NORMAS TÉCNICAS

ISO/IEC 27002:2013
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br

ISO/IEC 27002:2013 - CÓDIGO DE PRÁTICA PARA CONTROLES DE

SEGURANÇA DA INFORMAÇÃO

Norma ISO 27002:2013 (Código de Práticas)

• A Norma ISO 27002:2013 versa sobre as diretrizes para o Sistema de Gerenciamento

de Segurança da Informação (SGSI);
• É uma referência na seleção de controles dentro do processo de implementação de
um sistema de gestão da segurança da informação (SGSI), baseado na ABNT NBR
ISO/IEC 27001, que traz os requisitos para se estabelecer, implementar, manter e
melhorar de forma contínua o SGSI em uma organização;
• Documento de orientação para implementação de controles de segurança da
informação;

a) Ativos:

• São tudo que tem valor para a organização;

• Podem ser tangíveis (ex.: prédio onde a organização está instalada, maquinários,
equipamentos) e intangíveis (ex.: imagem da organização, suas informações, seus
processos organizacionais);
• Deve-se levar a esses ativos as propriedades fundamentais da segurança da infor-
mação: i) Confidencialidade – Somente as pessoas autorizadas podem ter acesso; ii)
Integridade – Garantir que as informações não serão alteradas nem deletadas, a não
ser por pessoas devidamente autorizadas; e iii) Disponibilidade – Deve ser garantida
para quem é de direito;
• As informações que a organização detém dentro da sua área de atuação fazem toda
a diferença, pois é a partir dessas informações que ela se diferencia em relação a
5m
outras e tem seu poder financeiro, seu status;
• Informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas
suas operações (recursos humanos) são ativos importantes para a organização e, por-
tanto, requerem proteção contra vários riscos.
ANOTAÇÕES

www.grancursosonline.com.br 1
 NORMAS TÉCNICAS
ISO/IEC 27002:2013
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br

Como Alcançar a Segurança da Informação?

• A partir da implementação de um conjunto adequado de: controles, incluindo políticas,

processos, procedimentos, estrutura organizacional e funções de software e hardware;
• Para isso, precisam ser: estabelecidos, implementados, monitorados, analisados criti-
camente e melhorados, quando necessário, para assegurar que os objetivos do negó-
cio e a segurança da informação da organização são atendidos;
• Para isso, um SGSI seguindo o especificado ISO/IEC 27001, considera uma visão
holística (visão do todo, de todos os processos organizacionais, sem ficar limitada à
TI) e coordenada dos riscos de segurança da informação da organização;
10m
• Um SGSI bem-sucedido requer apoio de todos os funcionários da organização, bem
como de acionistas, fornecedores ou outras partes externas;
• Isso garante aos stakeholders – todos aqueles que têm influência direta na organiza-
ção – que os ativos da organização estão sendo protegidos contra danos, agindo como
um facilitador dos negócios; os stakeholders passam a ter confiança na organização,
vendo que ela considera relevante a segurança da informação e implementa mecanis-
mos para a proteção dos seus ativos contra qualquer dano.

Requisitos de Segurança da Informação?

As três fontes principais de requisitos de segurança da informação são:

a) A partir da avaliação de riscos para organização, objetivos e estratégias globais de negó-
cio da organização; é por essa avaliação que a organização consegue entender quais são
as áreas principais nas quais deve focar e que podem prejudicar seu funcionamento normal;
b) A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a
organização, seus parceiros comerciais contratados e provedores de serviço têm que atender;
15m
c) Os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o
manuseio, processamento, armazenamento, comunicação e arquivo da informação.
Os resultados de uma avaliação de risco* ajudarão a orientar e determinar:

• as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segu-

rança da informação; e
• a implementação dos controles selecionados para proteger contra estes riscos.
ANOTAÇÕES

www.grancursosonline.com.br 2
 NORMAS TÉCNICAS
ISO/IEC 27002:2013
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br

Obs.: *Vide norma ISO/IEC 27005.

Não há como a organização tratar todos os riscos; por isso, suas ações de gestão priori-
zarão o que é mais importante, como aquilo que pode vir a impactá-la no que diz respeito à
sua imagem ou a perdas financeiras, por ex.

Seleção de Controles
20m

A norma não é rígida sobre a seleção de controles, o que significa dizer que esses con-
troles podem ser selecionados:

• Da própria norma;
• De outros conjuntos de controles; ou
• De novos controles projetados para atender necessidades específicas, conforme
apropriado.

Por fim, o mapa mental a seguir traz a ISO 27002 com suas várias seções:

�Este material foi elaborado pela equipe pedagógica do Gran Cursos Online, de acordo com a aula
preparada e ministrada pelo professor Jósis Alves.
A presente degravação tem como objetivo auxiliar no acompanhamento e na revisão do conte-
údo ministrado na videoaula. Não recomendamos a substituição do estudo em vídeo pela leitura
exclusiva deste material.

www.grancursosonline.com.br 3