Decsis Iso27001

ISO 27001 Segurana da Informao
Vital para a Competitividade da sua

O
Organizao
i
Quem Somos?
A
Apresentao
t d
do Grupo
G
DECSIS
Perfil da Empresa
Com origem na DECSIS, Sistemas de Informao, Lda., fundada
em 1994, o Grupo DECSIS conta actualmente com mais duas
empresas:
A Decsis II, Redes de Telecomunicaes Lda
A Expandiserve, Sistemas de Informao Lda,
A Misso:
A Misso da DECSIS disponibilizar para os seus Clientes,

Produtos e Servios da mais elevada qualidade dentro da
sua rea de actuao e de acordo com as suas
competncias.
Nesse sentido,
N
tid a DECSIS compromete-se
t
com os seus Clientes
Cli t
de que tudo far tendo em vista atingir e se possvel superar
as suas expectativas.
Parcerias:
Parcerias:
Parcerias:
Parcerias:
Parcerias:
Parcerias:
A Norma ISO 27001:
Estrutura
E
t t
d
da N
Norma
ISO 27001
O que a ISO 27001?

A norma ISO 27001:2005 a evoluo natural da norma
BS7799-2:2002
Um padro britnico que trata da definio de requisitos para
um Sistema Gesto de Segurana da Informao.
O padro foi incorporado pela The International Organization for
Standardization (ISO),
(ISO) Instituio internacional com sede na
Sua que cuida do estabelecimento de padres internacionais
de certificao em diversas reas.
O Reino Unido tem sido o grande promotor nesta rea, pela
tradio que tem tido, em actividades de padronizao, desde
a Revoluo Industrial.
As Normas da famlia ISO 27000

ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
Vocabulrio e definies
a serem utilizadas
pelas
l
restantes
t t
Normas
N

ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
Define os requisitos para

a implementao de
um SGSI

ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
Actual ISO-17799,
ISO 17799
Define boas prticas
para a gesto
t da
d
segurana da
I f
Informao

ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
um Guia para a
implementao de um
SGSI

ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
Define mtricas e meios

de medio para
A li
Avaliar
a eficcia
fi i de
d um
SGSI

ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
Actual BS 7799-3.
7799 3 Define
linhas de orientao
para a gesto
t do
d risco
i
da segurana da
I f
Informao
ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27005
Um guia para o processo

de acreditao de
entidades
tid d
certificadoras
A Norma ISO 27001:
O t
Outros
Conceitos
C
it relacionados
l i
d com a N
Norma:
ISO 27001
O que a Informao?
A Informao existe em varias formas. Qualquer que

seja a forma que a Informao adopte, ou o meio
pela qual partilhada ou armazenada, deve ser
sempre devidamente protegida.
protegida
AI
Informao
f
um bem
b
que, semelhana
lh
de
d outros
t
bens do negcio, tem valor para uma organizao e
necessita ser convenientemente protegida
O que a Informao?
A Informao existe em varias formas. Qualquer que

seja a forma que a Informao adopte, ou o meio
pela qual partilhada ou armazenada, deve ser
sempre devidamente protegida.
protegida
AI
Informao
f
um bem
b
que, semelhana
lh
de
d outros
t
bens do negcio, tem valor para uma organizao e
necessita ser convenientemente protegida
O que um Bem?
O Bem algo que tem valor para a organizao
O que um Bem?

z
Exemplos:
Pessoas
O que um Bem?

z
Exemplos:
Pessoas
Informao
O que um Bem?

z
Exemplos:
Pessoas
Informao
Produtos
O que um Bem?

z
Exemplos:
Pessoas
Informao
Produtos
Edifcios
O que a segurana da Informao?
a preservao da Confidencialidade, Integridade

e Disponibilidade da
d informao;
i f
Adicionalmente podero tambm ser consideradas,

as seguintes
g
p
propriedades:
p
z
z
z
z
Autenticidade
R
Responsabilidade,
bilid d
No repudiao
Grau de Confiana/Fiabilidade
/
O que so Vulnerabilidades e Ameaas?

z
Vulnerabilidades
Uma fraqueza de um bem ou conjunto de bens, que
podem ser explorados por uma ou mais ameaas.
Ameaas
Uma potencial causa de acidente,
acidente que pode resultar
em dano ou perda para um sistema ou organizao
O que so Vulnerabilidades e Ameaas?

z
Vulnerabilidades
Uma fraqueza de um bem ou conjunto de bens, que
podem ser explorados por uma ou mais ameaas.
Ameaas
Uma potencial causa de acidente,
acidente que pode resultar
em dano ou perda para um sistema ou organizao
O que o SGSI?
Sistema de Gesto da Segurana Informao (SGSI)

uma parte do sistema global de gesto, baseado numa
abordagem de risco
risco, que permite definir,
definir implementar,
implementar
operacionalizar, monitorizar, manter e melhorar a segurana da
Informao segundo a norma.
Que modelo de gesto utilizado?

O Sistema de gesto SGSI, baseado numa aproximao sistemtica dos
riscos inerentes aos negcios,
z
Com o objectivo de:

z
z
z
z
z
z
z
Estabelecer
Implementar
Operar
Monitorizar
Rever
Manter
Melhorar
lh
a segurana d
da iinformao.
f
Trata-se de uma abordagem segurana da informao, numa

perspectiva organizacional.
organizacional
Este sistema denomina-se por
PDCA
Representao do ciclo PDCA?
Requisitos
Expectativas
Segurana da
Informao
Gerida
Como Definir e Gerir o SGSI?

z
Requisitos Gerais do SGSI:

z
Deve-se
z
z
z
Desenvolver, implementar
Desenvolver
implementar, manter e melhorar continuamente o SGSI
Definir politicas e objectivos
Estabelecer o ciclo PDCA
Definir o SGSI
z
Deve-se:
z
z
z
z
Definir o mbito, poltica, abordagem sistemtica para avaliao do

risco
Identificar e avaliar alternativas p
para tratamento dos riscos
Obter aprovao, da gesto de topo, para os riscos residuais
Preparar a matriz de controlos j composta por 133 controlos
(Statment of Application)
Como Definir e Gerir o SGSI?

z
Requisitos Gerais do SGSI:

z
Deve-se
z
z
z
Desenvolver, implementar
Desenvolver
implementar, manter e melhorar continuamente o SGSI
Definir politicas e objectivos
Estabelecer o ciclo PDCA
Definir o SGSI
z
Deve-se:
z
z
z
z
Definir o mbito, a poltica, e a abordagem sistemtica para avaliao

do risco
Identificar e avaliar alternativas p
para tratamento dos riscos
Obter aprovao, da gesto de topo, para os riscos residuais
Preparar a matriz de controlos j composta por 133 controlos
(Statment of Application)
O SGSI?
z
Como implementar e operacionalizar o SGSI?

z
Deve se:
Deve-se:
z
Definir um plano de tratamentos de risco que identifique as actividades

de gesto apropriadas, recursos, responsabilidades e prioridades para
gerir os riscos segurana da Informao.
Definir como medir a eficcia dos controlos
Implementar programas de formao e sensibilizao
Gerir a componente operacional do SGSI
Implementar procedimentos e outros controlos capazes de detectarem

e responderem a potenciais incidentes na segurana
O SGSI?
z
Como monitorizar e rever o SGSI:

z
Devem se:
Devem-se:
z
Executar procedimentos de monitorizao
Rever a eficcia do SGSI
Rever os nveis de risco residual
Realizar auditorias internas periodicamente
Realizar
l
revises
com a gesto
de
d topo para garantir o mbito
b
do
d
SGSI e identificao de melhorias
Actualizar planos de segurana
O SGSI?
z
Como manter e melhorar o SGSI:

z
Deve se:
Deve-se:
z
Implementar as melhorias identificadas no SGSI
Implementar as aces correctivas e preventivas
Comunicar os resultados e aces
Garantir que as melhorias atingem os objectivos pretendidos.
O SGSI?
z
Como em qualquer SGSI:

z
Deve existir documentao sobre:

z
Todas os, procedimentos, controlos, politicas e objectivos definidos
O mbito do SGSI
Metodologias de avaliao do risco
Relatrios de avaliao e planos de tratamento do risco
Documentao de todos os procedimentos necessrios organizao, afim

de garantir a eficincia do seu planeamento, operacionalidade e controlo
dos processos de segurana da informao.
Plano de Implementao da ISO 27001?

z
Fase 1 - Definio do mbito e da politica
Fase 2 - Identificao dos Bens
Fase 3 - Valorizao dos Bens
Fase 4 - Identificao do Risco
Fase 5 - Identificao dos controlos e Risco Residual
Fase 6 - Aceitao
do Risco Residual e Identificao
de Politicas
Fase 7 - Definio de Polticas e Processos para implementao dos controlos
Fase 8 - Implementao de Polticas e processos
Fase 9 - Elaborao da documentao
Fase 10 - Auditoria e reviso do SGSI

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas
Fase 8 - Implementao de Polticas e Processos

z
Fase 6 - Aceitao
de Politicas

z
Fase 6 - Aceitao
de Politicas
Concluso:
A Segurana da Informao um problema
Organizacional e no tecnolgico
A implementao de segurana tem que ser um
compromisso entre o risco, o grau de proteco
desejado
j
e o custo do mecanismo de controlo.
O Caminho p
para a segurana
g
da Informao
a
gesto do risco atravs da integrao das
componentes de. Gesto e Tecnologia
Concluso:
desejado
j
O Caminho p
para a segurana
g
da Informao
a
Concluso:
desejado
j
O Caminho p
para a segurana
g
da Informao
a
DECSIS SI
Antnio
Pedro Martins
Tel.: +351 962032835
p
mailto: antonio.martins@decsis.pt

Decsis Iso27001

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Decsis Iso27001

Enviado por

Direitos autorais:

Formatos disponíveis

ISO 27001 Segurana da Informao

Vital para a Competitividade da sua

A Decsis II, Redes de Telecomunicaes Lda

A Expandiserve, Sistemas de Informao Lda,

A Misso da DECSIS disponibilizar para os seus Clientes,

A Norma ISO 27001:

O que a ISO 27001?

As Normas da famlia ISO 27000

As Normas da famlia ISO 27000

Define os requisitos para

As Normas da famlia ISO 27000

As Normas da famlia ISO 27000

As Normas da famlia ISO 27000

Define mtricas e meios

As Normas da famlia ISO 27000

As Normas da famlia ISO 27000

Um guia para o processo

A Norma ISO 27001:

A Informao existe em varias formas. Qualquer que

A Informao existe em varias formas. Qualquer que

O Bem algo que tem valor para a organizao

O Bem algo que tem valor para a organizao

O Bem algo que tem valor para a organizao

O Bem algo que tem valor para a organizao

O Bem algo que tem valor para a organizao

O que a segurana da Informao?

a preservao da Confidencialidade, Integridade

Adicionalmente podero tambm ser consideradas,

O que so Vulnerabilidades e Ameaas?

O que so Vulnerabilidades e Ameaas?

Sistema de Gesto da Segurana Informao (SGSI)

Que modelo de gesto utilizado?

Com o objectivo de:

Trata-se de uma abordagem segurana da informao, numa

Representao do ciclo PDCA?

Como Definir e Gerir o SGSI?

Requisitos Gerais do SGSI:

Definir o mbito, poltica, abordagem sistemtica para avaliao do

Como Definir e Gerir o SGSI?

Requisitos Gerais do SGSI:

Definir o mbito, a poltica, e a abordagem sistemtica para avaliao

Como implementar e operacionalizar o SGSI?

Definir um plano de tratamentos de risco que identifique as actividades

Definir como medir a eficcia dos controlos

Implementar programas de formao e sensibilizao

Gerir a componente operacional do SGSI

Implementar procedimentos e outros controlos capazes de detectarem

Como monitorizar e rever o SGSI:

Executar procedimentos de monitorizao

Rever a eficcia do SGSI

Rever os nveis de risco residual

Realizar auditorias internas periodicamente

Actualizar planos de segurana

Como manter e melhorar o SGSI:

Implementar as melhorias identificadas no SGSI

Implementar as aces correctivas e preventivas

Comunicar os resultados e aces

Garantir que as melhorias atingem os objectivos pretendidos.

Como em qualquer SGSI:

Deve existir documentao sobre:

Todas os, procedimentos, controlos, politicas e objectivos definidos

Metodologias de avaliao do risco

Relatrios de avaliao e planos de tratamento do risco