Escolar Documentos
Profissional Documentos
Cultura Documentos
4 Aula mAƒA Dulo 4
4 Aula mAƒA Dulo 4
IMAGEM AO LADO
MEDIR, VOCÊ NÃO
PODE GERENCIAR.”
Peter Drucker
a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos;
b) prevenir ou reduzir os efeitos indesejados; e
c) alcançar a melhoria continua.
1) integrar e implementar estas ações dentro dos processos do seu sistema de gestão da segurança da informação; e
2) avaliar a eficácia destas ações.
b) avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua repetição ou ocorrência, por um dos seguintes meios:
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
ABNT Catálogo
GARANTIR O DESEMPENHO DE
processos ou controles específicos de segurança da informação que estejam
implementados incorretamente, não estejam implementados ou sejam ineficazes.
PROCESSOS + CONTROLE
Aumento no desempenho da SI e processos SGSI: monitoramento, medição, análise e
avaliação podem permitir que organizações quantifiquem melhorias na segurança da
informação dentro do escopo de seu SGSI e demonstrem progressos quantificáveis no
atingimento dos objetivos de segurança da informação da organização.
ISO/IEC 27004:2016
• implementação do SGSI;
• processos (risco, incidentes, vulnerabilidades, CMDB);
• conscientização e treinamentos;
• controle de acesso, firewall, antivírus;
• eventos de rede;
• Sistemas.
ISO/IEC 27004:2016
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
O QUE É NECESSÁRIO MONITORAR, MEDIR,
ANALISAR E AVALIAR?
7 APOIO | 7.2 Competência
A organização deve:
c) onde aplicável, tomar ações para adquirir a competência necessária e avaliar a
eficácia das ações tomadas; e
• Exemplo contido na própria ISO/IEC 27004:2017: Será que todos os indivíduos que necessitavam de treinamentos
realizaram-no? O treinamento foi executado conforme planejado?
• planejamento;
• liderança;
• gestão de riscos;
• gestão de políticas;
• gestão de recursos;
• comunicação;
• análise crítica pela Alta Direção;
• documentação; e
• auditoria.
• Controles determinados por meio do processo de tratamento de riscos e referenciados com base na ISO/IEC 27001:2013
ANEXO A (controles necessários).
• Como vimos, o propósito de um controle é a modificação do risco, há diversos atributos que podem ser medidos, como:
• escopo;
• estrutura organizacional;
• partes interessadas, incluindo seus papéis, responsabilidades e autoridades;
• objetivos e requisitos de negócio;
• requisitos legais e regulatórios;
• Ambiente de negócio;
• introdução de novas tecnologias.
• Para implementar as medidas definidas e priorizadas, as etapas abaixo devem ser conduzidas:
ISO/IEC 27004:2016
É necessário promover: