A ISO (Organizao Internacional para Padronizao) um padro internacional composto por representantes de vrios pases, que foi fundada

a em 23 de fevereiro de 1947. Ela uma organizao voluntria cujos membros so autoridades reconhecidas em normas. Ela trabalha na elaborao de padres internacionais, relatrios tcnicos e especificaes tcnicas e guias. Ela cria especificaes para servios, produtos , ajudando a fazer a industria mais eficiente e efetiva. Ela atua em vrias reas, desde comida a segurana de computadores, agricultura, dentre outros. Essas normas so ferramentas estratgicas para ajudar as empresas a resolver alguns desafios mais exigentes dos negcios modernos. Elas garantem que as operaes de negcios sejam o mximo possvel eficiente, aumentem a produtividade, reduza os custos e ajude as empresas a acessar novos mercados. Por isso , ao falarmos sobre segurana da informao O padro ISSO/IEC 27002 e o ciclo da segurana da informao sero utilizados como base para o levantamento dos dados sobre como os departamentos de TI lidam com segurana da informao em suas organizaes. Ele um padro que trata das melhores praticas para a segurana da informao. A ISO/IEC 27002 especifica 39 objetivos de controle para proteger a informao de ameaas contra a confidencialidade, integridade e disponibilidade. Embora cada um desses objetivos de controle seja importante em uma organizao, alguns podem no ser aplicveis em alguns casos, dependendo da organizao. Esses objetivos servem como um ponto de partida para definir os princpios iniciais para as polticas de segurana da informao. Estrutura do Padro Avaliao de risco e tratamento : -Avaliao de Risco -Analise de Risco - Diminuio de Risco Poltica de segurana: A poltica de segurana normalmente descreve: - Os requisitos da organizao para a segurana da informao - O escopo do sistema de gerenciamento de segurana da informao, incluindo as necessidades do negcio, reas e locais cobertos - A filosofia geral para segurana da informao Polticas especficas e procedimentos dentro do sistema de gerenciamento de segurana da informao devem ser consistente com a poltica de segurana. Se uma pessoa encontrar uma situao que no esta especificamente mencionada em detalhe, a poltica de segurana deve ser um guia geral eficaz para as aes que devero ser tomadas.

- Princpios - Polticas - Padres - Procedimentos e orientaes Organizao da segurana da informao A organizao da segurana da informao trata de: - Como a organizao gerencia segurana da informao - As responsabilidades de cada pessoa, comit ou frum. Inclui responsabilidades para criar, revisar e seguir procedimentos e polticas Uma estrutura de segurana organizacional deve ser detalhada, indicando: - Quem as pessoas devem procurar quando precisarem de ajuda - A quem as pessoas devem se reportar em relao a problemas de segurana e dificuldades - Estrutura - relatrio Administrao de ativos utilizada para fazer inventrios de ativos fsicos por exemplo, computadores, impressoras, switches . Essas informaes so vitais para uma organizao, mas o valor dela depende de fatores como por exemplo o custo para se obter essas informaes, o custo de atualizao e o extenso do dano causado caso essas informaes vazem para o pblico ou concorrentes. Um Registro de Informao dos Ativos (IAR) deve ser criado, detalhando cada informao dos ativos dentro da organizao. Segurana de recursos humanos Este tpico cobre aspectos para reduzir o risco de erro humano e assegurar que a equipe entenda quais so seus direitos e responsabilidades em se tratando de segurana da informao. A organizao deve gerenciar bem os direitos de acessos ao sistema para quem est entrando na empresa, se mudando de rea ou deixando a empresa e deve se encarregar de fazer o trabalho de conscientizao sobre segurana, treinamentos e atividades educativas. Segue algumas consideraes que devem ser levadas em conta no momento de contratao, durante e aps a demisso do empregado. - Antes de contratar: responsabilidade quanto a segurana deve ser levada em conta quando estiver recrutando trabalhadores, tanto permanentes como temporrios e incluindo no contrato termos e regras de segurana e responsabilidades que o empregado dever assinar.

- Durante o emprego: o empregado deve ser treinado sobre procedimentos de segurana e um processo disciplinar necessrio quando houver alguma falha no cumprimento da poltica, para que se evite assim brechas de segurana. - Demisso: muito importante que as permisses de acesso que o empregado tinha sejam removidas aps a demisso.

Segurana fsica e do ambiente Esta seo detalha qualquer aspecto fsico do controle de acesso para a informao. Os seguintes aspectos devem ser considerados: - Proteo: - da informao e dos sistemas de elementos to importante quanto a proteo de acesso no autorizado. - de acesso fsico, o qual deve ser restrito para pessoas autorizadas. Equipamentos de TI tentador para ladres e pode ser danificado por acidentes ou sabotagem. - Manuteno: - do ambiente fsico na sala do servidor e to importante quanto a proteo ao dano por fogo por exemplo. - dos equipamentos de suporte como ar condicionado ou rede eltrica.

Controle de acesso fsico pode ser difcil de gerenciar, pois eles dependem em certa medida da estrutura do edifcio, mas mesmo assim uma boa segurana fsica pode ser bastante efetiva. Administrao de operaes e comunicaes Manter TI e sistemas de comunicaes seguros fundamental para a maioria das organizaes e ser coberto nesta seo, a maior seo da ISSO 27002. Tudo - Arquivos - Backups - Logs - Monitoramento - Configuraes Controle de acesso - Fsico - Rede - Sistemas - Aplicaes

- Funes - Dados Aquisio, desenvolvimento e manuteno de sistemas de informao - Requisitos - Projeto - Desenvolvimento - Testes - Implementao - Manuteno e suporte Gesto de incidentes de segurana da informao - Preparar - Identificar - Reagir - Gerir e controlar - Resolver - Aprender Gesto da continuidade de negcio - Recuperao de Desastre - Resilincia Conformidade - Polticas - Leis e regulaes - Terceiros