ISO 27001 (Projeto e Implementação)

16/03/2012 rmagdalena Leave a comment Go to comments

Neste post será abordado (no que pretendo transformar em uma série de posts), a certificação
ISO 27001, desde seu conceito até sua operação pós-implementação e manutenção da
certificação de acordo com a ISO.

Conceito

A ISO 27001 cobre, basicamente, Segurança da Informação em sua plenitude (e não apenas
Segurança de TI), envolvendo as áreas de Recursos Humanos, Gestão, Administrativo e
Tecnologia, servindo como ponto de equilíbrio entre as áreas para que todas alcancem a cultura
de negócios orientada a Segurança das Informações.

A norma é composta de controles que visam o estabelecimento do Sistema de Gestão de

Segurança da Informação (SGSI) e tem por objetivo garantir a conformidade de todos os
aspectos reunidos neste padrão, atingindo a meta de manter a organização sempre estável em
seus controles.

Implementação

A implementação pode ser sintetizada da seguinte forma:

 Ativos & Riscos: Identificação dos ativos de informação, controles de Segurança da

Informação e cálculo do risco residual (BIA);
 Segurança de TI: Controles tecnológicos associados à segurança de infra-estrutura, de
forma gerenciada, medida, armazenada adequadamente e livre de malware;
 Segurança Física: Desenvolvimento de controles relacionados à Segurança Fïsica em
todos os locais e espaços da organização, cobrindo todo o perímetro;
 Segurança em Recursos Humanos: Estabelecimento de controles para gestão de
admitidos, demitidos, terceiros e todo o tipo de público presente na organização;
 Parceiros Externos: Controle de fornecedores, clientes e todo o tipo de público externo;
 Treinamento & Conscientização: Implantação deguidelines para a condução de
treinamentos e conscientização programadas e que garantam a disseminação da cultura
orientada a Segurança;
 Governança: Aderência à Governança, com implantação de processos de Gestão de
Segurança da Informação;
 Compliance: Controles que garantam a conformidade com legislações, normas, padrões,
processos e procedimentos;
 Gestão de Incidentes: Desenho de controles, relatórios e operação de gestão de incidentes
de Segurança da Informação;
 Guia de Implementação: Definição de guidelines centralizados em uma única
documentação orientando os times de implementação da norma;
 Continuidade de Negócios: Garantia de que ativos estejam cobertos contra interrupções e
desastres;
  Certificação: Reunião de todos os guidelines dos itens anteriores de forma estruturada,
formando um SGSI para avaliação e posterior certificação

Share this:

 Click to email this to a friend (Opens in new window)

 Click to share on Facebook (Opens in new window)
 Click to share on LinkedIn (Opens in new window)
 Click to share on Twitter (Opens in new window)
 Click to share on Google+ (Opens in new window)


Categories: Uncategorized
Comments (1) Trackbacks (0) Leave a comment Trackback

1.

Felipe Artur Feltes (@felipeafeltes)

08/05/2012 at 01:30

Reply

Oi Rodrigo,
Curso Segurança da informação numa faculdade do Rio Grande do Sul.
Estou pesquisando temas para o meu trabalho de TCC. Penso em fazer um estudo de caso
da utilização do framework OSSIM para apoiar a conformidade da ISO27001 em
empresas pequenas e médias empresas.
Já conhece essa ferramenta?

Parabéns pelo blog!

Abraço.

https://rmagdalena.wordpress.com/page/3/

https://rmagdalena.wordpress.com/2012/03/16/iso-27001-projeto-e-implementacao/