ISO 27002 - Licao 01 - Folhetos

02/01/2016
De onde Vieram estas Normas?
ISO/IEC 27002
CDIGO DE PRTICAS PARA
CONTROLES DE
SEGURANA DA INFORMAO
Cdigo de Prticas
BS 7799-1
1995
P R O F. L U I S C L A U D I O , M . S C . , P M P
W W W. P R O VA S D E T I . C O M . B R
ISO 17799
2000
ISO 17799
2005
ISO 27002
2005
ISO 27001
2005
ISO 27001
2005
Especificao dos Requisitos
BS 7799-2
1998
BS 7799-2
2002
Prof. Luis Claudio, M.Sc.
www.provasdeti.com.br
Como vai a Famlia?
Como vai a Famlia?
ISO/IEC 27000:2014
Information security management systems
Overview and vocabulary
This International Standard provides the overview of information
security management systems, and terms and definitions commonly
used in the ISMS family of standards.
This International Standard is applicable to all types and sizes of
organization (e.g. commercial enterprises, government agencies, notfor-profit organizations).
ISO/IEC 27001:2013
Information security management systems
Requirements
This International Standard specifies the requirements for establishing,
implementing, maintaining and continually improving an ISMS within
the context of the organization.
This International Standard also includes requirements for the
assessment and treatment of information security risks tailored to the
needs of the organization.
Excluding any of the requirements specified in Clauses 4 to 10 is not
acceptable when an organization claims conformity to this
International Standard.
Como vai a Famlia?
Como vai a Famlia?
ISO/IEC 27002:2013
Code of practice for information security controls
This International Standard gives guidelines for organizational
information security standards and information security management
practices including the selection, implementation and management of
controls taking into consideration the organizations information
security risk environment(s).
ISO/IEC 27003:2010
Information security management system implementation guidance
This International Standard focuses on the critical aspects needed for
successful design and implementation of an ISMS in accordance
with ISO/IEC 27001:2005.
It describes the process of ISMS specification and design from
inception to the production of implementation plans. It describes the
process of obtaining management approval to implement an ISMS,
defines a project to implement an ISMS, and provides guidance on
how to plan the ISMS project, resulting in a final ISMS project
implementation plan.
02/01/2016
Como vai a Famlia?
Como vai a Famlia?
ISO/IEC 27004:2009
Information security management
Measurement
This International Standard provides guidance on the development and
use of measures and measurement in order to assess the
effectiveness of an implemented ISMS and controls or groups of
controls, as specified in ISO/IEC 27001.
ISO/IEC 27005:2011
Information security risk management
This International Standard provides guidelines for information
security risk management.
Knowledge of the concepts, models, processes and terminologies
described in ISO/IEC 27001 and ISO/IEC 27002 is important for a
complete understanding of this International Standard.
Seo 0 Introduo
Seo 0 Introduo
0.1 Contexto e histrico

Esta Norma projetada para as organizaes usarem
como uma referncia na seleo de controles dentro do
processo de implementao de um SGSI, baseado na
ISO/IEC 27001 OU ... como um documento de
orientao para as organizaes implementarem
controles de SI comumente aceitos.

A segurana da informao alcanada pela
implementao de um conjunto adequado de controles
(polticas, processos, procedimentos, estrutura
organizacional e funes de software e hardware).
Um SGSI considera uma viso holstica e coordenada

dos riscos de SI da organizao, para implementar um
conjunto de controles detalhado, com base na estrutura
global de um sistema de gesto coerente.
Seo 0 Introduo
Seo 0 Introduo

Um sistema de gesto da segurana da informao bem
sucedido requer apoio de todos os funcionrios da
organizao.
0.2 Requisitos
Existem trs fontes principais de requisitos de SI:
Isto pode tambm exigir a participao de acionistas,

fornecedores ou outras partes externas. Orientaes de
especialistas externos podem tambm ser necessrias.
Gerados pela avaliao de riscos.

Legislao, estatutos, regulamentao e contratos.
Princpios, objetivos e requisitos do negcio.
Os recursos empregados na implementao dos controles
precisam ser balanceados com base na probabilidade de danos
ao negcio... A ABNT NBR ISO/IEC 27005 fornece diretrizes...
02/01/2016
Seo 0 Introduo
Seo 0 Introduo
0.3 Seleo de controle

Controles podem ser selecionados da norma ou de
outros conjuntos de controles, ou novos controles
podem ser projetados, conforme apropriado.
0.4 Desenvolvendo suas prprias diretrizes

A Norma considerada como um ponto de partida.
Nem todos os controles e diretrizes contidos neste
cdigo de prtica podem ser aplicados.
Alguns dos controles podem ser considerados como

princpios bsicos para a gesto da segurana da
informao e podem ser aplicados na maioria das
organizaes.
Quando os documentos so desenvolvidos contendo

controles ou recomendaes adicionais, pode ser til
realizar uma referncia cruzada com as sees desta
Norma, onde aplicvel, para facilitar a verificao da
conformidade por auditores e parceiros de negcio.
Seo 0 Introduo
Seo 0 Introduo
0.5 Consideraes sobre o ciclo de vida
0.5 Consideraes sobre o ciclo de vida
A informao tem um ciclo de vida natural, desde a sua

criao e origem, armazenagem, processamento, uso e
transmisso, at sua eventual destruio/obsolescncia.
Sistemas de informao tm ciclos nos quais eles so

concebidos, especificados, projetados, desenvolvidos,
testados, implementados, usados, mantidos e,
eventualmente, retirados do servio e descartados.
O valor e os riscos aos ativos podem variar durante o

tempo de vida da informao... [], porm a SI
permanece importante... em de todos os estgios.
Convm que a segurana da informao seja

considerada em cada estgio.
Seo 1 Escopo
Seo 2 Referncias normativas
Fornece diretrizes para prticas de gesto de SI e

normas de SI para as organizaes selecionarem,
implementarem e gerenciarem controles, levando em
considerao os ambientes de risco da organizao.
O documento referenciado a seguir indispensvel

aplicao desta norma. Para referncias datadas,
aplicam-se somente as edies citadas.
Selecionar controles no processo de implementao de

um SGSI baseado na ABNT NBR ISO/IEC 27001.
Implementar controles de SI comumente aceitos.
Desenvolver seus prprios princpios de gesto da SI.
Para referncias no datadas, aplicam-se as edies

mais recentes do referido documento (incluindo
emendas). ISO/IEC 27000, Information technology
Security techniques Information security management
systems - Overview and vocabulary
02/01/2016
Seo 3 Termos e definies
Seo 4 Estrutura desta Norma
Para os efeitos deste documento, aplicam-se os termos

e definies da ISO IEC 27000:
A Norma contm:
- 14 Sees (sees 5 a 18 da norma).
- 35 Objetivos de Controle.
- 114 Controles.
Obs.: A norma foi melhor organizada. Alm disso, no aspecto
quantitativo, no passado eram 11 sees, 133 controle e 39
objetivos de controle.

Seo
5 - Polticas de segurana da informao
6 - Organizao da segurana da informao
7 - Segurana de recursos humanos
8 - Gesto de ativos
9 - Controle de acesso
10 - Criptografia
11 - Segurana fsica e do ambiente
12 - Segurana nas operaes
13 - Segurana nas comunicaes
14 - Aquisio, dev. e manuteno de sistemas
15 - Relacionamento na cadeia de suprimento
16 - Gesto de incidentes de SI
17 - Aspectos da SI na gesto da continuidade
18 - Conformidade

Objetivo
Controle
1
2
3
3
4
1
2
7
2
3
2
1
2
2
2
7
6
10
14
2
15
14
7
13
5
7
4
8
4.1 Sees
Cada seo definindo os controles de SI contm um ou
mais objetivos de controle. A ordem em que se
encontram as sees no implica nem significa o seu
grau de importncia.
Convm que cada organizao implemente esta Norma
identificando quais controles so aplicveis, quo importantes
eles so e qual a aplicao para os processos individuais do
negcio. Os controles no esto em ordem de prioridade.
4.2 Categorias de controles

Cada seo principal contm:
a) um objetivo de controle declarando o que se espera
ser alcanado;
b) um ou mais controles que podem ser aplicados para
se alcanar o objetivo do controle.
4.2 Categorias de controles

As descries do controle so assim:
Controle
O texto do controle para atender ao objetivo de controle.
Diretrizes para implementao
Informaes para apoiar a implementao do controle e alcanar o
objetivo do controle. As diretrizes podem no ser totalmente
adequada ou suficiente em todas as situaes...
Informaes adicionais
Dados que podem ser considerados, como por exemplo, questes
legais e referncias normativas. Nem sempre existem.
02/01/2016
QUESTES
QUESTES
FGV/2015 - TCE-SE - Analista de TI - Segurana da Informao
CS-UF/2015 - AL-GO - Analista Legislativo - Analista de Sistemas
Com relao norma ISO/IEC 27002:2013, est correto afirmar que:
A norma ISO/IEC 27002:2005 fornece um conjunto de diretrizes e

princpios gerais para
a) ela indica a necessidade do uso do ciclo PDCA nos processos da

organizao.
b) a reviso de 2013 criou uma seo especfica para controles
criptogrficos.
c) no mais necessrio o gerenciamento de ativos, cuja clusula foi
suprimida na reviso de 2013.
a) avaliao da qualidade de pacotes de software em uma

organizao.
b) implementao da governana de TI em uma organizao.
c) gesto de segurana da informao em uma organizao.
d) certificao da maturidade.
d) organizaes agora podem ser certificadas na ltima reviso (2013)

da ISO 27002.
e) ela tem foco no gerenciamento de risco na segurana da
informao.
QUESTES
QUESTES
ITNERANTE/2015
CESPE/2015 - MPOG - Analista em Tecnologia da Informao
Com base na famlia de normas ISO/IEC 27000, julgue o item abaixo:
Julgue o seguinte item, relativo segurana da informao, com

base no que dispem as normas ISO/IEC 27002 e ISO/IEC 27001.
Alguns dos controles podem so considerados princpios bsicos para

a gesto da segurana da informao e, por isso, a norma ISO/IEC
sugere que eles podem ser aplicados na maioria das organizaes.
Quanto abrangncia, a norma ISO 27002 estabelece diretrizes e

princpios gerais para gesto de segurana da informao incluindo a
sua implantao, manuteno e melhoria.
QUESTES
QUESTES - Gabarito
FCC/2015 - TCE-CE - Tcnico de Controle Externo-Auditoria de TI
FGV/2015 - TCE-SE: Alternativa B

CS-UF/2015 - AL-GO: Alternativa C
ITNERANTE/2015: CORRETO
CESPE/2015 MPOG: CORRETO
FCC/2015 - TCE-CE: Alternativa D
A Norma NBR ISO/IEC 27002:2013 possui 14 sesses de controles de

segurana da informao, dentre elas,
a) Gesto de Riscos de Segurana da Informao.
b) Mtricas de Sistemas de Gesto de Segurana da Informao.

c) Gesto da Segurana da Informao em Organizaes da
Administrao Pblica.
d) Aspectos da Segurana da Informao na Gesto da Continuidade
do Negcio.
e) Tcnicas para Governana da Segurana da Informao.

ISO 27002 - Licao 01 - Folhetos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO 27002 - Licao 01 - Folhetos

Enviado por

Direitos autorais:

Formatos disponíveis

02/01/2016

De onde Vieram estas Normas?

Especificao dos Requisitos

Prof. Luis Claudio, M.Sc.

Como vai a Famlia?

Como vai a Famlia?

Prof. Luis Claudio, M.Sc.

Prof. Luis Claudio, M.Sc.

Como vai a Famlia?

Como vai a Famlia?

Prof. Luis Claudio, M.Sc.

Prof. Luis Claudio, M.Sc.

Como vai a Famlia?

Como vai a Famlia?

Prof. Luis Claudio, M.Sc.

Prof. Luis Claudio, M.Sc.

0.1 Contexto e histrico

0.1 Contexto e histrico

Prof. Luis Claudio, M.Sc.

Um SGSI considera uma viso holstica e coordenada

0.1 Contexto e histrico

Isto pode tambm exigir a participao de acionistas,

Gerados pela avaliao de riscos.

Prof. Luis Claudio, M.Sc.

Prof. Luis Claudio, M.Sc.

0.3 Seleo de controle

0.4 Desenvolvendo suas prprias diretrizes

Alguns dos controles podem ser considerados como

Quando os documentos so desenvolvidos contendo

Prof. Luis Claudio, M.Sc.

Prof. Luis Claudio, M.Sc.

0.5 Consideraes sobre o ciclo de vida

0.5 Consideraes sobre o ciclo de vida

A informao tem um ciclo de vida natural, desde a sua

Sistemas de informao tm ciclos nos quais eles so

O valor e os riscos aos ativos podem variar durante o

Prof. Luis Claudio, M.Sc.

Convm que a segurana da informao seja

Prof. Luis Claudio, M.Sc.

Seo 2 Referncias normativas

Fornece diretrizes para prticas de gesto de SI e

O documento referenciado a seguir indispensvel

Selecionar controles no processo de implementao de

Prof. Luis Claudio, M.Sc.

Para referncias no datadas, aplicam-se as edies

Prof. Luis Claudio, M.Sc.

Seo 3 Termos e definies

Seo 4 Estrutura desta Norma

Para os efeitos deste documento, aplicam-se os termos

Prof. Luis Claudio, M.Sc.

Seo 4 Estrutura desta Norma

Prof. Luis Claudio, M.Sc.

Seo 4 Estrutura desta Norma

Prof. Luis Claudio, M.Sc.

Seo 4 Estrutura desta Norma

Seo 4 Estrutura desta Norma

4.2 Categorias de controles

4.2 Categorias de controles

Prof. Luis Claudio, M.Sc.

Prof. Luis Claudio, M.Sc.

FGV/2015 - TCE-SE - Analista de TI - Segurana da Informao

CS-UF/2015 - AL-GO - Analista Legislativo - Analista de Sistemas

Com relao norma ISO/IEC 27002:2013, est correto afirmar que:

A norma ISO/IEC 27002:2005 fornece um conjunto de diretrizes e