Escolar Documentos
Profissional Documentos
Cultura Documentos
• Normas
• Normas são documentos estabelecidos por consenso e aprovado por um organismo
reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características
para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um
dado contexto.
• Tokens
• Dispositivos físicos geradores aleatórios de código para uso como forma de autenticação em
sistemas.
Principais termos e definições relacionados com
Sistema de Gestão
• Competência
• Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.
• Melhoria Contínua
• Atividade recorrente para melhorar o desempenho
• Alta direção
• Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.
• Ação corretiva
• Ação para eliminar a causa de uma não conformidade para prevenir a repetição.
• Informação documentada
• Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela
está contida.
• Parte interessada
• Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão
ou atividade.
Principais termos e definições relacionados com
Sistema de Gestão
• Política
• Intenções e direção de uma organização formalmente expressa pela sua alta direção.
• Análise crítica
• Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo
examinado para alcançar os objetivos estabelecidos.
• Auditoria
• Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la
objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos.
• Requisito
• Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.
• Conformidade
• Atendimento a um requisito.
• Não conformidade
• Não atendimento a um requisito.
Contexto da organização
• Liderança e comprometimento
• A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de
gestão da segurança da informação:
• assegurando que a política de segurança da informação e os objetivos de segurança da
informação estão estabelecidos e são compatíveis com a direção estratégica da
organização;
• assegurando que os recursos necessários para o sistema de gestão da segurança da
informação estão disponíveis;
• comunicando a importância de uma gestão eficaz da segurança da informação e da
conformidade com os requisitos do sistema de gestão da segurança da informação; e
promovendo a melhoria continua.
Política
• A Alta Direção deve estabelecer uma política de segurança da informação que:
• a) seja apropriada ao propósito da organização;
• b) inclua os objetivos de segurança da informação;
• c) inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a
segurança da informação;
• d) inclua o comprometimento com a melhoria contínua do SGSI;
• Auditoria interna
• A organização deve conduzir auditorias internas a intervalos planejados para prover
informações sobre o quanto o sistema de gestão da segurança da informação:
• a) está em conformidade com os próprios requisitos da organização para o seu SGSI e
com os requisitos da norma;
• b) está efetivamente implementado e mantido.
• Melhoria contínua
• A organização deve continuamente melhorar a pertinência, adequação e eficácia do SGSI.
Information Security Controls Foundation
(ISO/IEC 27002)
Sobre a ISO/IEC 27002
• Escopo
• A Norma ISO/IEC 27002 fornece diretrizes para práticas de gestão de segurança da
informação e normas de segurança da informação para as organizações, incluindo a seleção,
a implementação e o gerenciamento de controles, levando em consideração os ambientes de
risco da segurança da informação da organização.
Estrutura da norma ISO/IEC 27002
• A Norma ISO/IEC 27002 contém 14 seções de controles de segurança da informação de um total de 35 objetivos de
controles e 114 controles.
• Seções
• Cada seção definindo os controles de segurança da informação contém um ou mais objetivos de controle.
• Categorias de controles
• Cada seção principal contém:
• um objetivo de controle declarando o que se espera que seja alcançado;
• um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.
• As descrições do controle estão estruturadas da seguinte forma:
• Controle
• Define a declaração específica do controle, para atender ao objetivo de controle.
• Diretrizes para implementação
• Apresenta informações mais detalhadas para apoiar a implementação do controle e alcançar o objetivo
do controle.
• Informações adicionais
• Apresenta mais dados que podem ser considerados, como por exemplo, questões legais e referências
normativas.
5. Políticas de segurança da informação
• 11.2 Equipamento
• Objetivo: Impedir perdas, danos, furto, ou comprometimento de ativos e interrupção das
operações da organização.
• 11.2.2 Utilidades
• Controle
• Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções
causadas por falhas das utilidades.
• Informações adicionais
• A ISO/IEC 27005 e a ISO 31000 fornecem diretrizes sobre o uso de processos de gestão de
riscos, para identificar controles que atendam aos requisitos de segurança da informação.
14. Aquisição, desenvolvimento e manutenção de sistemas
• 14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
• Controle
• Quando plataformas operacionais forem modificadas, convém que as aplicações críticas de negócio
sejam analisadas criticamente e testadas para garantir que não haverá qualquer impacto adverso na
operação da organização ou na segurança.
• Informações adicionais
• Diretriz detalhada em gestão de incidentes de segurança da informação é fornecida na
ISO/IEC 27035.
16. Gestão de incidentes de segurança da informação
• Informações adicionais
• A ISO/IEC 27037 fornece diretrizes para identificação, coleta, aquisição e preservação de
evidências digitais.
17. Aspectos da segurança da informação na gestão da
continuidade do negócio
• 17.1 Continuidade da segurança da informação
• Objetivo: Convém que a continuidade da segurança da informação seja contemplada nos
sistemas de gestão da continuidade do negócio da organização
• Informações adicionais
• A ISO/IEC 29100 fornece uma estrutura de alto nível para a proteção da informação de
identificação pessoal, no âmbito dos sistemas de tecnologia da comunicação e informação.
18. Conformidade