Trabalho sobre a ISO 27001 itens 5 a 8 no precisa tratar dos anexos, pois o que os outros colegas vo apresentar.

r. Ver artigos sobre 27002 tambm ****Assistir filme: Trapaas Reais SGSI: Sistema de Gesto da Segurana da Informao 5. Responsabilidades da direo 5.1. Comprometimento da direo: *** Comprometimentos com o estabelecimento das normas da ISSO, implementao, operao, monitoramento, anlise crtica, manuteno e melhoria do SGSI. A Direo deve fornecer evidncia do seu comprometimento com o estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e melhoria do SGSI mediante: a) o estabelecimento da poltica do SGSI; b) a garantia de que so estabelecidos os planos e objetivos do SGSI; c) o estabelecimento de papis e responsabilidades pela segurana de informao; d) a comunicao organizao da importncia em atender aos objetivos de segurana da informao e a conformidade com a poltica de segurana de informao, suas responsabilidades perante a lei e a necessidade para melhoria contnua; e) a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI (ver 5.2.1); f) a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis; g) a garantia de que as auditorias internas do SGSI sejam realizadas (ver seo 6); e h) a conduo de anlises crticas do SGSI pela direo (ver seo 7). 5.2. Gesto de recursos 5.2.1. Proviso de recursos: *** A organizao deve prover os recursos para:

A organizao deve determinar e prover os recursos necessrios para: a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI; b) assegurar que os procedimentos de segurana da informao apoiam os requisitos de negcio; c) identificar e tratar os requisitos legais e regulamentares e obrigaes contratuais de segurana da informao; d) manter a segurana da informao adequada pela aplicao correta de todos os controles implementados; e) realizar anlises crticas, quando necessrio, e reagir adequadamente aos resultados destas anlises crticas; f) onde requerido, melhorar a eficcia do SGSI. 5.2.2 . Treinamento, conscientizao e competncia A organizao deve assegurar que todo o pessoal que tem responsabilidades atribudas definidas no SGSI seja competente para desempenhar as tarefas requeridas: a) determinando as competncias necessrias para o pessoal que executa trabalhos que afetam o SGSI; b) fornecendo treinamento ou executando outras aes (por exemplo, contratar pessoal competente) para satisfazer essas necessidades; c) avaliando a eficcia das aes executadas; d) mantendo registros de educao, treinamento, habilidades, experincias e qualificaes (ver 4.3.3). A organizao deve tambm assegurar que todo o pessoal pertinente esteja consciente da relevncia e importncia das suas atividades de segurana da informao e como eles contribuem para o alcance dos objetivos do SGSI.

6. Auditorias internas do SGSI A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e legislao ou regulamentaes pertinentes;

b) atendem aos requisitos de segurana da informao identificados; c) esto mantidos e implementados eficazmente; d) so executados conforme esperado. Um programa de auditoria deve ser planejado levando em considerao a situao e a importncia dos processos e reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critrios da auditoria, escopo, freqncia e mtodos devem ser definidos. A seleo dos auditores e a execuo das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho. As responsabilidades e os requisitos para planejamento e para execuo de auditorias e para relatar os resultados e a manuteno dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado. O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida, para eliminar as no-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificao das aes executadas e o relato dos resultados de verificao (ver seo 8). NOTA A ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental pode prover uma orientao til para realizar auditorias internas do SGSI. 7. Anlise crtica do SGSI pela direo 7.1. Geral A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e eficcia. Esta anlise crtica deve incluir a avaliao de oportunidades para melhoria e a necessidade de mudanas do SGSI, incluindo a poltica de segurana da informao e objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3). 7.2. Entradas para a anlise crtica As entradas para a anlise crtica pela direo devem incluir: a) resultados de auditorias do SGSI e anlises crticas;

b) realimentao das partes interessadas; c) tcnicas, produtos ou procedimentos que podem ser usados na organizao para melhorar o desempenho e a eficcia do SGSI; d) situao das aes preventivas e corretivas; e) vulnerabilidades ou ameaas no contempladas adequadamente nas anlises/avaliaes de risco anteriores; f) resultados da eficcia das medies; g) acompanhamento das aes oriundas de anlises crticas anteriores pela direo; h) quaisquer mudanas que possam afetar o SGSI; i) recomendaes para melhoria. 7.3. Sadas da anlise crtica As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes relacionadas a: a) Melhoria da eficcia do SGSI. b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos. c) Modificao de procedimentos e controles que afetem a segurana da informao, quando necessrio, para responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanas de: 1) requisitos de negcio; 2) requisitos de segurana da informao; 3) processos de negcio que afetem os requisitos de negcio existentes; 4) requisitos legais ou regulamentares; 5) obrigaes contratuais; e 6) nveis de riscos e/ou critrios de aceitao de riscos. d) Necessidade de recursos. e) Melhoria de como a eficcia dos controles est sendo medida. 8. Melhoria do SGSI 8.1. Melhoria contnua A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de

segurana da informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados, aes corretivas e preventivas e anlise crtica pela direo (ver seo 7). 8.2. Ao corretiva A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, de forma a evitar a sua repetio. O procedimento documentado para ao corretiva deve definir requisitos para: a) identificar no-conformidades; b) determinar as causas de no-conformidades; c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades no ocorram novamente; d) determinar e implementar as aes corretivas necessrias; e) registrar os resultados das aes executadas (ver 4.3.3); f) analisar criticamente as aes corretivas executadas. 8.3. Ao preventiva A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas. O procedimento documentado para ao preventiva deve definir requisitos para: a) identificar no-conformidades potenciais e suas causas; b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades; c) determinar e implementar as aes preventivas necessrias; d) registrar os resultados de aes executadas (ver 4.3.3); e e) analisar criticamente as aes preventivas executadas. A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas focando a ateno nos riscos significativamente alterados. A prioridade de aes preventivas deve ser determinada com base nos resultados da anlise/avaliao de riscos.

NOTA - Aes para prevenir no-conformidades frequentemente tm melhor custo-benefcio que as aes corretivas.