O documento discute conceitos-chave de segurança da informação como Política de Segurança da Informação, Sistema de Gestão de Segurança da Informação e as normas ISO/IEC 27001 e 27002. A PSI define normas e diretrizes para proteger as informações de uma organização, enquanto um SGSI preserva a confidencialidade, integridade e disponibilidade da informação através da gestão de riscos. A ISO/IEC 27001 fornece um modelo para estabelecer e melhorar um SGSI e a ISO/IEC 27002 oferece dire
O documento discute conceitos-chave de segurança da informação como Política de Segurança da Informação, Sistema de Gestão de Segurança da Informação e as normas ISO/IEC 27001 e 27002. A PSI define normas e diretrizes para proteger as informações de uma organização, enquanto um SGSI preserva a confidencialidade, integridade e disponibilidade da informação através da gestão de riscos. A ISO/IEC 27001 fornece um modelo para estabelecer e melhorar um SGSI e a ISO/IEC 27002 oferece dire
O documento discute conceitos-chave de segurança da informação como Política de Segurança da Informação, Sistema de Gestão de Segurança da Informação e as normas ISO/IEC 27001 e 27002. A PSI define normas e diretrizes para proteger as informações de uma organização, enquanto um SGSI preserva a confidencialidade, integridade e disponibilidade da informação através da gestão de riscos. A ISO/IEC 27001 fornece um modelo para estabelecer e melhorar um SGSI e a ISO/IEC 27002 oferece dire
1- O que é a Política de Segurança da Informação (PSI)?
R.: Conjunto de normas e diretrizes destinadas para proteção das informações da organização. 2- Qual o objetivo principal da PSI? R.: Prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 3- Para que a PSI seja dividida em temas, é necessário conhecer as necessidades da organização. A partir de quais necessidades essa delimitação pode ser feita? R.: Conhecimento do ambiente organizacional, humano e tecnológico; Compilação das preocupações sobre segurança por parte dos usuários, administradores e executivos da empresa. 4- Quais os tópicos nos quais os temas devem abranger? R.: Vigência (Início e Fim); importância da Política de Segurança; quais recursos são protegidos; quais aplicativos e softwares serão permitidos; qual procedimento para se conceder ou revogar privilégios na rede; no caso de violação da política, o que deve ser feito. 5- Cite exemplos de como a PSI pode ser divulgada dentro da organização. R.: Avisos, reuniões, treinamentos, informativos. 6- Qual termo atribuído ao grupo de funcionários designados para a elaboração da PSI da empresa, dentre outras atribuições? R.: Comissão de segurança. 7- Que tipos de documentos são gerados a partir da PSI? Quais tipos de acompanhamento sustentam esses documentos? R.: Diretrizes, normas e procedimentos, sustentados pelo acompanhamento realizado através da cultura da empresa, ferramentas e monitoramento. 8- O que é um SGSI? Qual seu objetivo? R.: O Sistema de Gestão de Segurança da Informação preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados. 9- Qual a finalidade da norma ISO/IEC 27001? R.: Oferecer um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 10- Qual é a relação existente entre a norma ISO/IEC 27001 e o Anexo SL da ISO? R.: Na versão 2013 da norma ISO/IEC 27001 houve o alinhamento com as diretrizes do Anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO Supplement, que padroniza definições e estruturas de diferentes sistemas de gestão ISO. 11- Qual palavra é citada frequentemente na norma que constitui a principal característica marcante da norma ISO/IEC 27001? Por quê? R.: Orientações do que DEVE ser feito. Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções de 4 a 8 na versão 2006, ou de 4 a 10 na versão 2013, não é aceitável quando uma organização reivindica conformidade com esta Norma. 12- O que norma ISO/IEC 27002 estabelece? R.: Diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização. 13- Qual palavra é citada frequentemente na norma que constitui a principal característica marcante da norma ISO/IEC 27002? Por quê? R.: Orientações do que CONVÉM ser feito. Embora todos os controles sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Nem todos os controles e diretrizes contidos na norma podem ser aplicados, e controles adicionais e recomendações não incluídos podem ser necessários. 14- Informe qual a quantidade de controles básicos recomendados pela norma ISO/IEC 27002 na versão 2013. R.: 114 controles básicos em 14 seções.