Escolar Documentos
Profissional Documentos
Cultura Documentos
Descrição
Propósito
Objetivos
Módulo 1
meeting_room
Introdução
O Sistema de Segurança da Informação (SGSI) é de extrema
importância para a sustentabilidade e longevidade de uma
organização, especialmente no contexto do mundo atual em que
vivemos, que foca na digitalização das informações e na
transformação digital.
Conceito
video_library
Normas ISO e Segurança da
Informação
Saiba mais
A Norma ISO/IEC 27000 traz os princípios e o vocabulário utilizados nas
normas seguintes da família 27000. O download pode ser feito
gratuitamente (em inglês) na página da ISO.
1. Necessidades;
2. Objetivos;
3. Requisitos de segurança;
4. Processos organizacionais;
Atenção!
A ABNT é reconhecida pelo Estado brasileiro como o Fórum Nacional de
Normalização, e as NBRs são reconhecidas formalmente como as
normas brasileiras.
Um padrão técnico.
Um produto ou tecnologia dirigida.
Uma metodologia de avaliação do equipamento.
Mas pode exigir a utilização de níveis de garantia dos
equipamentos.
Atenção!
A estrutura de alto nível não pode ser modificada; por sua vez, podem
ser acrescentadas subcláusulas e textos específicos para cada
disciplina abordada.
Cláusula 1: Escopo
Cláusula 5: Liderança
Cláusula 6: Planejamento
Cláusula 7: Suporte
Cláusula 8: Operação
Tabela 1: Estrutura geral de uma norma de gestão que segue as diretrizes do Anexo L.
Fabio Henrique Silva.
video_library
Cláusula 3 - Termos e definições
Confira agora sobre a Norma ABNT NBR ISO/IEC 27001:2013.
Requisitos
video_library
O que é a Norma ISO/IEC 27001
video_library
Estrutura geral da Norma ISO/IEC
27001
Para você que está começando a se familiarizar com a norma, uma boa
maneira de ter uma noção geral dos conteúdos de normas é analisando
o sumário e assimilando o que possuem as suas estruturas. A estrutura
da Norma ABNT NBR ISO/IEC 27001:2013 pode ser conferida na tabela
2.
Algumas razões para adotar a norma incluem:
Tabela 2
0: Introdução
0.1: Geral
0.2: Compatibilidade com outras normas do sistema de gestão
1: Escopo
2: Referência normativa
3: Termos e definições
4: Contexto da organização
4.1: Entendendo a organização e seu contexto
4.2: Entendendo as necessidades e expectativas das partes interessadas
4.3: Determinando o escopo do sistema de gestão da segurança de informação
4.4: Sistema de Gestão da Segurança da Informação
5: Liderança
5.1: Liderança e comprometimento
5.2: Política
5.3: Autoridades, responsabilidades e papéis organizacionais
6: Planejamento
6.1: Ações para contemplar riscos e oportunidades
6.1.1: Geral
6.1.2: Avaliação de riscos de segurança da informação
6.1.3: Tratamento de riscos de segurança da informação
6.2: Objetivo de segurança da informação e planejamento para alcançá-los
7: Apoio
7.1: Recursos
7.2: Competência
7.3: Conscientização
7.4: Comunicação
7.5: Informação documentada
7.5.1: Geral
7.5.2: Criando e atualizando
7.5.3: Controle de informação documentada
8: Operação
8.1: Planejamento operacional e controle
8.2: Avaliação de riscos de segurança da informação
8.3: Tratamento de riscos de segurança da informação
9: Avaliação do desempenho
9.1: Monitoramento, medição, análise e avaliação
9.2: Auditoria interna
9.3: Análise crítica pela direção
10: Melhoria
10.1: Não conformidade e ação corretiva
10.2: Melhoria contínua
Anexo A. Referência aos controles e objetivos de controles
Diferenciação do mercado.
Certificados
Uma visão geral da situação dos certificados no mundo pode ser obtida
através dos dados disponibilizados no The ISO Survey of Certifications.
Certificado
É o documento emitido por um organismo de certificação.
Site
É um local permanente em que uma organização realiza trabalho ou
serviço.
Tabela 3
5- Políticas de Segurança da Informação
6- Organização da Segurança da Informação
7- Segurança em Recursos Humanos
8- Gestão de Ativos
9- Controle de Acesso
10- Criptografia
11- Segurança Física e do Ambiente
12- Segurança nas Operações
13- Segurança nas Comunicações
14- Aquisição, desenvolvimento e manutenção de sistemas
15- Relacionamento na Cadeia de Suprimentos
16- Gestão de Incidentes de Segurança da Informação
17- Aspectos da Segurança da Informação na Gestão da Continuidade do Negócio
18- Conformidade
Tabela 4 – Principais seções da Norma ABNT NBR ISO/IEC 27002:2013.
Tendências
O estudo das normas técnicas não se limita apenas ao aprendizado
dessas normas aqui apresentadas.
Questão 1
A Convém
B Recomenda
C Deve
D Espera
E Sugere
Questão 2
Conceito
video_library
Requisitos da Norma ISO/IEC 27001
video_library
Benefícios da Norma ISO/IEC 27001
Como estamos supondo o início dos seus estudos nas normas,
considere as seguintes sugestões e premissas:
Faça suas análises somente com base nos itens da norma. Não
utilize outros norteadores que não estejam escritos lá. Se a
ocorrência descrita não se enquadrar em nada do que estiver
escrito, considere que esta não precisa ser levada em
consideração na análise.
Notícia expand_more
Comentário
Como estamos trabalhando com a premissa de nos ater apenas à
descrição da cena, e estamos analisando uma matéria jornalística (que
carece de muitos detalhes), vamos considerar que o atacante poderá ter
explorado qualquer uma das medidas de controle dos itens
pertencentes ao item 9.4.
video_library
Exemplo de aplicação da Norma
ISO/IEC 27001
video_library
Estudo de caso para aplicação dos
itens da Norma ABNT NBR ISO/IEC
27001:2013
Confira agora um estudo de caso para aplicação dos itens da Norma
ABNT NBR ISO/IEC 27001:2013.
Questão 1
Cenas/Ocorrência
Req. ISO/IEC 27001 Existe NC?
Um dos auditores
internos é
responsável pela
administração do
banco de dados em
um setor. Como na
auditoria metade ( ) Sim
da equipe da ( ) Não
empresa viajou ( ) Simples
para treinamento ( ) Falta info
do novo sistema,
ele acabou
auditando também
a sua área,
incluindo partes do
seu trabalho.
Na letra B, pode até ser que venha uma descrição mais importante,
mas iremos nos ater apenas à descrição, que já é suficiente para o
auditor analisar na norma ou fazer questionamentos ao auditado.
Questão 2
Considerações finais
As normas ISO/IEC 27001 e ISO/IEC 27002 fazem parte de um
ecossistema de boas práticas em tecnologia da informação. Em um
ambiente organizacional cada vez mais competitivo e alinhado com a
conformidade em suas atividades, o processo para a adoção das
normas, bem como de outros guias (por exemplo, ITIL, COBIT), está
sendo uma estratégia necessária até para a própria sobrevivência,
dependendo do contexto de suas atividades. E é nesse ambiente que o
futuro profissional poderá continuamente se valorizar e se inserir.
headset
Podcast
Ouça agora a importância e a aplicação das normas de Segurança da
Informação.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. ABNT NBR
ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão da segurança da informação —
Requisitos. ABNT, 2013. Publicado em: 8 nov. 2013. Consultado na
internet em: 5 maio 2022.
Explore +
Para saber mais sobre os assuntos tratados neste conteúdo, procure na
internet: