TIEXAMES - ISO-IEC 27001 - REQUISITOS E CONTROLES - 2022set - LIVE

ISO/IEC 27001: 2022
Nova estrutura | Requisitos e Controles
Realização
Atualizado em:
23/09/2022
Slide: 1 / 19
CURRÍCULO RESUMIDO
Wellington Antonio Monaco Operacional.
- Consultor Estratégico em Governança de TI e Governança
❑ Chief Compliance Officer | Head de Governança de Corporativa
Privacidade e Proteção de Dados - GMALATO
❑ Palestrante | Coaching & Instrutor – Governança - FASP | Bacharel em Administração de Empresas e Analise
Corporativa, Governança de TI e Governança de de Sistemas
Privacidade - EXIN DPO - FIAP | Pós-Graduação em Gestão de Projetos
- UNINOVE | Mestrado Gestão da Tecnologia da Informação
- Compliance e Governança Corporativa e Gestão do Conhecimento.
- Jornada de Adequação e de Sustentação à LGPD
- Implementação de Soluções de Segurança da Informação WhatsApp: +55 11 99222-4396
- Implementação de Gerenciamento e Tratamento de
Linkedln: https://www.linkedin.com/in/wmonaco
Incidentes de Segurança da Informação.
- Implementação da Privacidade desde a Concepção e Youtube: palestrantemonaco
Privacidade por Padrão Instagran: @monacowellington
- Auditor Interno - ISO 27001
- Diretor de Serviços Gerenciados e Central de Serviços Email: monaco@palestrantemonaco.com.br
Compartilhados: Site: www.palestrantemonaco.com.br
- Implementação de Serviços Gerenciados nos cliente no

foco de Redução de Custo e Melhoria de Desempenho
Slide: 2 / 19
ISO 27001: 2022
4. Estrutura da Norma
Este documento está estruturado da seguinte forma:

❑ Seção 5: Controles Organizacionais
❑ Seção 6: Controles de Pessoas
❑ Seção 7: Controles físicos
❑ Seção 8: Controles tecnológicos
Existem dois anexos informativos:

❑ Anexo A - Uso de atributos: explica como uma organização pode usar atributos (ver 4.2) para
criar suas próprias visões com base nos atributos de controle definidos neste documento ou de
sua própria criação.
❑ Anexo B – Correspondência com a ABNT NBR ISO/IEC 27002:2013
Slide: 3 / 19
ISO 27001: 2022
4.2 Temas e atributos

A categorização dos controles identificados nas Seções 5 a 8 é referida como temas, de forma que temos:
❑ Pessoas: dizem respeito a pessoas individuais; ❑ Seção 5: Controles Organizacionais
❑ Físico: dizem respeito a objetos físicos; Temas ❑ Seção 6: Controles de Pessoas
❑ Tecnológico: dizem respeito à tecnologia; ❑ Seção 7: Controles físicos
❑ Caso contrário (NDA): são categorizados como organizacionais. ❑ Seção 8: Controles tecnológicos
❑ A organização pode usar atributos para criar diferentes visões que são categorizações diferentes dos controles,
vistas de uma perspectiva diferente dos temas.
✓ Atributos podem ser usados para filtrar, classificar ou apresentar controles em diferentes pontos de vista para
diferentes públicos.
✓ O Anexo A explica como isso pode ser alcançado e fornece um exemplo de uma visão.
✓ Por exemplo, cada controle neste documento foi associado a cinco atributos com valores de atributo
correspondentes (precedidos por “#” para torná-los pesquisáveis), da seguinte forma
Slide: 4 / 19
ISO 27001: 2022
4.2 Temas e atributos

Cada controle neste documento foi associado a cinco atributos com valores de atributo correspondentes (precedidos
por “#” para torná-los pesquisáveis), da seguinte forma:
❑ Tipo de controle
❑ Propriedades de Segurança da Informação
❑ Conceitos de segurança cibernética
❑ Capacidades operacionais
❑ Domínios de segurança
✓ Atributos podem ser usados para filtrar, classificar ou apresentar controles em diferentes pontos de vista para
diferentes públicos.
✓ O Anexo A explica como isso pode ser alcançado e fornece um exemplo de uma visão.
Slide: 5 / 19
ISO 27001: 2022
4. Estrutura da Norma ❑ Propriedades de Segurança da Informação
4.2 Temas e atributos ❑ Domínios de segurança
❑ Tipo de controle: atributo responsável por identificar a perspectiva de quando e como o controle modifica o risco
em relação à ocorrência de um incidente de segurança da informação.
✓ Preventivo: o controle que se destina a evitar a ocorrência de um incidente de segurança da informação
✓ Detectivo: o controle age quando ocorre um incidente de segurança da informação
✓ Corretivo: o controle age após um incidente de segurança da informação ocorrer
Slide: 6 / 19
ISO 27001: 2022
❑ Propriedades de segurança da informação: atributo para visualizar controles na perspectiva de qual característica
das informações o controle contribuirá para a preservação, considerando-se:
✓ Confidencialidade
✓ Integridade
✓ Disponibilidade
Slide: 7 / 19
ISO 27001: 2022
❑ Conceitos de segurança cibernética: atributo para visualizar os controles sob a perspectiva da associação de
controles aos conceitos de segurança cibernética definidos no quadro de segurança cibernética descrito no ISO/IEC
TS 27110, e os valores dos atributos consistem em
✓ Identificar
✓ Proteger
✓ Detectar
✓ Responder
✓ Recuperar
Slide: 8 / 19
ISO 27001: 2022
❑ Capacidades operacionais: um atributo para visualizar controles da perspectiva corporativo sobre os recursos de
segurança da informação no contexto de :
✓ Governança, ✓ Gestão_de_identidade_e_acesso
✓ Gestão_de_ativos ✓ Gestão_de_ameaças_e_vulnerabilidades
✓ Proteção_da_informação ✓ Continuidade
✓ Segurança_em_recursos_humanos ✓ Segurança_do_relacionamento_na_cadeia_de_suprimentos
✓ Segurança_física ✓ Legal_e_Compliance
✓ Segurança_de_sistemas_e_redes ✓ Gestão_de_eventos_de_segurança_da_informação
✓ Segurança_de_aplicações ✓ Garantia_de_segurança_da_informação
✓ Configuração_segura
Slide: 9 / 19
ISO 27001: 2022
❑ Domínios de Segurança: Os domínios de segurança são um atributo para visualizar controles na perspectiva de
quatro domínios de segurança da informação:
✓ Os valores de atributos consistem em Governança_e_Ecossistema, Proteção, Defesa e Resiliência
✓ “Governança_e_Ecossistema” inclui “Governança do Sistema de Segurança da Informação e

Gestão de Riscos” e “Gestão de segurança cibernética do ecossistema” (incluindo partes
interessadas internas e externas);
✓ “Proteção” inclui “Arquitetura de Segurança de TI”, “Administração de Segurança de TI”, “Gestão
de identidade e acesso”, “Manutenção de Segurança de TI” e “Segurança física e ambiental”;
✓ “Defesa” inclui “Detectar” e “Gestão de Incidente de segurança computacional”;
✓ “Resiliência” inclui “Operações de continuidade” e “Gestão de crises”.
Slide: 10 / 19
ISO 27001: 2022
4.3 Layout dos controles ❑ Domínios de segurança
O layout para cada controle contém o seguinte:

❑ Título do controle: Nome curto do controle;
❑ Tabela de atributos: Uma tabela mostra o(s) valor(es) de cada atributo para o controle dado;
❑ Controle: Qual é o controle
❑ Propósito: Por que convém que o controle seja implementado;
❑ Orientação: Como convém que o controle seja implementado;
❑ Outras informações: Texto explicativo ou referências a outros documentos relacionados.
❑ Subtítulos são usados no texto de orientação para alguns controles para auxiliar a legibilidade onde a orientação é
longa e aborda vários tópicos. Tais títulos não são necessariamente usados em todos os textos de orientação.
Subtítulos são sublinhados
Slide: 11 / 19
ISO 27001: 2022
Slide: 12 / 19
ISO 27001: 2022
Slide: 13 / 19
ISO 27001: 2022
Slide: 14 / 19
ISO 27001: 2022
Slide: 15 / 19
ISO 27001: 2022
A.5 Controles organizacionais | 37 Controles
❑ A.5.1 Políticas de segurança da informação ❑ A.5.21 Gerenciando a segurança da informação na tecnologia da
❑ A.5.2 Funções e responsabilidades de segurança da informação informação e comunicação (TIC)
❑ A.5.3 Segregação de funções ❑ A.5.22 Monitoramento, revisão e gerenciamento de mudanças dos
❑ A.5.4 Responsabilidades de gestão serviços do fornecedor
❑ A.5.6 Contato com grupos de interesse especial ❑ A.5.23 Segurança da informação para uso de serviços em nuvem
❑ A.5.5 Contato com autoridades ❑ A.5.24 Planejamento e gerenciamento de incidentes de segurança da
❑ A.5.7 Inteligência de ameaças informação
❑ A.5.9 Inventário de informações e outros ativos associados ❑ A.5.25 Avaliação e decisão sobre eventos de segurança da informação
❑ A.5.8 Segurança da informação no gerenciamento de projetos ❑ A.5.26 Resposta a incidentes de segurança da informação
❑ A.5.10 Uso aceitável de informações e outros ativos associados ❑ A.5.27 Aprendendo com incidentes de segurança da informação
❑ A.5.11 Devolução de ativos ❑ A.5.28 Coleta de Evidências
❑ A.5.12 Classificação das informações ❑ A.5.29 Segurança da informação durante a interrupção
❑ A.5.13 Rotulagem de informações ❑ A.5.30 Prontidão de TIC para continuidade de negócios
❑ A.5.14 Transferência de informações ❑ A.5.31 Requisitos legais, estatutários, regulamentares e contratuais
❑ A.5.15 Controle de acesso ❑ A.5.32 Direitos de propriedade intelectual
❑ A.5.16 Gerenciamento de identidade ❑ A.5.33 Proteção de registros
❑ A.5.17 Informações de autenticação ❑ A.5.34 Privacidade e proteção de informações de identificação pessoal
❑ A.5.18 Direitos de acesso (PII)
❑ A.5.19 Segurança da informação no relacionamento com ❑ A.5.35 Revisão independente de segurança da informação
fornecedores ❑ A.5.36 Conformidade com políticas, regras e padrões de segurança da
❑ A.5.20 Abordagem da Segurança da Informação nos contratos com informação
fornecedores ❑ A.5.37 Procedimentos operacionais documentado
Slide: 16 / 19
Muito obrigado pela oportunidade !!
Realização
Slide: 19 / 19

TIEXAMES - ISO-IEC 27001 - REQUISITOS E CONTROLES - 2022set - LIVE

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

TIEXAMES - ISO-IEC 27001 - REQUISITOS E CONTROLES - 2022set - LIVE

Enviado por

Direitos autorais:

Formatos disponíveis

ISO/IEC 27001: 2022

Nova estrutura | Requisitos e Controles

- Implementação de Serviços Gerenciados nos cliente no

Este documento está estruturado da seguinte forma:

Existem dois anexos informativos:

4.2 Temas e atributos

4.2 Temas e atributos

✓ “Governança_e_Ecossistema” inclui “Governança do Sistema de Segurança da Informação e

O layout para cada controle contém o seguinte:

Você também pode gostar