SlideShare uma empresa Scribd logo
ABNT NBR ISO/IEC 27002:2005
Código de prática para a gestão da segurança da informação
A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo
esquema de numeração como ISO/IEC 27002.

0 Introdução
0.1 O que é segurança da informação?
Informação

É um ativo

Essencial

Necessita ser
adequadamente
protegida.

Para os
negócios de
uma
organização.

Segurança da
Informação

É a proteção
da
informação

Obtida a partir da implementação
de um conjunto de controles
adequados.

De vários tipos
de ameaças.

Maximizar:
Garantir a
continuidade
do negócio.

Minimizar o
risco ao
negócio.
Retorno sobre
os
investimentos

Oportunidades
de negócio.
Políticas.
Procedimentos

Processos.

Controles
Funções de
software e
hardware.

Estruturas
organizacionais
Precisam ser:

Garantir o atendimento:
Estabelecidos.
Monitorados.
Objetivos do negócio.
Implementados.
Segurança da
organização.

Analisados
criticamente.
Melhorados.

Convém que isto seja feito
em conjunto com outros
processos de gestão do
negócio.

0.2 Por que a segurança da informação é necessária?

Processos de apoio.

Informação.

Sistemas.

Ativos para os negócios

Redes.
Atividades
Essenciais:
Segurança da informação

Importante para o
negócio (setores público
/ privado).

Definir,

Evitar ou reduzir os
riscos.

Alcançar.
Manter.

Asseguram

Melhorar.

Competitividade.
Fluxo de caixa.
Lucratividade.

Atendimento:

Requisitos legais.

Imagem
da organização junto
ao mercado.

A tendência da computação
distribuída reduz a eficácia da
implementação de um controle
de acesso centralizado.
0.3 Como estabelecer requisitos de segurança da informação

Fontes principais de requisitos
(3 fontes) – 1ª Fonte

Análise /
avaliação de
riscos para a
organização.

Considera

Identifica

Objetivos e as
estratégias globais
de negócio da
organização.

Realiza

Ameaças aos
ativos e as
vulnerabilidades
destes.

Estimativa da
probabilidade de
ocorrência das ameaças
e do impacto potencial
ao negócio.

Fontes principais de requisitos
(3 fontes) – 2ª Fonte

Legislação
vigente.

Estatutos.

Organização.

Seus parceiros
comerciais.

Regulamentação

Cláusulas
contratuais
(atender).

Contratados.

Seu ambiente
sociocultural.

Provedores de
serviço.
Fontes principais de requisitos
(3 fontes) – 3ª Fonte
Para o
processamento da
informação (apoiar
operações)

Conjunto particular
(do negócio):

Princípios.

Objetivos.

Requisitos.

0.4 Analisando/avaliando os riscos de segurança da informação

Os gastos com os controles...

Balanceados de
acordo ...

Com os danos
causados aos
negócios...

Gerados pelas
potenciais falhas na
segurança da
informação.

Convém que a análise/avaliação de riscos seja repetida periodicamente para
contemplar quaisquer mudanças que possam influenciar os resultados desta
análise/avaliação.
0.5 Seleção de controles

Uma vez identificados:

Requisitos de
segurança da
informação

Riscos

Convém que controles apropriados sejam selecionados e implementados para
assegurar que os riscos sejam reduzidos a um nível aceitável.

Desta Norma
(27002)

Outro conjunto
de controles.

Novos
controles.

Seleção de controles

Depende das decisões da
organização, baseadas:

Nos critérios para
aceitação de
risco.

Nas opções para
tratamento do risco.

No enfoque geral da gestão de
risco aplicado à organização.

Convém que também esteja sujeito a todas as legislações e regulamentações
nacionais e internacionais, relevantes.
0.6 Ponto de partida para a segurança da informação
Sob o ponto de vista legal:

a) Proteção de dados e privacidade de informações pessoais (ver 15.1.4);
b) Proteção de registros organizacionais (ver 15.1.3);
c) Direitos de propriedade intelectual (ver 15.1.2).

Práticas para a segurança da informação

a) Documento da política de segurança da informação (ver 5.1.1);
b)
c)
d)
e)
f)

Atribuição de responsabilidades para a segurança da informação (ver 6.1.3);
Conscientização, educação e treinamento em segurança da informação (ver 8.2.2);
Processamento correto nas aplicações (ver 12.2);
Gestão de vulnerabilidades técnicas (ver 12.6);
Gestão da continuidade do negócio (ver seção 14);
g) Gestão de incidentes de segurança da informação e melhorias (ver 13.2).
Embora o enfoque acima seja considerado um bom ponto de partida,
ele não substitui a seleção de controles, baseado na análise/avaliação
de riscos.
0.7 Fatores críticos de sucesso

Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do
negócio;
a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e
melhoria da segurança da informação que seja consistente com a cultura
organizacional;
b) Comprometimento e apoio visível de todos os níveis gerenciais;
c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação
de riscos e da gestão de risco;
d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e
outras partes envolvidas para se alcançar a conscientização;
e) Distribuição de diretrizes e normas sobre a política de segurança da informação para
todos os gerentes, funcionários e outras partes envolvidas;
f) Provisão de recursos financeiros para as atividades da gestão de segurança da
informação;
g) Provisão de conscientização, treinamento e educação adequados;
h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da
informação;
i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho
da gestão da segurança da informação e obtenção de sugestões para a melhoria.
As medições de segurança da informação estão fora do escopo desta
Norma.

0.8 Desenvolvendo suas próprias diretrizes

Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados.
Controles adicionais e recomendações não incluídos nesta Norma podem ser
necessários.

Mais conteúdo relacionado

Mais procurados

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
jcfarit
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Efrain Saavedra
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
anselmo333
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
CompanyWeb
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Fernando Palma
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
Luiz Arthur
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Fábio Ferreira
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
Clausia Antoneli
 
ITIL foundation V3
ITIL foundation V3ITIL foundation V3
ITIL foundation V3
Fernando Palma
 
Treinamento Coso ICF 2013
Treinamento Coso ICF 2013Treinamento Coso ICF 2013
Treinamento Coso ICF 2013
Alexandre Nogueira
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
Fernando Palma
 

Mais procurados (20)

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
ITIL foundation V3
ITIL foundation V3ITIL foundation V3
ITIL foundation V3
 
Treinamento Coso ICF 2013
Treinamento Coso ICF 2013Treinamento Coso ICF 2013
Treinamento Coso ICF 2013
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
 

Semelhante a Resumo ISO 27002

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
Allan Piter Pressi
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
Tadeu Marcos Fortes Leite
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
Simba Samuel
 
Cobit 4.0 visão geral
Cobit 4.0   visão geralCobit 4.0   visão geral
Cobit 4.0 visão geral
Tiago Andrade
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
Guilherme Lima
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
Lafaiete Alves Ferreira Netto
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 

Semelhante a Resumo ISO 27002 (20)

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Cobit 4.0 visão geral
Cobit 4.0   visão geralCobit 4.0   visão geral
Cobit 4.0 visão geral
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 

Mais de Fernando Palma

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
Fernando Palma
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
Fernando Palma
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
Fernando Palma
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
Fernando Palma
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
Fernando Palma
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
Fernando Palma
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
Fernando Palma
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
Fernando Palma
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
Fernando Palma
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
Fernando Palma
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
Fernando Palma
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
Fernando Palma
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
Fernando Palma
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
Fernando Palma
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
Fernando Palma
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
Fernando Palma
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
Fernando Palma
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
Fernando Palma
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
Fernando Palma
 

Mais de Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 

Resumo ISO 27002

  • 1. ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002. 0 Introdução 0.1 O que é segurança da informação? Informação É um ativo Essencial Necessita ser adequadamente protegida. Para os negócios de uma organização. Segurança da Informação É a proteção da informação Obtida a partir da implementação de um conjunto de controles adequados. De vários tipos de ameaças. Maximizar: Garantir a continuidade do negócio. Minimizar o risco ao negócio. Retorno sobre os investimentos Oportunidades de negócio.
  • 2. Políticas. Procedimentos Processos. Controles Funções de software e hardware. Estruturas organizacionais Precisam ser: Garantir o atendimento: Estabelecidos. Monitorados. Objetivos do negócio. Implementados. Segurança da organização. Analisados criticamente. Melhorados. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. 0.2 Por que a segurança da informação é necessária? Processos de apoio. Informação. Sistemas. Ativos para os negócios Redes.
  • 3. Atividades Essenciais: Segurança da informação Importante para o negócio (setores público / privado). Definir, Evitar ou reduzir os riscos. Alcançar. Manter. Asseguram Melhorar. Competitividade. Fluxo de caixa. Lucratividade. Atendimento: Requisitos legais. Imagem da organização junto ao mercado. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado.
  • 4. 0.3 Como estabelecer requisitos de segurança da informação Fontes principais de requisitos (3 fontes) – 1ª Fonte Análise / avaliação de riscos para a organização. Considera Identifica Objetivos e as estratégias globais de negócio da organização. Realiza Ameaças aos ativos e as vulnerabilidades destes. Estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio. Fontes principais de requisitos (3 fontes) – 2ª Fonte Legislação vigente. Estatutos. Organização. Seus parceiros comerciais. Regulamentação Cláusulas contratuais (atender). Contratados. Seu ambiente sociocultural. Provedores de serviço.
  • 5. Fontes principais de requisitos (3 fontes) – 3ª Fonte Para o processamento da informação (apoiar operações) Conjunto particular (do negócio): Princípios. Objetivos. Requisitos. 0.4 Analisando/avaliando os riscos de segurança da informação Os gastos com os controles... Balanceados de acordo ... Com os danos causados aos negócios... Gerados pelas potenciais falhas na segurança da informação. Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.
  • 6. 0.5 Seleção de controles Uma vez identificados: Requisitos de segurança da informação Riscos Convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Desta Norma (27002) Outro conjunto de controles. Novos controles. Seleção de controles Depende das decisões da organização, baseadas: Nos critérios para aceitação de risco. Nas opções para tratamento do risco. No enfoque geral da gestão de risco aplicado à organização. Convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes.
  • 7. 0.6 Ponto de partida para a segurança da informação Sob o ponto de vista legal: a) Proteção de dados e privacidade de informações pessoais (ver 15.1.4); b) Proteção de registros organizacionais (ver 15.1.3); c) Direitos de propriedade intelectual (ver 15.1.2). Práticas para a segurança da informação a) Documento da política de segurança da informação (ver 5.1.1); b) c) d) e) f) Atribuição de responsabilidades para a segurança da informação (ver 6.1.3); Conscientização, educação e treinamento em segurança da informação (ver 8.2.2); Processamento correto nas aplicações (ver 12.2); Gestão de vulnerabilidades técnicas (ver 12.6); Gestão da continuidade do negócio (ver seção 14); g) Gestão de incidentes de segurança da informação e melhorias (ver 13.2). Embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos.
  • 8. 0.7 Fatores críticos de sucesso Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; b) Comprometimento e apoio visível de todos os níveis gerenciais; c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; e) Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; f) Provisão de recursos financeiros para as atividades da gestão de segurança da informação; g) Provisão de conscientização, treinamento e educação adequados; h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. As medições de segurança da informação estão fora do escopo desta Norma. 0.8 Desenvolvendo suas próprias diretrizes Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Controles adicionais e recomendações não incluídos nesta Norma podem ser necessários.