SlideShare uma empresa Scribd logo
SEGURANÇA
DA
INFORMAÇÃO
ISO 27001
AGENDA
• O que é a norma ISO 27001?
• Para quem é a ISO 27001?
• O que é avaliado na empresa?
• Quanto tempo em média demora a certificação é o custo?
• Benefícios?
• Etapas
O que é a norma
ISO 27001?
O que significa ISO
(International Organization for Standardization)?
Trata-se de uma organização não-governamental e independente,
que tem como objetivo desenvolver e promover normas,
testes, padronizações e certificações que facilitam as relações entr
e diferentes nações.
Fundada em 1947 e hoje conta com membros de 165 países.
No Brasil, ela é representada pela Associação Brasileira de
Normas Técnicas (ABNT).
• Familia ISO 27000
É um
conjunto de padrões que fornecem controles de melhores práticas
que as organizações podem implementar para melhorar a seguran
ça. Descreve os requisitos do Sistema de Gestão de Segurança
da Informação (SGSI) buscando atender os pilares (Confidencialid
ade, integridade, disponibilidade e autenticidade).
ISO27001
Foi atualizada em 2022, sofrendo alterações nos controles a serem imple
mentados:
Para quem é a ISO 27001?
• A certificação ISO 27001 é indicada para todas as empresas que desejam estabelecer
uma imagem de responsabilidade e confiabilidade para o mercado.
• O compliance com a norma, demonstra que a empresa trata adequadamente todas as
informações sensíveis manejadas internamente, se mostrando confiável para seus clientes,
investidores e sócios.
• Vale ressaltar que há legislações como a LGPD (Lei Geral de Proteção de Dados) que
determinam diversas boas práticas para o tratamento de informações. Por isso, a ISO 27001 pode
cumprir um papel importante para os negócios e evitando multas pelo descumprimento de demandas
legais ou regulatórias.
O que é
avaliado na
empresa?
Quanto tempo em média demora a
certificação é o custo?
O tempo e o custo de implementação
da norma ISO 27001 podem variar de
acordo com o escopo a ser
definido. Alguns detalhes podem
influenciar diretamente na
complexidade do plano de ação da
implementação, como o número de
colaboradores, ativos de informação,
elaboração dos documentos, equipe,
aquisição de ferramentas, entre
outros. Mas segundo alguns
especialistas em média, uma empresa
de porte médio que aplica as
variáveis acima consegue obter a
certificação em12 meses.
BENEFICIOS
ETAPAS
OBRIGADO!
QuantoscontrolesexistemnaISO27001?
Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão estruturados e o propósito de cada uma das 14 seções
do Anexo A:
 A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas
 A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto
 A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação
 A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias
 A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
 A.10 Criptografia – controles relacionados a gestão de chaves criptográficas
 A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.
 A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc.
 A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.
 A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte
 A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores
 A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências
 A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI
 A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação

Mais conteúdo relacionado

Semelhante a Kickoff-ISO 27001 motivos e como implementar

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
Carlos Henrique Martins da Silva
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
Rui Gomes
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
Edson Aguilera-Fernandes
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
Kleber Silva
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
Marcelo Silva - CRISC, COBIT, ITIL
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 

Semelhante a Kickoff-ISO 27001 motivos e como implementar (20)

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 

Último

Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
Momento da Informática
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 

Último (8)

Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 

Kickoff-ISO 27001 motivos e como implementar

  • 2. AGENDA • O que é a norma ISO 27001? • Para quem é a ISO 27001? • O que é avaliado na empresa? • Quanto tempo em média demora a certificação é o custo? • Benefícios? • Etapas
  • 3. O que é a norma ISO 27001? O que significa ISO (International Organization for Standardization)? Trata-se de uma organização não-governamental e independente, que tem como objetivo desenvolver e promover normas, testes, padronizações e certificações que facilitam as relações entr e diferentes nações. Fundada em 1947 e hoje conta com membros de 165 países. No Brasil, ela é representada pela Associação Brasileira de Normas Técnicas (ABNT). • Familia ISO 27000 É um conjunto de padrões que fornecem controles de melhores práticas que as organizações podem implementar para melhorar a seguran ça. Descreve os requisitos do Sistema de Gestão de Segurança da Informação (SGSI) buscando atender os pilares (Confidencialid ade, integridade, disponibilidade e autenticidade). ISO27001 Foi atualizada em 2022, sofrendo alterações nos controles a serem imple mentados:
  • 4. Para quem é a ISO 27001? • A certificação ISO 27001 é indicada para todas as empresas que desejam estabelecer uma imagem de responsabilidade e confiabilidade para o mercado. • O compliance com a norma, demonstra que a empresa trata adequadamente todas as informações sensíveis manejadas internamente, se mostrando confiável para seus clientes, investidores e sócios. • Vale ressaltar que há legislações como a LGPD (Lei Geral de Proteção de Dados) que determinam diversas boas práticas para o tratamento de informações. Por isso, a ISO 27001 pode cumprir um papel importante para os negócios e evitando multas pelo descumprimento de demandas legais ou regulatórias.
  • 5. O que é avaliado na empresa?
  • 6. Quanto tempo em média demora a certificação é o custo? O tempo e o custo de implementação da norma ISO 27001 podem variar de acordo com o escopo a ser definido. Alguns detalhes podem influenciar diretamente na complexidade do plano de ação da implementação, como o número de colaboradores, ativos de informação, elaboração dos documentos, equipe, aquisição de ferramentas, entre outros. Mas segundo alguns especialistas em média, uma empresa de porte médio que aplica as variáveis acima consegue obter a certificação em12 meses.
  • 10. QuantoscontrolesexistemnaISO27001? Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão estruturados e o propósito de cada uma das 14 seções do Anexo A:  A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas  A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto  A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação  A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias  A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários  A.10 Criptografia – controles relacionados a gestão de chaves criptográficas  A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.  A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc.  A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.  A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte  A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores  A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências  A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI  A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação