Questões NBR 27001

ABNT NBR ISO/IEC
27001
Para Dataprev e Senado
Professor Thiago Fagury

thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
1/63
As Normas
NBR ISO/IEC 27001 - Requisitos para implantar

um SGSI
NBR ISO/IEC 27002 - Prticas para a gesto de

SI
NBR ISO/IEC 27005 - Gesto de riscos de SI
27006 e 27007 - Requisitos e Diretrizes para

auditoria de um SGSI
15999:1 e 15999:2 - Gesto de Continuidade de

Negcios (Cdigo de Prtica e Requisitos)
27004 e 27003 - Gesto de SI (Medio) e Guia

de Impl. SGSI

Slide
2/63
NBR ISO/IEC 27001
Questes - Conceitos Bsicos

MCT/2008 - Cargos diversos
[119] Uma organizao que deseje implantar um sistema de gesto de segurana
da informao (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC
27001:2006.
[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser
classificada, de acordo com a sua necessidade de segurana e controle de
acesso.

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que

aplicado para estruturar todos os processos dos sistemas de gesto de
segurana da informao information security management system (ISMS).
[120 - B] Dependendo de seu tamanho ou natureza, uma organizao pode
considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e,
ainda assim, continuar em conformidade com essa norma internacional.
Slide
3/63
NBR ISO/IEC 27001

ANAC 2009
[96] A norma em questo trata da definio de requisitos para um
sistema de gesto de segurana da informao.
AFCE/TCU 2010
[177] A Norma NBR ISO/IEC 27001 estabelece o cdigo de prtica
para a gesto da segurana da informao e a Norma NBR ISO/IEC
27002 trata dos requisitos dos sistemas de gesto de segurana da
informao.
[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos
do sistema de gesto da segurana da informao (SGSI), constata-se
que, no SGSI, o do (fazer) equivale a executar as aes corretivas e
preventivas para alcanar a melhoria contnua do SGSI.
Slide
4/63
NBR ISO/IEC 27001

Serpro 2010
[57] A NBR 27001 corresponde atualizao da norma internacional
ISO/IEC 17799.
[58] Segundo a NBR 27001, um sistema de gesto da segurana da
informao apresenta o seguinte ciclo: estabelecimento, implementao e
operao, monitoramento e reviso, manuteno e melhoria do sistema.
Aneel 2010
[112] A melhoria contnua do SGSI ocorre na forma de aes corretivas
e preventivas, entre outras. Um exemplo de ao corretiva a alterao
na redao do documento da poltica de segurana da informao para
melhorar sua compreensibilidade e eliminar ambiguidades que levaram a
no conformidades no cumprimento dessa poltica. Um exemplo de ao
preventiva a adoo de novos controles de acesso ao ambiente fsico.
Slide
5/63
NBR ISO/IEC 27001
0. Introduo
Estrutura
1. Objetivo
2. Referncia normativa
3. Termos e definies
4. Sistema de gesto de segurana da informao

(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de
documentao)
5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)
6. Auditorias internas do SGSI

7. Anlise crtica do SGSI pela direo
(Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica)
8. Melhoria do SGSI
(Melhoria contnua / Ao corretiva / Ao preventiva)
Slide
6/63
NBR ISO/IEC 27001
Estrutura
Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princpios da OECD*
Anexo C - informativo:
Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
Slide
7/63
NBR ISO/IEC 27001
0. Introduo
Esta Norma foi preparada para prover um

modelo para EIOMAMM um Sistema de Gesto
de Segurana da Informao (SGSI).
EIOMAMM = estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e
melhorar
Slide
8/63
NBR ISO/IEC 27001
0. Introduo
- A adoo de um SGSI estratgica;

- Necessidades e objetivos, requisitos de segurana, processos
empregados, tamanho e estrutura da organizao direcionam a
implementao;
- SGSIs mudam ao longo do tempo;
- Norma pode ser usada para avaliar a conformidade pelas partes
interessadas internas e externas.
- Para fins de certificao a 27001 a referncia (antiga
BS7799-2).
Slide
9/63
NBR ISO/IEC 27001
0. Introduo
Estabelecer
Implementar e
Operar
Manter e
Melhorar
Monitorar e
Anal. Criticamente
- Abordagem de processo: indica processos definidos, geridos e

interativos;
- Baseada no ciclo PDCA.
Slide
10/63
NBR ISO/IEC 27001
0. Introduo
Plan (planejar) - estabelecer a poltica, objetivos, processos e

procedimentos do SGSI, relevantes para a gesto de riscos e a
melhoria da segurana da informao para produzir resultados de
acordo com as polticas e objetivos globais de uma organizao.
Do (fazer) - implementar e operar a poltica, controles, processos
e procedimentos do SGSI.
Check (checar) - avaliar e, quando aplicvel, medir o desempenho
de um processo frente poltica, objetivos e experincia prtica
do SGSI e apresent. os resultados p/ a anlise crtica pela direo.
Act (agir) - Executar as aes corretivas e preventivas, com base
nos resultados da auditoria interna do SGSI e da anlise crtica
pela direo ou outra informao pertinente, para alcanar a
melhoria contnua do SGSI.
Slide
11/63
NBR ISO/IEC 27001
0. Introduo
Compatibilidade com outros sistemas de gesto:

- Esta Norma est alinhada s ABNT NBR ISO
9001:2000 e ABNT NBR ISO 14001:2004* para
apoiar a implementao e a operao de forma
consistente e integrada com normas de gesto
relacionadas.
*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental

Slide
12/63
NBR ISO/IEC 27001
1. Objetivo
1.1 Geral:
- A norma cobre todos os tipos de organizaes;
- Especifica os requisitos para EIOMAMM um
SGSI documentado dentro do contexto dos
riscos de negcio globais da organizao;
- Projetado para assegurar a seleo de controles
de segurana adequados e proporcionados para
proteger os ativos de informao e propiciar
confiana s partes interessadas.
Slide
13/63
NBR ISO/IEC 27001
1. Objetivo
1.2 Aplicao:
- Os requisitos definidos so genricos e aplicveis a todas as

organizaes, independentemente de tipo, tamanho e natureza;
- A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel
quando uma organizao reivindica conformidade com a norma;
- A menos que tais excluses no afetem a capacidade da organizao, e/
ou responsabilidade de prover segurana da informao que atenda os
requisitos de segurana determinados pela anlise/avaliao de riscos e
por requisitos legais e regulamentares aplicveis.
- Excluso de controle considerado necessrio aos critrios de aceitao
de riscos precisa ser justificada e evidncias de que os riscos associados
foram aceitos pelas pessoas responsveis precisam ser fornecidas;
Slide
14/63
NBR ISO/IEC 27001
2. Ref. Normativa
O documento a seguir referenciado

indispensvel para a aplicao desta Norma:
ABNT NBR ISO/IEC 17799:2005, Tecnologia da
informao Tcnicas de segurana Cdigo de
prtica para a gesto da segurana da informao.
*Ou seja, a 27002
Slide
15/63
NBR ISO/IEC 27001
Gabaritando as Questes!
MCT/2008 - Cargos diversos
[119] Uma organizao que deseje implantar um sistema de gesto de segurana

da informao (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC
27001:2006.
[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser
classificada, de acordo com a sua necessidade de segurana e controle de
acesso.
[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que

aplicado para estruturar todos os processos dos sistemas de gesto de
segurana da informao information security management system (ISMS).
[120 - B] Dependendo de seu tamanho ou natureza, uma organizao pode

considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e,
ainda assim, continuar em conformidade com essa norma internacional.
Slide
16/63
NBR ISO/IEC 27001
Reflexo Sobre a Questo 120:
muito importante observar que o CESPE dificilmente deixa
apenas um caminho para o candidato gabaritar a questo.
Na questo 120, mesmo que o candidato no soubesse / no
houvesse decorado a estrutura da norma, seria possvel
identificar o erro porque Classificar a Informao uma prtica
(Controle), objeto da norma ABNT NBR ISO/IEC 27002.

Slide
17/63
NBR ISO/IEC 27001
ANAC 2009
[96] A norma em questo trata da definio de requisitos para um

sistema de gesto de segurana da informao.
AFCE/TCU 2010
[177] A Norma NBR ISO/IEC 27001 estabelece o cdigo de prtica

para a gesto da segurana da informao e a Norma NBR ISO/IEC
27002 trata dos requisitos dos sistemas de gesto de segurana da
informao.
[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos
do sistema de gesto da segurana da informao (SGSI), constata-se
que, no SGSI, o do (fazer) equivale a executar as aes corretivas e
preventivas para alcanar a melhoria contnua do SGSI.
Slide
18/63
NBR ISO/IEC 27001
Serpro 2010
[57] A NBR 27001 corresponde atualizao da norma internacional

ISO/IEC 17799.
[58] Segundo a NBR 27001, um sistema de gesto da segurana da

informao apresenta o seguinte ciclo: estabelecimento, implementao e
operao, monitoramento e reviso, manuteno e melhoria do sistema.
Aneel 2010
[112] A melhoria contnua do SGSI ocorre na forma de aes corretivas

e preventivas, entre outras. Um exemplo de aocorretiva a alterao
na redao do documento da poltica de segurana da informao para
melhorar sua compreensibilidade e eliminar ambiguidades que levaram a
no conformidades no cumprimento dessa poltica. Um exemplo de ao
preventiva a adoo de novos controles de acesso ao ambiente fsico.
Slide
19/63
NBR ISO/IEC 27001

Questes sobre Termos e Definies
Petrobras 2007 / Infra
[137] A confidencialidade diz respeito garantia de que a
informao ser acessada por qualquer um que dispuser de
recursos tecnolgicos apropriados, explicitamente ou no.
[138] A integridade diz respeito garantia de que a informao s
ser alterada ou deletada por quem tem autorizao explcita
para tal.
[139] A disponibilidade diz respeito garantia de que ser possvel
a qualquer pessoa acessar a informao sempre que for
necessrio.

Slide
20/63
NBR ISO/IEC 27001

Questes sobre Termos e Definies
Banco da Amaznia 2009

[51] Um incidente de segurana da informao refere-se a um ou mais
riscos no desejados ou esperados que possuem significativa
probabilidade de comprometer os ativos de informao e ameaam a
segurana da informao
Anac 2009
[100] O sistema de gesto de segurana da informao o sistema global
de gesto, embasado em uma abordagem de risco, que permite definir,
implementar, operacionalizar e manter a segurana da informao.
[112] Um evento de segurana de informao uma ocorrncia em um
sistema, servio ou estado de rede que indica, entre outras possibilidades,
um possvel desvio em relao aos objetivos de segurana especficos da
organizao, e um incidente de segurana de informao um evento nico
ou uma srie de eventos indesejados de segurana da informao que
possuem um impacto mediano sobre os negcios.
Slide
21/63
NBR ISO/IEC 27001
3. Termos e Definies
3.1 ativo
Qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
3.2 disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por
uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 confidencialidade
Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no
autorizados
[ISO/IEC 13335-1:2004]

Slide
22/63
NBR ISO/IEC 27001
3.4 segurana da informao
Preservao da confidencialidade, integridade e disponibilidade da

informao; adicionalmente, outras propriedades, tais como
autenticidade, responsabilidade, no repdio e confiabilidade,
podem tambm estar envolvidas
[ABNT NBR ISO/IEC 17799:2005]
3.5 evento de segurana da informao
Uma ocorrncia identificada de um estado de sistema, servio ou

rede, indicando uma possvel violao da poltica de segurana da
informao ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da
informao
[ISO/IEC TR 18044:2004]

Slide
23/63
NBR ISO/IEC 27001
3.6 incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e
ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
3.7 sist. de gesto da segurana da informao-SGSI

A parte do sistema de gesto global, baseado na abordagem de
riscos do negcio, para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar a segurana
da informao
NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento,
responsabilidades, prticas, procedimentos, processos e recursos.
Slide
24/63
NBR ISO/IEC 27001
3.8 integridade
Propriedade de salvaguarda da exatido e completeza de
ativos
[ISO/IEC 13335-1:2004]
3.9 risco residual

Risco remanescente aps o tratamento de riscos
[ABNT ISO/IEC Guia 73:2005]
3.10 aceitao do risco

Deciso de aceitar um risco

Slide
25/63
NBR ISO/IEC 27001
3.11 anlise de riscos
Uso sistemtico de informaes para identificar fontes e
estimar o risco
3.12 anlise/avaliao de riscos

Processo completo de anlise e avaliao de riscos
3.13 avaliao de riscos

Processo de comparar o risco estimado com critrios de risco
predefinidos para determinar a importncia do risco

Slide
26/63
NBR ISO/IEC 27001
3.14 gesto de riscos
Atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de
riscos, a aceitao de riscos e a comunicao de riscos.
3.15 tratamento do risco

Processo de seleo e implementao de medidas para
modificar um risco
NOTA
Nesta Norma o termo controle usado como um sinnimo para medida.

Slide
27/63
NBR ISO/IEC 27001
3.16 declarao de aplicabilidade
Declarao documentada que descreve os objetivos de controle
e controles que so pertinentes e aplicveis ao SGSI da
organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos
processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana
da informao.

Slide
28/63
NBR ISO/IEC 27001
Petrobras 2007 / Infra
[137] A confidencialidade diz respeito garantia de que a

informao ser acessada por qualquer um que dispuser de
recursos tecnolgicos apropriados, explicitamente ou no.
C(p)[138] A integridade diz respeito garantia de que a informao s
ser alterada ou deletada por quem tem autorizao explcita
para tal.
E [139] A disponibilidade diz respeito garantia de que ser possvel
a qualquer pessoa acessar a informao sempre que for
necessrio.

Slide
29/63
NBR ISO/IEC 27001
Reflexo - Questo 138
Primeiro ponto: A definio da norma no essa. Embora o
comando da questo no referenciasse a norma, o edital deste
certame o fazia.
Segundo ponto: O acesso por pessoas autorizadas garante
integridade da informao? Jamais. Ou somente no CESPE...

Slide
30/63
NBR ISO/IEC 27001
Banco da Amaznia 2009

E [51] Um incidente de segurana da informao refere-se a um ou mais
riscos no desejados ou esperados que possuem significativa
probabilidade de comprometer os ativos de informao e ameaam a
Anac 2009
[100] O sistema de gesto de segurana da informao o sistema global
E de gesto, embasado em uma abordagem de risco, que permite definir,
implementar, operacionalizar e manter a segurana da informao.
Um evento de segurana de informao uma ocorrncia em um
E [112]
sistema, servio ou estado de rede que indica, entre outras possibilidades,
um possvel desvio em relao aos objetivos de segurana especficos da
organizao, e um incidente de segurana de informao um evento nico
ou uma srie de eventos indesejados de segurana da informao que
possuem um impacto mediano sobre os negcios.
Slide
31/63
NBR ISO/IEC 27001

SGSI, Resp. Direo, Anlise Crtica, Melhoria
Aneel 2010
[110] Os objetivos de controle e os controles pertinentes e
aplicveis ao SGSI da organizao devem ser selecionados
exclusivamente com base nos resultados e concluses dos processos
de anlise/avaliao de riscos e de decises acerca de como
controlar, evitar, transferir ou aceitar tais riscos.
[111] A anlise crtica do SGSI da organizao deve ser efetuada
periodicamente pela alta direo, considerando os resultados de
auditorias externas, entre outras informaes. Essa anlise assegura a
contnua pertinncia, adequao e eficcia do SGSI, e produz verses
atualizadas da anlise/avaliao de riscos e do plano de tratamento de
riscos.
Slide
32/63
NBR ISO/IEC 27001

ANAC 2009
[97] Na definio de um sistema de gesto de segurana da
informao, deve-se definir o escopo, a poltica e a abordagem para
a identificao de riscos, bem como identificar e avaliar alternativas
para o tratamento dos mesmos.
[98] Apesar de recomendvel, a aceitao de riscos residuais no
precisa necessariamente passar pela aprovao da gesto superior
da organizao.
[99] Na implementao e operacionalizao do sistema de gesto
de segurana da informao, deve-se medir a eficcia dos controles
propostos.
96 e 100 j foram feitas.

Slide
33/63
NBR ISO/IEC 27001

Anatel 2009 - Negcios
(referindo-se a figura do PDCA)
[83] Considere as diferentes fases do ciclo de gesto no modelo da

figura plan, do, check e act. A definio de critrios para a
avaliao e para a aceitao dos riscos de segurana da informao
que ocorrem no escopo para o qual o modelo da figura est sendo
estabelecido, implementado, operado, monitorado, analisado
criticamente, mantido e melhorado ocorre, primariamente, durante a
fase do.
[85] A classificao da informao um objetivo de controle
explicitamente enunciado pela norma ABNT NBR ISO/IEC
27001:2006 e que agrega dois controles, sendo um deles relacionado
a recomendaes para classificao e o outro, ao uso de rtulos.
Slide
34/63
NBR ISO/IEC 27001

TCU 2009
[170] Entre os documentos e registros cujo controle
demandado pela norma ABNT NBR ISO/IEC 27001,
destacam-se como documentos a declarao da poltica de
segurana, o relatrio de anlise/avaliao de risco e a
declarao de aplicabilidade; alm disso, destacam-se como
registros os livros de visitantes, os relatrios de auditoria, as
ocorrncias de incidentes de segurana e outros registros,
inclusive de no conformidade.

Slide
35/63
NBR ISO/IEC 27001

Serpro 2008 - Redes

[86] A declarao de aplicabilidade um documento que
deve detalhar os objetivos de controle e os controles a
serem implementados para a segurana da informao.
Os demais controles e objetivos de controle, no
inclusos na declarao de aplicabilidade, devem fazer
parte do documento de anlise de GAP.
[87] A definio de critrios para aceitao de riscos
uma das responsabilidades da alta administrao, segundo
a norma NBR ISO/IEC 27001.
[88] O estabelecimento da poltica do sistema de gesto
de segurana da informao (SGSI) de responsabilidade
da equipe de segurana da informao.
Slide
36/63
NBR ISO/IEC 27001

Serpro 2008 - Redes

[89] Para assegurar que os controles, objetivos de controle e processos

sejam executados e implementados de forma eficaz, a norma NBR ISO/
IEC 27001 recomenda a realizao de auditorias externas em intervalos
regulares de, no mximo, seis meses.
[90] A identificao de no-conformidades potenciais e suas causas
caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC
27001.
[91] Entre as atividades contempladas na fase agir (act) est a
necessidade de identificar no-conformidades potenciais e suas causas,
objetivando alcanar a melhoria contnua do sistema de gesto de
segurana da informao.
[92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem
qualitativa para a realizao da anlise de risco.

Slide
37/63
NBR ISO/IEC 27001

MPS 2010
[101] Risco residual aquele remanescente quando as
medidas implementadas para modificar esse risco no
conseguem elimin-lo.
[102] A declarao de aplicabilidade define os ambientes
ou as unidades da organizao alvo dos controles
estabelecidos pelo sistema de gesto de segurana da
informao (SGSI).
[103] Integridade a propriedade que garante que uma
informao no ser furtada da organizao.

Slide
38/63
NBR ISO/IEC 27001
4. SGSI
Requisitos gerais
A organizao deve estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto das atividades de negcio globais da
organizao e os riscos que ela enfrenta.

Slide
39/63
NBR ISO/IEC 27001
4. SGSI
Estabelecer o SGSI
A organizao deve:
Definir o escopo e os limites do SGSI nos
termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer
excluses do escopo
Slide
40/63
NBR ISO/IEC 27001
4. SGSI
Estabelecer o SGSI
A organizao deve:
- Definir a abordagem de anlise/avaliao de riscos da
organizao (metodologia);
- Identificar os riscos (ativos/proprietrios);
- Analisar/avaliar riscos (probabilidades e impacto);
- Identificar e avaliar as opes de tratamento;
Slide
41/63
NBR ISO/IEC 27001
4. SGSI
Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos
(anexo A);
- Obter aprovao da direo dos riscos residuais propostos;
- Obter autorizao da direo para implementar e operar o
SGSI;
- Preparar uma Declarao de Aplicabilidade (controles
aplicveis e justificativas de excluso).
Slide
42/63
NBR ISO/IEC 27001
4. SGSI
Implementar e Operar o SGSI

A organizao deve:
- Formular um plano de tratamento de riscos que identifique a
ao de gesto apropriada, recursos, responsabilidades e
prioridades para a gesto dos riscos de segurana;
- Implementar o plano de tratamento de riscos para alcanar os
objetivos de controle identificados, que inclua consideraes de
financiamentos e atribuio de papis e responsabilidades.
- Implementar os controles selecionados para atender aos
objetivos de controle.
- Definir como medir a eficcia dos controles selecionados;
Slide
43/63
NBR ISO/IEC 27001
4. SGSI
Implementar e Operar o SGSI

- Implementar programas de conscientizao e treinamento;
- Gerenciar as operaes do SGSI;
- Gerenciar os recursos para o SGSI;
- Implementar procedimentos e outros controles capazes
de permitir a pronta deteco de eventos de SI e resposta a
incidentes de segurana da informao
Slide
44/63
NBR ISO/IEC 27001
4. SGSI
Monitorar e Analisar Criticamente o SGSI

a)
Executar procedimentos de monitorao e anlise crtica e outros
controles;
b)Realizar anlises crticas regulares da eficcia do SGSI (incluindo o
atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de
controles de segurana), levando em considerao os resultados de
auditorias de segurana da informao, incidentes de segurana da
informao, resultados da eficcia das medies, sugestes e
realimentao de todas as partes interessadas.
c)
Medir a eficcia dos controles para verificar que os requisitos de
segurana da informao foram atendidos.

Slide
45/63
NBR ISO/IEC 27001
4. SGSI
Monitorar e Analisar Criticamente o SGSI

d)
Analisar criticamente as anlises/avaliaes de riscos a
intervalos planejados e analisar criticamente os riscos residuais e
os nveis de riscos aceitveis identificados;
e)
Conduzir auditorias internas do SGSI a intervalos planejados
(Seo 6);
NOTA
Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por
ou em nome da prpria organizao para propsitos internos.
f)
Realizar uma anlise crtica do SGSI pela direo em bases
regulares para assegurar que o escopo permanece adequado e que
so identificadas melhorias nos processos do SGSI
Slide
46/63
NBR ISO/IEC 27001
4. SGSI
Manter e Melhorar o SGSI

a)
Implementar as melhorias identificadas no SGSI.
b) Executar as aes preventivas e corretivas apropriadas.
Aplicar as lies aprendidas de experincias de segurana da
informao de outras organizaes e aquelas da prpria
organizao.
c) Comunicar as aes e melhorias a todas as partes
interessadas com um nvel de detalhe apropriado s
circunstncias e, se relevante, obter a concordncia sobre
como proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos
pretendidos.
Slide
47/63
NBR ISO/IEC 27001
4. SGSI
Requisitos de Documentao
- A documentao deve incluir registros de decises da direo,
assegurar que as aes sejam rastreveis s polticas e decises da
direo, e assegurar que os resultados registrados sejam
reproduzveis;
- Deve incluir declaraes documentadas da poltica, escopo,
procedimentos e controles que apoiam o SGSI, metodologia e
relatrio da anlise/aval. de riscos, procedimentos documentados
para EIOMAMM o SGSI e declarao de aplicabilidade;
- Controle de documentos;
- Controle de registros.
Slide
48/63
NBR ISO/IEC 27001
5. Resp. da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento
com o EIOMAMM do SGSI mediante:
a)
o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do
SGSI;
c)
o estabelecimento de papis e responsabilidades pela
segurana de informao;
d) a comunicao organizao da importncia em atender aos
objetivos de segurana da informao e conformidade;
Slide
49/63
NBR ISO/IEC 27001
5. Resp. da Direo
5.1 Comprometimento da Direo:
e) a proviso de recursos suficientes para EIOMAMM o SGSI;
f)
a definio de critrios para aceitao de riscos e dos nveis de
riscos aceitveis;
g) a garantia de que as auditorias internas do SGSI sejam
realizadas;
h) a conduo de anlises crticas do SGSI pela direo.

Slide
50/63
NBR ISO/IEC 27001
5. Resp. da Direo
5.2 Gesto dos Recursos:
5.2.1 - Proviso de recursos;

5.2.2 - Treinamento, conscientizao e
competncia.

Slide
51/63
NBR ISO/IEC 27001
6. Auditorias Internas
A organizao deve conduzir auditorias internas
do SGSI a intervalos planejados para determinar
se os objetivos de controle, controles, processos
e procedimentos do seu SGSI so executados
como esperado, se so eficazes e atendem aos
requisitos de conformidade e de SI.

Slide
52/63
NBR ISO/IEC 27001
7. Anlise Crtica pela Direo

A direo deve analisar criticamente o SGSI da organizao a
intervalos planejados (pelo menos uma vez por ano) para
assegurar a sua contnua pertinncia, adequao e eficcia.
Entradas:
- resultados de auditorias do SGSI e anlises crticas;
- realimentao das partes interessadas;
- situao das aes preventivas e corretivas;
- vulnerabilidades ou ameaas no contempladas ant.;
- resultados da eficcia das medies;
- acompanhamento das aes oriundas de anlises crticas
anteriores;
- recomendaes para melhoria.
Slide
53/63
NBR ISO/IEC 27001
7. Anlise Crtica pela Direo

Sadas:
a) Melhoria da eficcia do SGSI.
b) Atualizao da anlise/avaliao de riscos e do plano de
tratamento de riscos.
c)
Modificao de procedimentos e controles que afetem a
d) Necessidade de recursos.
e) Melhoria de como a eficcia dos controles est sendo medida.

Slide
54/63
NBR ISO/IEC 27001
8. Melhoria do SGSI
Melhoria contnua
A organizao deve continuamente melhorar a eficcia do SGSI

por meio do uso da poltica de segurana da informao,
objetivos de segurana da informao, resultados de auditorias,
anlises de eventos monitorados, aes corretivas e preventivas
e anlise crtica pela direo.
Aes corretivas e preventivas
Identificar no-conformidades; Determinar as causas de noconformidades; Avaliar a necessidade de aes para assegurar
que no haja recorrncia; Determinar e implementar as aes
necessrias; Registrar os resultados das aes executadas;
Analisar Criticamente as Aes.
Slide
55/63
NBR ISO/IEC 27001
E
Aneel 2010
[110] Os objetivos de controle e os controles pertinentes e
aplicveis ao SGSI da organizao devem ser selecionados
exclusivamente com base nos resultados e concluses dos processos
de anlise/avaliao de riscos e de decises acerca de como
controlar, evitar, transferir ou aceitar tais riscos.
Exclusivamente? E os requisitos de conformidade? E o negcio?
[111] A anlise crtica do SGSI da organizao deve ser efetuada

periodicamente pela alta direo, considerando os resultados de
auditorias externas, entre outras informaes. Essa anlise assegura a
contnua pertinncia, adequao e eficcia do SGSI, e produz verses
atualizadas da anlise/avaliao de riscos e do plano de tratamento de
riscos.
Cuidado! A 27001 fala em auditorias INTERNAS.

Slide
56/63
NBR ISO/IEC 27001
ANAC 2009
C [97] Na definio de um sistema de gesto de segurana da
informao, deve-se definir o escopo, a poltica e a abordagem para
a identificao de riscos, bem como identificar e avaliar alternativas
para o tratamento dos mesmos.
E [98] Apesar de recomendvel, a aceitao de riscos residuais no
precisa necessariamente passar pela aprovao da gesto superior
da organizao.
C [99] Na implementao e operacionalizao do sistema de gesto
de segurana da informao, deve-se medir a eficcia dos controles
propostos.
96 e 100 j foram feitas.

Slide
57/63
NBR ISO/IEC 27001
Comentrio sobre a 99:
A norma diz que a organizao deve:

- Definir como medir a eficcia dos controles selecionados;
- O descrito no item 99 refere-se ao Check ou Monitorar e
Analisar Criticamente;
- Mais uma para a conta do CESPE ...

Slide
58/63
NBR ISO/IEC 27001
Anatel 2009 - Negcios
(referindo-se a figura do PDCA)
C!
[83] Considere as diferentes fases do ciclo de gesto no modelo da

figura plan, do, check e act. A definio de critrios para a
avaliao e para a aceitao dos riscos de segurana da informao
que ocorrem no escopo para o qual o modelo da figura est sendo
estabelecido, implementado, operado, monitorado, analisado
criticamente, mantido e melhorado ocorre, primariamente, durante a
fase do.
[85] A classificao da informao um objetivo de controle
explicitamente enunciado pela norma ABNT NBR ISO/IEC
27001:2006 e que agrega dois controles, sendo um deles relacionado
a recomendaes para classificao e o outro, ao uso de rtulos.
Polmica! Consta nos Anexos ...
Slide
59/63
NBR ISO/IEC 27001
TCU 2009
C [170] Entre os documentos e registros cujo controle
demandado pela norma ABNT NBR ISO/IEC 27001,

destacam-se como documentos a declarao da poltica de
segurana, o relatrio de anlise/avaliao de risco e a
declarao de aplicabilidade; alm disso, destacam-se como
registros os livros de visitantes, os relatrios de auditoria, as
ocorrncias de incidentes de segurana e outros registros,
inclusive de no conformidade.

Slide
60/63
NBR ISO/IEC 27001
Serpro 2008 - Redes
E
[86] A declarao de aplicabilidade um documento que
deve detalhar os objetivos de controle e os controles a
serem implementados para a segurana da informao.
Os demais controles e objetivos de controle, no
inclusos na declarao de aplicabilidade, devem fazer
parte do documento de anlise de GAP.
C [87] A definio de critrios para aceitao de riscos
uma das responsabilidades da alta administrao, segundo
a norma NBR ISO/IEC 27001.
E [88] O estabelecimento da poltica do sistema de gesto
de segurana da informao (SGSI) de responsabilidade
da equipe de segurana da informao.
Slide
61/63
NBR ISO/IEC 27001
Serpro 2008 - Redes
[89] Para assegurar que os controles, objetivos de controle e processos

sejam executados e implementados de forma eficaz, a norma NBR ISO/
IEC 27001 recomenda a realizao de auditorias externas em intervalos
regulares de, no mximo, seis meses.
[90] A identificao de no-conformidades potenciais e suas causas

caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC
27001.
[91] Entre as atividades contempladas na fase agir (act) est a

necessidade de identificar no-conformidades potenciais e suas causas,
objetivando alcanar a melhoria contnua do sistema de gesto de
segurana da informao.
[92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem

qualitativa para a realizao da anlise de risco.

Slide
62/63
NBR ISO/IEC 27001
MPS 2010
C [101] Risco residual aquele remanescente quando as
medidas implementadas para modificar esse risco no

conseguem elimin-lo.
E [102] A declarao de aplicabilidade define os ambientes
ou as unidades da organizao alvo dos controles
estabelecidos pelo sistema de gesto de segurana da
informao (SGSI).
E [103] Integridade a propriedade que garante que uma
informao no ser furtada da organizao.

Slide
63/63

Questões NBR 27001

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Questões NBR 27001

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT NBR ISO/IEC

Professor Thiago Fagury

NBR ISO/IEC 27001 - Requisitos para implantar

NBR ISO/IEC 27002 - Prticas para a gesto de

NBR ISO/IEC 27005 - Gesto de riscos de SI

27006 e 27007 - Requisitos e Diretrizes para

15999:1 e 15999:2 - Gesto de Continuidade de

27004 e 27003 - Gesto de SI (Medio) e Guia

Professor Thiago Fagury

NBR ISO/IEC 27001

Questes - Conceitos Bsicos

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que

segunda-feira, 13 de junho de 2011

NBR ISO/IEC 27001

Questes - Conceitos Bsicos

NBR ISO/IEC 27001

Questes - Conceitos Bsicos

NBR ISO/IEC 27001

4. Sistema de gesto de segurana da informao

6. Auditorias internas do SGSI

NBR ISO/IEC 27001

NBR ISO/IEC 27001

Esta Norma foi preparada para prover um

NBR ISO/IEC 27001

- A adoo de um SGSI estratgica;

NBR ISO/IEC 27001

- Abordagem de processo: indica processos definidos, geridos e

NBR ISO/IEC 27001

Plan (planejar) - estabelecer a poltica, objetivos, processos e

NBR ISO/IEC 27001

Compatibilidade com outros sistemas de gesto:

Professor Thiago Fagury

NBR ISO/IEC 27001

NBR ISO/IEC 27001

- Os requisitos definidos so genricos e aplicveis a todas as

NBR ISO/IEC 27001

O documento a seguir referenciado

NBR ISO/IEC 27001

[119] Uma organizao que deseje implantar um sistema de gesto de segurana

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que

[120 - B] Dependendo de seu tamanho ou natureza, uma organizao pode

segunda-feira, 13 de junho de 2011

NBR ISO/IEC 27001

Professor Thiago Fagury

NBR ISO/IEC 27001

[96] A norma em questo trata da definio de requisitos para um

[177] A Norma NBR ISO/IEC 27001 estabelece o cdigo de prtica

segunda-feira, 13 de junho de 2011

NBR ISO/IEC 27001

[57] A NBR 27001 corresponde atualizao da norma internacional

[58] Segundo a NBR 27001, um sistema de gesto da segurana da

[112] A melhoria contnua do SGSI ocorre na forma de aes corretivas

segunda-feira, 13 de junho de 2011

NBR ISO/IEC 27001

Professor Thiago Fagury

NBR ISO/IEC 27001

NBR ISO/IEC 27001

Professor Thiago Fagury

NBR ISO/IEC 27001

Preservao da confidencialidade, integridade e disponibilidade da

3.5 evento de segurana da informao

Uma ocorrncia identificada de um estado de sistema, servio ou

Professor Thiago Fagury

NBR ISO/IEC 27001