Decsis Iso27001 PDF

ISO 27001 – Segurança da Informação –
Vital para a Competitividade da sua

O
Organização
i ã
Quem Somos?
A
Apresentação
t ã d do Grupo
G
DECSIS
Perfil da Empresa
Com origem na DECSIS, Sistemas de Informação, Lda., fundada

em 1994, o Grupo DECSIS conta actualmente com mais duas
empresas:
z A Decsis II, Redes de Telecomunicações Lda

z A Expandiserve, Sistemas de Informação Lda,
A Missão:
A Missão da DECSIS é disponibilizar para os seus Clientes,

Produtos e Serviços da mais elevada qualidade dentro da
sua área de actuação e de acordo com as suas
competências.
Nesse sentido,
N tid a DECSIS compromete-set com os seus Clientes
Cli t
de que tudo fará tendo em vista atingir e se possível superar
as suas expectativas.
Parcerias:
Parcerias:
Parcerias:
Parcerias:
Parcerias:
Parcerias:
A Norma ISO 27001:
Estrutura
E t t d
da N
Norma
ISO 27001
O que é a ISO 27001?
A norma ISO 27001:2005 é a evolução natural da norma

BS7799-2:2002
Um padrão britânico que trata da definição de requisitos para

um Sistema Gestão de Segurança da Informação.
O padrão foi incorporado pela The International Organization for

Standardization (ISO),
(ISO) Instituição internacional com sede na
Suíça que cuida do estabelecimento de padrões internacionais
de certificação em diversas áreas.
O Reino Unido tem sido o grande promotor nesta área, pela

tradição que tem tido, em actividades de padronização, desde
a Revolução Industrial.
As Normas da família ISO 27000
ISO 27000
ISO 27001
ISO 27002 Vocabulário e definições

a serem utilizadas
ISO 27003
pelas
l restantes
t t Normas
N
ISO 27004
ISO 27005
ISO 27005
ISO 27000
ISO 27001
ISO 27002 Define os requisitos para

a implementação de
ISO 27003
um SGSI
ISO 27004
ISO 27005
ISO 27005
ISO 27000
ISO 27001
ISO 27002 Actual ISO-17799,

ISO 17799
Define boas práticas
ISO 27003
para a gestão
tã da
d
ISO 27004 segurança da
I f
Informação
ã
ISO 27005
ISO 27005
ISO 27000
ISO 27001
ISO 27002 É um Guia para a

implementação de um
ISO 27003
SGSI
ISO 27004
ISO 27005
ISO 27005
ISO 27000
ISO 27001
ISO 27002 Define métricas e meios

de medição para
ISO 27003
A li
Avaliar a eficácia
fi á i de
d um
ISO 27004 SGSI
ISO 27005
ISO 27005
ISO 27000
ISO 27001
ISO 27002 Actual BS 7799-3.

7799 3 Define
linhas de orientação
ISO 27003
para a gestão
tã do
d risco
i
ISO 27004 da segurança da
I f
Informação
ã
ISO 27005
ISO 27005
ISO 27000
ISO 27001
ISO 27002 Um guia para o processo

de acreditação de
ISO 27003
entidades
tid d
ISO 27004 certificadoras
ISO 27005
ISO 27005
A Norma ISO 27001:
O t
Outros Conceitos
C it relacionados
l i d com a N
Norma:
ISO 27001
O que é a Informação?
A Informação existe em varias formas. Qualquer que

seja a forma que a Informação adopte, ou o meio
pela qual é partilhada ou armazenada, deve ser
sempre devidamente protegida.
protegida
AI
Informação
f ã é um bem
b que, à semelhança
lh de
d outros
t
bens do negócio, tem valor para uma organização e
necessita ser convenientemente protegida
O que é a Informação?
A Informação existe em varias formas. Qualquer que

seja a forma que a Informação adopte, ou o meio
pela qual é partilhada ou armazenada, deve ser
sempre devidamente protegida.
protegida
AI
Informação
f ã é um bem
b que, à semelhança
lh de
d outros
t
bens do negócio, tem valor para uma organização e
necessita ser convenientemente protegida
O que é um Bem?
z O Bem é algo que tem valor para a organização

O que é um Bem?
z Exemplos:
Pessoas
O que é um Bem?
z Exemplos:
Pessoas
Informação
O que é um Bem?
z Exemplos:
Pessoas
Informação
Produtos
O que é um Bem?
z Exemplos:
Pessoas
Informação
Produtos
Edifícios
í
O que é a segurança da Informação?
É a preservação da Confidencialidade, Integridade

e Disponibilidade da
d informação;
i f ã
z Adicionalmente poderão também ser consideradas,

as seguintes
g p
propriedades:
p
z Autenticidade
z R
Responsabilidade,
bilid d
z Não repudiação
z Grau de Confiança/Fiabilidade
ç /
O que são Vulnerabilidades e Ameaças?
z Vulnerabilidades
Uma fraqueza de um bem ou conjunto de bens, que

podem ser explorados por uma ou mais ameaças.
z Ameaças
Uma potencial causa de acidente,

acidente que pode resultar
em dano ou perda para um sistema ou organização
O que são Vulnerabilidades e Ameaças?
z Vulnerabilidades
Uma fraqueza de um bem ou conjunto de bens, que

podem ser explorados por uma ou mais ameaças.
z Ameaças
Uma potencial causa de acidente,

acidente que pode resultar
em dano ou perda para um sistema ou organização
O que é o SGSI?
Sistema de Gestão da Segurança Informação (SGSI)
É uma parte do sistema global de gestão, baseado numa

abordagem de risco
risco, que permite definir,
definir implementar,
implementar
operacionalizar, monitorizar, manter e melhorar a segurança da
Informação segundo a norma.
Que modelo de gestão é utilizado?
O Sistema de gestão SGSI, é baseado numa aproximação sistemática dos

riscos inerentes aos negócios,
z Com o objectivo de:

z Estabelecer
z Implementar
z Operar
z Monitorizar
z Rever
z Manter
z Melhorar
lh a segurança d
da iinformação.
f ã
Trata-se de uma abordagem à segurança da informação, numa

perspectiva organizacional.
organizacional
Este sistema denomina-se por

PDCA
Representação do ciclo PDCA?
Requisitos Segurança da
Expectativas Informação
Gerida
Como Definir e Gerir o SGSI?
z Requisitos Gerais do SGSI:

z Deve-se
z Desenvolver, implementar
Desenvolver implementar, manter e melhorar continuamente o SGSI
z Definir politicas e objectivos
z Estabelecer o ciclo PDCA
z Definir o SGSI
z Deve-se:
z Definir o âmbito, política, abordagem sistemática para avaliação do
risco
z Identificar e avaliar alternativas p
para tratamento dos riscos
z Obter aprovação, da gestão de topo, para os riscos residuais
z Preparar a matriz de controlos já composta por 133 controlos
(Statment of Application)
Como Definir e Gerir o SGSI?
z Requisitos Gerais do SGSI:

z Deve-se
z Desenvolver, implementar
Desenvolver implementar, manter e melhorar continuamente o SGSI
z Definir politicas e objectivos
z Estabelecer o ciclo PDCA
z Definir o SGSI
z Deve-se:
z Definir o âmbito, a política, e a abordagem sistemática para avaliação
do risco
z Identificar e avaliar alternativas p
para tratamento dos riscos
z Obter aprovação, da gestão de topo, para os riscos residuais
z Preparar a matriz de controlos já composta por 133 controlos
(Statment of Application)
O SGSI?
z Como implementar e operacionalizar o SGSI?
z Deve se:
Deve-se:
z Definir um plano de tratamentos de risco que identifique as actividades

de gestão apropriadas, recursos, responsabilidades e prioridades para
gerir os riscos à segurança da Informação.
z Definir como medir a eficácia dos controlos
z Implementar programas de formação e sensibilização
z Gerir a componente operacional do SGSI
z Implementar procedimentos e outros controlos capazes de detectarem

e responderem a potenciais incidentes na segurança
O SGSI?
z Como monitorizar e rever o SGSI:
z Devem se:
Devem-se:
z Executar procedimentos de monitorização
z Rever a eficácia do SGSI
z Rever os níveis de risco residual
z Realizar auditorias internas periodicamente
z Realizar
l revisões
õ com a gestãoã de
d topo – para garantir o âmbito
â b do
d
SGSI e identificação de melhorias
z Actualizar planos de segurança

O SGSI?
z Como manter e melhorar o SGSI:
z Deve se:
Deve-se:
z Implementar as melhorias identificadas no SGSI
z Implementar as acções correctivas e preventivas
z Comunicar os resultados e acções
z Garantir que as melhorias atingem os objectivos pretendidos.

O SGSI?
z Como em qualquer SGSI:
z Deve existir documentação sobre:
z Todas os, procedimentos, controlos, politicas e objectivos definidos
z O Âmbito do SGSI
z Metodologias de avaliação do risco
z Relatórios de avaliação e planos de tratamento do risco
Documentação de todos os procedimentos necessários á organização, afim

de garantir a eficiência do seu planeamento, operacionalidade e controlo
dos processos de segurança da informação.
Plano de Implementação da ISO 27001?
z Fase 1 - Definição do âmbito e da politica
z Fase 2 - Identificação dos Bens
z Fase 3 - Valorização dos Bens
z Fase 4 - Identificação do Risco
z Fase 5 - Identificação dos controlos e Risco Residual
z Fase 6 - Aceitação
ç do Risco Residual e Identificação
ç de Politicas
z Fase 7 - Definição de Políticas e Processos para implementação dos controlos
z Fase 8 - Implementação de Políticas e processos
z Fase 9 - Elaboração da documentação
z Fase 10 - Auditoria e revisão do SGSI

ç de Politicas

ç de Politicas

ç de Politicas

ç de Politicas

ç de Politicas

ç de Politicas

ç de Politicas
z Fase 8 - Implementação de Políticas e Processos

ç de Politicas

ç de Politicas

Conclusão:
A Segurança da Informação é um problema

Organizacional e não tecnológico
A implementação de segurança tem que ser um

compromisso entre o risco, o grau de protecção
desejado
j e o custo do mecanismo de controlo.
O Caminho p
para a segurança
g ç da Informação
ç éa
gestão do risco através da integração das
componentes de…. Gestão e Tecnologia
Conclusão:


desejado
O Caminho p
para a segurança
ç éa
Conclusão:


desejado
O Caminho p
para a segurança
ç éa
DECSIS SI
António
ó Pedro Martins
Tel.: +351 962032835
p
mailto: antonio.martins@decsis.pt

Decsis Iso27001 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Decsis Iso27001 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

ISO 27001 – Segurança da Informação –

Vital para a Competitividade da sua

Com origem na DECSIS, Sistemas de Informação, Lda., fundada

z A Decsis II, Redes de Telecomunicações Lda

A Missão da DECSIS é disponibilizar para os seus Clientes,

A norma ISO 27001:2005 é a evolução natural da norma

Um padrão britânico que trata da definição de requisitos para

O padrão foi incorporado pela The International Organization for

O Reino Unido tem sido o grande promotor nesta área, pela

ISO 27002 Vocabulário e definições

ISO 27002 Define os requisitos para

ISO 27002 Actual ISO-17799,

ISO 27002 É um Guia para a

ISO 27002 Define métricas e meios

ISO 27002 Actual BS 7799-3.

ISO 27002 Um guia para o processo

A Informação existe em varias formas. Qualquer que

A Informação existe em varias formas. Qualquer que

z O Bem é algo que tem valor para a organização

z O Bem é algo que tem valor para a organização

z O Bem é algo que tem valor para a organização

z O Bem é algo que tem valor para a organização

z O Bem é algo que tem valor para a organização

É a preservação da Confidencialidade, Integridade

z Adicionalmente poderão também ser consideradas,

Uma fraqueza de um bem ou conjunto de bens, que

Uma potencial causa de acidente,

Uma fraqueza de um bem ou conjunto de bens, que

Uma potencial causa de acidente,

Sistema de Gestão da Segurança Informação (SGSI)

É uma parte do sistema global de gestão, baseado numa

O Sistema de gestão SGSI, é baseado numa aproximação sistemática dos

z Com o objectivo de:

Trata-se de uma abordagem à segurança da informação, numa

Este sistema denomina-se por

z Requisitos Gerais do SGSI:

z Requisitos Gerais do SGSI:

z Como implementar e operacionalizar o SGSI?

z Definir um plano de tratamentos de risco que identifique as actividades

z Definir como medir a eficácia dos controlos

z Implementar programas de formação e sensibilização

z Gerir a componente operacional do SGSI

z Implementar procedimentos e outros controlos capazes de detectarem

z Como monitorizar e rever o SGSI:

z Executar procedimentos de monitorização

z Rever a eficácia do SGSI

z Rever os níveis de risco residual

z Realizar auditorias internas periodicamente

z Actualizar planos de segurança

z Como manter e melhorar o SGSI:

z Implementar as melhorias identificadas no SGSI

z Implementar as acções correctivas e preventivas

z Comunicar os resultados e acções

z Garantir que as melhorias atingem os objectivos pretendidos.

z Como em qualquer SGSI:

z Deve existir documentação sobre:

z Todas os, procedimentos, controlos, politicas e objectivos definidos

z Metodologias de avaliação do risco

z Relatórios de avaliação e planos de tratamento do risco

Documentação de todos os procedimentos necessários á organização, afim

z Fase 1 - Definição do âmbito e da politica

z Fase 2 - Identificação dos Bens

z Fase 3 - Valorização dos Bens