SlideShare uma empresa Scribd logo
Sistema de
Gestão de Segurança
da Informação
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning
Módulo 4
Interpretação das cláusulas
0 a 3 da NBR ISO/IEC 27001:2005
Norma NBR ISO/IEC 27001 – Índice
0 – Introdução
1 – Objetivo
2 – Referência normativa
3 – Termos e definições
4 – Sistema de Gestão de Segurança da Informação
5 – Responsabilidade da direção
6 – Auditorias internas do SGSI
7 – Análise crítica do SGSI pela direção
8 – Melhoria do SGSI
Anexo A – Objetivos de controle e controles
Anexo B – Princípios da OECD e desta norma
Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO
14001:2004 e esta norma
0 – Introdução
0.1 – Geral
A norma ISO 27001 foi preparada para prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de
Gestão de Segurança da Informação – SGSI.
A adoção de um SGSI deve ser uma decisão estratégica para uma organização.
O sistema a ser implementado deve depender dos objetivos, requisitos de segurança,
processos empregados e estrutura da organização.
É esperado que o SGSI e os sistemas de apoio mudem com o tempo.
É esperado que a implementação de um SGSI seja escalada conforme as
necessidades da organização. Por exemplo, uma situação simples requer uma solução
simples.
A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes
interessadas internas e externas.
0.2 – Abordagem de processo
Atividades e
recursos
Clientes externos e
internos atendidos
em relação ao
aumento da
segurança da
informação
• Necessidades de SI
• Expectativas de SI
• Requisitos
organizacionais
• Requisitos da ISO 27001
• Processos da
organização
Entrada Saída
0.2 – Abordagem de processo
A
B
C
E
D
...
A) Entendimento e atendimento aos requisitos
B) Valor agregado
C) Resultado de desempenho e eficácia dos processos
D) Melhoria contínua com base em medições objetivas
0.2 – Abordagem de processo
Planejar
Estabelecer objetivos e
processos
Resultados para clientes e
para a organização
Fazer
Implementar os processos
Verificar
Monitorar/medir
processos e produtos
Agir
Agir para melhorar
continuamente o
desempenho dos
processos
0.2 – Abordagem de processo
Modelo do PDCA Aplicado ao SGSI
Partes
interessadas
Partes
interessadas
Estabelecer
Manter e
melhorar
Implementar
e operar
Monitorar
e revisar
Expectativas e
requisitos de
segurança da
informação
Segurança da
Informação
gerenciada
P
C
AD
Ciclo de
desenvolvimento,
manutenção e
melhoria
0.2 – Abordagem de processo
Fase “planejar”
Definir o escopo do SGSI
Definir uma política para o SGSI
Definir objetivos e metas
Identificar os riscos
Avaliar os riscos
Selecionar objetivos de controle e controles
Preparar uma declaração de aplicabilidade
0.2 – Abordagem de processo
Fase “fazer”
Formular um plano de tratamento de risco
Implementar o plano de tratamento de risco
Implementar os controles selecionados para atingir
os objetivos de controle
0.2 – Abordagem de processo
Fase “verificar”
Executar monitoramento dos processos
Conduzir auditorias internas do SGSI em
intervalos planejados
Realizar análise críticas regulares da
eficácia do SGSI
Analisar criticamente os níveis de risco
residual e riscos aceitáveis
0.2 – Abordagem de processo
Fase “agir”
Implementar as melhorias identificadas
Tomar ações corretivas e preventivas apropriadas
Comunicar os resultados e ações
Garantir que as melhorias atendem aos objetivos
pretendidos
0.3 – Compatibilidade com outros sistema de gestão
ISO 27001 – Gestão de Segurança da
Informação é alinhada com:
ISO 9001 – Gestão da Qualidade e com
ISO 14001 – Gestão do Meio Ambiente e
com
OSHAS 18001 – Gestão de Saúde e
Segurança do Trabalhador
Possível adaptação a sistemas já existentes
na organização.
1 – Objetivo
1.1 – Geral
A norma ISO 27001:
Cobre todos os tipos de organizações.
Especifica requisitos para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto
dos riscos de negócios globais da organização.
Especifica requisitos para a implementação de
controles de segurança personalizados para as
necessidades individuais de organizações ou suas
partes.
O SGSI é projetado para assegurar a seleção de controles de segurança
adequados e proporcionados para proteger os ativos de informação e
propiciar confiança às partes interessadas.
Requisitos genéricos
Exclusões (itens não atendidos pela organização):
• Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos.
• Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem
aceitas, e não podem comprometer a capacidade da organização de atender requisitos
de segurança da informação determinados pela análise/avaliação de riscos e por
requisitos legais e regulamentares aplicáveis.
1.2 – Aplicação
Qualquer tipo
Qualquer tamanho
Qualquer produto/serviço
A ISO 27001
é aplicável
a qualquer
organização
NBR ISO/IEC 17799:2005 – Tecnologia
da Informação – Técnicas de Segurança
– Código de prática para a Gestão de
Segurança da Informação
2 – Referência normativa
3 – Termos e definições
Ativo – qualquer coisa que tenha valor para a organização
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma
entidade autorizada
Confidencialidade – propriedade de que a informação não esteja disponível ou seja
revelada a indivíduos, entidades ou processos não autorizados
Segurança da informação – preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras propriedades, tais como
autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar
envolvidos
Evento de segurança da informação – uma ocorrência identificada de um estado de
sistema, serviço ou rede, indicando uma possível violação da política de segurança da
informação ou falha de controles, ou uma situação previamente desconhecida que
possa ser relevante para a segurança da informação
3 – Termos e definições
Incidente de segurança da informação – um ou uma série de eventos de segurança
da informação indesejados ou inesperados, que tenham uma grande probabilidade de
comprometer as operações do negócio e ameaçar a segurança da informação
Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de
gestão global, baseado na abordagem de riscos do negócio, para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança
da informação
Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos
Risco residual – risco remanescente após o tratamento de riscos
Aceitação do risco – decisão de aceitar um risco
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o
risco
3 – Termos e definições
Análise/avaliação de riscos – processo completo de análise e avaliação de riscos
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco
pré-definidos para determinar a importância do risco
Gestão de riscos – atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos
Tratamento de risco – processo de seleção e implementação de medidas para
modificar um risco
Declaração de aplicabilidade – declaração documentada que descreve os objetivos
de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
Exercício
Indique se é verdadeiro ou falso:
1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da
Informação – SGSI.
2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo.
3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas
internas e externas.
4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando
recursos humanos e materiais na realização das atividades.
5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”.
6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de
ativos.
7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para
serem aceitas.
8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos
9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de
um SGSI conforme a ISO 27001.
Resposta
Indique se é verdadeiro ou falso:
1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da
Informação – SGSI.
2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo.
3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes
interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas
orientativa)
4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando
recursos humanos e materiais na realização das atividades.
5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”)
6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de
ativos.
7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para
serem aceitas.
8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos
9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de
um SGSI conforme a ISO 27001.
Interpretação das cláusulas
0 a 3 da NBR ISO/IEC 27001:2005
Fim do módulo 4

Mais conteúdo relacionado

Mais procurados

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
J Flávia Sales
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Abraão Sakelo
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 

Mais procurados (20)

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 

Semelhante a ISO 27001 4

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
Kleber Silva
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdffundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
erickfariacosta1
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
Arthur Tofolo Washington
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
Sistemas de gestao integrados
Sistemas de gestao integradosSistemas de gestao integrados
Sistemas de gestao integrados
SERGIO DE MELLO QUEIROZ
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
Felipe Prado
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007
GAC Gestão de Apoio para Corporações
 
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso onlineCurso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
GAC CURSOS ONLINE
 

Semelhante a ISO 27001 4 (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdffundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
fundacentro_webinar_pgro_nr01_21_08_2020_jose_damasio_de_aquino.pdf
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Sistemas de gestao integrados
Sistemas de gestao integradosSistemas de gestao integrados
Sistemas de gestao integrados
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007Auditor Interno da Norma OHSAS 18001:2007
Auditor Interno da Norma OHSAS 18001:2007
 
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso onlineCurso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
Curso Auditor Interno da Norma OHSAS 18001:2007 - Curso online
 

Mais de jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
jcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
jcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
jcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
jcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
jcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
jcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
jcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
jcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
jcfarit
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
jcfarit
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
jcfarit
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
jcfarit
 

Mais de jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
 

Último

Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptxSlides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
LuizHenriquedeAlmeid6
 
AVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptx
AVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptxAVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptx
AVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptx
AntonioVieira539017
 
Famílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do AssaréFamílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do Assaré
profesfrancleite
 
UFCD_10145_Enquadramento do setor farmacêutico_indice.pdf
UFCD_10145_Enquadramento do setor farmacêutico_indice.pdfUFCD_10145_Enquadramento do setor farmacêutico_indice.pdf
UFCD_10145_Enquadramento do setor farmacêutico_indice.pdf
Manuais Formação
 
Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
mamaeieby
 
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
LucianaCristina58
 
Aula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sonsAula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sons
Érika Rufo
 
000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf
000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf
000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf
YeniferGarcia36
 
Leis de Mendel - as ervilhas e a maneira simples de entender.ppt
Leis de Mendel - as ervilhas e a maneira simples de entender.pptLeis de Mendel - as ervilhas e a maneira simples de entender.ppt
Leis de Mendel - as ervilhas e a maneira simples de entender.ppt
PatriciaZanoli
 
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - AlfabetinhoAtividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
MateusTavares54
 
Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...
Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...
Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...
Biblioteca UCS
 
Introdução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escolaIntrodução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escola
Professor Belinaso
 
Funções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prismaFunções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prisma
djincognito
 
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Centro Jacques Delors
 
GÊNERO TEXTUAL - POEMA.pptx
GÊNERO      TEXTUAL     -     POEMA.pptxGÊNERO      TEXTUAL     -     POEMA.pptx
GÊNERO TEXTUAL - POEMA.pptx
Marlene Cunhada
 
Atividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º anoAtividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º ano
fernandacosta37763
 
epidemias endemia-pandemia-e-epidemia (1).ppt
epidemias endemia-pandemia-e-epidemia (1).pptepidemias endemia-pandemia-e-epidemia (1).ppt
epidemias endemia-pandemia-e-epidemia (1).ppt
MarceloMonteiro213738
 
cronograma-enem-2024-planejativo-estudos.pdf
cronograma-enem-2024-planejativo-estudos.pdfcronograma-enem-2024-planejativo-estudos.pdf
cronograma-enem-2024-planejativo-estudos.pdf
todorokillmepls
 
CRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdf
CRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdfCRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdf
CRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdf
soaresdesouzaamanda8
 
Atividade letra da música - Espalhe Amor, Anavitória.
Atividade letra da música - Espalhe  Amor, Anavitória.Atividade letra da música - Espalhe  Amor, Anavitória.
Atividade letra da música - Espalhe Amor, Anavitória.
Mary Alvarenga
 

Último (20)

Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptxSlides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
 
AVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptx
AVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptxAVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptx
AVALIAÇÃO DIAGNÓSTICA - 8º ANO 2024.pptx
 
Famílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do AssaréFamílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do Assaré
 
UFCD_10145_Enquadramento do setor farmacêutico_indice.pdf
UFCD_10145_Enquadramento do setor farmacêutico_indice.pdfUFCD_10145_Enquadramento do setor farmacêutico_indice.pdf
UFCD_10145_Enquadramento do setor farmacêutico_indice.pdf
 
Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
 
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
 
Aula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sonsAula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sons
 
000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf
000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf
000. Para rezar o terço - Junho - mês do Sagrado Coração de Jesús.pdf
 
Leis de Mendel - as ervilhas e a maneira simples de entender.ppt
Leis de Mendel - as ervilhas e a maneira simples de entender.pptLeis de Mendel - as ervilhas e a maneira simples de entender.ppt
Leis de Mendel - as ervilhas e a maneira simples de entender.ppt
 
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - AlfabetinhoAtividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
 
Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...
Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...
Sistema de Bibliotecas UCS - Chronica do emperador Clarimundo, donde os reis ...
 
Introdução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escolaIntrodução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escola
 
Funções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prismaFunções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prisma
 
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
 
GÊNERO TEXTUAL - POEMA.pptx
GÊNERO      TEXTUAL     -     POEMA.pptxGÊNERO      TEXTUAL     -     POEMA.pptx
GÊNERO TEXTUAL - POEMA.pptx
 
Atividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º anoAtividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º ano
 
epidemias endemia-pandemia-e-epidemia (1).ppt
epidemias endemia-pandemia-e-epidemia (1).pptepidemias endemia-pandemia-e-epidemia (1).ppt
epidemias endemia-pandemia-e-epidemia (1).ppt
 
cronograma-enem-2024-planejativo-estudos.pdf
cronograma-enem-2024-planejativo-estudos.pdfcronograma-enem-2024-planejativo-estudos.pdf
cronograma-enem-2024-planejativo-estudos.pdf
 
CRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdf
CRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdfCRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdf
CRONOGRAMA - PSC 2° ETAPA 2024.pptx (1).pdf
 
Atividade letra da música - Espalhe Amor, Anavitória.
Atividade letra da música - Espalhe  Amor, Anavitória.Atividade letra da música - Espalhe  Amor, Anavitória.
Atividade letra da música - Espalhe Amor, Anavitória.
 

ISO 27001 4

  • 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  • 2. Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005
  • 3. Norma NBR ISO/IEC 27001 – Índice 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI Anexo A – Objetivos de controle e controles Anexo B – Princípios da OECD e desta norma Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma
  • 4. 0 – Introdução 0.1 – Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.
  • 5. 0.2 – Abordagem de processo Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação • Necessidades de SI • Expectativas de SI • Requisitos organizacionais • Requisitos da ISO 27001 • Processos da organização Entrada Saída
  • 6. 0.2 – Abordagem de processo A B C E D ... A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas
  • 7. 0.2 – Abordagem de processo Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Fazer Implementar os processos Verificar Monitorar/medir processos e produtos Agir Agir para melhorar continuamente o desempenho dos processos
  • 8. 0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI Partes interessadas Partes interessadas Estabelecer Manter e melhorar Implementar e operar Monitorar e revisar Expectativas e requisitos de segurança da informação Segurança da Informação gerenciada P C AD Ciclo de desenvolvimento, manutenção e melhoria
  • 9. 0.2 – Abordagem de processo Fase “planejar” Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade
  • 10. 0.2 – Abordagem de processo Fase “fazer” Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle
  • 11. 0.2 – Abordagem de processo Fase “verificar” Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis
  • 12. 0.2 – Abordagem de processo Fase “agir” Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos
  • 13. 0.3 – Compatibilidade com outros sistema de gestão ISO 27001 – Gestão de Segurança da Informação é alinhada com: ISO 9001 – Gestão da Qualidade e com ISO 14001 – Gestão do Meio Ambiente e com OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização.
  • 14. 1 – Objetivo 1.1 – Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
  • 15. Requisitos genéricos Exclusões (itens não atendidos pela organização): • Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. • Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 1.2 – Aplicação Qualquer tipo Qualquer tamanho Qualquer produto/serviço A ISO 27001 é aplicável a qualquer organização
  • 16. NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a Gestão de Segurança da Informação 2 – Referência normativa
  • 17. 3 – Termos e definições Ativo – qualquer coisa que tenha valor para a organização Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação
  • 18. 3 – Termos e definições Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos Risco residual – risco remanescente após o tratamento de riscos Aceitação do risco – decisão de aceitar um risco Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco
  • 19. 3 – Termos e definições Análise/avaliação de riscos – processo completo de análise e avaliação de riscos Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
  • 20. Exercício Indique se é verdadeiro ou falso: 1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”. 6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 21. Resposta Indique se é verdadeiro ou falso: 1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”) 6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 22. Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 Fim do módulo 4