ISO 27001 Segurana da Informao ISO 27001 Segurana da Informao

Vital para a Competitividade da sua

O i Organizao
QuemSomos? Quem Somos?
A t d G Apresentao do Grupo
DECSIS
Perfil da Empresa Perfil da Empresa
Com origem na DECSIS, Sistemas de Informao, Lda., fundada
em 1994, o Grupo DECSIS conta actualmente com mais duas
empresas:
A Decsis II, Redes de Telecomunicaes Lda
A Expandiserve, Sistemas de Informao Lda,
A Misso: A Misso:
A Misso da DECSIS disponibilizar para os seus Clientes,
Produtos e Servios da mais elevada qualidade dentro da
sua rea de actuao e de acordo com as suas sua rea de actuao e de acordo com as suas
competncias.
N tid DECSIS t Cli t Nesse sentido, a DECSIS compromete-se com os seus Clientes
de que tudo far tendo em vista atingir e se possvel superar
as suas expectativas.
Parcerias: Parcerias:
Parcerias: Parcerias:
Parcerias: Parcerias:
Parcerias: Parcerias:
Parcerias: Parcerias:
Parcerias: Parcerias:
A Norma ISO 27001: A Norma ISO 27001:
E t t d N Estrutura da Norma
ISO 27001
O que a ISO 27001? O que a ISO 27001?
A norma ISO 27001:2005 a evoluo natural da norma
BS7799-2:2002
Um padro britnico que trata da definio de requisitos para
um Sistema Gesto de Segurana da Informao.
O padro foi incorporado pela The International Organization for
Standardization (ISO) Instituio internacional com sede na Standardization (ISO), Instituio internacional com sede na
Sua que cuida do estabelecimento de padres internacionais
de certificao em diversas reas.
O Reino Unido tem sido o grande promotor nesta rea, pela
tradio que tem tido, em actividades de padronizao, desde tradio que tem tido, em actividades de padronizao, desde
a Revoluo Industrial.
As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
Vocabulrio e definies
ISO 27002
ISO 27003
Vocabulrio e definies
a serem utilizadas
l t t N
ISO 27003
ISO 27004
pelas restantes Normas
ISO 27005
ISO 27005
As Normas da famlia ISO 27000 As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
Define os requisitos para
ISO 27002
ISO 27003
Define os requisitos para
a implementao de
SGSI
ISO 27003
ISO 27004
um SGSI
ISO 27005
ISO 27005
As Normas da famlia ISO 27000 As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
Actual ISO 17799
ISO 27002
ISO 27003
Actual ISO-17799,
Define boas prticas
t d
ISO 27003
ISO 27004
para a gesto da
segurana da
I f
ISO 27005
Informao
ISO 27005
As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
um Guia para a
ISO 27002
ISO 27003
um Guia para a
implementao de um
SGSI
ISO 27003
ISO 27004
SGSI
ISO 27005
ISO 27005
As Normas da famlia ISO 27000 As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
Define mtricas e meios
ISO 27002
ISO 27003
Define mtricas e meios
de medio para
A li fi i d
ISO 27003
ISO 27004
Avaliar a eficcia de um
SGSI
ISO 27005
ISO 27005
As Normas da famlia ISO 27000 As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
Actual BS 7799 3 Define
ISO 27002
ISO 27003
Actual BS 7799-3. Define
linhas de orientao
t d i
ISO 27003
ISO 27004
para a gesto do risco
da segurana da
I f
ISO 27005
Informao
ISO 27005
As Normas da famlia ISO 27000
ISO 27000
ISO 27001
ISO 27002
Um guia para o processo
ISO 27002
ISO 27003
Um guia para o processo
de acreditao de
tid d
ISO 27003
ISO 27004
entidades
certificadoras
ISO 27005
ISO 27005
A Norma ISO 27001: A Norma ISO 27001:
O t C it l i d N Outros Conceitos relacionados com a Norma:
ISO 27001
O que a Informao? O que a Informao?
A Informao existe em varias formas. Qualquer que
seja a forma que a Informao adopte, ou o meio
pela qual partilhada ou armazenada, deve ser
sempre devidamente protegida sempre devidamente protegida.
A I f b lh d t A Informao um bem que, semelhana de outros
bens do negcio, tem valor para uma organizao e
necessita ser convenientemente protegida necessita ser convenientemente protegida
O que a Informao? O que a Informao?
A Informao existe em varias formas. Qualquer que
seja a forma que a Informao adopte, ou o meio
pela qual partilhada ou armazenada, deve ser
sempre devidamente protegida sempre devidamente protegida.
A I f b lh d t A Informao um bem que, semelhana de outros
bens do negcio, tem valor para uma organizao e
necessita ser convenientemente protegida necessita ser convenientemente protegida
O que umBem? O que um Bem?
O Bem algo que tem valor para a organizao
O que umBem? O que um Bem?
O Bem algo que tem valor para a organizao
Exemplos:
Pessoas
O que umBem? O que um Bem?
O Bem algo que tem valor para a organizao
Exemplos:
Pessoas
Informao
O que umBem? O que um Bem?
O Bem algo que tem valor para a organizao
Exemplos:
Pessoas
Informao
Produtos
O que umBem? O que um Bem?
O Bem algo que tem valor para a organizao
Exemplos:
Pessoas
Informao

Produtos
Edifcios
O que a segurana da Informao? O que a segurana da Informao?
a preservao da Confidencialidade, Integridade
Disponibilidade d i f e Disponibilidade da informao;
Adicionalmente podero tambm ser consideradas,
as seguintes propriedades: g p p
Autenticidade
R bilid d Responsabilidade,
No repudiao
Grau de Confiana/Fiabilidade /
O que so Vulnerabilidades e Ameaas? O que so Vulnerabilidades e Ameaas?
Vulnerabilidades
Uma fraqueza de um bem ou conjunto de bens, que
podem ser explorados por uma ou mais ameaas.
Ameaas Ameaas
Uma potencial causa de acidente que pode resultar Uma potencial causa de acidente, que pode resultar
em dano ou perda para um sistema ou organizao
O que so Vulnerabilidades e Ameaas? O que so Vulnerabilidades e Ameaas?
Vulnerabilidades
Uma fraqueza de um bem ou conjunto de bens, que
podem ser explorados por uma ou mais ameaas.
Ameaas Ameaas
Uma potencial causa de acidente que pode resultar Uma potencial causa de acidente, que pode resultar
em dano ou perda para um sistema ou organizao
O que o SGSI? O que o SGSI?
Sistema de Gesto da Segurana Informao (SGSI)
uma parte do sistema global de gesto, baseado numa
abordagem de risco que permite definir implementar abordagem de risco, que permite definir, implementar,
operacionalizar, monitorizar, manter e melhorar a segurana da
Informao segundo a norma.
Que modelo de gesto utilizado? Que modelo de gesto utilizado?
O Sistema de gesto SGSI, baseado numa aproximao sistemtica dos
riscos inerentes aos negcios,
Com o objectivo de:
Estabelecer
Implementar
Operar Operar
Monitorizar
Rever
Manter
lh d i f Melhorar a segurana da informao.
Trata-se de uma abordagem segurana da informao, numa
perspectiva organizacional perspectiva organizacional.
Este sistema denomina-se por
PDCA PDCA
Representao do ciclo PDCA? Representao do ciclo PDCA?
Requisitos
Expectativas
Segurana da
Informao
Gerida Gerida
Como Definir e Gerir o SGSI? Como Definir e Gerir o SGSI?
Requisitos Gerais do SGSI:
Deve-se
Desenvolver implementar manter e melhorar continuamente o SGSI Desenvolver, implementar, manter e melhorar continuamente o SGSI
Definir politicas e objectivos
Estabelecer o ciclo PDCA
Definir o SGSI
Deve-se:
Definir o mbito, poltica, abordagem sistemtica para avaliao do
risco
Identificar e avaliar alternativas para tratamento dos riscos p
Obter aprovao, da gesto de topo, para os riscos residuais
Preparar a matriz de controlos j composta por 133 controlos
(Statment of Application)
Como Definir e Gerir o SGSI? Como Definir e Gerir o SGSI?
Requisitos Gerais do SGSI:
Deve-se
Desenvolver implementar manter e melhorar continuamente o SGSI Desenvolver, implementar, manter e melhorar continuamente o SGSI
Definir politicas e objectivos
Estabelecer o ciclo PDCA
Definir o SGSI
Deve-se:
Definir o mbito, a poltica, e a abordagem sistemtica para avaliao
do risco
Identificar e avaliar alternativas para tratamento dos riscos p
Obter aprovao, da gesto de topo, para os riscos residuais
Preparar a matriz de controlos j composta por 133 controlos
(Statment of Application)
O SGSI? O SGSI?
Como implementar e operacionalizar o SGSI?
Deve-se: Deve se:
Definir um plano de tratamentos de risco que identifique as actividades
de gesto apropriadas, recursos, responsabilidades e prioridades para
gerir os riscos segurana da Informao.
Definir como medir a eficcia dos controlos
Implementar programas de formao e sensibilizao
Gerir a componente operacional do SGSI Gerir a componente operacional do SGSI
Implementar procedimentos e outros controlos capazes de detectarem
e responderem a potenciais incidentes na segurana
O SGSI? O SGSI?
Como monitorizar e rever o SGSI:
Devem-se: Devem se:
Executar procedimentos de monitorizao
Rever a eficcia do SGSI
Rever os nveis de risco residual
Realizar auditorias internas periodicamente
l d b d Realizar revises com a gesto de topo para garantir o mbito do
SGSI e identificao de melhorias
Actualizar planos de segurana Actualizar planos de segurana
O SGSI? O SGSI?
Como manter e melhorar o SGSI:
Deve se: Deve-se:
Implementar as melhorias identificadas no SGSI
Implementar as aces correctivas e preventivas
Comunicar os resultados e aces
Garantir que as melhorias atingem os objectivos pretendidos.
O SGSI? O SGSI?
Como em qualquer SGSI:
Deve existir documentao sobre: Deve existir documentao sobre:
Todas os, procedimentos, controlos, politicas e objectivos definidos
O mbito do SGSI
Metodologias de avaliao do risco
Relatrios de avaliao e planos de tratamento do risco
Documentao de todos os procedimentos necessrios organizao, afim
de garantir a eficincia do seu planeamento, operacionalidade e controlo
dos processos de segurana da informao. dos processos de segurana da informao.
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e Processos Fase 8 - Implementao de Polticas e Processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Plano de Implementao da ISO 27001? Plano de Implementao da ISO 27001?
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao do Risco Residual e Identificao de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 Implementao de Polticas e processos Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI
Concluso: Concluso:
A Segurana da Informao um problema
Organizacional e no tecnolgico Organizacional e no tecnolgico
A implementao de segurana tem que ser um A implementao de segurana tem que ser um
compromisso entre o risco, o grau de proteco
desejado e o custo do mecanismo de controlo. j
O Caminho para a segurana da Informao a p g
gesto do risco atravs da integrao das
componentes de. Gesto e Tecnologia
Concluso: Concluso:
A Segurana da Informao um problema
Organizacional e no tecnolgico Organizacional e no tecnolgico
A implementao de segurana tem que ser um A implementao de segurana tem que ser um
compromisso entre o risco, o grau de proteco
desejado e o custo do mecanismo de controlo. j
O Caminho para a segurana da Informao a p g
gesto do risco atravs da integrao das
componentes de. Gesto e Tecnologia
Concluso: Concluso:
A Segurana da Informao um problema
Organizacional e no tecnolgico Organizacional e no tecnolgico
A implementao de segurana tem que ser um A implementao de segurana tem que ser um
compromisso entre o risco, o grau de proteco
desejado e o custo do mecanismo de controlo. j
O Caminho para a segurana da Informao a p g
gesto do risco atravs da integrao das
componentes de. Gesto e Tecnologia
DECSIS SI
Antnio Pedro Martins
Tel.: +351 962032835
mailto: antonio.martins@decsis.pt p