SlideShare uma empresa Scribd logo

ISO 27001 - 5

J
jcfarit

Este documento resume os principais requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. Inicialmente, a organização deve definir o escopo e política do SGSI, realizar uma análise de riscos identificando ativos, ameaças, vulnerabilidades e impactos, e avaliar e tratar os riscos identificados. Em seguida, a organização deve selecionar objetivos e controles de acordo com a análise de riscos, obter aprovação

Educação
1 de 26
Baixar para ler offline
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação
Interpretação das cláusulas 4 a 4.2.2 da NBR ISO/IEC 27001:2005 Módulo 5
Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
4 – Sistema de Gestão de Segurança da Informação 4.1 – Requisitos gerais A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócios globais da organização e dos riscos que ela enfrenta. Estabelecido Melhorado Implementado Mantido O sistema deve ser documentado e: Operado Cada sistema é composto por processos que se relacionam
4 – Sistema de Gestão de Segurança da Informação 4.1 – Requisitos gerais Para os efeitos desta norma, o processo usado está baseado no modelo PDCA.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2). Exemplo de escopo: Processo de desenvolvimento de software de sistemas de autenticação digital, realizado na Alameda Manaus nº 100 – São Paulo – SP, Brasil, conforme declaração de aplicabilidade revisão 1. Escopo
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: b) Definir uma política de SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia que: 1) inclua uma estrutura para definir objetivos e estabelecer um direcionamento global e princípios para ações relacionadas com a segurança da informação 2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e a manutenção do SGSI irão ocorrer 4) estabeleça critérios em relação aos quais os riscos serão avaliados 5) tenha sido aprovada pela direção Política de SGSI
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI Exemplo de política Nossos serviços e projetos são bens de importância fundamental para a empresa. A continuidade do nosso negócio depende da qualidade, confidencialidade, integridade e disponibilidade destes bens. Os gestores do projeto são responsáveis em proteger estes ativos contra uso não autorizado, recebimento, processamento, armazenamento e transmissão das informações Todos os funcionários, prestadores de serviço e consultores devem entender suas obrigações para proteger estas informações e implementar os procedimentos de segurança. Todos os incidentes de segurança devem ser comunicados para a área de segurança, para serem tomadas as devidas ações corretivas. Esta política é válida a partir de 20.08.2006. Política de SGSI
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: c) Definir a abordagem de análise/avaliação de riscos da organização. 1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação identificados para o negócio. 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de risco produzam resultados comparáveis e reproduzíveis. Várias metodologias podem ser aplicadas. Análise/avaliação de riscos não é um processo matemático – sempre haverá o uso do bom senso e dos sentimentos dos analistas. Portanto é necessário que o processo de análise seja harmonizado entre os profissionais que forem realizar esta atividade.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: d) Identificar os riscos. 1) Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos. 2) Identificar as ameaças a estes ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Exemplo: ATIVO: servidor utilizado para armazenar sites de clientes AMEAÇA: vírus VULNERABILIDADE: antivírus desatualizado IMPACTO: sites de clientes fora do ar
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio que podem resultar de falhas de segurança, levando em consideração as conseqüências de perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, impactos associados a estes ativos e controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação estabelecidos.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI Continuação do exemplo: ATIVO: servidor utilizado para armazenar sites de clientes AMEAÇA: vírus VULNERABILIDADE: antivírus desatualizado IMPACTO: sites de clientes fora do ar AVALIAÇÃO DO IMPACTO: desgaste com clientes, perda de clientes e multas contratuais PROBABILIDADE DE OCORRÊNCIA: 2% de chance RISCO: um critério deve ser definido. Como exemplo podemos considerar o risco de 1 a 5, sendo 1 o menor e 5 o maior. Neste caso poderíamos considerar o risco = 1 devido à atualização automática de antivírus (controle já implantado) NÍVEL DE RISCO ACEITÁVEL: na escala de 1 a 5 podemos definir, por exemplo: aceitar riscos de níveis 1 a 3
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: f) Identificar e avaliar as opções de tratamento de riscos. Possíveis opções incluem: 1) Aplicar controles apropriados 2) Aceitar os riscos consciente e objetivamente, que satisfaçam claramente as políticas da organização e os critérios de aceitação de riscos 3) Evitar riscos 4) Transferir os riscos associados ao negócio a outras partes. Por exemplo: seguradoras e fornecedores No exemplo do slide anterior consideramos que já havia um controle implantado (atualização automática de antivírus). Porém se o ativo fosse de grande valor, poderíamos considerar que somente este controle não seria suficiente, e poderíamos decidir implantar um firewall ou utilizar servidores de uma empresa com mais infra- estrutura (terceirizar a atividade e assim transferir o risco).
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: g) Selecionar objetivos de controle e controles e para o tratamento de risco. Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos. Esta seleção deve considerar tanto os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais. Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados. Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controle e controles adicionais podem também ser selecionados. Exemplo: item A.11.3 do Anexo A: Responsabilidades dos usuários Uso de senhas Política de mesa limpa e tela limpa
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: h) Obter aprovação da direção sobre os riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. Por mais controles que sejam implantados, sempre haverá um risco residual. Não há sistema à prova de falhas. Estas sempre poderão ocorrer por ações deliberadas (de hackers, por exemplo) ou acidentais (incêndio ou inundação, por exemplo). Se o risco era de nível 4, implantamos um controle e conseguimos que o risco baixasse para nível 3, nós ainda não conseguimos eliminar o risco, e o dono do ativo precisa aprovar que nenhum outro controle necessite ser implantado.
Exercício Considere um notebook de uma organização utilizado por um consultor dentro e fora das dependências da empresa. Estando fora da empresa o consultor pode se conectar à rede da organização através da internet. Defina, para este ativo: Uma AMEAÇA possível Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça Um IMPACTO possível caso a ameaça ocorresse E também: AVALIE este IMPACTO identificando possíveis conseqüências Estime, do seu ponto de vista, a PROBABILIDADE DE OCORRÊNCIA deste evento Valorize o RISCO considerando uma escala de 1 a 5, sendo 1 o menor risco e 5 o maior Estime, do seu ponto de vista, o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5, sendo 1 o menor e 5 o maior Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar este risco
Resposta Uma AMEAÇA possível: roubo. Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça: uso do equipamento nas instalações dos clientes. Um IMPACTO possível caso a ameaça se tornasse um fato: perda de informação armazenada no disco rígido do computador; dados de clientes e da organização poderiam ser acessíveis a pessoas não autorizadas. AVALIE este IMPACTO identificando possíveis conseqüências: o roubo teria que ser relatado ao cliente, o que provocaria desgaste no relacionamento. E se as informações fossem parar nas mãos de terceiros mal intencionados ou da concorrência, poderia haver perda de imagem e de negócios. Estime a PROBABILIDADE DE OCORRÊNCIA deste evento: 20% de chance. Valorize o RISCO considerando uma escala de 1 a 5: risco = 3. Estime o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5: risco aceitável = 1. Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar este risco: não utilizar o disco rígido do notebook, trabalhar via web utilizando o sistema da empresa.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: j) Preparar a declaração de aplicabilidade, que deve incluir o seguinte: 1) Os objetivos de controle, os controles selecionados e as razões para sua seleção 2) Os objetivos de controle e os controles atualmente implementados 3) A exclusão de quaisquer objetivos de controle e de controles do anexo A, e justificativas para sua exclusão A declaração de aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente. A ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles, que serão detalhados nos módulos 7 e 8 deste treinamento.
Exercício Prepare um modelo de formulário que poderia ser usado para a documentação de uma declaração de aplicabilidade.
Resposta 1ª coluna: lista dos 133 controles definidos pela NBR ISO/IEC 27001 no seu anexo A. 2ª coluna: indicar, para cada um dos 133 controles, quais já estavam implementados antes da ISO 27001. É boa prática identificar os documentos da organização que se relacionam com estes controles. 3ª coluna: indicar quais dos 133 controles estão sendo implantados. É boa prática identificar os documentos da organização que se relacionam com estes controles. 4ª coluna: indicar quais dos 133 controles não estão sendo implantados e esclarecer as razões. Justificar adequadamente.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI A organização deve: a) Formular um plano de tratamento de riscos que identifique ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança. b) Implementar o plano de tratamento de riscos para alcançar os objetivos e controles identificados, que inclua considerações de financiamento e atribuições de papéis e responsabilidades. c) Implementar os controles selecionados para atender aos objetivos de controle. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI O que é um plano? Plano é um documento que diz o que será feito, por que, como, quando, por quem e onde. Também conhecido em inglês como 5W1H What – O que Why – Por que How – Como When – Quando Who – Quem Where – Onde
Exercício Elabore um formulário modelo para a documentação de um plano de tratamento de riscos e preencha com um exemplo.
Resposta Contr.-CHECADO Marcia Guerra N° O que porque como quando 1 Prevenir acesso indevido de pessoas que não sejam funcionários as instalações da organização Existem áres de desenvolvimento de produto com informações confidenciais Todos os funcionários devem utilizar crachás com código de barras para terem acesso as instalações até 3/8/07 Márcia Guerra onde na matriz e nas filiais Rev. 1/2/2007 PLANO DE AÇÃO No. FADM 004 Resp. Documento/Aprovado Data - DATE quem Celso
4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI A organização deve: e) Implementar programas de conscientização e treinamento. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas. f) Gerenciar as operações do SGSI. É importante que haja um profissional que seja responsável pelo sistema. g) Gerenciar os recursos para o SGSI. Sempre que houver necessidade de recursos humanos e materiais, a direção deve ser informada e deve analisar as disponibilidades financeiras para decidir onde prover os recursos necessários. h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. Deve ser implementada uma sistemática de documentação e tratamento dos incidentes identificados, com ações imediatas para sanar o incidente e ações corretivas (quando aplicável) para evitar a recorrência destes incidentes.
Interpretação das cláusulas 4 a 4.2.2 da NBR ISO/IEC 27001:2005 Fim do módulo 5

Recomendados

ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 

Recomendados

ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Kleber Silva
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Documentação da infraestrutura de rede
Documentação da infraestrutura de redeDocumentação da infraestrutura de rede
Documentação da infraestrutura de redeMarcos Monteiro
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Leveraging Generative AI to Accelerate Graph Innovation for National Security...
Leveraging Generative AI to Accelerate Graph Innovation for National Security...Leveraging Generative AI to Accelerate Graph Innovation for National Security...
Leveraging Generative AI to Accelerate Graph Innovation for National Security...Neo4j
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
Gerencia e Administração de Redes
Gerencia e Administração de RedesGerencia e Administração de Redes
Gerencia e Administração de RedesAllan Piter Pressi
 
Dados importam, seja data-driven!
Dados importam, seja data-driven!Dados importam, seja data-driven!
Dados importam, seja data-driven!Renan Moreira de Oliveira
 
Assurance-Level Driven Method for Integrating Security into SDLC Process
Assurance-Level Driven Method for Integrating Security into SDLC ProcessAssurance-Level Driven Method for Integrating Security into SDLC Process
Assurance-Level Driven Method for Integrating Security into SDLC ProcessSeungjoo Kim
 
Teste de Aceitação: problemas, desafios e abordagens
Teste de Aceitação: problemas, desafios e abordagensTeste de Aceitação: problemas, desafios e abordagens
Teste de Aceitação: problemas, desafios e abordagensSynergia - Engenharia de Software e Sistemas
 
Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT kscgreatdane
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 

Mais conteúdo relacionado

Mais procurados

Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Kleber Silva
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Documentação da infraestrutura de rede
Documentação da infraestrutura de redeDocumentação da infraestrutura de rede
Documentação da infraestrutura de redeMarcos Monteiro
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
Leveraging Generative AI to Accelerate Graph Innovation for National Security...
Leveraging Generative AI to Accelerate Graph Innovation for National Security...Leveraging Generative AI to Accelerate Graph Innovation for National Security...
Leveraging Generative AI to Accelerate Graph Innovation for National Security...Neo4j
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
Gerencia e Administração de Redes
Gerencia e Administração de RedesGerencia e Administração de Redes
Gerencia e Administração de RedesAllan Piter Pressi
 
Assurance-Level Driven Method for Integrating Security into SDLC Process
Assurance-Level Driven Method for Integrating Security into SDLC ProcessAssurance-Level Driven Method for Integrating Security into SDLC Process
Assurance-Level Driven Method for Integrating Security into SDLC ProcessSeungjoo Kim
 
Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT kscgreatdane
 

Mais procurados (20)

Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Documentação da infraestrutura de rede
Documentação da infraestrutura de redeDocumentação da infraestrutura de rede
Documentação da infraestrutura de rede
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Leveraging Generative AI to Accelerate Graph Innovation for National Security...
Leveraging Generative AI to Accelerate Graph Innovation for National Security...Leveraging Generative AI to Accelerate Graph Innovation for National Security...
Leveraging Generative AI to Accelerate Graph Innovation for National Security...
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
Gerencia e Administração de Redes
Gerencia e Administração de RedesGerencia e Administração de Redes
Gerencia e Administração de Redes
 
Dados importam, seja data-driven!
Dados importam, seja data-driven!Dados importam, seja data-driven!
Dados importam, seja data-driven!
 
Assurance-Level Driven Method for Integrating Security into SDLC Process
Assurance-Level Driven Method for Integrating Security into SDLC ProcessAssurance-Level Driven Method for Integrating Security into SDLC Process
Assurance-Level Driven Method for Integrating Security into SDLC Process
 
Teste de Aceitação: problemas, desafios e abordagens
Teste de Aceitação: problemas, desafios e abordagensTeste de Aceitação: problemas, desafios e abordagens
Teste de Aceitação: problemas, desafios e abordagens
 
Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT
 

Semelhante a ISO 27001 - 5

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Internal Audit & Risk Management Software
Internal Audit & Risk Management SoftwareInternal Audit & Risk Management Software
Internal Audit & Risk Management Softwarefernandofernandes
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptGleidson Almeida
 
Curso Gestão de Riscos Norma ISO 31000:2009 - Curso online
Curso Gestão de Riscos Norma ISO 31000:2009 - Curso onlineCurso Gestão de Riscos Norma ISO 31000:2009 - Curso online
Curso Gestão de Riscos Norma ISO 31000:2009 - Curso onlineGAC CURSOS ONLINE
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMVAR Solucoes e Servicos
 
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptxlucasriostst
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 

Semelhante a ISO 27001 - 5 (20)

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Gerenciamento de risco no trabalho
Gerenciamento de risco no trabalhoGerenciamento de risco no trabalho
Gerenciamento de risco no trabalho
 
Internal Audit & Risk Management Software
Internal Audit & Risk Management SoftwareInternal Audit & Risk Management Software
Internal Audit & Risk Management Software
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.ppt
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Curso Gestão de Riscos Norma ISO 31000:2009 - Curso online
Curso Gestão de Riscos Norma ISO 31000:2009 - Curso onlineCurso Gestão de Riscos Norma ISO 31000:2009 - Curso online
Curso Gestão de Riscos Norma ISO 31000:2009 - Curso online
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 

Mais de jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefoniajcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruanijcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxjcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linuxjcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQLjcfarit
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimiblejcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimiblejcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digitaljcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switchesjcfarit
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.docjcfarit
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicosjcfarit
 

Mais de jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 

Último

COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESCOMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESEduardaReis50
 
Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Ilda Bicacro
 
A QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfA QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfAna Lemos
 
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇJaineCarolaineLima
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...azulassessoria9
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfTutor de matemática Ícaro
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...azulassessoria9
 
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteCOMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteVanessaCavalcante37
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdfLeloIurk1
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfHELENO FAVACHO
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfEmanuel Pio
 
Dicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim RangelDicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim RangelGilber Rubim Rangel
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Mary Alvarenga
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...Rosalina Simão Nunes
 
PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEM
PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEMPRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEM
PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEMHELENO FAVACHO
 
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...azulassessoria9
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdfLeloIurk1
 
Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?AnabelaGuerreiro7
 

Último (20)

COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESCOMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
 
Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"
 
A QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfA QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdf
 
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
ATIVIDADE - CHARGE.pptxDFGHJKLÇ~ÇLJHUFTDRSEDFGJHKLÇ
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...
 
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteCOMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdf
 
Dicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim RangelDicionário de Genealogia, autor Gilber Rubim Rangel
Dicionário de Genealogia, autor Gilber Rubim Rangel
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
 
PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEM
PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEMPRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEM
PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEM
 
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
 
Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?
 

ISO 27001 - 5

  • 1. Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação
  • 2. Interpretação das cláusulas 4 a 4.2.2 da NBR ISO/IEC 27001:2005 Módulo 5
  • 3. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  • 4. 4 – Sistema de Gestão de Segurança da Informação 4.1 – Requisitos gerais A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócios globais da organização e dos riscos que ela enfrenta. Estabelecido Melhorado Implementado Mantido O sistema deve ser documentado e: Operado Cada sistema é composto por processos que se relacionam
  • 5. 4 – Sistema de Gestão de Segurança da Informação 4.1 – Requisitos gerais Para os efeitos desta norma, o processo usado está baseado no modelo PDCA.
  • 6. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2). Exemplo de escopo: Processo de desenvolvimento de software de sistemas de autenticação digital, realizado na Alameda Manaus nº 100 – São Paulo – SP, Brasil, conforme declaração de aplicabilidade revisão 1. Escopo
  • 7. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: b) Definir uma política de SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia que: 1) inclua uma estrutura para definir objetivos e estabelecer um direcionamento global e princípios para ações relacionadas com a segurança da informação 2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e a manutenção do SGSI irão ocorrer 4) estabeleça critérios em relação aos quais os riscos serão avaliados 5) tenha sido aprovada pela direção Política de SGSI
  • 8. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI Exemplo de política Nossos serviços e projetos são bens de importância fundamental para a empresa. A continuidade do nosso negócio depende da qualidade, confidencialidade, integridade e disponibilidade destes bens. Os gestores do projeto são responsáveis em proteger estes ativos contra uso não autorizado, recebimento, processamento, armazenamento e transmissão das informações Todos os funcionários, prestadores de serviço e consultores devem entender suas obrigações para proteger estas informações e implementar os procedimentos de segurança. Todos os incidentes de segurança devem ser comunicados para a área de segurança, para serem tomadas as devidas ações corretivas. Esta política é válida a partir de 20.08.2006. Política de SGSI
  • 9. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: c) Definir a abordagem de análise/avaliação de riscos da organização. 1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação identificados para o negócio. 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de risco produzam resultados comparáveis e reproduzíveis. Várias metodologias podem ser aplicadas. Análise/avaliação de riscos não é um processo matemático – sempre haverá o uso do bom senso e dos sentimentos dos analistas. Portanto é necessário que o processo de análise seja harmonizado entre os profissionais que forem realizar esta atividade.
  • 10. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: d) Identificar os riscos. 1) Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos. 2) Identificar as ameaças a estes ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Exemplo: ATIVO: servidor utilizado para armazenar sites de clientes AMEAÇA: vírus VULNERABILIDADE: antivírus desatualizado IMPACTO: sites de clientes fora do ar
  • 11. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio que podem resultar de falhas de segurança, levando em consideração as conseqüências de perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, impactos associados a estes ativos e controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação estabelecidos.
  • 12. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI Continuação do exemplo: ATIVO: servidor utilizado para armazenar sites de clientes AMEAÇA: vírus VULNERABILIDADE: antivírus desatualizado IMPACTO: sites de clientes fora do ar AVALIAÇÃO DO IMPACTO: desgaste com clientes, perda de clientes e multas contratuais PROBABILIDADE DE OCORRÊNCIA: 2% de chance RISCO: um critério deve ser definido. Como exemplo podemos considerar o risco de 1 a 5, sendo 1 o menor e 5 o maior. Neste caso poderíamos considerar o risco = 1 devido à atualização automática de antivírus (controle já implantado) NÍVEL DE RISCO ACEITÁVEL: na escala de 1 a 5 podemos definir, por exemplo: aceitar riscos de níveis 1 a 3
  • 13. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: f) Identificar e avaliar as opções de tratamento de riscos. Possíveis opções incluem: 1) Aplicar controles apropriados 2) Aceitar os riscos consciente e objetivamente, que satisfaçam claramente as políticas da organização e os critérios de aceitação de riscos 3) Evitar riscos 4) Transferir os riscos associados ao negócio a outras partes. Por exemplo: seguradoras e fornecedores No exemplo do slide anterior consideramos que já havia um controle implantado (atualização automática de antivírus). Porém se o ativo fosse de grande valor, poderíamos considerar que somente este controle não seria suficiente, e poderíamos decidir implantar um firewall ou utilizar servidores de uma empresa com mais infra- estrutura (terceirizar a atividade e assim transferir o risco).
  • 14. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: g) Selecionar objetivos de controle e controles e para o tratamento de risco. Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos. Esta seleção deve considerar tanto os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais. Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados. Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controle e controles adicionais podem também ser selecionados. Exemplo: item A.11.3 do Anexo A: Responsabilidades dos usuários Uso de senhas Política de mesa limpa e tela limpa
  • 15. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: h) Obter aprovação da direção sobre os riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. Por mais controles que sejam implantados, sempre haverá um risco residual. Não há sistema à prova de falhas. Estas sempre poderão ocorrer por ações deliberadas (de hackers, por exemplo) ou acidentais (incêndio ou inundação, por exemplo). Se o risco era de nível 4, implantamos um controle e conseguimos que o risco baixasse para nível 3, nós ainda não conseguimos eliminar o risco, e o dono do ativo precisa aprovar que nenhum outro controle necessite ser implantado.
  • 16. Exercício Considere um notebook de uma organização utilizado por um consultor dentro e fora das dependências da empresa. Estando fora da empresa o consultor pode se conectar à rede da organização através da internet. Defina, para este ativo: Uma AMEAÇA possível Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça Um IMPACTO possível caso a ameaça ocorresse E também: AVALIE este IMPACTO identificando possíveis conseqüências Estime, do seu ponto de vista, a PROBABILIDADE DE OCORRÊNCIA deste evento Valorize o RISCO considerando uma escala de 1 a 5, sendo 1 o menor risco e 5 o maior Estime, do seu ponto de vista, o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5, sendo 1 o menor e 5 o maior Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar este risco
  • 17. Resposta Uma AMEAÇA possível: roubo. Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça: uso do equipamento nas instalações dos clientes. Um IMPACTO possível caso a ameaça se tornasse um fato: perda de informação armazenada no disco rígido do computador; dados de clientes e da organização poderiam ser acessíveis a pessoas não autorizadas. AVALIE este IMPACTO identificando possíveis conseqüências: o roubo teria que ser relatado ao cliente, o que provocaria desgaste no relacionamento. E se as informações fossem parar nas mãos de terceiros mal intencionados ou da concorrência, poderia haver perda de imagem e de negócios. Estime a PROBABILIDADE DE OCORRÊNCIA deste evento: 20% de chance. Valorize o RISCO considerando uma escala de 1 a 5: risco = 3. Estime o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5: risco aceitável = 1. Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar este risco: não utilizar o disco rígido do notebook, trabalhar via web utilizando o sistema da empresa.
  • 18. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI A organização deve: j) Preparar a declaração de aplicabilidade, que deve incluir o seguinte: 1) Os objetivos de controle, os controles selecionados e as razões para sua seleção 2) Os objetivos de controle e os controles atualmente implementados 3) A exclusão de quaisquer objetivos de controle e de controles do anexo A, e justificativas para sua exclusão A declaração de aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente. A ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles, que serão detalhados nos módulos 7 e 8 deste treinamento.
  • 19. Exercício Prepare um modelo de formulário que poderia ser usado para a documentação de uma declaração de aplicabilidade.
  • 20. Resposta 1ª coluna: lista dos 133 controles definidos pela NBR ISO/IEC 27001 no seu anexo A. 2ª coluna: indicar, para cada um dos 133 controles, quais já estavam implementados antes da ISO 27001. É boa prática identificar os documentos da organização que se relacionam com estes controles. 3ª coluna: indicar quais dos 133 controles estão sendo implantados. É boa prática identificar os documentos da organização que se relacionam com estes controles. 4ª coluna: indicar quais dos 133 controles não estão sendo implantados e esclarecer as razões. Justificar adequadamente.
  • 21. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI A organização deve: a) Formular um plano de tratamento de riscos que identifique ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança. b) Implementar o plano de tratamento de riscos para alcançar os objetivos e controles identificados, que inclua considerações de financiamento e atribuições de papéis e responsabilidades. c) Implementar os controles selecionados para atender aos objetivos de controle. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.
  • 22. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI O que é um plano? Plano é um documento que diz o que será feito, por que, como, quando, por quem e onde. Também conhecido em inglês como 5W1H What – O que Why – Por que How – Como When – Quando Who – Quem Where – Onde
  • 23. Exercício Elabore um formulário modelo para a documentação de um plano de tratamento de riscos e preencha com um exemplo.
  • 24. Resposta Contr.-CHECADO Marcia Guerra N° O que porque como quando 1 Prevenir acesso indevido de pessoas que não sejam funcionários as instalações da organização Existem áres de desenvolvimento de produto com informações confidenciais Todos os funcionários devem utilizar crachás com código de barras para terem acesso as instalações até 3/8/07 Márcia Guerra onde na matriz e nas filiais Rev. 1/2/2007 PLANO DE AÇÃO No. FADM 004 Resp. Documento/Aprovado Data - DATE quem Celso
  • 25. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI A organização deve: e) Implementar programas de conscientização e treinamento. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas. f) Gerenciar as operações do SGSI. É importante que haja um profissional que seja responsável pelo sistema. g) Gerenciar os recursos para o SGSI. Sempre que houver necessidade de recursos humanos e materiais, a direção deve ser informada e deve analisar as disponibilidades financeiras para decidir onde prover os recursos necessários. h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. Deve ser implementada uma sistemática de documentação e tratamento dos incidentes identificados, com ações imediatas para sanar o incidente e ações corretivas (quando aplicável) para evitar a recorrência destes incidentes.
  • 26. Interpretação das cláusulas 4 a 4.2.2 da NBR ISO/IEC 27001:2005 Fim do módulo 5