Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
As Normas
NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI gesto de SI de SI
NBR ISO/IEC 27002 - Prticas para a NBR ISO/IEC 27005 - Gesto de riscos 27004 e 27003 - Gesto de SI (Medio)
e Guia de Impl. SGSI
0. Introduo 1. Objetivo 2. Referncia normativa 3. Termos e denies 4. Sistema de gesto de segurana da informao
(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao)
5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)
8. Melhoria do SGSI
(Melhoria contnua / Ao corretiva / Ao preventiva)
sexta-feira, 5 de novembro de 2010
Anexos:
Anexo A - normativo: Objetivos de Controles e Controles (27002 - 5 a 15) Anexo B - informativo: Princpios da OECD* Anexo C - informativo: Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010
Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gesto de Segurana da Informao (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
- A adoo de um SGSI estratgica; - Necessidades e objetivos, requisitos de segurana, processos empregados, tamanho e estrutura da organizao direcionam a implementao; - SGSIs mudam ao longo do tempo; - Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas. - Para ns de certicao a 27001 a referncia (antiga BS7799-2).
sexta-feira, 5 de novembro de 2010
- Abordagem de processo: indica processos denidos, geridos e interativos; - Baseada no ciclo PDCA.
sexta-feira, 5 de novembro de 2010
Plan (planejar) - estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Do (fazer) - implementar e operar a poltica, controles, processos e procedimentos do SGSI. Check (checar) - avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresent. os resultados p/ a anlise crtica pela direo. Act (agir) - Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.
sexta-feira, 5 de novembro de 2010
Conformidade: - Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementao e a operao de forma consistente e integrada com normas de gesto relacionadas.
*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental
1.1 Geral: - A norma cobre todos os tipos de organizaes; - Especica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao; - Projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar conana s partes interessadas.
sexta-feira, 5 de novembro de 2010
1.2 Aplicao:
- Os requisitos denidos so genricos e aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza; - A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com a norma; - Excluso de controle considerado necessrio aos critrios de aceitao de riscos precisa ser justicada e evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas; - A menos que tais excluses no afetem a capacidade da organizao, e/ ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.
sexta-feira, 5 de novembro de 2010
O documento a seguir referenciado indispensvel para a aplicao desta Norma: ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. *Ou seja, a 27002
sexta-feira, 5 de novembro de 2010
3.2 disponibilidade Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 condencialidade Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010
3.6 incidente de segurana da informao Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
3.7 sistema de gesto da segurana da informao SGSI A parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao
NOTA O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades, prticas, procedimentos, processos e recursos.
sexta-feira, 5 de novembro de 2010
3.11 anlise de riscos Uso sistemtico de informaes para identicar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
3.13 avaliao de riscos Processo de comparar o risco estimado com critrios de risco predenidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]
3.14 gesto de riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]
3.15 tratamento do risco Processo de seleo e implementao de medidas para modicar um risco
NOTA Nesta Norma o termo controle usado como um sinnimo para medida. [ABNT ISO/IEC Guia 73:2005]
3.16 declarao de aplicabilidade Declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao
NOTA Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.
Requisitos gerais A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela enfrenta.
Estabelecer o SGSI A organizao deve: Denir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justicativas para quaisquer excluses do escopo
sexta-feira, 5 de novembro de 2010
Estabelecer o SGSI A organizao deve: - Denir a abordagem de anlise/avaliao de riscos da organizao (metodologia); - Identicar os riscos (ativos/proprietrios); - Analisar/avaliar riscos (probabilidades e impacto); - Identicar e avaliar as opes de tratamento;
sexta-feira, 5 de novembro de 2010
Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos (anexo A); - Obter aprovao da direo dos riscos residuais propostos; - Obter autorizao da direo para implementar e operar o SGSI; - Preparar uma Declarao de Aplicabilidade (controles aplicveis e justicativas de excluso).
sexta-feira, 5 de novembro de 2010