Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Resumo
O presente trabalho foi realizado no mbito da unidade curricular de Segurana da Informao e apresenta alguns resultados do estudo de duas normas, a ISO/IEC 27000 e a ISO/IEC 27001. A norma 27000 apresenta algum vocabulrio e definies e a norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa Gesto da Segurana da Informao. Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas), 27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto de Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres). Neste trabalho vamos focar a nossa ateno na norma ISO/IEC 27000 e 27001, seguindo uma estrutura que abordar as suas aplicaes e objectivos. Apresentaremos tambm as perspectivas de conciliao entre as duas normas, para mostrar a forma como estas se complementam. Por ltimo so apresentadas algumas concluses a alguns casos prticos da aplicao destas normas.
Sumrio
1. 1.1. 1.2. 2.
Introduo ................................................................................................................................ 4 Apresentao do Tema ........................................................................................................ 4 Organizao e temas Abordados no Presente Relatrio ..................................................... 4 Segurana da Informao......................................................................................................... 5
2.1 Em que consiste a Segurana da Informao? ........................................................................... 5 2.2. 2.3. 2.3.1. 2.3.2. 2.3.3. 2.3.4. 2.3.5. 2.3.6. 3. 3.1. 3.1.1. 3.2. 4. 4.1. 4.2. 4.3. 5. 6. 7. 8. 9. 9.1. 9.2. 9.3. 9.4. 10. 11. 3 Contextualizao da Segurana da Informao ................................................................... 6 Mecanismos de controlo s ameaas .................................................................................. 6 Controlo de Acesso........................................................................................................... 6 Deteco de Intrusos........................................................................................................ 6 Criptografia....................................................................................................................... 7 Assinatura Digital ............................................................................................................. 7 Proteco de Dados Armazenados .................................................................................. 7 Recuperao de Desastres ............................................................................................... 7
Modelos para a Segurana da Informao: a srie ISO/IEC 27000 .......................................... 8 O que um Sistema de Gesto de Segurana de Informao? ......................................... 10 Viso Geral e Princpios .................................................................................................. 10 A abordagem de processos ................................................................................................ 11 A Norma ISO/IEC 27001 ......................................................................................................... 12 Apresentao ..................................................................................................................... 12 Objectivos........................................................................................................................... 12 Aplicao ............................................................................................................................ 13 Perspectiva de conciliao da Norma ISO/IEC 27000 e 27001 .............................................. 14 A famlia da Norma ISO /IEC 27000 ........................................................................................ 17 Alguns casos prticos da Implementao da Norma ISO/IEC 27001 ..................................... 18 Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20 Certificao............................................................................................................................. 22 O que a certificao? ....................................................................................................... 22 Como acreditada uma entidade certificadora?............................................................... 22 Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22 O que a certificao de um sistema de gesto? .............................................................. 22 Concluses.......................................................................................................................... 24 Referncias Bibliogrficas .................................................................................................. 25
1. Introduo
O objectivo deste trabalho perceber mais profundamente o conceito de Segurana de Informao. Neste contexto pareceu-nos interessante trabalhar com a temtica das Normas ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propsito para o desenvolvimento de um Sistema de Gesto de Segurana da Informao (SGSI) nas Organizaes, o que importante tendo em conta a quantidade de informao que actualmente produzida e armazenada nas organizaes. Um SGSI envolve todas as actividades de gesto e as estruturas de suporte gesto relevantes para a segurana da informao.
1.1.
Apresentao do Tema
Actualmente a informao considerada a chave dos negcios de uma organizao, devido sua utilidade e importncia. A problemtica da Segurana da Informao est associada com a crescente dependncia das empresas em Sistemas de Informao e Tecnologias da Informao. Reconhecendo o valor da informao, as organizaes devem certificar-se de que a gerem de forma eficaz. O SGSI permite uma gesto dos riscos da segurana da informao para garantir que a informao no negada nem se tornar indisponvel, no ser perdida, destruda ou danificada, divulgada sem autorizao ou at mesmo roubada.
2.3.
Na Segurana da Informao existem alguns mecanismos para preservar a informao, de forma a garantir a sua disponibilidade, confidencialidade, integridade e autenticidade, estes mecanismos so designados por mecanismos de controlo s ameaas.
2.3.3. Criptografia
A criptografia a arte de codificao que permite a transformao reversvel da informao de forma a torn-la inteligvel a terceiros. Esta utiliza determinados algoritmos numa chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados.
Controlar meio de gesto de risco, incluindo as polticas de procedimentos, directrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou de natureza legal; Aco correctiva aco para eliminar a causa de uma no conformidade detectada ou outra situao indesejvel; Directriz recomendao do que esperado que seja feito a fim de alcanar um objectivo; Segurana da Informao preservao da confidencialidade, integridade e disponibilidade das informaes Sistema de Gesto de Segurana de Informao parte do sistema de gesto global, com base numa abordagem de risco de negcio, para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurana da informao. Risco de Segurana da Informao potencial que uma ameaa explore uma vulnerabilidade de um activo ou grupo de activos e, assim, causar danos organizao; Integridade propriedade de proteger a exactido de activos; Sistema de Gesto mbito das polticas, procedimentos, directrizes e recursos associados para alcanar os objectivos de uma organizao; Poltica inteno e direco geral como formalmente expressas pela gesto; Processo conjunto de actividades inter-relacionadas ou interactivas que transformam insumos em produtos; Risco- combinao da probabilidade de um evento e das suas consequncias; Evento ocorrncia de um determinado conjunto de circunstncias; Anlise de risco uso sistemtico de informaes para identificar fontes e estimar a ocorrncia de um risco; Gesto de risco actividades coordenadas para dirigir e controlar uma organizao em relao a um determinado risco; Ameaa causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou entidade; Vulnerabilidade fraqueza de um activo ou controlo, que pode ser explorado por ameaa.
3.1.
Um Sistema de Gesto de Segurana da Informao (SGSI) fornece um modelo para o estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria da proteco dos activos de informao com vista a alcanar os objectivos propostos por uma organizao com base numa correcta avaliao e gesto dos riscos inerentes a uma organizao. A implementao bem sucedida de um SGSI depende da anlise dos requisitos para a proteco dos activos da informao, assim como dos controlos adequados para garantir essa proteco.
10
3.2.
A abordagem de processos
Um processo a transformao de entradas em sadas que utilizam um conjunto de actividades interrelacionadas ou em interaco. A sada de um processo pode automaticamente dar incio a um novo processo, isto feito normalmente de forma planeada e em condies controladas. Na famlia de normas de SGSI, a abordagem do processo para o SGSI baseia-se na explorao do princpio adoptado nas normas ISO de gesto do sistema, conhecido como processo PDCA: Plan Do Check Act. PLAN - Planear significa estabelecer os objectivos e fazer planos (analisando a situao da organizao, estabelecendo os objectivos e desenvolvendo planos para os alcanar). DO - Os planos so postos em prtica e implementados (fazer o que foi planeado para fazer). CHECK - Verificao dos resultados (monitorizao da realizao dos objectivos planeados). ACT - As actividades so corrigidas e melhoradas (aprender com os erros). A implementao de um SGSI tem como principal resultado a reduo dos riscos de segurana da informao, ou seja, reduzir a probabilidade de ocorrerem incidentes a nvel de segurana da informao e consequentemente reduzir os seus impactos. Um SGSI para ser passvel de ser certificado tem de obedecer a um conjunto de requisitos definidos pela norma ISO/IEC 27001, estes requisitos podem ser classificados como obrigatrios ou selectivos.
11
Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para especificar os requisitos para o estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria de um SGSI, dentro do contexto dos riscos de negcio de uma organizao. A certificao no um requisito obrigatrio da norma ISO/IEC 27001, uma deciso da organizao. No entanto, dezoito meses aps a sua publicao mais de 2000 organizaes de mais de 50 pases foram certificadas e o crescimento nesta rea tem vindo a aumentar.
Antes da implementao desta norma num sistema convm pensar em algumas questes: Quanto custar uma falha que implique uma perda efectiva de informao? Quais as consequncias da utilizao da informao por pessoas que dela possam fazer uso indevido e no autorizado? Qual o custo da diminuio da produtividade por erros, falhas de sistema ou utilizao de informao errada? Qual o peso da ocorrncia de incidentes sobre as informaes de uma organizao? Em que se deve fundamentar uma organizao para fazer uma avaliao dos riscos? Quais as principais reas que uma organizao tem de considerar a fim de alcanar uma implementao de SGSI de sucesso?
4.2.
Objectivos
Esta norma foi estabelecida com o mbito de ser utilizada em conjunto com a ISO/IEC 17799 e pretende assegurar a seleco de controlo de segurana adequado e proporcional. As organizaes que optam pela certificao sentem a necessidade de melhorar a segurana das suas informaes devido a uma utilizao cada vez maior de TI e percepo do aumento do risco. A implementao da norma 27001 faz com que as organizaes devam manter o seu foco nas necessidades do negcio e considerar a segurana da informao como parte integrante dos objectivos de negcio para realizar a gesto dos riscos. A norma ISO/IEC 27001 universal para todos os tipos de organizaes (comerciais, governamentais, com ou sem fins lucrativos, entre outras) e especifica os requisitos para a implementao de controlos de segurana personalizados consoante as necessidades de uma organizao.
12
4.3.
Aplicao
A certificao em conformidade com a norma ISO/IEC 27001 normalmente envolve um processo de auditoria em duas fases: 1 Fase Reviso linear da documentao chave bem como da poltica de segurana da organizao, declarao de aplicabilidade (SOA) e plano de tratamento de risco (PTR). 2 Fase Realizao de uma auditoria em profundidade envolvendo o controlo do SGSI declarado no SOA e PTR, bem como a documentao de suporte. A renovao do certificado envolve algumas revises peridicas confirmando que o SGSI continua a trabalhar como era desejado.
13
1 - O Modelo PDCA
14
PLAN (PLANEAR) Estabelecimento de polticas, objectivos, processos e procedimentos relevantes para a administrao do risco e para a melhoria da Segurana da Informao. Planeia os resultados de acordo com a estratgia da organizao. DO (FAZER/IMPLEMENTAR/OPERAR) Implementao e operacionalizao das polticas de controlo, processos e procedimentos do Sistema. CHECK (VERIFICAR/MONITORIZAR/REVER) Inspeco da performance dos processos em comparao com as polticas e objectivos de um SGSI. Estes resultados devem ser reportados gesto para anlise. ACT (AGIR/MANTER/OPTIMIZAR) Tomada de aces correctivas e preventivas, baseadas nos resultados das auditorias internas do SGSI e demais informaes provenientes da gesto ou demais fontes relevantes.
O resultado do processo PDCA a correcta gesto dos Sistemas de Segurana da Informao, tendo como base as expectativas e necessidades de uma organizao.
A Gesto dos riscos um dos aspectos chave da norma ISO/IEC 27001, uma avaliao dos riscos uma das exigncias desta norma. Como resultado da avaliao de riscos, deve ser feita uma lista dos riscos identificados, classificados em ordem de gravidade para posteriormente serem tomadas medidas. O processo de gesto dos riscos existe devido ao constante surgimento de novas ameaas aptas a explorar as vulnerabilidades dos activos da informao, o que exige que se tomem algumas medidas de preveno. Os resultados da anlise dos riscos devero ajudar a direccionar e determinar quais as aces de controlo mais apropriadas para a gesto desses riscos. A avaliao dos riscos deve ser feita tendo em conta uma anlise de custo-benefcio, para revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa probabilidade de ocorrer e o seu custo de tratamento elevado, no compensa essa tomada de deciso.
15
Aps o processo de anlise e avaliao dos riscos, existem vrias opes para o seu tratamento: Aplicar medidas de segurana: escolher as medidas mais apropriadas para reduzir o custo; Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta poltica de segurana da organizao; Evitar o risco: no permitir aces que possam sequer causar a ocorrncia de riscos; Transferir o risco: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Estas medidas so definidas pela norma ISO/IEC 27002, que d suporte ao desenvolvimento de planos de segurana e orienta de melhor forma a Gesto da Segurana da Informao.
16
A norma ISO 27002 a partir de Julho de 2007 o novo nome da norma ISO 17799. Esta norma um guia de boas prticas que descreve os objectivos de controlo e os controlos recomendados para a Segurana da Informao. A norma ISO 27001 contm alguns anexos que resumem alguns destes controlos.
A norma ISO 27003 aborda algumas directrizes para a implementao de Sistemas de Gesto de Segurana da Informao e contem informaes sobre como usar o modelo PDCA e os requisitos das suas diferentes fases, ou seja, ir fornecer uma abordagem de processos orientada para o sucesso da implementao de um SGSI de acordo com a norma ISO/IEC 27001. A norma ISO 27004 especifica mtricas e tcnicas de medio aplicveis para determinar a eficcia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a Segurana da Informao. Estas mtricas so usadas principalmente para medir os componentes da fase CHECK do ciclo PDCA. A norma ISO 27005 estabelece directrizes para a gesto de risco em Segurana da Informao, fornecendo indicaes para implementao, monitorizao e melhoria contnua do sistema de controlos. Para compreendermos melhor esta norma importante perceber os conceitos, modelos e processos descritos nas normas ISO 27001 e ISO 27002. A norma 27005 aplicada a todos os tipos de organizaes que se destinam a gerir os riscos que possam comprometer a segurana das suas informaes. A norma ISO 27006 especifica requisitos e fornece orientaes para os organismos que prestem servios de auditoria e certificao de um SGSI.
17
Japo Reino Unido ndia Taiwan China Alemanha Repblica Checa Coreia Estados Unidos da Amrica Itlia Espanha Hungria Malsia Polnia Tailndia Grcia Irlanda ustria Turquia Frana Hong Kong Austrlia Singapura Crocia Eslovnia Mxico Eslovquia Brasil
Holanda Arbia Saudita Emirados rabes Unidos Bulgria Iro Portugal Argentina Filipinas Indonsia Paquisto Colmbia Federao Russa Vietname Islndia Kuwait Canad Noruega Sucia Sua Bahrain Peru Chile Egipto Om Qatar Sri Lanka frica do Sul Repblica dominicana Marrocos
24 24 19 18 18 18 17 16 15 15 14 14 14 13 11 10 10 10 9 8 7 5 5 5 5 5 5 4 4
Blgica Gibraltar Litunia Macau Albnia Bsnia Herzegovina Chipre Equador Nova Jrsia Cazaquisto Luxemburgo Macednia Malta Mauritnia Ucrnia Armnia Bangladesh Bielorrssia Bolvia Dinamarca Estnia Quirguisto Lbano Moldvia Nova Zelndia Sudo Uruguai Imen Total
3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 7940
18
Organismos de Certificao
19
Avaliao de qualificaes e experincia; Avaliao Escrita e Oral (esta ltima aplicvel apenas aos graus Auditor Coordenador e Auditor).
SGS ICS Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para acompanhar as organizaes nos seus processos de Certificao, satisfao do cliente e melhoria contnua. A SGS ajuda as organizaes a desenvolver polticas de segurana das informaes e a fazer a gesto de riscos por meio de sistemas e normas como a ISO 27001. DNV - Det Norske Veritas uma fundao independente que tem como principal competncia identificar, avaliar e aconselhar as organizaes para a gesto de risco, sendo o seu foco a segurana e a responsabilidade de melhorar o desempenho das organizaes. Esta entidade utiliza a norma ISO 27001 que o padro de segurana internacional formal contra a qual as organizaes podem procurar a certificao independente do seu SGSI. Ele especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar um SGSI, utilizando uma abordagem de melhoria contnua.
20
BVC - Bureau Veritas Certification O Bureau Veritas Certification lder mundial em servios de certificao com mais de 80 000 empresas certificadas em 140 pases e reconhecido por mais de 40 Organismos de Acreditao nacionais e internacionais para a certificao segundo o referencial ISO 9001. Esta entidade certifica tambm de acordo com a norma 27001.
Nome da Organizao ARENA MEDIA Caixa Econmica de Cabo Verde Departamento de Jogos da Santa Casa da Misericrdia de Lisboa (DJSCML) ENAME S.A. HAVAS SPORT & ENTERTAINMENT INSTITUTO DE INFORMTICA, I.P. INTEGRITY S.A. LATTITUDE Maksen Consulting, S.A. MEDIA CONTACTS MOBEXT MPG ONE TO ONE Ponto.C Desenvolvimento de Sistemas de Informao, Lda. Portugalmail SA TV Cabo Portugal VORTAL COMRCIO ELECTRNICO CONSULTADORIA E MULTIMEDIA SA ZON TV CABO PORTUGAL, SA
Nmero da Certificao 83889CC2-2010-AISIBE-UKAS IS 524281 GB11/82769 83889CC6-2010-AISIBE-UKAS 3896769 GB12/85456 83889CC3-2010-AISIBE-UKAS PT001307 83889CC9-2010-AISIBE-UKAS 83889CC10-2010-AISIBE-UKAS 83889CC13-2010-AISIBE-UKAS 83889CC8-2010-AISIBE-UKAS GB11/83230 12/86073 202194 IS 515264 202194
Norma de Certificao ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005
SGS United Kingdom Ltd DNV Bureau Veritas Certiifcation SGS United Kingdom Ltd DNV Bureau Veritas Certiifcation DNV DNV DNV DNV SGS United Kingdom Ltd SGS United Kingdom Ltd Bureau Veritas Certiifcation
21
9. Certificao 9.1.
O que a certificao?
A certificao uma declarao formal que exprime a veracidade de terminado contexto. emitida por uma organizao certificadora, organizao essa que tem credibilidade e autoridade moral e legal. Uma das suas exigncias que esta seja formal, isto , deve ser feita seguindo um ritual e ser corporificada num documento3. A certificao segue a avaliao de um determinado processo, sistema ou produto segundo normas e critrios que visa verificar o cumprimento dos requisitos, conferindo um certificado com o direito de uso de uma marca de conformidade associada ao produto ou imagem institucional se os requisitos estiverem plenamente atendidos. Segundo a BSI Brasil, Certificao o processo no qual uma terceira parte acreditada visita uma organizao, audita o seu sistema de gesto e emite um certificado para demonstrar que esta obedece aos princpios definidos na norma e que segue a melhor prtica da indstria. O certificado o documento que corporifica a certificao.
9.2.
Todos j sabemos que as organizaes para serem acreditadas em certo servio precisam de ser certificadas por uma entidade superior que as certifique. Esta acreditao de uma entidade certificadora conferida por organismos independentes, que tm como objetivo reconhecer as competncias dessas entidades, num determinado setor ou mbito, ou at um determinado produto de acordo com referncias internacionais j estabelecidas.
Quem tem autoridade para certificar as autoridades certificadoras? Em Portugal, a principal entidade acreditadora, desde 2004 o Instituo Portugus de Acreditao (IPAC). A APCER, tambm uma empresa certificadora em Portugal de elevada relevncia (j mencionada acima).
9.3.
9.4.
um processo a partir do qual se verifica e avalia a conformidade do (s) sistema (s) implementados, relativamente norma em referncia, neste caso a ISO 27001 e s organizaes que pretendem obter a certificao. O processo envolve algumas fases onde se pode destacar a Auditoria de Certificao. As empresas com sistemas certificados asseguram uma melhor prestao de servios, porque os seus sistemas esto implementados e a funcionar de acordo com os requisitos da (s) norma (s) de certificao.
3
22
A certificao uma deciso da organizao, principalmente uma opo estratgica no sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da organizao. As empresas certificadas tm diversas vantagens: melhoria do prestgio e da imagem; aumento da competitividade e entrada em novos mercados; aumento da confiana dos trabalhadores, clientes e administrao; cultura da melhoria contnua; reduo de custos; preveno e minimizao de aspetos, perigos e de acidentes. A certificao comea a tornar-se uma imposio do mercado nacional e internacional, que muitas vezes impem a condio de determinados produtos estarem certificados para serem colocados no mercado, o que tem crescido bastante com a globalizao. A certificao de uma organizao temporria, todas as normas so reavaliadas periodicamente por deciso do organismo internacional de normalizao e responsvel pela publicao da maior parte dos referenciais normativos reconhecidos internacionalmente (ISO). Os certificados emitidos tm um prazo ao fim do qual todo o processo de certificao reiniciado. Durante cada ciclo de certificao a entidade certificadora faz visitas regulares empresa, no sentido de confirmar que os requisitos continuam a ser cumpridos. A entidade sujeita a avaliaes peridicas durante o perodo de validade dos certificados e o grau de gravidade ou a importncia das no conformidades detetadas no decorrer destas, podem levar suspenso da certificao ou mesmo perda do certificado.
23
10.Concluses
Com a realizao deste trabalho percebemos quais os mecanismos de controlo s ameaas, incidindo sobre o controlo de acesso, a deteco de intrusos, a criptografia, a assinatura digital, a proteco de dados armazenados e a recuperao contra desastres. O estudo das normas ISO 27000 e 27001 consiste em perceber os pressupostos relacionados com a Segurana da Informao. Esta temtica actualmente tem bastante importncia, uma vez que se fala muito em ataques de hackers e crackers contra plataformas digitais, tentando aceder a informaes confidenciais. A informao um bem com bastante valor para as organizaes e necessita de ser convenientemente protegida, no sentido de manter a sua confidencialidade, disponibilidade, integridade e autenticidade. Na nossa pesquisa conseguimos analisar as normas com bastante clareza e identificar o que caracteriza cada uma, sendo que a norma ISO 27000 nos d alguns termos e definies e a norma ISO 27001 adopta uma abordagem de processos para o estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao.
24
11.Referncias Bibliogrficas
XISEC PUBLICATIONS. Disponvel em: http://www.xisec.com/ISMS_Publications.html COMUINIDADE PORTUGUESA DE SEGURANA DA INFORMAO. Disponvel em: http://ismspt.blogspot.pt/2005/11/organizaes-certificadas-quase-atingir.html CERTIFICATION EUROPE. Disponvel em: http://certificationeurope.com/iso-27001information-security/ INTERNATIONAL REGISTER OF http://www.iso27001certificates.com/ ISMS CERTIFICATES. Disponvel em:
BERALDO, Joo Bosco; CAMARGO, Joo F. F. de; Segurana da Informao. Disponvel em: http://www.bcinfo.com.br/docs/doc4.pdf International Standard ISO/IEC 27001: Information technology -Security techniques Information security management systems Requirements. Disponvel em:http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISOIEC-27001.pdf International Standard ISO/IEC 27000: Information technology -Security techniques Information security management systems Overview and vocabulary. Disponvel em: http://www.dcag.com/images/ISO_IEC_27000.pdf LAUREANO, Marcos; Gesto de Segurana da Informao, 2005. Disponvel em: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf MOREIRA, Ademilson; A importncia da segurana da informao, 2008. Disponvel em: http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_inform acao SMOLA, Marcos; A importncia da Gesto da Segurana da Informao. Disponvel em: http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf SILVA FILHO, Antnio Mendes da; Segurana da Informao: Sobre a Necessidade de Proteo de Sistemas de Informaes in Revista Espao Acadmico, n42, 2004. Disponvel em: http://www.espacoacademico.com.br/042/42amsf.htm
25