Sobre a ISO 27001

 A ISO 27001 é uma norma internacional de segurança da informação.

 Ela foi fundada em 23 de fevereiro de 1947 e é um órgão independente sediado
na Suíça.
 A norma foi criada para estabelecer práticas adequadas de segurança da
informação.

Estrutura da Norma

 A ISO 27001 faz parte de uma família de normas de segurança da informação.

 A norma é composta por vários capítulos que abordam diferentes aspectos da
segurança da informação.
 Os capítulos abrangem temas como escopo do sistema de gestão, controle de
acesso, criptografia, segurança física, entre outros.

Certificação ISO 27001

 A certificação ISO 27001 é concedida por empresas credenciadas pela ISO que
realizam auditorias oficiais.
 Para obter a certificação, uma organização precisa implementar um sistema de
gestão de segurança da informação que atenda aos requisitos da norma.
 A certificação é válida por três anos e requer auditorias de acompanhamento
para garantir a conformidade contínua.

Relação entre ISO 27001 e LGPD

 A ISO 27001 trata da segurança da informação de maneira geral, enquanto a

LGPD é uma legislação específica de proteção de dados pessoais.
 A implementação da ISO 27001 pode ajudar as empresas a atenderem aos
requisitos de segurança da LGPD.
 As duas abordagens complementam-se e visam garantir a proteção adequada das
informações e dos dados pessoais.

Implementação da ISO 27001

 A implementação da norma envolve a definição de um sistema de gestão de

segurança da informação e a adoção de controles de segurança apropriados.
 É importante envolver a alta direção da organização e realizar a conscientização
e treinamento dos colaboradores.
 A implementação requer a criação e revisão de políticas de segurança, a
realização de análises de risco e a implementação de medidas de segurança
adequadas.

LGPD e a implementação de controles de segurança

 A LGPD exige que as empresas implementem controles de segurança para

proteger os dados pessoais.
  A implementação dos controles da ISO 27001 pode ajudar as empresas a
atenderem aos requisitos de segurança da LGPD.
 É importante realizar análises de impacto e implementar medidas de segurança
adequadas para garantir a conformidade com a legislação.

SIMULADO:

Qual é o propósito da ISO 27001?

Fornecer os requisitos de desenvolvimento e operação do SGSI

O que a organização precisa considerar ao determinar o escopo do SGSI?

As questões internas, os requisitos das partes interessadas e as questões externas

Qual das alternativas a seguir é uma questão externa que pode afetar o escopo do SGSI?

Regulamentações governamentais, apetite ao risco, processos e práticas – ou todos os itens

acima

A regulamentação governamental é uma questão externa à empresa que pode afetar o

escopo do SGSI.

O compromisso da alta administração para melhorar o SGSI

Um proprietário de risco é aquele que…

É responsável e tem autoridade para gerenciar o risco

As partes interessadas que podem afetar o escopo do SGSI são…

Stakeholders que podem afetar a operação do SGSI, aqueles que são afetados pelas

atividades do SGSI, agências governamentais ou reguladores que podem ter requisitos

especiais relacionados ao SGSI --- ou todos os itens acima

Um software antivírus protege as informações contra corrupção de malware.

É garantir …

A integridade das informações

Qual dos itens a seguir deve ser incluído na Declaração de Aplicabilidade?

A justificativa para excluir qualquer um dos controles do Anexo A

O que é um risco residual?

Risco remanescente após o tratamento

Questões internas e externas são revisadas e monitoradas…

Regularmente

Os proprietários de uma empresa que podem exigir um retorno sobre o

investimento do SGSI são um exemplo de…
Partes interessadas
As políticas para controle de segurança da informação no Anexo A da ISO/IEC 27001

devem ser revisadas para …

Verificar a eficácia das políticas de segurança da informação e identifique

quaisquer melhorias

Qual resultado da auditoria deve ser usado para identificar uma

oportunidade de melhoria?
Observação

Qual benefício é obtido com a operação de um Sistema de Gestão de Segurança

da Informação?

Reduz o número de incidentes de segurança da informação, oferece proteção

para toda a organização, fornece uma estrutura gerenciada centralmente – ou

todas as opções acima

Quem é responsável por conduzir a revisão do SGSI para garantir a sua

continuidade, adequação e eficácia contínuas?
A alta administração

Which controls belong to the Compliance category in Annex A of ISO/IEC 27001?

Direito de propriedade intelectual

Quais etapas a coleta de evidências (Controle A 16.1.7) deve seguir após a

ocorrência de um incidente de segurança da informação?
Identificar, coletar e preservar
O escopo do SGSI deve ser validado por…
alta administração

A reavaliação do risco deve ser realizada

Regularmente e quando ocorrem mudanças significativas

De acordo com os requisitos da ISO/IEC 27001, documentar os resultados

do plano de tratamento de riscos é
Obrigatória

Relatar incidentes de segurança da informação é responsabilidade de

Equipe de segurança de TI, auditor interno, gerente de SGSI, todos os
funcionários.

Qual das alternativas a seguir é uma opção válida para tratamento de risco
de acordo com a ISO/IEC 27001
Comprar apolice de seguro para compartilhar o risco

Quando uma organização é obrigada a realizar uma avaliação de riscos de

segurança?
Quando ocorre uma mudança significativa
As alterações nos pacotes de software devem ser controladas e
restritas para…
Minimizar a introdução de vulnerabilidades de segurança

Uma não conformidade ocorre quando

Um determinado requisito não é cumprido

Qual é uma atividade da fase de planejamento?

Identificação de Risco

Quais das seguintes afirmações são verdadeiras sobre a continuidade da segurança da

informação? A continuidade da segurança da informação deve ser regularmente

1-Verificado

2-Controlado

3-Revisado

4-Avaliado

Verificado, revisado, avaliado 1-3-4

Um controle de segurança da informação é…

uma medida que modifica o risco

A melhoria contínua é fundamental para

Alcançar e manter a adequação e eficácia do SGSI
Qual é um exemplo de transferência de risco?
1-Comprar uma apólice de seguro
2-Terceirizar o desenvolvimento de uma aplicação
3-Transferência de dados para um site de recuperação de desastres
1, compra de uma apólice de seguro 2, terceirização do
desenvolvimento de um aplicativo

A qual fase do ciclo PDCA pertence a cláusula de melhoria da ISO/IEC 27001?

Agir

Qual dos itens a seguir não precisa ser documentado pela norma ISO/IEC 27001?

Problemas internos

Qual das seguintes informações deve ser incluída na declaração de aplicabilidade…

A justificativa da inclusão de controles de segurança do Anexo A da ISO

27001, Informações sobre se os controles listados são implementados na
organização ou não, a razão pela qual os controles são implementados ou
todos os itens acima
Quais das alternativas a seguir são exemplos de política de segurança da informação

1-Garantir que as informações sejam acessíveis apenas às pessoas autorizadas a ter acesso

2-Atender a todos os requisitos de segurança da informação de acordo com regulamentos e

legislações apropriadas

3-Instale um dispositivo biométrico para controlar o acesso ao data center

4-Instale antivírus nos PCs da organização

5-Abordar a segurança de todos os serviços para garantir que os riscos sejam identificados e os

controles apropriados sejam implementados e documentados.

1-Garantir que as informações sejam acessíveis apenas às pessoas autorizadas a ter acesso

2-Atender a todos os requisitos de segurança da informação de acordo com

regulamentos e legislações apropriadas

5-Abordar a segurança de todos os serviços para garantir que os riscos sejam

identificados e os controles apropriados sejam implementados e documentados

Quem deve aprovar o plano de tratamento de riscos?

Os proprietários do risco

O que deve constar nos acordos com fornecedores em relação à

segurança da informação…
Informações em risco, requisitos legais e regulamentares, acordo
de não divulgação - ou todos os itens acima

Qual cláusula da ISO/IEC 27001 faz parte da fase de

planejamento do ciclo PDCA?
Contexto
Qual das seguintes afirmações sobre os objetivos de segurança da
informação está correta?
Os objetivos de segurança da informação devem ser:
1-Estabelecido e comunicado a todos os funcionários
2-Alinhado com a política de segurança
3-Revisado semestralmente
4-Documentado | 5-Mensurável…
2-Alinhado com a política de segurança
4-Documentado | 5-Mensurável

As partes interessadas relevantes para o SGSI precisam ser

identificadas para…
Entenda o contexto da organização