Dissecando a ISOIEC 27001.pdf

Agenda
O que é a ISO/IEC 27001?
Agência Viaja Comigo
Requisitos

O que é a ISO/IEC 27001?
Norma Internacional 2013 Empresa e Porte

Benefícios
Abordagem de Processos

Conformidade com leis, regulamentos e ações contratuais

Vantagem Competitiva

Confiança para clientes

Redução de custos

Requisito 4.1

Requisito 4.2

Requisito 4.3

Liderança (5.1)
Comitês

Análises Críticas

Fornecimentos de
recursos (7.1)

Exemplar

1 Alinhada aos objetivos da organização
Política (5.2)
2 Documentada
3 Comunicada
4 Disponível as partes interessadas

Política (5.2)
Fonte: Políticas e normas para segurança da informação / Edison Fontes

1
2
"Determinar riscos e oportunidades"
Planejamento (6)
Avaliação de Riscos
Critérios de riscos de SI
Comparáveis
Identificar os Riscos
Analisar os Riscos
Avaliar os Riscos
Metodologia

1
2
"Determinar riscos e oportunidades"
Planejamento (6)
Avaliação de Riscos
Critérios de riscos de SI
Comparáveis
Identificar os Riscos
Analisar os Riscos
Avaliar os Riscos
Metodologia Fonte: ABNT NBR ISO/IEC 27005:2019

Requisito (6.2)
"A organização deve estabelecer os objetivos de
segurança da informação [...]"
Consistentes com PSI
Mensuráveis
Comunicados
Atualizados

Requisito (6.2)
Objetivo 1: Garantir que no mínimo 90% dos
fornecedores contratados dentro do semestre tenham
seus processos e controles de segurança avaliados
O que será feito
Quais recursos serão necessários
Quem será responsável
Quando estará concluído
Como os resultados serão avaliados

Comunicação (7.4)
"A organização deve determinar as comunicações internas e externas para o SGSI incluindo:
O que comunicar

quando comunicar

quem comunicar

quem será comunicado

o processo pelo qual a comunicação será realizada. "

Informação Documentada (7.5)

Operação (8)
20 riscos foram identificados
5 riscos "Altos" (Nível de Risco - 4)

Avaliação do desempenho (9)
"A organização deve avaliar o desempenho da segurança da informação e a eficácia do
sistema de gestão de segurança da informação [...]"

O que será medido
Quando o monitoramento e medição devem ser realizados
Quando os resultados monitoramento e da medição devem ser analisados
e avaliados
Quem deve analisar e avaliar esses resultados
9.1 Monitoramento, medição, análise e avaliação

9.1 Monitoramento, medição, análise e avaliação

9.2 Auditoria interna
"A organização deve conduzir auditorias internas a intervalos planejados para prover
informações sobre o quanto o sistema de gestão da segurança da informação [...]"
Programa de Auditoria
Critérios e escopo da auditoria
Seleção do Auditor
Documentado

9.2 Auditoria interna

9.3 Análise Crítica pela Direção
"A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação
da organização a intervalos planejados [...]"

Análise Crítica (9.3)
Situações das ações de análises
críticas anteriores

Mudanças nas questões internas e
externas

Avaliação de Desempenho

Análise Crítica (9.3)
Realimentação Partes
interessadas
Resultados de avaliação dos
riscos e situação do plano de
tratamento dos riscos
Oportunidades para melhoria
contínua

Melhoria (10)
10.1 Não conformidade e ação corretiva
10.2 Melhoria contínua
Analisa-la criticamente
Determinar sua causa raiz
Implementar as ações necessárias
Analisar a eficácia das ações tomadas

Melhoria (10)
10.1 Não conformidade e ação corretiva
10.2 Melhoria contínua

Sistema de gestão da segurança da informação (4.4)
"A organização deve estabelecer, implementar, manter e continuamente melhorar um
sistema de gestão de segurança da informação [...]""

Meus contatos
https://twitter.com/vitorml_
Twitter
https://vitormelo.blog.br/
Blog
https://www.linkedin.com/in/vitormaleite/
Linkedin
CPSI
Telegram:
https://t.me/cpdsi
Linkedin:
https://www.linkedin.com/company/cpdsi/

Dissecando a ISOIEC 27001.pdf

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Dissecando a ISOIEC 27001.pdf

Semelhante a Dissecando a ISOIEC 27001.pdf (20)

Mais de Vitor Melo

Mais de Vitor Melo (6)

Último

Último (6)

Dissecando a ISOIEC 27001.pdf