SlideShare uma empresa Scribd logo
Introdução
Algumas Organizações de Padronização
Introdução
Hierarquia das Organizações
INTERNACIONAL
NACIONAL
IEC/ISO
ABNT
Brasil
BSI
Inglaterra
ANSI
Estados Unidos
Introdução
Por que Padronizar?
Introdução
Objetivos das Normas
É aquilo que se estabelece como medida para a realização
de uma atividade.
Uma norma tem como propósito definir regras e
instrumentos de controle para assegurar a conformidade de
um processo, produto ou serviço.
Introdução
Os objetivos das normas segundo a ABNT são:
Comunicação: proporcionar meios mais eficientes na troca
de informação entre o fabricante e o cliente, melhorando a
confiabilidade das relações comerciais e de serviços;
Segurança: proteger a vida humana e a saúde;
Introdução
Os objetivos das normas segundo a ABNT são:
Proteção do consumidor: prover a sociedade de
mecanismos eficazes para aferir qualidade de produtos;
Eliminação de barreiras técnicas e comerciais: evitar a
existência de regulamentos conflitantes sobre produtos e
serviços em diferentes países, facilitando assim, o
intercâmbio comercial.
Introdução
Como tudo começou
Fundação do BSI (1901)
Presente em mais de 86 países
Fórum normalizador do Reino Unido.
Principal membro fundador do ISO.
Introdução
As normas BS 7799
Códigos de Boas Práticas para o
Gerenciamento da Segurança da
Informação;
NORMA ANO
1995BS 7799-1
Introdução
As normas BS 7799
Sistema de Gerenciamento da
Segurança da Informação;
NORMA ANO
1999BS 7799-2
Introdução
As normas BS 7799
Análise e Gerenciamento de
Riscos;
NORMA ANO
2005BS 7799-3
Introdução
A norma ISO/IEC 17799
A norma ISO/IEC 17799 é uma
cópia fiel do padrão britânico BS
7799-1. Em 2007 foi renomeada
para ISO/IEC 27002
NORMA ANO
2000ISO/IEC 17799
Introdução
Herança de Normas
BS 7799-1 BS 7799-2 BS 7799-3
ISO/IEC 17799
ISO/IEC 27002
ISO/IEC 27001
ISO/IEC 27000 ISO/IEC 27005
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Define os requisitos para um sistemas de gestão de
segurança da informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Boas práticas para a gestão de segurança da
informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Guia para a implantação de um sistema de gestão
de segurança da informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Define métricas e meios de medição para avaliar a
eficácia de um sistema de gestão de segurança da
informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Fornece as diretrizes para o processo de gestão de
riscos de segurança da informação.
Série ISO/IEC 27K
Estrutura da norma 27001
0. Introdução
1. Objetivo
2. Referência Normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)
5. Responsabilidades da direção
(Comprometimento da direção / Gestão de recursos)
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
(Geral / Entradas para análise crítica / Saídas da análise crítica)
8. Melhorias no SGSI
(Melhoria contínua / Ação corretiva / Ação preventiva)
Sistema de Gestão de Segurança (SGSI)
Um SGSI tem o objetivo de:
Estabelecer
Implementar
Operar
Monitorar
Analisar
Manter
Melhorar
Informação
Trata-se de uma abordagem à
segurança da informação, numa
perspectiva organizacional.
Esse sistema denomina-se o
ciclo PDCA
E
I
O
M
A
M
M
Sistema de Gestão de Segurança (SGSI)
Ciclo PDCA
ESTABELECER IMPLEMENTAR
E OPERAR
MONITORAR
E ANÁLISAR
MANTER E
MELHORAR
Sistema de Gestão de Segurança (SGSI)
Benefícios da ISO/IEC 27001:2005
A norma é projetada para assegurar que você selecione os
controles de segurança adequados e proporcionais que o
ajudem a proteger os ativos da informação para gerar
confiança nas partes interessadas, incluindo seus clientes.
A ISO/IEC 27001 define os requisitos para um Sistema de
segurança da informação.
Sistema de Gestão de Segurança (SGSI)
Benefícios da ISO/IEC 27001:2005
Auxilia as organizações ao prover uma abordagem
estruturada e proativa para a segurança da informação.
É um investimento para o futuro da companhia.
Um sistema de gestão “baseado em riscos” para ajudar
organizações planejarem, implementarem e manterem um
sistema de gestão de segurança da informação (SGSI).
Sistema de Gestão de Segurança (SGSI)
Termos e definições da norma ISO/IEC 27001.
Confidencialidade:
Propriedade de que a
informação não esteja
disponível ou revelada a
indivíduos, entidades ou
processos não autorizados.
Ativo:
qualquer coisa que tenha
valor para a organização
Disponibilidade: propriedade
de estar acessível e utilizável
sob demanda por uma
entidade autorizada.
Sistema de Gestão de Segurança (SGSI)
Termos e definições da norma ISO/IEC 27001.
Evento de segurança da informação:
Uma ocorrência identificada de um estado de
sistema, serviço ou rede, indicando uma possível violação
da política de segurança da informação ou falha de
controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança
Incidente de segurança da Informação:
Um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operações do
negócio e ameaçar a segurança da informação.
ABNT NBR ISO/IEC 17799:2005
Objetivos.
Estabelecer códigos de
boas práticas para a
gestão de segurança da
informação.
Dar instrumentos para a
implantação de segurança
da informação de acordo
com as características de
uma empresa.
ABNT NBR ISO/IEC 17799:2005
Objetivos.
A ISO/IEC 17799 tem como
objetivo a
confidencialidade, integridade
e disponibilidade (CID) das
informações.
ABNT NBR ISO/IEC 17799:2005
Benefícios proporcionados
 Vantagem competitiva;
 Melhoria no desempenho do negócio e gerenciamento de riscos;
 Atrair novos investidores, melhoria da reputação da marca e
remoção de barreiras comerciais;
 Redução de Gastos;
 Operações com menos burocracias e redução de perda;
 Evolução da comunicação interna;
 Melhoria da satisfação do cliente.
ABNT NBR ISO/IEC 17799:2005
Seções de controle da norma:
1. Política de Segurança da Informação;
2. Organizando a Segurança da Informação
3. Gestão de Ativos
4. Segurança em Recursos Humanos;
5. Segurança Física e do Ambiente;
6. Gestão de Operações e Comunicações;
7. Controle de Acesso;
8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação;
9. Gestão de Incidentes de Segurança da Informação
10. Gestão da Continuidade do Negócio;
11. Conformidade.

Mais conteúdo relacionado

Mais procurados

Sistemas Operacionais
Sistemas OperacionaisSistemas Operacionais
Sistemas Operacionais
Sérgio Santos Silva Filho
 
História da informática
História da informáticaHistória da informática
História da informática
Aron Sporkens
 
Bic
BicBic
Internet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da InternetInternet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da Internet
Andre Peres
 
Internet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redorInternet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redor
André Curvello
 
Indústria 4.0 e o futuro das tecnologias de informação
Indústria 4.0 e o futuro das tecnologias de informaçãoIndústria 4.0 e o futuro das tecnologias de informação
Indústria 4.0 e o futuro das tecnologias de informação
Mauricio Uriona Maldonado PhD
 
Cybersecurity in Medical Devices
Cybersecurity in Medical DevicesCybersecurity in Medical Devices
Cybersecurity in Medical Devices
Sheersha Pramanik 🇮🇳
 
Evolução dos Computadores
Evolução dos ComputadoresEvolução dos Computadores
Evolução dos Computadores
Lucky Fox
 
IBM seminar
IBM seminarIBM seminar
IBM seminar
pradeepch31
 
aula introdutoria robotica.pptx
aula introdutoria robotica.pptxaula introdutoria robotica.pptx
aula introdutoria robotica.pptx
LuisPauloCarvalho5
 
Microsoft Strategy Analysis 2015
Microsoft Strategy Analysis 2015Microsoft Strategy Analysis 2015
Microsoft Strategy Analysis 2015
Sharath Murali
 
Montando o Computador
Montando o ComputadorMontando o Computador
Montando o Computador
Ricardo de Moraes
 
AULA SOBRE PARTICOES 20.01.2023.pptx
AULA SOBRE PARTICOES 20.01.2023.pptxAULA SOBRE PARTICOES 20.01.2023.pptx
AULA SOBRE PARTICOES 20.01.2023.pptx
ADASVIEIRAArmazmPara
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
A Internet das Coisas
A Internet das CoisasA Internet das Coisas
A Internet das Coisas
Luiz Avila
 
Microsoft company
Microsoft companyMicrosoft company
Microsoft company
Muhammad Imadudin
 
Sistemas Operacionais
Sistemas OperacionaisSistemas Operacionais
Sistemas Operacionais
Douglas Ramos
 
Sistema operacional introdução
Sistema operacional introduçãoSistema operacional introdução
Sistema operacional introdução
Cleber Ramos
 
Manutenção de Computadores - Aula 1
Manutenção de Computadores - Aula 1Manutenção de Computadores - Aula 1
Manutenção de Computadores - Aula 1
Guilherme Nonino Rosa
 
Etica na internet power point 2010
Etica na internet   power point 2010Etica na internet   power point 2010
Etica na internet power point 2010
Albert José
 

Mais procurados (20)

Sistemas Operacionais
Sistemas OperacionaisSistemas Operacionais
Sistemas Operacionais
 
História da informática
História da informáticaHistória da informática
História da informática
 
Bic
BicBic
Bic
 
Internet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da InternetInternet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da Internet
 
Internet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redorInternet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redor
 
Indústria 4.0 e o futuro das tecnologias de informação
Indústria 4.0 e o futuro das tecnologias de informaçãoIndústria 4.0 e o futuro das tecnologias de informação
Indústria 4.0 e o futuro das tecnologias de informação
 
Cybersecurity in Medical Devices
Cybersecurity in Medical DevicesCybersecurity in Medical Devices
Cybersecurity in Medical Devices
 
Evolução dos Computadores
Evolução dos ComputadoresEvolução dos Computadores
Evolução dos Computadores
 
IBM seminar
IBM seminarIBM seminar
IBM seminar
 
aula introdutoria robotica.pptx
aula introdutoria robotica.pptxaula introdutoria robotica.pptx
aula introdutoria robotica.pptx
 
Microsoft Strategy Analysis 2015
Microsoft Strategy Analysis 2015Microsoft Strategy Analysis 2015
Microsoft Strategy Analysis 2015
 
Montando o Computador
Montando o ComputadorMontando o Computador
Montando o Computador
 
AULA SOBRE PARTICOES 20.01.2023.pptx
AULA SOBRE PARTICOES 20.01.2023.pptxAULA SOBRE PARTICOES 20.01.2023.pptx
AULA SOBRE PARTICOES 20.01.2023.pptx
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
A Internet das Coisas
A Internet das CoisasA Internet das Coisas
A Internet das Coisas
 
Microsoft company
Microsoft companyMicrosoft company
Microsoft company
 
Sistemas Operacionais
Sistemas OperacionaisSistemas Operacionais
Sistemas Operacionais
 
Sistema operacional introdução
Sistema operacional introduçãoSistema operacional introdução
Sistema operacional introdução
 
Manutenção de Computadores - Aula 1
Manutenção de Computadores - Aula 1Manutenção de Computadores - Aula 1
Manutenção de Computadores - Aula 1
 
Etica na internet power point 2010
Etica na internet   power point 2010Etica na internet   power point 2010
Etica na internet power point 2010
 

Destaque

Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
Jardiel Bastos
 
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
Daliane Castro
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
trabajofinal2
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informação
Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
Fernando Palma
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 

Destaque (9)

Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
 
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOB...
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informação
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 

Semelhante a Introdução à Série ISO/IEC 27k

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
Arthur Tofolo Washington
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
Kleber Silva
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 

Semelhante a Introdução à Série ISO/IEC 27k (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 

Introdução à Série ISO/IEC 27k

  • 1.
  • 5. Introdução Objetivos das Normas É aquilo que se estabelece como medida para a realização de uma atividade. Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.
  • 6. Introdução Os objetivos das normas segundo a ABNT são: Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; Segurança: proteger a vida humana e a saúde;
  • 7. Introdução Os objetivos das normas segundo a ABNT são: Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.
  • 8. Introdução Como tudo começou Fundação do BSI (1901) Presente em mais de 86 países Fórum normalizador do Reino Unido. Principal membro fundador do ISO.
  • 9. Introdução As normas BS 7799 Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação; NORMA ANO 1995BS 7799-1
  • 10. Introdução As normas BS 7799 Sistema de Gerenciamento da Segurança da Informação; NORMA ANO 1999BS 7799-2
  • 11. Introdução As normas BS 7799 Análise e Gerenciamento de Riscos; NORMA ANO 2005BS 7799-3
  • 12. Introdução A norma ISO/IEC 17799 A norma ISO/IEC 17799 é uma cópia fiel do padrão britânico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002 NORMA ANO 2000ISO/IEC 17799
  • 13. Introdução Herança de Normas BS 7799-1 BS 7799-2 BS 7799-3 ISO/IEC 17799 ISO/IEC 27002 ISO/IEC 27001 ISO/IEC 27000 ISO/IEC 27005
  • 14. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Define os requisitos para um sistemas de gestão de segurança da informação.
  • 15. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Boas práticas para a gestão de segurança da informação.
  • 16. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Guia para a implantação de um sistema de gestão de segurança da informação.
  • 17. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação.
  • 18. Série ISO/IEC 27K 27002 2700327001 2700527004 Overview Fornece as diretrizes para o processo de gestão de riscos de segurança da informação.
  • 19. Série ISO/IEC 27K Estrutura da norma 27001 0. Introdução 1. Objetivo 2. Referência Normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção (Geral / Entradas para análise crítica / Saídas da análise crítica) 8. Melhorias no SGSI (Melhoria contínua / Ação corretiva / Ação preventiva)
  • 20. Sistema de Gestão de Segurança (SGSI) Um SGSI tem o objetivo de: Estabelecer Implementar Operar Monitorar Analisar Manter Melhorar Informação Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional. Esse sistema denomina-se o ciclo PDCA E I O M A M M
  • 21. Sistema de Gestão de Segurança (SGSI) Ciclo PDCA ESTABELECER IMPLEMENTAR E OPERAR MONITORAR E ANÁLISAR MANTER E MELHORAR
  • 22. Sistema de Gestão de Segurança (SGSI) Benefícios da ISO/IEC 27001:2005 A norma é projetada para assegurar que você selecione os controles de segurança adequados e proporcionais que o ajudem a proteger os ativos da informação para gerar confiança nas partes interessadas, incluindo seus clientes. A ISO/IEC 27001 define os requisitos para um Sistema de segurança da informação.
  • 23. Sistema de Gestão de Segurança (SGSI) Benefícios da ISO/IEC 27001:2005 Auxilia as organizações ao prover uma abordagem estruturada e proativa para a segurança da informação. É um investimento para o futuro da companhia. Um sistema de gestão “baseado em riscos” para ajudar organizações planejarem, implementarem e manterem um sistema de gestão de segurança da informação (SGSI).
  • 24. Sistema de Gestão de Segurança (SGSI) Termos e definições da norma ISO/IEC 27001. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Ativo: qualquer coisa que tenha valor para a organização Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
  • 25. Sistema de Gestão de Segurança (SGSI) Termos e definições da norma ISO/IEC 27001. Evento de segurança da informação: Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança Incidente de segurança da Informação: Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
  • 26. ABNT NBR ISO/IEC 17799:2005 Objetivos. Estabelecer códigos de boas práticas para a gestão de segurança da informação. Dar instrumentos para a implantação de segurança da informação de acordo com as características de uma empresa.
  • 27. ABNT NBR ISO/IEC 17799:2005 Objetivos. A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade (CID) das informações.
  • 28. ABNT NBR ISO/IEC 17799:2005 Benefícios proporcionados  Vantagem competitiva;  Melhoria no desempenho do negócio e gerenciamento de riscos;  Atrair novos investidores, melhoria da reputação da marca e remoção de barreiras comerciais;  Redução de Gastos;  Operações com menos burocracias e redução de perda;  Evolução da comunicação interna;  Melhoria da satisfação do cliente.
  • 29. ABNT NBR ISO/IEC 17799:2005 Seções de controle da norma: 1. Política de Segurança da Informação; 2. Organizando a Segurança da Informação 3. Gestão de Ativos 4. Segurança em Recursos Humanos; 5. Segurança Física e do Ambiente; 6. Gestão de Operações e Comunicações; 7. Controle de Acesso; 8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação; 9. Gestão de Incidentes de Segurança da Informação 10. Gestão da Continuidade do Negócio; 11. Conformidade.