Escolar Documentos
Profissional Documentos
Cultura Documentos
Ouvir: 00:00
Introdução
Para quem estava com saudades, vamos retomar a nossa série especial de temas sobre Segurança da Informação. No artigo de hoje, atendendo a muitos pedidos de
um querido amigo concurseiro, você verá um resumo exclusivo sobre a NBR ISO/IEC 27001:2022.
Vamos explicar tudo para você ao longo do artigo, mas deixamos claro desde já que essa norma brasileira (adaptada da internacional) não é novidade no mundo dos
concursos e da Segurança da Informação. A última versão havia sido publicada em 2013.
Após um hiato de quase 10 anos, houve uma atualização em 2022. Em outras palavras, vamos apresentar neste artigo a versão de 2022 da norma, traduzida do inglês
para o português, para deixar você bem preparado para as próximas provas. Veja o nosso roteiro:
Recomendamos que leia o artigo caso esteja estudando para concursos específicos da área de Tecnologia da Informação (TI) ou concursos gerais que cobrem a
disciplina de Segurança da Informação no edital. Esperamos você nas próximas seções!
O artigo de hoje é um pouquinho mais longo do que o normal. Afinal, como ainda não há muitos materiais de concursos disponíveis sobre a atualização da NBR
ISO/IEC 27001:2022, optamos por fazer algo mais completo para te ajudar bastante na preparação. Vamos começar então?
Os critérios para a composição do SGSI são influenciados pelos objetivos e necessidades organizacionais, requisitos de segurança, processos adotados, além do
tamanho e estrutura. Adicionalmente, os critérios tendem a se modificar com o passar do tempo.
Momento Curiosidade: As siglas ISO e IEC são internacionais, indicando que a norma é um padrão mundial. ISO significa International Organization
for Standardization, enquanto IEC significa International Electrotechnical Commission.
Mais Curiosidade: NBR é abreviação de norma brasileira. Ou seja, a NBR ISO/IEC 27001:2022 é a norma internacional ISO/IEC 27001:2022 adaptada
para o Brasil.
A NBR ISO/IEC 27001:2022 é dividida em uma série de cláusulas e controles de Segurança da Informação, assim como na versão anterior. A maior parte das
mudanças ocorreu nos controles. Vamos falar sobre esses tópicos nas próximas seções. Continue com a gente!
Contexto da Organização: a organização deve analisar problemas relevantes externos e internos, observando como eles afetam o alcance dos resultados do SGSI.
Para a análise, é importante entender as necessidades e expectativas das partes interessadas e determinar o escopo do SGSI.
Liderança: a alta cúpula deve demonstrar liderança e compromisso com o SGSI, além de estabelecer uma Política de Segurança da Informação (PSI) e garantir que
as responsabilidades e as autoridades relevantes para a Segurança da Informação foram atribuídas e comunicadas na organização.
Planejamento: envolve ações para identificar, avaliar e tratar riscos e oportunidades, além de definir os objetivos de Segurança da Informação e estratégias para
alcançá-los. Em caso de eventuais mudanças necessárias no curso do SGSI, estas devem ser encaradas de maneira planejada.
Operação: a organização deve planejar, implementar e controlar os processos, produtos e serviços necessários ao alcance dos requisitos de Segurança da Informação,
incluindo eventuais mudanças relacionadas, além de prover ações destinadas à avaliação e tratamento dos seus riscos.
Você Sabia? Algumas características do Suporte e da Operação aparecem em outras cláusulas, o que pode dificultar um pouco o entendimento. Pense
que o Suporte são elementos diversos para apoiar o SGSI, enquanto a Operação é mais focada nos itens que já estão em produção no momento.
Avaliação de Performance: consiste em atividades que envolvem o monitoramento, medição, análise e avaliação do SGSI, bem como programas de auditoria
interna em intervalos planejados e revisões gerenciais para garantir sua adequação e eficácia contínuas.
Melhorias: a organização deve continuamente melhorar a adequação e a eficácia do SGSI, por meio da identificação de não conformidades, da avaliação da
necessidade de ações para eliminar as suas causas, de forma que não se repitam, e da implementação de medidas corretivas.
Optamos por essa mudança porque a próxima seção já será naturalmente esquematizada, pela própria forma de apresentar as informações. Ou seja, o artigo ficará
bem dinâmico. Esperamos que ele seja útil no seu aprendizado, porque tudo é feito pensando em facilitar a sua vida.
Da mesma forma, as áreas em que os controles estão agrupados também diminuíram: passaram de 14 para somente 4. Vale ressaltar que não há hierarquia entre as
áreas, tampouco entre os controles.
Usamos cookies para melhorar a sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite nossa Política de privacidade.
Á
Figura 2 – Áreas dos Controles na NBR ISO/IEC 27001:2022.
Ou seja, podemos sintetizar que a versão de 2022 foi levemente enxugada, quando comparada à versão de 2013. Porém, a nova versão passou pela atualização de
conteúdo que uma década exige.
Bom, vamos deixar você por alguns instantes com os benditos quadros dos controles. Faça uma primeira leitura atenta, sem desespero, porque teremos notícias boas
lá na frente para ajudar na memorização.
Controles Organizacionais
3 Segregação de Funções
4 Responsabilidades de Gestão
11 Devolução de Ativos
15 Controle de Acesso
16 Gerenciamento de Identidade
17 Informações de Autenticação
18 Direitos de Acesso
28 Coleta de Evidências
33 Proteção de Registros
35 Revisão
Usamos Independente
cookies de Segurança
para melhorar da Informação
a sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite
36 nossa Política de
Conformidade privacidade.
com Políticas, Regras e Padrões de Segurança da Informação
Controles Pessoais
1 Seleção
4 Processo Disciplinar
7 Trabalho Remoto
Controles Físicos
2 Entrada Física
10 Mídia de Armazenamento
11 Utilitários de Suporte
12 Segurança de Cabeamento
13 Manutenção de Equipamento
Controles Tecnológicos
4 Acesso ao Código-Fonte
5 Autenticação Segura
6 Gerenciamento de Capacidade
9 Gerenciamento de Configuração
10 Exclusão de Informações
11 Mascaramento de Dados
12 Prevenção
Usamos cookiesde Vazamento
para melhorardea Dados
sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite nossa Política
13 Backup de privacidade.
de Informações
15 Registro de Logs
Controles Tecnológicos
16 Atividades de Monitoramento
17 Sincronização de Relógio
20 Segurança de Redes
22 Segregação de Redes
23 Filtragem da Web
24 Uso de Criptografia
28 Codificação Segura
30 Desenvolvimento Terceirizado
32 Gerenciamento de Mudanças
33 Informações de Teste
Para você que tem dificuldade com muito conteúdo, aí vai uma dica: procure decorar apenas os Controles Pessoais e os Controles Físicos, porque eles são a minoria.
Na hora da prova, você vai ter 22 deles memorizados, de 2 áreas completas.
Quanto aos Controles Tecnológicos, tente ler o quadro várias vezes e decorar as palavras-chave que aparecem repetidamente e possuem cunho técnico, tais como
dados, teste, redes etc. Na hora da prova, você vai acertar intuitivamente, por saber do que o assunto trata.
Por fim, os Controles Organizacionais são os que sobraram. Se a banca perguntar algum que não consta na lista dos que você decorou, nem está relacionado com os
termos de tecnologia, então só pode fazer parte dos Controles Organizacionais. Ou seja, você consegue acertar por eliminação.
Atenção: Caso o seu concurso tenha prova discursiva, a nossa recomendação é que escolha 3 itens dentre os Controles Tecnológicos e os Controles
Organizacionais para decorar. Se a banca pedir para você citar exemplos de cada uma delas, já vai garantir a questão.
Conclusão
Hoje falamos sobre a nova versão da NBR ISO/IEC 27001:2022. Fique atento, pois há uma tendência forte da atualização da norma brasileira ser cobrada nas
próximas provas de TI que exijam a disciplina de Segurança da Informação. Seja esperto e saia na frente da concorrência!
Recomendamos que você faça muitas questões para treinar os tópicos apresentados. Nem só de teoria vive o concurseiro. Exercícios são fundamentais para fixar o
aprendizado. O acesso ao Sistema de Questões do Estratégia Concursos é feito pelo link: https://concursos.estrategia.com/.
Além dos exercícios, não deixe de revisar o tópico periodicamente. As revisões são um artifício essencial para a memorização do conteúdo. Aproveite o mapa mental
disponibilizado gratuitamente neste artigo, pois ele pode ser um poderoso aliado para turbinar o seu aprendizado.
Por fim, se você quiser aprofundar o conteúdo ou tirar dúvidas específicas, busque o material do Estratégia Concursos. Nós oferecemos diversos cursos em pdf,
videoaulas e áudios para você ouvir onde quiser. Saiba mais por meio do link http://www.estrategiaconcursos.com.br/cursos/.
Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ),
além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012),
DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022) e TCE-RJ (2022). Atualmente exerce o cargo efetivo de Auditora de Controle Externo
– Tecnologia da Informação no Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ), além de ser produtora de conteúdo dos Blogs do Estratégia Concursos,
Usamos
OAB cookiesJurídicas.
e Carreiras para melhorar a sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite nossa Política de privacidade.
Concursos Abertos