Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO 27001:2022
Agosto/2023
Todas as informações fornecidas neste documento são protegidas por direitos autorais e
são de propriedade do BUREAU VERITAS CERTIFICATION (BVQI do Brasil), salvo indica-
ção em contrário por escrito. Nenhuma parte do documento pode ser reproduzida, copia-
da, transmitida a qualquer pessoa, de qualquer forma e por qualquer meio, sem o prévio
consentimento por escrito da BUREAU VERITAS CERTIFICATION (BVQI do Brasil).
"BUREAU VERITAS" e o BUREAU VERITAS 1828 são marcas registradas e de propriedade
da BUREAU VERITAS SA. Nenhuma licença ou direito explícito ou implícito de qualquer
tipo é concedido em relação a quaisquer marcas registradas ou outros direitos de propri-
edade intelectual da BUREAU VERITAS CERTIFICATION HOLDING ou BUREAU VERITAS
SA.
#2
INTERPRETAÇÃO #8
#7
ISO/IEC
27001:2022
#E
A G O S T O 2 0 2 3
SOBRE O
BUREAU VERITAS
Líder global em testes, inspeções e
certificações
BUREAU VERITAS
1
COM +75.000 PROFISSIONAIS AO REDOR DO MUNDO, O BUREAU VERITAS PODE
AJUDAR VOCÊ EM MAIS DE 140 PAÍSES
15 %
35 % 31 %
10 % 9%
DADOS RELEVANTES
Mais de
bilhões
82.000
Escritórios
Receita em 2022 Funcionários Clientes
e laboratórios em Acreditações e
140 países Acordos
2
NOSSAS LINHAS DE NEGÓCIOS
7%
8% 27%
14% 23%
21%
Marítimo
Certificação Indústria
& Offshore
ORIENTAÇÕES GERAIS
I N T E R V A L O S
L I G A Ç Õ E S
T E L E F Ô N I C A S
C E R T I F I C A D O D E
P A R T I C I P A Ç Ã O
Q U E S T I O N Á R I O D E
A V A L I A Ç Ã O
3
INTRODUÇÃO À
SEGURANÇA DA
INFORMAÇÃO
1
M Ó D U L O
MÓDULO 1
O QUE É
INFORMAÇÃO ?
4
ATIVOS
E-mail Desktops;
CFTV.
O QUE
APRENDEMOS COM
O 11 DE SETEMBRO
1
M Ó D U L O
10
5
O QUE APRENDEMOS
COM O 11 DE
SETEMBRO?
§ Investimento no físico;
§ Planejamento para backup efetivo e eficiente;
§ Fitas backup enviadas para outras filiais.
11
SEGURANÇA DA INFORMAÇÃO
12
6
ERROS COMUNS NA
HORA DE REALIZAR
UM BACKUP
13
EVOLUÇÃO
CONCEITUAL DA
SEGURANÇA DE
INFORMAÇÃO
§ Partes interessadas;
1
14
7
OBJETIVOS DA SEGURANÇA DA INFORMAÇÃO
Assegurar que dados pessoais Garantir que somente usuários ou Assegurar que dados e informação
não foram alterados nem sistemas homologados possam estejam disponíveis a titulares e
modificados por indivíduos ou acessar um determinado dado e para aplicações quando da
processos não autorizados. uma determinada informação. autorização positiva de acesso.
15
§ GRUPO 1: CONFIDENCIALIDADE
ATIVIDADE
§ GRUPO 2: INTEGRIDADE
§ GRUPO 3: DISPONIBILIDADE
16
8
CICLO DE VIDA
Adquirir/criar
Destruir Gravar
Armazenar Usar/processar
Compartilhar
17
Humana
Rede Física
Ameaças Legal
Comunicação
EXTERNAS à SI
Software Outros
Social e
econômica
18
18
9
AMEAÇAS INTERNAS PARA SI
Falta de conhecimento
AMEAÇAS
INTERNAS À SI Byod AmeaçaS
Funcionários descontentes
Acidentes
19
19
VULNERABILIDADE E
USO INDEVIDO
01
Ameaças externas:
02
• Software mal intencionado;
• Crimes de informática.
Ameaças internas:
• Funcionários (erros);
• Defeitos nos sistemas.
1
M Ó D U L O
20
10
Notificações de Incidentes ao CERT.br
21
22
11
O BRASIL E A
CIBERSEGURANÇA
23
AMEAÇAS
24
12
PHISHING
Técnica de engenharia social usada
para enganar usuários.
RANSOMWARE
Malware de sequestro de dados, feito
por meio de criptografia.
DDOS
Tentativa de tornar os recursos de um
sistema indisponíveis.
PORT SCAN
Tática utilizada para identificar e
explorar vulnerabilidades de rede.
PRINCIPAIS
AMEAÇAS ATUAIS
25
CONSEQUÊNCIAS
DA NEGLIGÊNCIA
COM A SEGURANÇA
DA INFORMAÇÃO
26
13
A ESTRUTURA
DAS NORMAS DE
GESTÃO
2
M Ó D U L O
MÓDULO 2
27
28
14
NORMAS ISO 27000
ISO/IEC
Visão Geral & Vocabulário 27000:2015
ISO/IEC
Requisitos para ISO/IEC
27006:2015/ Técnicas de Segurança – Código de Prática
27002:2022
Organismos de Certificação Amd1:2020
ISO/IEC 27001:2022
ISO/IEC ISO/IEC
27005:2018 27003:2017
Gestão de Riscos Técnicas de Segurança - Guia
ISO/IEC
27004:2016
Monitoramento, medição, análise e avaliação
ISO/IEC ISO
27007:2020 19011:2018
Guias
29
5. Liderança
específicas
Entradas
Avaliação de
Planejamento Liderança desempenho Resultados 6. Planejamento
pretendidos
7. Apoio
8. Operação
ACT CHECK
9. Avaliação de desempenho
Melhoria
Necessidades e 10. Melhoria
expectativas das
partes interessadas
relevantes
30
15
DOCUMENTOS GUIA
31
NORMA ISO/IEC
ANEXO A E 27001:2022
CAPA DA
NORMA
32
16
BENEFÍCIOS DA ISO 27001
33
TERMOS E
DEFINIÇÕES
MÓDULO 3
34
17
TERMOS E DEFINIÇÕES
35
TERMOS E DEFINIÇÕES
Partes interessadas e segurança da informação
§ Clientes;
§ Consumidores;
§ Autoridade Nacional de Proteção de
Dados (ANPD);
§ Fornecedores de serviços;
§ Terceirizados.
36
18
TERMOS E DEFINIÇÕES
37
TERMOS E DEFINIÇÕES
RISCO VULNERABILIDADE
Compartilhar ou distribuir dados pessoais com terceiros sem o Organização não atende sua finalidade legal e compartilha os dados sem
consentimento do titular consentimento do titular dos dados pessoais (LGPD, artigo 27).
Falha da garantia de atendimento dos direitos do titular, conforme descrito
Falha em considerar os direitos do titular dos dados pessoais.
nos artigos 17 a 22 da LGPD.
O tratamento de dados pessoais realizado de forma eletrônica ou
Informação insuficiente ou inadequada sobre a finalidade do
documento em papel não atende a uma finalidade e não foi exposto de
tratamento
forma transparente e clara ao titular dos dados pessoais.
38
19
EXERCÍCIO 1 - VULNERABILIDADE
39
EXERCÍCIO 1 –
VULNERABILIDADE
Situação Vulnerabilidade Ameaças Impactos potenciais
40
20
PRINCÍPIOS DE
GESTÃO E
ABORDAGEM DE
PROCESSOS
4
M Ó D U L O
MÓDULO 4
41
42
21
MENTALIDADE DE RISCO
S W
AMBIENTE INTERNO – Vantagens AMBIENTE INTERNO – Pontos que
da empresa frente ao mercado. podem interferir negativamente no
Diferenciais competitivos, aptidões andamento da empresa.
mais fortes do seu negócio.
THREAT (AMEAÇA)
OPPORTUNITY (OPORTUNIDADE)
O T AMBIENTE EXTERNO – Forças
AMBIENTE EXTERNO – Forças externas que impactam
externas que impactam negativamente a empresa. Possíveis
positivamente a empresa. eventos que prejudicariam o lucro e a
imagem da empresa. (ransomware,
DDoS, phishing, eventos naturais).
43
QUIZ ISO
Enquete Zoom.
Identifique as afirmativas verdadeiras.
44
22
COFFEE BREAK
45
SGSI E
CONHECENDO A
NORMA
5
M Ó D U L O
MÓDULO 5
46
23
SGSI SISTEMA DE
GESTÃO DA
Abordagem estruturada e
sistemática para proteger SEGURANÇA DA
as informações sensíveis INFORMAÇÃO
de uma organização contra
ameaças internas e
externas.
Benefícios
§ Atendimento a legislação
aplicável;
§ Imagem;
§ Segurança;
§ Vantagem competitiva;
§ Proteção estruturada de ativos.
47
§ Gerenciamento de riscos
§ Conformidade regulatória
48
24
ABORDAGEM DE IMPLEMENTAÇÃO
Não há uma maneira certa ou Os requisitos ISO 27001 É improvável que a É muito mais provável que os
errada de projetar e implementar destinam-se a ser integrados aos organização tenha um diversos procedimentos precisem
os requisitos ISO 27001 processos existentes da sistema de conformidade ser identificados nos diferentes
organização autônomo contendo todos processos de controle da
os requisitos organização (por exemplo:
financeiro, comercial, vendas, RH
etc.)
49
01
União Europeia
§
§
Reino Unido
Alemanha
02
§ França
§ Romênia
Resto do mundo
§ Eslovênia
§ Países Baixos § EUA e Canadá
§ Hungria § África do Sul
§ Luxemburgo § Gana
§ Malta § Japão
§ Austrália
S G S I
§ Coréia do Sul
§ Nova Zelândia
50
25
LEGISLAÇÃO E
REQUISITOS
REGULAMENTARES Direitos da
LGPD
internet
BRASIL
Lei Carolina
Regulamentos NIS
Dieckmann
51
51
51
CONCEITOS RELEVANTES
Componente Descrição
Análise do impacto sobre os negócios A BIA (Business Impact Analysis) é o resultado de análise dos requisitos de processo e das
consequências do rompimento da gestão de segurança de informação sobre o escopo de trabalho que
permite apontar (inclusive) quais medidas devem ser adotadas para mitigar e/ou sanar o referido
rompimento.
Avaliação e tratamento de riscos Refere-se ao detalhamento da metodologia adotada para avaliar e tratar os riscos associados a todos
os ativos (previamente inventariados) que participam do escopo da certificação em termos da
possibilidade de ocorrência, facilidade de detecção e impacto.
Declaração de aplicabilidade Utilizada para formalizar quais controles especificados do ANEXO A são ou não são aplicáveis ao
escopo da certificação.
Gestão de incidentes Equivalente ao mecanismo de identificação e tratamento de não conformidades da norma ISO
9000. Detalha as regras utilizadas para dar início ao processo de ações corretivas.
Gestão de mudanças Refere-se à sistematização dos métodos utilizados para assegurar a gestão do planejamento,
avaliação, aprovação, implantação das mudanças e liberações dos serviços e recursos de
tecnologia da informação, telecomunicações e de infraestrutura afetados.
Plano de continuidade de negócios (PCN) Identifica (além dos eventos que ativam o plano) os responsáveis e escalonamentos que devem
ser observados para assegurar a continuidade dos processos de trabalho e operações . O PCN
está diretamente vinculado à BIA.
53
26
4 CONTEXTO
Requisito Interpretação
4.1 Entendendo a organização e seu contexto.
4.2 Entendendo as necessidades e as expectativas das partes Aborda a contextualização da organização com referência às
interessadas. necessidades e expectativas das partes interessadas, a
definição do escopo do Sistema de Gestão de Informação
4.3 Determinando o escopo do sistema de gestão da (SGSI) e da formalização de uma estrutura documentada do
segurança da informação. SGSI.
4.4 Sistema de gestão da segurança da informação.
5 LIDERANÇA
Requisito Interpretação
5.1 Liderança e comprometimento Define o que se espera da liderança, especifica requisitos que
servem para formalizar o compromisso com a segurança da
5.2 Política informação.
27
6 PLANEJAMENTO
Requisito Interpretação
6.1.3 Tratamento de riscos de segurança da informação Requer a formalização de uma Declaração de Aplicabilidade
onde são identificados quais controles do ANEXO A são ou
6.2 Objetivos de segurança da informação e planos para não são aplicáveis e a identificação dos objetivos e
alcançá-los indicadores que pautam o funcionamento do SGSI.
6.3 Planejamento de mudanças
7 APOIO
Requisito Interpretação
7.1 Recursos
7.2 Competência
7.3 Conscientização Trata dos requisitos vinculados à competência das pessoas,
7.4 Comunicação conscientização, comunicação e informação documentada.
Declarar a aplicabilidade de algum controle requer,
7.5 Informação documentada normalmente, a elaboração de um documento.
28
8 OPERAÇÃO
Requisito Interpretação
8.1 Planejamento e controle operacionais Requer a implantação de mecanismos de gestão para tratar,
entre outras coisas, da segurança patrimonial, dos
fornecedores críticos, do controle de acesso, da manutenção
8.2 Avaliação de riscos da segurança da informação
preventiva e dos recursos humanos. Requer a coleta e o
armazenamento de registros que evidenciam o tratamento
8.3 Tratamento de riscos da segurança da informação dos riscos declarados.
9 AVALIAÇÃO DE
DESEMPENHO
Requisito Interpretação
29
10 MELHORIA
Requisito Interpretação
ANEXO A
61
30
“MIND MAP” ISO 27001:2022
Contexto &
Gestão de Riscos
Partes Interessadas
Políticas e Declaração de
Informação Objetivos KPI’s
Documentada Aplicabilidade (SoA)
Análise Crítica
Anexo A
Conscientização, (políticas de Segurança
Competências Não Conformidades
da Informação,
& Comunicação Planos de Ação
gestão de incidentes,
gestão de vulnerabilidades,
gestão de mudanças,
gestão de capacidade,
Auditorias Internas Continuidade de negocios)
62
PONTOS DE
REFLEXÃO
63
31
4 – CONTEXTO DA
ORGANIZAÇÃO
MÓDULO 6
64
Identificar, monitorar e avaliar as questões internas e externas relevantes para o objetivo estratégico e para
a direção da organização.
65
32
EVIDÊNCIAS
66
Todas as
Proprietários partes
Sindicatos
Partes
interessadas
Contratados e terceiros Bancos
Partes
interessadas
relevantes
Trabalhadores Comunidade
Requisitos
Fornecedores relevantes Clientes
67
33
EVIDÊNCIAS
68
https://www.menti.com/3o424p9cpo
69
34
4.3 DETERMINANDO O ESCOPO DO SGSI
Partes
interessadas
Produtos e Localização
serviços (limites físicos)
70
4.4 SISTEMA DE
Contexto da
GESTÃO DA organização
Liderança Planejamento
SEGURANÇA DA
INFORMAÇÃO
71
35
DEBATE – ESTUDO DE CASO
72
5 – Liderança
MÓDULO 7
73
36
OS PAPÉIS DO LÍDER
Descobrir
caminho Criar uma visão, definir um objetivo.
(Stephen R. Covey)
74
FUNDAMENTOS DA GESTÃO
Aprender com as
experiências
Aplicando processos
estruturados de
Dinâmica do PDCL –
Aprender para mudar – controle de mudanças
Planejar / Fazer /
Mudar para aprender e avaliando os
Verificar / Aprender impactos das
mudanças
75
37
5.1 LIDERANÇA E COMPROMETIMENTO
Generalidades:
§ Responsabilidade para a eficácia do SGSI;
§ Certificar-se de que os requisitos do SGSI se tornem parte integrante dos processos da organização;
§ Política e objetivos da SGSI compatíveis com a direção estratégica e com o contexto da
organização;
§ Assegurar que os recursos necessários para o sistema de gestão da segurança da informação
estejam disponíveis;
§ Assegurar que o sistema de gestão da segurança da informação alcance seus resultados
pretendidos.
76
https://www.menti.com/36s1f3bhr7
77
38
5.1 LIDERANÇA E
COMPROMETIMENTO
78
5.2 POLÍTICA
79
39
5.3 PAPÉIS, RESPONSABILIDADES E AUTORIDADES
ORGANIZACIONAIS
§ A alta direção deve atribuir responsabilidades e autoridades para manter a integridade e assegurar que
o sistema de gestão da segurança da informação está em conformidade.
§ Evidências de auditoria:
§ Matriz de atribuição de cargos;
§ Descrições de cargos;
§ Matriz de responsabilidades;
§ Organogramas (em conjunto com os anteriores);
§ Divulgação das atribuições de competências (através de eventos, palestras, e-mails, reuniões com
equipe).
80
6 – Planejamento
NORMA ISO/IEC 27001:2022
8
M Ó D U L O
MÓDULO 8
81
40
CONCEITOS
SOBRE RISCOS
§ Efeito da incerteza;
§ Efeitos potenciais adversos
(ameaças);
§ Efeitos potenciais benéficos
(oportunidades).
82
83
41
CUIDADO COM O NÍVEL DOS RISCOS!
84
Estabelecimento do contexto
Monitoramento e análise crítica
Identificação de riscos
Análise de riscos
Avaliação de riscos
Tratamento de riscos
85
42
DADOS PESSOAIS: RISCOS
E VULNERABILIDADES
# Risco Vulnerabilidade
86
87
43
6.3
PLANEJAMENTO
DE MUDANÇAS
Quando a organização determina
necessidade para mudanças do
M U D A N Ç A S
88
89
44
COFFEE BREAK
90
7 – APOIO
MÓDULO 9
91
45
7.1 RECURSOS
EVIDÊNCIAS:
• Observação da infraestrutura (servidores,
27001 • Recursos (7.1)
•
equipamentos de rede, estrutura física, softwares etc.).
Planos de manutenção;
• Planos de investimento e alocação de recursos.
92
93
46
QUAIS EVIDÊNCIAS VOCÊ
BUSCARIA?
ATIVIDADE
94
7.3 CONSCIENTIZAÇÃO
Pontos importantes:
95
47
7.3 CONSCIENTIZAÇÃO
Treinamento
Treinamentos têm a função de levar as pessoas a agirem de
maneira coordenada para que as mudanças possam ser
eficazes.
96
VAMOS DISCUTIR?
97
48
7.4 COMUNICAÇÃO
SGSI
O que Quando
comunicar comunicar
Comunicação
Quem Quem será
comunicar comunicado
98
VAMOS DISCUTIR?
99
49
7.5 INFORMAÇÃO DOCUMENTADA
Pontos Importantes:
Identificação
§ Informação documentada
§ A organização deve determinar uma maneira de identificar seus
exigida pela norma; documentos para diferenciá-los uns dos outros. Essa metodologia,
normalmente, envolve uma descrição na qual cada documento
§ Informação documentada recebe uma nomenclatura ou codificação única e individual.
§ Descrição apropriada;
Análise e aprovação
§ Formato adequado;
§ As informações documentadas mantidas, ao serem criadas e/ou
§ Meios apropriados; atualizadas, devem ser discutidas, analisadas e aprovadas com
relação à sua suficiência e eficácia, bem como aprovadas por
pessoas com autoridade para tal (não necessariamente as mesmas
§ Revisão e aprovação. pessoas devem aprovar todos os documentos). As formas de
aprovação podem variar desde uma assinatura até uma aprovação
eletrônica (ex.: por e-mail ). O importante é que haja evidências da
aprovação.
100
Evidências de auditoria:
Aprovação
§ Relato sobre a sistemática definida
ou informação documentada Disponibilização
Controle de alterações
Retenção e disposição
101
50
7.5 INFORMAÇÃO
DOCUMENTADA
102
INFORMAÇÃO DOCUMENTADA
MANTER RETER
§ Documentos; § Registros;
§ Procedimentos / ITs / • Evidências de realização
políticas. das atividades.
103
51
8 – OPERAÇÃO
MÓDULO 10
104
Planejar
§Planilha de levantamento de aspectos e riscos;
§Procedimentos e instruções de trabalho;
§Manuais;
§Planos de ação para mudanças e projetos;
§Requisitos para aquisição e contratação;
§Planos de manutenção e inspeção.
Implantar
§Observação das atividades;
§Observação das instalações;
§Entrevistas com trabalhadores;
§Registros.
Manter
§Observação das atividades;
§Observação das instalações;
§Entrevistas com trabalhadores;
§Ordens de manutenção.
Controlar
§Observação da execução das medições e monitoramentos: instrumentos em campo, realização de análises;
§Entrevista com trabalhadores que executam os controles.
105
52
8 - OPERAÇÃO
106
CONTROLES - EXEMPLOS
107
53
GESTÃO DE MUDANÇAS
EVIDÊNCIAS:
Fontes de Processos e § Procedimento documentado
requisitos de mudanças;
mudança impactados § Registro de mudanças;
§ Revisão dos registros de
identificação de perigos e
avaliação de riscos.
108
NA PRÁTICA
CONHEÇA OS § Infraestrutura;
PROCESSOS!!! § Pessoas competentes;
§ Equipamentos/instrumentos confiáveis;
ENVOLVA AS § Informações documentadas;
PESSOAS.... § Formas de conscientização e comunicação;
§ Metodologias de operação;
§ Provedores externos aprovados.
Controles
Contexto | operacionais Mede |
Monitora |
Planejamento Operacionaliza
Analisa |
estratégico Avalia | Audita
Requisitos
54
8.2 AVALIAÇÃO DE RISCOS
DE SEGURANÇA DA
INFORMAÇÃO
110
BIA(BUSINESS
IMPACT ANALYSIS)
111
55
PRINCIPAIS
OBJETIVOS DA
ANÁLISE DE
IMPACTO DE
NEGÓCIOS (BIA)
112
ABRANGÊNCIA DA BIA
Incidente Tecnologias Processos de negócio Potencial perda Potencial perda Tempo mínimo até
afetadas afetados operacional financeira a recuperação
Todos os processos de
O funcionamento das R$ 150 mil a R$
Redes, servidores, negócio que dependem da De quatro (4) a vinte
Incêndio operações é totalmente 300 mil a cada
sistemas tecnologia da informação e quatro (24) horas
interrompido hora
(TI).
Não há perda se
Sistemas que
Processos de negócio Operações que assumir que a
Perda de bases requerem a Desde < 1 hora até
sustentados por essas exigem a disponibilidade equipe técnica
de dados utilização de bases 48 horas
bases de dados. das bases de dados encontra-se
de dados
disponível
113
56
VAMOS DISCUTIR?
11
4
Claras expectativas,
Auditorias internas Compromisso com alta
objetivos e métricas de
gestão
desempenho
115
115
57
AVALIAÇÃO DE
RISCO
116
IDENTIFICAÇÃO RISCOS
Severidade
Probabilidade 1 2 3
Levemente Extremamente
prejudicial Prejudicial prejudicial
117
58
8.3 TRATAMENTO DE
RISCOS DE
SEGURANÇA DA
INFORMAÇÃO
118
119
59
DISCUSSÃO
Pense nos possíveis riscos internos e externos que sua organização pode
enfrentar em relação à segurança da informação.
Que pensamentos iniciais você tem sobre as possíveis recomendações
para resolver esses riscos?
DICUSSÃO
12
0
9 – AVALIAÇÃO
DO DESEMPENHO
MÓDULO 11
121
60
9 - AVALIAÇÃO DE
DESEMPENHO
122
DISCUSSÃO
SUA PRÓPRIA ORGANIZAÇÃO
Como e o que sua empresa monitora, mede, analisa e avalia para alcançar a
melhoria contínua em seus processos?
Como as decisões relacionadas a esse monitoramento e medição impactam a
DICUSSÃO
segurança da informação?
12
3
61
MÉTRICAS INTELIGENTES DE DESEMPENHO
Controle
124
Indicadores
Ações de
emergência
Laudos
Controles Certificados
operacionais Indicadores
Responsável Frequência Checklists
Objetivos
125
62
RECURSOS DE MONITORAMENTO E MEDIÇÃO
SGSI
Evidências
Informação
documentada e
relação dos
recursos de
Equipamentos monitoramento e
medição (tabela,
adequados e planilha Excel,
confiáveis para - Observação em campo dos equipamentos (adequação);
sistema eletrônico e
realizar as demonstração) - Registros de rastreabilidade do padrão.
medições e
monitoramentos
126
AUDITORIA INTERNA
127
63
QUALIFICAÇÃO DE AUDITORES
Comportamento pessoal.
128
Treinamento em Habilidade
Independência
técnicas de auditoria específica
Capacidade para
Experiência em Habilidade na
exame da
participação de comunicação oral e
documentação de
auditoria escrita
referência
Submetam-se à
Mantenham
formação
atualizados os seus AUDITEM
complementar,
conhecimentos
quando necessário
129
64
AUDITORIAS INTERNA
Sistemática
Independente
Documentado
130
ISO 27007:2021
CONCEITOS E DEFINIÇÕES
131
65
ISO 27007:2021
QUESTÕES ABORDADAS
132
ISO ITENS
133
66
ISO
27007:2021
TABELA A.2 – DIRETRIZES
DE AUDITORIA PARA
ISO/IEC 27001
134
9.3 ANÁLISE
CRÍTICA
135
67
9.3 – ANÁLISE CRÍTICA PELA DIREÇÃO
DADOS:
medições e
monitoramentos ENTRADAS: ações
anteriores,
mudanças nas
Indicadores SAÍDAS (registro):
questões internas e
externas, recursos, oportunidades de
resultados de melhoria,
auditorias, eficácia mudanças,
recursos
das ações – riscos e
oportunidades,
Análises e oportunidades de
Planos melhoria
avaliações
de ação
136
COFFEE BREAK
137
68
10 – Melhoria
MÓDULO 12
138
139
69
10.2 NÃO
CONFORMIDADE E
AÇÃO CORRETIVA
140
Existe Sim
PROBLEMA CORREÇÃO possibilidade
de novas
ocorrências?
Não
EVIDÊNCIAS:
§ Procedimento contendo a FIM
metodologia de investigação;
§ Relatórios de incidentes e sua
investigação;
§ Registros de não conformidades;
§ Registros de planos de ações
corretivas e preventivas com
análise de causa e avaliação da
eficácia.
141
70
10.2 NÃO CONFORMIDADE E AÇÃO CORRETIVA
§ Destaques:
§ As ações preventivas, que podem incluir ações preditivas, são aquelas tomadas para tratar a causa
raiz de potenciais não conformidades ou incidentes, como uma medida proativa, antes que tais
incidentes ocorram. Os elementos tipicamente auditados são:
§ Evidências típicas:
142
ANEXO A - TABELA
A.1 – CONTROLES
DA SEGURANÇA
DA INFORMAÇÃO
1 3
M Ó D U L O
MÓDULO 13
143
71
ANEXO A -
CURIOSIDADES
§ Nem todos os 93 controles são
obrigatórios;
§ Uma visão geral perfeita de quais
A
144
R
# CONTROLE RL OC AR N/A Justificativa / Tratamento
N
Seleção, Termos e condições de contratação
6.1 Verificações de antecedentes de todos os candidatos a serem contratados devem ser
realizadas antes de ingressarem na organização e de modo contínuo, de acordo com as
X X GUIA Admissão Contratados
leis, os regulamentos e a ética aplicáveis, e devem ser proporcionais aos requisitos do
negócio, à classificação das informações a serem acessadas e aos riscos percebidos.
6.2 Os contratos trabalhistas devem declarar as responsabilidades do pessoal e da
X CLT, Contrato de Trabalho
organização para a segurança da informação.
Conscientização, educação e treinamento em segurança da informação
6.3 O pessoal da organização e partes interessadas relevantes devem receber treinamento,
educação e conscientização em segurança da informação apropriados e atualizações Política de Segurança da
X X
regulares da política de segurança da informação da organização, políticas específicas Informação
por tema e procedimentos, conforme pertinente para as suas funções.
Processo disciplinar, Responsabilidades após encerramento ou mudança da contratação, Acordos de confidencialidade ou não divulgação
6.4 Um processo disciplinar deve ser formalizado e comunicado, para tomar ações contra
pessoal e outras partes interessadas relevantes que tenham cometido uma violação da X X Contrato de Trabalho
política da segurança da informação.
6.5 As responsabilidades e funções de segurança da informação que permaneçam válidas
após o encerramento ou a mudança da contratação devem ser definidas, aplicadas e X Contrato de Trabalho
comunicadas ao pessoal e a outras partes interessadas pertinentes.
6.6 Acordos de confidencialidade ou não divulgação que reflitam as necessidades da
organização para a proteção das informações devem ser identificados, documentados,
X Termo de Confidencialidade
analisados criticamente em intervalos regulares e assinados pelo pessoal e por outras
partes interessadas OC = Obrigação
pertinentes.
RL = Requisito Legal RN = Requisito de Negócio AR = Produto da Análise de Risco N/A = Não Aplicável
Contratual
145
72
DECLARAÇÃO DE
APLICABILDIADE (SoA)
DECLARAÇÃO DE APLICABILIDADE
Uma política e
medidas que apoiam a
Política para
o uso de segurança da
É resultado da Resultado da
informação devem ser
6.2.1 dispositivo Sim análise de resolução GERÊNCIA
adotadas para
móvel risco administrativa
gerenciar os riscos
decorrentes do uso de
dispositivos móveis.
Dispositivos Garantir a segurança
móveis e das informações no Uma política e
trabalho trabalho remoto e no medidas que apoiam a
remoto uso de dispositivos segurança da
móveis informação devem ser
implementadas para É resultado da
Resultado da
Trabalho proteger as análise de
6.2.2 Sim resolução GERÊNCIA
remoto informações risco
administrativa
acessadas,
processadas ou
armazenadas em
locais de trabalho
remoto.
146
ATIVIDADE
14
7
73
POLÍTICAS ISO/IEC 27001:2022
# Enunciado Detalhamento
A política de segurança da informação e as políticas específicas por tema devem ser definidas,
Políticas de segurança aprovadas pela direção, publicadas, comunicadas e reconhecidas pelo pessoal pertinente e
5.1
da informação pelas partes interessadas pertinentes, além de analisadas criticamente em intervalos
planejados e quando ocorrerem mudanças significativas.
A direção deve requerer que todo o pessoal aplique a segurança da informação de acordo
Responsabilidades da
5.4 com a política da segurança da informação estabelecida, com as políticas específicas por
direção
tema e com os procedimentos da organização.
Os direitos de acesso às informações e a outros ativos associados devem ser provisionados,
5.18 Direitos de acesso analisados criticamente, modificados e removidos de acordo com a política específica por
tema e com as regras da organização para o controle de acesso.
Compliance com O compliance com a política de segurança da informação da organização, políticas específicas
5.36 políticas, regras e por tema, regras e normas deve ser analisado criticamente a intervalos regulares.
normas para segurança
da informação
Tecnologia e procedimentos de autenticação segura devem ser implementados com base em
8.5 Autenticação segura
restrições de acesso à informação e à política específica por tema de controle de acesso.
O mascaramento de dados deve ser usado de acordo com a política específica por tema da
8.11 Mascaramento de dados organização sobre o controle de acesso e outras políticas específicas por tema relacionadas e
requisitos do negócio, levando em consideração a legislação aplicável.
148
# Requisito Finalidade
5.10 Uso aceitável de informações e outros Regras para o uso aceitável e procedimentos para o manuseio de informações e
ativos associados outros ativos associados devem ser identificados, documentados e implementados.
5.13 Rotulagem de informações Um conjunto adequado de procedimentos para rotulagem de informações deve ser
desenvolvido e implementado de acordo com o esquema de classificação de
informações adotado pela organização.
5.14 Transferência de informações Regras, procedimentos ou acordos de transferência de informações devem ser
implementados para todos os tipos de recursos de transferência dentro da
organização e entre a organização e outras partes.
5.19 Segurança da informação nas Processos e procedimentos devem ser definidos e implementados para gerenciar os
relações com fornecedores riscos da segurança da informação associados com o uso dos produtos ou serviços
dos fornecedores.
5.21 Gestão da segurança da informação Processos e procedimentos devem ser definidos e implementados para gerenciar os
na cadeia de fornecimento de riscos da segurança da informação associados à cadeia de fornecimento de
Tecnologia de Informação e produtos e serviços de TIC.
Comunicação (TIC)
149
74
PROCEDIMENTOS ISO/IEC 27001:2022
# Requisito Finalidade
5.26 Resposta a incidentes da segurança Os incidentes da segurança da informação devem ser respondidos de acordo com os
da informação procedimentos documentados.
5.28 Coleta de evidências A organização deve estabelecer e implementar procedimentos para identificação,
coleta, aquisição e preservação de evidências relacionadas a eventos da segurança
da informação.
5.32 Direitos de propriedade intelectual A organização deve implementar procedimentos adequados para proteger os
direitos de propriedade intelectual.
5.37 Documentação dos procedimentos de Os procedimentos de operação dos recursos de processamento das informações
operação devem ser documentados e disponibilizados para o pessoal que necessite deles.
8.5 Autenticação segura Tecnologia e procedimentos de autenticação segura devem ser implementados com
base em restrições de acesso à informação e à política específica por tema de
controle de acesso.
8.19 Instalação de software em sistemas Procedimentos e medidas devem ser implementados para gerenciar com segurança
operacionais a instalação de software em sistemas operacionais.
8.32 Gestão de mudanças Mudanças nos recursos de tratamento de informações e sistemas de informação
devem estar sujeitas a procedimentos de gestão de mudanças.
150
INFORMAÇÃO
DOCUMENTADA (1)
151
75
INFORMAÇÃO
DOCUMENTADA (2)
152
EXERCÍCIOS
CONTROLE DO ANEXO
No decorrer da auditoria, você toma Como solução imediata, foram contratados serviços de
conhecimento de que, há seis meses, houve “hosting” nuvem, num data center tier 3, instalado em Belo
um desastre natural (vendaval e inundação) Horizonte, MG.
em Natal, sendo que nessa ocasião o
fornecimento de todos os serviços da E&V Diante desse cenário, identifique quais controles do Anexo A
(voz, dados) foram interrompidos pelo da norma ISO/IEC 27001:2022 são aplicáveis e que
fornecedor de Parnamirim. evidências seriam buscadas e verificadas.
153
76
ESTUDO DE CASO FINAL
Em grupo, você vai assumir o papel de auditor interno, revisando a operação da
MASTERCLASS LTD no que diz respeito à segurança da informação.
Como você resumiria a conformidade da organização com a ISO 27001, baseado nos
exercícios que completamos até agora?
ATIVIDADE
15
4
PESQUISA DE
SATISFAÇÃO
Ajude-nos a melhorar!
Preencha a pesquisa através do
link:
https://forms.office.com/pages/r
esponsepage.aspx?id=FNT6_6
O2Mk-
pvULSj8gR8eQHH0YQzW9CuT
xuGKt3ppRUN09XNlcyMDROT
zNaS1k3VzFOWTk1TkxLTi4u
155
77
OBRIGADO(A) PELA
PARTICIPAÇÃO
ESPERAMOS REVER
VOCÊ EM OUTROS
TREINAMENTOS!
SIGA-NOS EM NOSSAS
REDES SOCIAIS
78