Normas ISO 27000

Prof. Dr. Márcio Andrey Teixeira

Instituto Federal de São Paulo – Campus Catanduva
Catanduva, SP
Membro Sênior do IEEE
marcio.andrey@ifsp.edu.br
CONTEÚDO

 REVISÃO  SIGLAS:

 INTRODUÇÃO  ABNT= ASSOCIAÇÃO BRASILEIRA DE

NORMAS TÉCNICAS

 VISÃO GERAL DA ISO 27000  NBR = NORMAS BRASILEIRAS

 ABNT NBR ISO/IEC 27002:2013  ISO = INTERNATIONAL ORGANIZATION FOR

STANDARDIZATION (ORGANIZAÇÃO
INTERNACIONAL PARA PADRONIZAÇÃO)
 LEIS E REGULAMENTAÇÕES
 IEC= INTERNATIONAL ELECTROTECHNICAL
 REFERÊNCIAS BIBLIOGRÁFICAS COMMISSION (COMISSÃO ELETROTÊCNICA
INTERNACIONAL)

2
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
REVISÃO
 Ameaças: Causa potencial (agente) de um incidente indesejado,
que pode resultar em dano para um sistema ou organização [ISO
27002].
 Podem colocar em risco a confidencialidade, integridade e
disponibilidade das informações.
 São classificadas em: Naturais (natureza), Intencionais (maldades)
e Involuntárias (despreparo e desconhecimento humano).

 Vulnerabilidades: Fragilidade de um ativo ou grupo de ativos que

pode ser explorada por uma ou mais ameaças [ISO 27002].

 Riscos: é a Probabilidade da AMEAÇA explorar VULNERABILIDADES.

 Causando perdas ou danos aos ativos e consequente impacto no
negócio.

3
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
REVISÃO
 Esteganografia (Steganography)

 Do grego : steganos = esconder, ocultar, mascarar

graphein = escrever, escrita

 Técnica de segurança utilizada desde a antiguidade (mensageiros a

cavalos, pombo correio e outras formas).

 Ocultar mensagens, ou seja, a arte da escrita encoberta.

 Atualmente é utilizada para esconder mensagens de texto em imagens,

vídeos ou até em outros textos.

 Segurança por obscuridade.

4
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
INTRODUÇÃO

 Apresentar a evolução e o objetivo de cada uma das principais

normas que fazem parte da ISO 27000;

 Explicar os objetivos de controle do Código de Prática para Gestão

da Segurança da Informação;

 Descrever a relação entre normas, leis e recomendações.

5
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
INTRODUÇÃO

 O que são e para que servem as normas?

 É aquilo que se estabelece como medida para a realização de uma

atividade.

 Uma norma tem como propósito definir regras e instrumentos de

controle para assegurar a conformidade de um processo, produto
ou serviço.

6
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
INTRODUÇÃO
 Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT),
os objetivos da normalização são:

 Comunicação: proporcionar meios mais eficientes na troca de

informação entre o fabricante e o cliente, melhorando a confiabilidade
das relações comerciais e de serviços;

 Segurança: proteger a vida humana e a saúde;

 Proteção do consumidor: prover a sociedade de mecanismos eficazes

para aferir qualidade de produtos;

 Eliminação de barreiras técnicas e comerciais: evitar a existência de

regulamentos conflitantes sobre produtos e serviços em diferentes
países, facilitando assim, o intercâmbio comercial.

7
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
A família ISO 27000 – Sistema de Gerenciamento de Segurança:

 ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança - Explicação da

série de normas, objetivos e vocabulários;

 ISO/IEC 27001:2013 - Sistema de Gestão de Segurança da Informação - Esta

Norma especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação dentro do
contexto da organização. Esta Norma também inclui requisitos para a avaliação e
tratamento de riscos de segurança da informação voltados para as necessidades
da organização

 ISO/IEC 27002:2013 - Código de Melhores Práticas para a Gestão de Segurança

da Informação - Mostra o caminho de como alcanças os controles certificáveis na
ISO 27001. Essa ISO é certificável para profissionais e não para empresas.

8
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
 ISO/IEC 27003:2011 - Diretrizes para Implantação de um Sistema de Gestão da
Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta
norma é fornecer diretrizes práticas para a implementação de um Sistema de
Gestão da Segurança da Informação (SGSI), na organização, de acordo com a
ABNT NBR ISO/IEC 27001:2005.

 ISO/IEC 27004:2010 - Gerenciamento de Métricas e Relatórios para um Sistema

de Gestão de Segurança da Informação - Mostra como medir a eficácia do
sistema de gestão de SI na corporação.

 ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação - Essa

norma é responsável por todo ciclo de controle de riscos na organização, atuando
junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos
de somente implantação. de segurança da informação deve ocorrer.

9
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
 ISO/IEC 27007:2016 – Diretrizes para auditoria de sistemas de gestão da
segurança da informação - Esta Norma fornece diretrizes sobre como gerenciar
um programa de auditoria de sistemas de gestão da segurança da informação
(SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI,
em complementação as diretrizes descritas na ABNT NBR ISO 19011. Esta Norma
é aplicável a todos que necessitam entender ou realizar auditorias internas ou
externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.

 ISO/IEC 27011:2009 - Tecnologia da informação - Técnicas de segurança -

Diretrizes para gestão da segurança da informação para organizações de
telecomunicações baseadas na ABNT NBR ISO/IEC 27002 - Entende-se que toda
parte de telecomunicação é vital e essencial para que um SGSI atinja seus
objetivos plenos (claro que com outras áreas), para tanto era necessário
normatizar os processos e procedimentos desta área objetivando a segurança da
informação corporativa de uma maneira geral. A maneira como isso foi feito, foi
tendo como base os controles e indicações da ISO 27002.
10
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
 ISO/IEC 27014:2013 – Tecnologia da Informação – Técnicas de Segurança –
Governança de segurança da informação - Esta recomendação | Norma fornece
orientação sobre conceitos e princípios para a governança de segurança da
informação, pela qual as organizações podem avaliar, dirigir, monitorar e
comunicar as atividades relacionadas com a segurança da informação dentro da
organização.

11
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
 ISO/IEC 27031:2015 - Tecnologia da informação - Técnicas de segurança -
Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da
informação e comunicação - Esta Norma descreve os conceitos e princípios da
prontidão esperada para a tecnologia de comunicação e informação (TIC) na
continuidade dos negócios e fornece uma estrutura de métodos e processos para
identificar e especificar todos os aspectos (como critérios de desempenho, projeto
e implementação) para fornecer esta premissa nas organizações e garantir a
continuidade dos negócios.
 É aplicável para qualquer organização (privada, governamental e não
governamental, independentemente do tamanho) desenvolvendo a prontidão de
sua TIC para atender a um programa de continuidade nos negócios (PTCN),
requerendo que os serviços e componentes de infraestrutura relacionados
estejam prontos para suportar as operações de negócio na ocorrência de eventos
e incidentes e seus impactos na continuidade (incluindo segurança) das funções
críticas de negócio. Também assegura que a organização estabeleça parâmetros
para medir o desempenho que está correlacionado à PTCN de forma consistente e
organizada.

12
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
 ISO/IEC 27032:2015 - Tecnologia da Informação - Técnicas de segurança -
Diretrizes para segurança cibernética - Esta Norma fornece diretrizes para
melhorar o estado de Segurança Cibernética, traçando os aspectos típicos
desta atividade e suas ramificações em outros domínios de segurança.

 ISO/IEC 27037:2013 - Tecnologia da informação — Técnicas de segurança —

Diretrizes para identificação, coleta, aquisição e preservação de evidência
digital - Esta Norma fornece diretrizes para atividades específicas no manuseio
de evidências digitais que são a identificação, coleta, aquisição e preservação
de evidência digital que possam possuir valor probatório.

13
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000

14
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
ABNT NBR ISO/IEC 27002:2013 – CÓDIGO DE
PRÁTICA PARA SI
 As medidas de segurança são definidas pela norma ISO/IEC
27002, que dá suporte ao desenvolvimento e normas de planos de
segurança da informação e orienta de melhor forma a Gestão da
Segurança da Informação.

 A norma ISO 27002 é o novo nome da norma ISO 17799. Esta

norma é um guia de boas práticas que descreve os objetivos de
controle e os controles recomendados para a Segurança da
Informação. A norma ISO 27001 contém alguns anexos que
resumem alguns destes controles.

 Inclui: A seleção, a implementação e o gerenciamento de controles.

Levando em consideração os ambientes de risco da segurança da
informação da organização.

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

15
ABNT NBR ISO/IEC 27002:2013 – CÓDIGO DE
PRÁTICA PARA SI

 No Brasil esta norma foi elaborada pelo Comitê Brasileiro de

Computadores e Processamento de Dados (ABNT/CB-21), pela
Comissão de Estudo de Técnicas de Segurança (CE-21:027.00).

 Projeto circulado em Consulta Nacional conforme Edital nº 09, de

26.09.2013 a 25.10.2013, número de Projeto ABNT NBR ISO/IEC
27002.

 Versão atual (2ª edição) substitui e cancela a edição anterior

(ABNT NBR ISO/IEC 27002:2005)

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

16
ABNT NBR ISO/IEC 27002:2013 – ESTRUTURA
DA NORMA

 Contém:

 14 seções de controles de segurança da informação;

 35 objetivos de controles e

 114 controles

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

17
ABNT NBR ISO/IEC 27002:2013 –
ESTRUTURA DA NORMA
 Seções: define os controles de segurança da informação. Contém um
ou mais objetivos de controle.
Não importa a ordem em que aparecem, ou seja, não implica nem
significa o seu grau de importância. Cada organização averigua, escolhe
e implementa esta Norma de acordo com sua aplicabilidade para os
processos individuais do negócio.

 Categorias e Controles: cada seção principal contém:

Um objetivo de controle declarando o que se espera que seja
alcançado;
Um ou mais controles que podem se aplicados para se alcançar o
objetivo do controle.

 Controle: define a declaração específica do controle, para atender ao

objetivo de controle.

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

18
ABNT NBR ISO/IEC 27002:2013 – ESTRUTURA
DA NORMA
 Diretrizes para implementação: apresenta informações mais detalhadas
para apoiar a implementação do controle e alcançar o objetivo do
controle.

 Informações adicionais: apresenta mais dados que podem ser

considerados, como exemplo, questões legais e referências normativas.

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

19
ABNT NBR ISO/IEC 27002:2013 – ESTRUTURA
DA NORMA
 Estrutura da Norma

5. Política de Segurança da Informação (1) Seção

5.1 Política de Segurança da Informação Categoria ou Objetivos de Controle

Objetivo: "Prover uma orientação de apoio da direção para a segurança da
informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes“

5.1.1 Documento da Política de Segurança da Informação

"Convém que um documento da política de SI seja aprovado pela direção ..."

5.1.2 Análise Crítica da Política de Segurança da Informação

"Convém que a política de SI seja analisada criticamente a intervalos
planejados ou quando mudanças ...
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
20
ABNT NBR ISO/IEC 27002:2013 – ESTRUTURA
DA NORMA
 Seções (Categorias):
 5 - Política de Segurança da Informação (1)
 6 - Organizando a Segurança da Informação (2)
 7 - Segurança em Recursos Humanos (3)
 8 - Gestão de Ativos (3)
 9 - Controle de Acesso (4)
 10 – Criptografia (1)
 11 - Segurança Física e do Ambiente (2)
 12 - Segurança nas operações (7)
 13 – Segurança nas comunicações (2)
 14 – Aquisição, desenvolvimento e manutenção de sistemas (3)
 15 – Relacionamento na cadeia de suprimento (2)
 16 - Gestão de Incidentes de SI (1)
 17 – Aspectos da segurança da informação na gestão da continuidade do negócio (2)
 18 - Conformidade (2)

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

21
ABNT NBR ISO/IEC 27002:2013 – SEÇÕES E
OBJETIVOS DE CONTROLE
5. Política de Segurança da Informação (1)
5.1 Orientação da direção para segurança da informação

6. Organizando a Segurança da Informação (2)

6.1 Organização interna
6.2 Dispositivos móveis e trabalho remoto

7. Segurança em recursos humanos (3)

7.1 Antes da contratação
7.2 Durante a contratação
7.3 Encerramento e mudança da contratação

8. Gestão de Ativos (3)

8.1 Responsabilidade pelos ativos
8.2 Classificação da informação
8.3 Tratamento de mídias
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
22
ABNT NBR ISO/IEC 27002:2013 – SEÇÕES E
OBJETIVOS DE CONTROLE
9. Controle de acesso (4)
9.1 Requisitos do negócio para controle de acesso
9.2 Gerenciamento de acesso do usuário
9.3 Responsabilidades dos usuários
9.4 Controle de acesso ao sistema e à aplicação

10. Criptografia (1)

10.1 Controles criptográficos

11. Segurança física e do ambiente (2)

11.1 Áreas seguras
11.2 Equipamentos

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

23
ABNT NBR ISO/IEC 27002:2013 – SEÇÕES E
OBJETIVOS DE CONTROLE
12 – Segurança nas operações (7)
12.1 Responsabilidades e procedimentos operacionais
12.2 Proteção contra malware
12.3 Cópias de segurança
12.4 Registros e monitoramento
12.5 Controle de software operacional
12.6 Gestão de vulnerabilidades técnicas
12.7 Considerações quanto à auditoria de sistemas da informação

13 – Segurança nas comunicações (2)

13.1 Gerenciamento da segurança em redes
13.2 Transferência de informação

14 – Aquisição, desenvolvimento e manutenção de sistemas (3)

14.1 Requisitos de segurança de sistemas de informação
14.2 Segurança em processos de desenvolvimento e de suporte
14.3 Dados para teste
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
24
ABNT NBR ISO/IEC 27002:2013 – SEÇÕES E
OBJETIVOS DE CONTROLE
15 - Relacionamento na cadeia de suprimento (2)
15.1 Segurança da informação na cadeia de suprimento
15.2 Gerenciamento da entrega do serviço do fornecedor

16 – Gestão de incidentes de segurança da informação (1)

16.1 Gestão de incidentes de segurança da informação e melhorias

17 – Aspectos da segurança da informação na gestão da continuidade do negócio (2)

17.1 Continuidade da segurança da informação
17.2 Redundâncias

18 – Conformidade (2)
18.1 Conformidade com requisitos legais e contratuais
18.2 Análise crítica da segurança da informação

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

25
LEIS E REGULAMENTAÇÕES

 Objetivo:

 A seguir serão apresentadas algumas informações básicas sobre

leis e regulamentações que possuem relação (impacto) direto na
segurança da informação de instituições que estão posicionadas
em diferentes mercados.

 O atendimento dessas leis e regulamentações são amparadas

pelos controles mencionados anteriormente.

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

26
LEIS E REGULAMENTAÇÕES

 Definições:

 Lei: é a regra jurídica escrita emenda do poder competente;

 Resolução: espécie de norma utilizada pelo poder público ou

autoridade para regulamentar alguma situação que guarde
relação com as suas atribuições.

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

27
LEIS E REGULAMENTAÇÕES

 Nos últimos anos observou-se a publicação de muitas leis e

regulamentações (em âmbito nacional e internacional) cujo
escopo contempla aspectos de Segurança da Informação. Por
exemplo:

 SOX (Sarbanes-Oxley)
 Bacen 3380 (Banco Central)
 CVM (Comissão de Valores Imobiliários)
 CFM (Conselho Federal de Medicina)

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

28
REFERÊNCIAS BIBLIOGRÁFICAS

 ABNT NBR ISO/IEC 27002:2013. Código de Prática para a Gestão

da Segurança da Informação, 2013.

 ABNT - Associação Brasileira de Normas Técnicas.

site: http://abntcolecao.com.br/ e http://abntcolecao.com.br/ifsp/

 Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão

Executiva. Rio de Janeiro, Ed. Campus, 2014.

 Centro de Estudos, Respostas e Tratamento de Incidentes. CERT.Br

- http://www.cert.br/ e http://cartilha.cert.br

http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira

29
 Curso e­ Learning

Sistema de 
Gestão de Segurança 
da Informação 

Interpretação da norma 
NBR ISO/IEC 27001:2006 

Todos os direitos de cópia reservados. Não é permitida a distribuição 
física ou eletrônica deste material sem a permissão expressa do autor. 
Módulo 3

Conceitos 
Riscos de segurança, processos de 
avaliação e tratamento do risco, 
sistema de gestão, Sistema de 
Gestão de Segurança da Informação 
Riscos de segurança 

§  Um risco de segurança é o potencial que uma dada ameaça irá explorar 
vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos. 
§  Exemplos...? 

Nem sempre TI! 
Os riscos podem ser técnicos, de 
equipamentos, de pessoas e de 
procedimentos.
Exemplos de riscos de segurança 

§  Interrupção da continuidade do negócio 
§  Indisponibilidade da informação 
§  Perda da integridade dos dados 
§  Perda ou roubo de informação 
§  Perda do controle do serviço 
§  Perda de credibilidade e imagem 
§  Perda da confidencialidade de dados 
§  Etc.
Processo de tratamento do risco

§  Evitar o risco 
§  Transferir o risco (por exemplo: seguro) 
§  Reduzir as vulnerabilidades 
§  Reduzir as ameaças 
§  Reduzir os possíveis impactos 
§  Detectar eventos indesejados, reagir e 
recuperar 
§  Aceitar o risco (residual) 
Exercício

Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu 
ponto de vista, para os três ativos para os quais você identificou vulnerabilidades, 
ameaças e probabilidades das ameaças atingirem as vulnerabilidades. 

As respostas dependem de critérios pessoais. Portanto é importante que o profissional 
que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o 
tratamento de riscos. 
 Resposta 

Descrição Disponibilidade  Integridade  Confidencialidade  Valor  Comentário  Vulnerabilidade  Ameaças  Probabilidade 

Metodologia  Acarreta  Não há pessoal  Roubo, 

dano, mas o  de segurança  divulgação 
processo 
pode ser  Não há critérios 
executado  de contratação 
para o  pessoal 
de apoio 

Servidor  Peça­chave  Antivírus  Contamina 

do processo  desatualizado  ção por 
vírus, 
Backup  ataque de 
inadequado  hacker 

Patches 
desatualizados 
Servidor  Peça­chave  Antivírus, 
do processo  desatualizado 

Backup 
inadequado 

Patches 
desatualizados 
Controles 

A segurança eficaz normalmente requer a combinação das seguintes ações: 
§  Detecção 
§  Desencorajamento 
§  Prevenção 
§  Limitação 
§  Correção 
§  Recuperação 
§  Monitoramento 
§  Conscientização
Controles 

Após a identificação dos riscos, é necessário identificar os controles já existentes na 
organização e verificar se o risco resultante após a utilização destes controles é aceitável. 
E só então deve­se avaliar a necessidade de novos controles. 
A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização 
pode implementar, mas a organização não deve se restringir a estes. Outros controles 
podem ser identificados. 
Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A: 

A.11.5 – Controle de acesso ao sistema operacional 

à  Procedimentos seguros de entrada no sistema (log on) 
à  Identificação e autenticação de usuário 
à  Sistema de gerenciamento de senha 
à  Uso de utilitários de sistema  Login
à  Desconexão de terminal por inatividade 
à  Limitação de horário de conexão 
Avaliação de risco e controles 

Ativos 
Têm 
Impacto potencial 
Valor  no negócio 
Por ter valor  Portanto é 
são  necessário 
que se 
defina 
Vulneráveis 
E por isso 
Requisitos de 
podem ser  Segurança 
atacados por 
Ameaças  E 

E correm 

Controles 
Riscos 
Podendo provocar
Processos de avaliação e tratamento do risco 

Avaliação de risco 
§  Identificação e valorização dos ativos 
§  Identificação das vulnerabilidades 
§  Identificação das ameaças 
§  Avaliação de impactos que a perda de confidencialidade, integridade e 
disponibilidade nos ativos pode causar 
§  Análise e avaliação dos riscos 
§  Priorização dos riscos 

Tratamento de risco 
§  Definição do grau de garantia 
§  Revisão de controles existentes 
§  Identificação de novos controles 
§  Implementação dos novos controles 
§  Aceitação do risco residual 

A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de 
risco seja realizada para identificar ameaças aos ativos.
Exercício 

Continuando o exercício anterior onde foram identificados os riscos, para um destes 
ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que 
poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou 
eliminar cada um destes riscos.
 Resposta 

Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior 
teremos: 

Descrição Disponibilidad  Integridad  Confidenci  Valor  Comentári  Vulnerabilidade  Ameaças  Probabil  Desc 
e  e  alidade  o  idade  rição 

Servidor  Peça­  Antivírus  Contaminação 

chave do  desatualizado  por vírus, 
processo  ataque de 
Backup  hacker 
inadequado 

Patches 
desatualizados 

E alguns controles possíveis serão apresentados no próximo slide. 
Resposta 

Controle  Aplicação do Controle 

Criar procedimento 
automático para atualização 
Criar política adequada 
para tratar o problema 
Terceirizar a manutenção e 
Controle contra software  atualização do sistema anti  ­ 
malicioso  vírus 
Criar procedimento de 
backup 
Controlar a disponibilidade 
de espaço 
Terceirizar procedimento de 
Housekeeping  backup 
Criar procedimento para 
atualização de patches 
Terceirizar a informação e 
Desenvolvimento e  atualização dos softwares 
manutenção de sistema Adquirir software IDS 
O que é um sistema de gestão?
Definição de sistema de gestão 

Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir 
estes objetivos utilizando: 
§  A estrutura organizacional 
§  Processos sistemáticos e recursos associados 
§  Metodologia de medição e avaliação 
§  Processo de análise crítica para assegurar que os problemas são corrigidos e as 
oportunidades de melhoria são identificadas e implementadas quando necessário

O que é monitorado pode ser medido, 
e o que é medido pode ser gerenciado. 
Elementos de um sistema de gestão 

§  Política (demonstração de compromisso e princípios para ação) 
§  Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades) 
§  Implementação e operação (construção da consciência organizacional e treinamento) 
§  Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não­ 
conformidades) 
§  Melhoria (ação preventiva e corretiva, melhoria contínua) 
§  Análise crítica pela direção
Normas de sistemas de gestão 

§  ISO/IEC 27001 – Segurança da Informação 
§  ISO/IEC 20000 – Gestão em TI 
§  ISO 9001 – Qualidade 
§  ISO 14001 – Ambiental 
§  OHSAS 18001 – Segurança e Saúde Ocupacional 
§  TL 9000 – Telecomunicações 
§  TS 16949 – Automotiva 
§  SAE AS 9100 – Aeroespacial 
§  ISO 22001 – Alimentos
Sistema de Gestão de Segurança da Informação 

SGSI 
§  Parte do sistema de gestão, baseado no 
enfoque de risco nos negócios, para 
estabelecer, implementar, operar, monitorar, 
revisar, manter e melhorar a segurança da 
informação. 

Projeto e implementação 
§  Influenciados pelas necessidades e objetivos 
dos negócios, resultando em requisitos de 
segurança, processos utilizados, tamanho e 
estrutura da organização. Espera­se que o 
SGSI e os sistemas de apoio mudem com o 
tempo.
Fatores críticos do sucesso 

§  Comprometimento e apoio visível de todos os 
níveis da direção 
§  Provisão de recursos para as atividades de 
Gerenciamento de Segurança da Informação 
§  Divulgação, conscientização, educação e 
treinamento adequados 
§  Política de segurança da informação, objetivos e 
atividades refletindo os objetivos do negócio 
§  Bom entendimento dos requisitos de segurança da 
informação, avaliação de risco e gerenciamento de 
risco
Fatores críticos do sucesso 

§  Implementação, manutenção, 
monitoramento e melhoria da 
segurança da informação consistente 
com a cultura organizacional 
§  Estabelecer um processo eficaz de 
gestão de incidentes de segurança da 
informação 
§  Implementação de um sistema de 
medição que seja usado para avaliar o 
desempenho da Gestão de Segurança 
da Informação e obtenção de 
sugestões para melhoria
Exercício 

Indique se é verdadeiro ou falso: 
1)  (  ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para 
atingir estes objetivos. 
2)  (  ) Análise crítica não é um elemento de um sistema de gestão. 
3)  (  ) Um SGSI não deve mudar com o tempo. 
4)  (  ) A estrutura da ISO 27001 está baseada no PDCA. 
5)  (  ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação 
escrita, falada e eletrônica é o objetivo da ISO 27001. 
6)  (  ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI. 
7)  (  ) O SGSI é parte do sistema de gestão global da organização.
Resposta 

Indique se é verdadeiro ou falso: 
1)  ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para 
atingir estes objetivos. 
2)  ( F ) Análise crítica não é um elemento de um sistema de gestão. 
3)  ( F ) Um SGSI não deve mudar com o tempo. 
4)  ( V ) A estrutura da ISO 27001 está baseada no PDCA. 
5)  ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação 
escrita, falada e eletrônica é o objetivo da ISO 27001. 
6)  ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI. 
7)  ( V ) O SGSI é parte do sistema de gestão global da organização.
Fim do módulo 3

Conceitos 
Riscos de segurança, processos de 
avaliação e tratamento do risco, 
sistema de gestão, Sistema de 
Gestão de Segurança da Informação