De acordo com a ISO/IEC TR 13335 parte 3 - Techniques for the management of
it security. Publicada em 1998, apresenta tcnicas de gesto de segurana para a rea de tecnologia da informao. Pode ser utilizada para trabalhar em conjunto com a BS 7799-2, que sugere quais os processos devem ser implantados para conduzir a gesto de segurana, enquanto que a ISO 13335-3 descreve as tcnicas. Fundamentos da Gesto de Segurana Governo e organizaes comerciais dependem muito do uso da informao para conduzir suas atividades empresariais. Compromisso de confidencialidade, integridade, disponibilidade, no repdio, responsabilidade, autenticidade e confiabilidade de uma organizao ativa pode ter um impacto adverso. Consequentemente h uma necessidade crtica para proteger as informaes e gerenciar a segurana de sistemas de TIC dentro das organizaes. Esta obrigao de proteger informaes particularmente importante hoje em dia, o ambiente, porque muitas organizaes esto interna e externamente conectadas por redes de sistemas de TIC no necessariamente controlados por suas organizaes. Assim, a legislao em muitos pases requer que a Administrao tomar as medidas adequadas para mitigar relacionado com o negcio de risco eo usa de sistemas de TIC. Essa legislao pode abranger no s a proteo da privacidade / dados, mas tambm os mercados de sade e financeiros, entre outros. Abrangncia da Norma As informaes fornecidas na ISO / IEC 13335-1 podem no ser diretamente aplicvel a todas as organizaes. Em particular, as pequenas organizaes no so susceptveis de ter todos os recursos disponveis para executar completamente algumas das funes descritas. Nestas situaes, importante que os conceitos e as funes bsicas sejam tratados de uma maneira apropriada para a organizao. Mesmo em grandes organizaes, algumas das funes discutidas nesta parte no podem ser realizadas exatamente como descritas. Processos
Os processos so constitudo por um conjunto de orientaes genricas de gesto
da segurana dos TI, com 5 partes produzidas nos ltimos oito anos, alguns com atualizaes recentes: 2004 - Parte 1: (ISO / IEC 13335-1 de tecnologia da informao - Tcnicas de segurana - Gesto de informao e comunicao de segurana de tecnologia. Parte 1: Conceitos e modelos de informao e tecnologia de comunicaes de gesto de segurana) fornece uma viso geral dos conceitos fundamentais e modelos utilizados para descrever a gesto da segurana das TIC. 1997 - Parte 2: (ISO / IEC 13335-2 Tecnologia de Informao Tcnicas de segurana Gesto de informao e comunicao de segurana de tecnologia - Parte 2: - Tcnicas de informao e tecnologia de comunicaes de gerenciamento de riscos de segurana, a ser publicado) descreve tcnicas de gesto de riscos de segurana apropriadas para o uso por aqueles envolvidos com atividades de gesto. Note-se que as partes 3, 4 e 5 so Relatrios Tcnicos. Como se observa no prefcio, ISO / IEC 13335 Parte 1 substitui ISO / IEC TR 13335 Parte 1 e Parte 2. ISO / IEC 13335 Parte 2, quando publicado, ir substituir a norma ISO / IEC TR 13335 Parte 3 e Parte 4. 1998 - Parte 3: (ISO / IEC TR 13335-3 tecnologia da informao - Tcnicas de segurana - Diretriz para a gesto da segurana de Tecnologia da Informao - Parte 3: Tcnicas para a gesto de segurana de Tecnologia da Informao) descreve tcnicas de gesto de riscos de segurana apropriadas para o uso por aqueles que esto envolvidos com a gesto atividades. 2000 - Parte 4: (ISO / IEC TR 13335-4 Tecnologia da informao - Tcnicas de segurana - Diretriz para a gesto de segurana de Tecnologia da Informao - Parte 4: Seleo de salvaguardas) fornece orientao para a seleo de salva arquivos, e como isso pode ser apoiada pelo uso de modelos de referncia e os controlos. Ele tambm descreve como este complementa as tcnicas de segurana descritos na Parte 2, e como mtodos de avaliao adicionais podem ser usados para a seleo de salvaguardas.
2001 - Parte 5: (ISO / IEC TR 13335-5 tecnologia da informao - Tcnicas de
segurana - Diretriz para a gesto da segurana de Tecnologia da Informao - Parte 5: Gesto orientao sobre segurana de rede) fornece orientao no que diz respeito s redes e comunicaes para os responsveis pela gesto de TI segurana. Esta orientao apoia a identificao e anlise das comunicaes fatores que devem ser levados em conta para estabelecer os requisitos de segurana de rede relacionados. Ele tambm contm uma breve introduo aos possveis reas de salvaguarda. Poltica de segurana de TI Uma poltica de segurana corporativa de TI deve ser produzida baseada de acordo com a estratgia e objetivos de segurana de TI sendo necessrio estabelecer e manter uma poltica corporativa de segurana consistente com o negcio, segurana, polticas de TI, legislao e regulamentao. Atividades relevantes de segurana descritas na poltica de segurana podem ser baseadas nas estratgias e objetivos organizacionais, nos resultados das anlises de risco, revises, acompanhamento de resultados e nos relatrios de incidentes relevantes.