia as organizações ao prover uma abordagem estruturada e proativa para a segurança da informação. É um investimento para o futuro da companhia. Um sistema de gestão “baseado em riscos” para ajudar organizações planejarem, implementarem e manterem um sistema de gestão de segurança da informação (SGSI).
  • 24. Sistema de Gestão de Segurança (SGSI) Termos e definições da norma ISO/IEC 27001. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Ativo: qualquer coisa que tenha valor para a organização Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
  • 25. Sistema de Gestão de Segurança (SGSI) Termos e definições da norma ISO/IEC 27001. Evento de segurança da informação: Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança Incidente de segurança da Informação: Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
  • 26. ABNT NBR ISO/IEC 17799:2005 Objetivos. Estabelecer códigos de boas práticas para a gestão de segurança da informação. Dar instrumentos para a implantação de segurança da informação de acordo com as características de uma empresa.
  • 27. ABNT NBR ISO/IEC 17799:2005 Objetivos. A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade (CID) das informações.
  • 28. ABNT NBR ISO/IEC 17799:2005 Benefícios proporcionados  Vantagem competitiva;  Melhoria no desempenho do negócio e gerenciamento de riscos;  Atrair novos investidores, melhoria da reputação da marca e remoção de barreiras comerciais;  Redução de Gastos;  Operações com menos burocracias e redução de perda;  Evolução da comunicação interna;  Melhoria da satisfação do cliente.
  • 29. ABNT NBR ISO/IEC 17799:2005 Seções de controle da norma: 1. Política de Segurança da Informação; 2. Organizando a Segurança da Informação 3. Gestão de Ativos 4. Segurança em Recursos Humanos; 5. Segurança Física e do Ambiente; 6. Gestão de Operações e Comunicações; 7. Controle de Acesso; 8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação; 9. Gestão de Incidentes de Segurança da Informação 10. Gestão da Continuidade do Negócio; 11. Conformidade.