Alinhando ABNT-NBR-ISO/IEC e para a Administração Pública -USP

Tamanho: px
Começar a partir da página:

Download "Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP"

Transcrição

1 Alinhando ABNT-NBR-ISO/IEC e para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), , Resumo Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras. Palavras-Chave (exemplo): Segurança Computacional, NBR e NBR27001, Norma Técnica, Brigada de Segurança da Informação. 1. Introdução Inicialmente devemos esclarecer o porquê de adotarmos determinadas normas, para posteriormente entendermos a sua abrangência e a sua aplicabilidade. Após este entendimento do porque adotarmos ações condizentes com as normas, passaremos a observar a norma sobre a analise dos grandes grupos de ação abrangidos tanto pela NBR como pela NBR Posteriormente apresentaremos uma ferramenta de trabalho que facilita a visualização da situação na qual o instituto encontra-se parametrizado com a norma e os objetivos propostos para adaptação das operações com as exigências normativas. Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na atuação de uma tarefa. As normas em estudo buscam tornar o ambiente computacional das empresas, neste caso os institutos ou órgãos ligados à USP, mais seguros com relação à mitigar os incidentes computacionais, além de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem. 1.1 Motivação para um ambiente seguro. Aplicar normas de segurança em um ambiente computacional, é mais do que modismo, é uma forma de garantir a existência de coerência nas ações dos coordenadores e executores das tarefas de administração dos ambientes computacionais. Adotar padrões reconhecidamente eficientes minimiza-se problemas de incidentes relacionados às operações sustentadas por computadores. Inicialmente devemos entender que informação é um dos ativo de uma empresa/instituto. Como ativo, a informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, imagem, também são ativos, todos devem ser preservados e mantidos pelo valor que todos representam. Aqui, mais do que em qualquer lugar, o conhecimento é o ativo, além de ativo, conhecimento é o produto que a universidade comercializa. É na transferência deste conhecimento que reside a sua missão, assim como também é sua missão, gerar mais conhecimento. O conhecimento gerado na USP está nas pessoas, mas também está nos computadores, sejam servidores ou computadores pessoais, sendo nos computadores que armazenamos estes ativos/conhecimentos. É no ambiente computacional que é armazenado, manipulado, organizado, construído e disponibilizado grande parte deste ativo/conhecimento. Defender de ataques externos e ataques internos é o objetivo da segurança computacional 1.2 Tecnologia por si só não garante segurança da informação, diz estudo Módulo Security News-30 Out Os dois itens mais importantes na hora de manter as informações da empresa em segurança são: a elaboração de políticas de segurança e o gerenciamento de suporte adequados, seguido do nível de conscientização dos funcionários. Este é o resultado de um estudo conduzido pela ONG educacional especializada em certificar profissionais de segurança The International Information Systems Security Certification Consortium, em parceria com a consultoria IDC.

2 1.3 Nova Arquitetura para segurança de rede. Proteger estruturas computacionais com aplicação de barreiras por camadas é o modelo mais usual para a blindagem das informações e dos recursos da rede. Com grande parte dos serviços e ambientes computacionais suportado pela ethernet, novos modelos de barragens estão sendo propostos. Segurança por zona em três camadas, (ISSA Journal, abril 2006) O modelo que apresentarei é uma nova abordagem arquitetônica para este bloqueio. A proposta encontrada em publicações específicas, apresenta uma nova forma de blindar os serviços e os recursos. Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso facilitando os serviços de controle e manutenção desta barreira. Ao virtualizar o data center, estas barreiras facilitam o planejamento de ações minimizando os recursos oferecidos aos essencialmente necessários. Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006) 2. Entendendo a NBR Linha do Tempo da Norma ISO /IEC 17799:2000 & ISO/IEC 27001:2005 Um breve histórico da evolução da norma até chegar a ISO 27001: : publicada a primeira versão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada a primeira versão da BS (BS : Sistema de gestão da Segurança da Informação - Especificações e guia para uso) : publicada uma revisão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada a primeira versão da norma ISO/IEC (ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) : publicada a primeira versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada revisão da norma BS 7799 parte 2 (BS7799-2: Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação); - Outubro/2005: publicada a norma ISO (ISO/IEC 27001: Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). 2.1 Tópicos Relevantes da ABNT NBR ISO/IEC Segurança para sistemas de informações foi um dos primeiros itens a definirem padrões. A gerência de segurança da informação visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados. A NBR ISO IEC 17799:2005 é um código de práticas de gestão de segurança da informação. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores. 2.2 Os objetivos explícitos desta norma são: Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Em sua documentação a ABNT NBR-ISO/IEC :2005 aborda 11 tópicos principais: 1. Política de segurança - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança. 2. Segurança organizacional - aborda a estrutura de uma gerência para a segurança de informação, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de serviços.

3 3. Classificação e controle de ativos de informação - trabalha a classificação, o registro e o controle dos ativos da organização. 4. Segurança em pessoas - tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Também é abordada a inclusão de responsabilidades relativas à segurança na descrição dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança. 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infraestrutura de tecnologia de Informação. 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de sistemas, gerência de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de backup, controle de documentação, segurança de correio eletrônico, entre outras. 7. Controle de acesso - aborda o controle de acesso a sistemas, a definição de competências, o sistema de monitoração de acesso e uso, a utilização de senhas, dentre outros assuntos. 8. Desenvolvimento e manutenção de sistemas - são abordados os requisitos de segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do desenvolvimento e suporte de sistemas. 9. Gestão de incidentes de segurança - incluída na versão 2005, apresenta dois itens: Notificação de fragilidades e eventos de segurança da informação e gestão de incidentes de segurança da informação e melhorias. 10. Gestão da continuidade do negócio - reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado. 11. Conformidade - aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes. 3. Entendendo a NBR Processo de Gestão A abordagem de processo para a gestão da segurança da informação apresentada nesta norma encoraja que seus usuários enfatizem a importância de: a-) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação; b-) implantação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização; c-) monitoração e analise crítica do desempenho e eficácia do SGSI; e d-) melhoria contínua baseada em medições objetivas. Para a execução e implantação desta norma, é sugerido uma atuação baseada no modelo PDCA. "Plan-Do-Check-Act"(PDCA) Plan Planejar Estabelecer o SGSI Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Do Fazer Implementar e Operar o SGSI - Implementar e operar as políticas, controles, processos e procedimentos do SGSI. Check Checar/Monitorar/Analisar Criticamente Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiências práticas do SGSI e apresentar os resultados para a analise crítica pela direção. Act Agir Manter e melhorar o SGSI Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. (ABNT ISO/IEC-27001) 3.1 Norma ABNT NBR ISO/IEC A nova família da série ISO IEC está relacionada com os requisitos mandatários da ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados. (Módulo Security- acesso 01/11/ Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI- Sistema de Gerenciamento da Segurança da Informação, de uma organização. Para esta abordagem, a norma orienta à observação de um conjunto de ações e tarefas. Estas ações devem ser planejadas visando à eficiência de sua aplicação. Destaco como pontos importantes para a aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser

4 discutidas e aperfeiçoadas em conjunto com os usuários envolvidos. Assim o sendo, a aplicabilidade torna-se um consenso e uma regra apoiada por todos. Obter o envolvimento e aprovação da direção é outro ponto fundamental para a adoção da regra. 3.2 Tabela dos principais requisitos referenciados na ABNT-NBR O planejamento das ações relativas à norma deve atender a um conjunto de requisitos. Na tabela a seguir apresento alguns destes macro requisitos. Requisitos gerais Estabelecendo e Gerenciando o SGSI Estabelecer o SGSI Implementar e operar o SGSI Monitorar e analisar criticamente o SGSI Manter e melhorar o SGSI. 4.3 Requisitos de Documentação A documentação de SGSI deve incluir. (disponibilize, publique, torne público) Controle de documentos. (disponibilize, publique, torne público) Controle de registros 5 Responsabilidade da direção. 5.1 Comprometimento da direção 5.2 Gestão de Risco Provisão de Recursos Treinamento, conscientização e competência 6 Auditorias internas. 6.1 Questões a serem auditadas. 7 Analise crítica do SGSI. 7.1 Analisar com periodicidade, ao menos uma vez por ano Entradas para analise crítica. 7.3 Saídas da analise crítica. 8 Melhoria do SGSI. 8.1 Melhoria continuada. 8.2 Ação corretiva. 8.3 Ação preventiva. Estes macro requisitos devem ser observados e seguidos para a composição do SGSI. 4. Ferramenta para trabalhar normalizado Elaborar um plano sobre segurança da informação requer uma metodologia. A metodologia aqui apresentada relaciona as ações identificadas nas normas e as ações identificadas no ambiente foco da ação. Obter com clareza as ações necessárias, as ações emergenciais, as ações facilitadoras, permite o planejamento do SGSI. A ferramenta proposta, além de facilitar a visualização, facilita o acompanhamento e a localização das etapas já decorridas do SGSI. Desenhar um mapa com estes requisitos, seus desdobramentos, suas ações, as ações já implantadas as em implantação as primordiais, as polêmicas, facilita as decisões necessárias. 4.1 Preparação dos Requisitos O mapa conceitual destes requisitos deve refletir a ligação entre as ações identificadas e os requisitos descritos nas normas. Utilizando de cores, símbolos, marcas, sinais e outros, o mapa torna claros os objetivos do plano de ação. 4.2 Preparação do Mapa O Mapa Conceitual construído a partir destes requisitos deve refletir a ligação entre as ações identificadas e os requisitos normativos. A construção do Mapa de Segurança deve observar a área sobre a qual se quer atuar, levando-se em conta a mais abrangente e completa avaliação como foco do levantamento e desenho do SGSI. Para a construção do SGSI observamos a mais completa avaliação para mapearmos a área de atuação desejada. Devemos também planejar as etapas de implantação seguimentando o Mapa de Atuação, de uma forma aplicável levando-se em conta sempre o grau de maturidade existente no ambiente de sua aplicação, Não ser mais realista que o Rei, identificada no levantamento do mapa da situação atual de maturidade para segurança. O Mapa deve conter informações que permitam identificar ações facilitadoras para a pulverização da cultura de segurança da informação como a construção de uma Brigada de Segurança da Informação nos moldes de uma brigada de incêndio, com o objetivo de Pulverizar e Conscientizar sobre as práticas de segurança da Informação. Deve constar no Mapa às ações de divulgação planejadas para atingir as etapas previstas no SGSI, devendo ainda desenhar os modelos de Documentos Padrão que objetivam a divulgação bem como os locais de afixação destes avisos facilitando a pulverização dos conceitos de segurança. Deverá ainda conter o plano de treinamento que será aplicado, contendo conteúdos, públicos alvos e possíveis datas para estas ações. Ao planejarmos os treinamentos, devemos fazê-lo para todos os níveis e todos os envolvidos, Docentes, Discentes, Funcionários. Todas estas ações deverão estar contidas no mapa de forma clara e objetiva, tornando-se uma ferramenta de trabalho e planejamento do SGSI. Ao término desta fase devemos ter em mãos dois mapas, um relativo aos itens abrangidos pela normalização e um outro construído pela avaliação do escopo pretendido com a geração destas regras, o SGSI.

5 4.3 Construção do Mapa Para a construção do mapa conceitual deve-se partir pelo objeto a ser construído, o SGSI, qual deve conectar-se aos requisitos exigidos pelas normas. A junção dos dois Mapas apresentará um mapa onde facilita a localização das ações do plano e os requisitos das normas. Podemos então, utilizando-se de cores, símbolos, marcas, sinais e outros métodos demarcadores de posição, utilizar o mapa com uma ótica mais clara para qualquer leitor, dos objetivos do plano de ação. 4.3 Aplicação do Mapa O Mapa de Segurança como ferramenta para rápida visualização do SGSI adotado, deve ficar exposto em lugar visível e de fácil acesso aos envolvidos diretamente na implantação do SGSI, assim como poderá ser apresentado etapa por etapa aos demais membros da comunidade envolvida na implantação do SGSI. 5. Conclusão Administrar ambientes computacionais implica em atender as normas e diretrizes da organização. A não conformidade às normas ou o descumprimento ou a não observância implica em penalização legal por omissão a estas. A alegação de desconhecimento não tem valor legal. Referências ABNT NBR ISO/IEC27001 de 03/2006 ABNT NBR ISO/IEC17799 de 2001 ABNT NBR ISO/IEC :2004 ABNT NBR ISO/IEC TR :2004 ABNT NBR ISO/IEC Guia 73:2005] ISSA-Information System Security Association Journal. Módulo Security News -visitado em 30 Out bjid=4885&pagecounter=0&idiom=0 Anexo 1 Vocabulário referencial para SI Ativo qualquer coisa que tenha valor para a organização. [ISO/IEC :2004] Disponibilidade propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC :2004] Confiabilidade propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC :2004] Segurança da informação preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] Evento de segurança da Informação uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR :2004] Incidente de Segurança da Informação um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR :2004] SGSI Sistema de gestão da segurança da informação a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos). Integridade propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC :2004] Risco residual risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] Aceitação do risco decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005] Análise de riscos uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] Análise/Avaliação de riscos processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005] Avaliação de riscos processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005] Gestão de risco atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] Tratamento do risco processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005] Declaração de aplicabilidade declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM SISTEMA DE GESTÃO AMBIENTAL: ISO 14001 Material Didático: IBB 254 Gestão Ambiental / 2015 Conceitos Gerais A gestão ambiental abrange uma vasta gama de questões, inclusive aquelas com implicações estratégicas

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

ESTRUTURA ISO 9.001:2008

ESTRUTURA ISO 9.001:2008 Sistema de Gestão Qualidade (SGQ) ESTRUTURA ISO 9.001:2008 Objetivos: Melhoria da norma existente; Melhoria do entendimento e facilidade de uso; Compatibilidade com a ISO 14001:2004; Foco Melhorar o entendimento

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Código: PO01 Tribunal Regional do Trabalho da 18ª Região Comissão de Segurança da Informação Núcleo de Governança Corporativa de TIC Setor de Segurança da Informação Revisão: 1.1 Vigência: 29/01/2016 Classificação:

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Preparando a Implantação de um Sistema de Gestão da Qualidade

Preparando a Implantação de um Sistema de Gestão da Qualidade Preparando a Implantação de um Projeto Pró-Inova - InovaGusa Ana Júlia Ramos Pesquisadora em Metrologia e Qualidade e Especialista em Sistemas de Gestão da Qualidade 1. Gestão Gestão Atividades coordenadas

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

MUDANÇAS NA ISO 9001: A VERSÃO 2015

MUDANÇAS NA ISO 9001: A VERSÃO 2015 MUDANÇAS NA ISO 9001: A VERSÃO 2015 Está em andamento o processo de revisão da Norma ISO 9001: 2015, que ao ser concluído resultará na mudança mais significativa já efetuada. A chamada família ISO 9000

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

CICLO DE EVENTOS DA QUALIDADE

CICLO DE EVENTOS DA QUALIDADE Maio de 2003 CICLO DE EVENTOS DA QUALIDADE Dia 12/05/2003 Certificação e homologação de produtos, serviços e empresas do setor aeroespacial,com enfoque na qualidade Dia 13/05/2003 ISO 9001:2000 Mapeamento

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Comandar muitos é o mesmo que comandar poucos. Tudo é uma questão de organização. Controlar muitos ou poucos é uma mesma

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004 QSP Informe Reservado Nº 41 Dezembro/2004 Sistemas de Gestão O QUE MUDOU COM A NOVA ISO 14001:2004 Material especialmente preparado para os Associados ao QSP. QSP Informe Reservado Nº 41 Dezembro/2004

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

livros indicados e / ou recomendados

livros indicados e / ou recomendados Material complementar. Não substitui os livros indicados e / ou recomendados Prof. Jorge Luiz - 203 Pág. SISTEMA DE GESTÃO DA QUALIDADE - SGQ Sistema de Gestão da Qualidade SGQ é a estrutura a ser criada

Leia mais

Vital para a Competitividade da sua Organização

Vital para a Competitividade da sua Organização ISO 27001 Segurança da Informação Vital para a Competitividade da sua Organização Quem Somos? Apresentação do Grupo DECSIS Perfil da Empresa Com origem na DECSIS, Sistemas de Informação, Lda., fundada

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Uso Exclusivo em Treinamento

Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br ABNT NBR ISO 9001:2008 Uso Exclusivo em Treinamento SUMÁRIO 0. Introdução 2 0.1 Generalidades 2 0.2 Abordagem de processo 3 0.3 Relação com a norma NBR ISO 9004 5 0.4

Leia mais

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação e Comunicações Núcleo de Segurança da Informação Código: NO06 Revisão: 0.0 Vigência:

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 02 Auditoria Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Evolução / Necessidade Empresas com Capital Fechado Aumento da concorrência Investimento em

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição Novembro, 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

DOCUMENTOS E REGISTROS DO SISTEMA DE GESTÃO DA QUALIDADE

DOCUMENTOS E REGISTROS DO SISTEMA DE GESTÃO DA QUALIDADE DOCUMENTOS E REGISTROS DO SISTEMA DE GESTÃO DA QUALIDADE 2011 WANDERSON S. PARIS INTRODUÇÃO Não se pretende aqui, reproduzir os conteúdos das normas ou esgotar o tema versado por elas. A ideia é apenas

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO

FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO RAFAEL D. RIBEIRO, M.SC,PMP. RAFAELDIASRIBEIRO@GMAIL.COM HTTP://WWW.RAFAELDIASRIBEIRO.COM.BR @ribeirord A segurança da informação protege a informação de diversos

Leia mais

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Risk Tecnologia Coleção Risk Tecnologia SISTEMAS INTEGRADOS DE GESTÃO Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Aplicável às Atuais e Futuras Normas ISO 9001, ISO 14001,

Leia mais