Este documento resume a norma ISO 27002, que fornece um código de práticas para gestão de segurança da informação. A norma está organizada em 15 seções que cobrem tópicos como política de segurança, gestão de ativos, segurança física, controle de acesso e gerenciamento de incidentes. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e implementar estratégias de segurança eficazes.

1. ISO 27002

2. Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade

3. 0. Introdução
1. O que é segurança da informação
2. Por que a segurança da informação é necessária?
3. Como estabelecer requisitos de segurança da informação?
4. Analisando/avaliando os riscos de Segurança da Informação
5. Seleção de controles
6. Ponto de partida para a segurança da informação
7. Fatores Críticos de Sucesso
8. Desenvolvendo suas próprias diretrizes
1. Objetivo

4. 3. Estrutura desta norma
1. Seções
2. Principais categorias de segurança da informação
2. Termos e definições
4. Análise/avaliação de tratamento de riscos
1. Analisando/avaliando riscos de segurança
da informação
2. Tratando Riscos de Segurança da Informação

5. 5. Política de segurança da informação
1.Política de segurança da Informação (5.1. 1. Documento 5.1.2.
Análise crítica)
6. Organizando a Segurança da Informação
1. Organização interna
2. Partes Externas
7. Gestão de ativos
1. Responsabilidades pelos ativos
2. Classificação das informações

6. 8.Segurança em recursos humanos
1. Antes da contratação
2. Durante a contratação
3. Encerramento ou mudança da contratação
9.Segurança Física e do Ambiente
1. Área segura
2. Segurança de equipamentos

7. 10.Gerenciamento de operações e comunicações
1. Procedimentos e responsabilidades operacionais
2. Gerenciamento de serviços terceirizados
3. Planejamento e aceitação dos sistemas
4. Proteção contra códigos maliciosos e códigos móveis
5. Cópias de segurança
6. Gerenciamento da segurança em redes
7. Manuseio de mídias
8. Troca de informações
9. Serviços de comércio eletrônico
10. Monitoramento

8. 11. Controle de acesso
1. Requisitos de negócio para controle de acesso
2. Gerenciamento de acesso do usuário
3. Responsabilidades dos usuários
4. Controle de acesso à rede
5. Controle de acesso ao sistema operacional
6. Controle de acesso à aplicações e a informação
7. Computação móvel e trabalho remoto

9. 12. Aquisição, desenvolvimento e manutenção de
sistemas da informação
1. Requisição de segurança de sistemas de informação
2. Processamento correto nas aplicações
3. Controles criptográficos
4. Segurança dos arquivos do sistema
5. Segurança em processos de desenvolvimento e de suporte
6. Gestão de vulnerabilidade técnicas

10. 13. Gestão de Incidentes de Segurança da
informação
1.Notificação de fragilidades e eventos de segurança da
informação
2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
1.Aspectos da gestão da continuidade do
negócio relativos a segurança da informação

11. 15. Conformidade
1. Conformidade com requisitos legais
2.Conformidade com normas e políticas de segurança da
informação e conformidade técnica
3. Considerações quanto à auditoria de sistemas de informação