Alinhando ABNT-NBR-ISO/IEC e para a Administração Pública -USP

Tamanho: px
Começar a partir da página:

Download "Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP"

Transcrição

1 Alinhando ABNT-NBR-ISO/IEC e para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), , Resumo Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras. Palavras-Chave (exemplo): Segurança Computacional, NBR e NBR27001, Norma Técnica, Brigada de Segurança da Informação. 1. Introdução Inicialmente devemos esclarecer o porquê de adotarmos determinadas normas, para posteriormente entendermos a sua abrangência e a sua aplicabilidade. Após este entendimento do porque adotarmos ações condizentes com as normas, passaremos a observar a norma sobre a analise dos grandes grupos de ação abrangidos tanto pela NBR como pela NBR Posteriormente apresentaremos uma ferramenta de trabalho que facilita a visualização da situação na qual o instituto encontra-se parametrizado com a norma e os objetivos propostos para adaptação das operações com as exigências normativas. Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na atuação de uma tarefa. As normas em estudo buscam tornar o ambiente computacional das empresas, neste caso os institutos ou órgãos ligados à USP, mais seguros com relação à mitigar os incidentes computacionais, além de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem. 1.1 Motivação para um ambiente seguro. Aplicar normas de segurança em um ambiente computacional, é mais do que modismo, é uma forma de garantir a existência de coerência nas ações dos coordenadores e executores das tarefas de administração dos ambientes computacionais. Adotar padrões reconhecidamente eficientes minimiza-se problemas de incidentes relacionados às operações sustentadas por computadores. Inicialmente devemos entender que informação é um dos ativo de uma empresa/instituto. Como ativo, a informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, imagem, também são ativos, todos devem ser preservados e mantidos pelo valor que todos representam. Aqui, mais do que em qualquer lugar, o conhecimento é o ativo, além de ativo, conhecimento é o produto que a universidade comercializa. É na transferência deste conhecimento que reside a sua missão, assim como também é sua missão, gerar mais conhecimento. O conhecimento gerado na USP está nas pessoas, mas também está nos computadores, sejam servidores ou computadores pessoais, sendo nos computadores que armazenamos estes ativos/conhecimentos. É no ambiente computacional que é armazenado, manipulado, organizado, construído e disponibilizado grande parte deste ativo/conhecimento. Defender de ataques externos e ataques internos é o objetivo da segurança computacional 1.2 Tecnologia por si só não garante segurança da informação, diz estudo Módulo Security News-30 Out Os dois itens mais importantes na hora de manter as informações da empresa em segurança são: a elaboração de políticas de segurança e o gerenciamento de suporte adequados, seguido do nível de conscientização dos funcionários. Este é o resultado de um estudo conduzido pela ONG educacional especializada em certificar profissionais de segurança The International Information Systems Security Certification Consortium, em parceria com a consultoria IDC.

2 1.3 Nova Arquitetura para segurança de rede. Proteger estruturas computacionais com aplicação de barreiras por camadas é o modelo mais usual para a blindagem das informações e dos recursos da rede. Com grande parte dos serviços e ambientes computacionais suportado pela ethernet, novos modelos de barragens estão sendo propostos. Segurança por zona em três camadas, (ISSA Journal, abril 2006) O modelo que apresentarei é uma nova abordagem arquitetônica para este bloqueio. A proposta encontrada em publicações específicas, apresenta uma nova forma de blindar os serviços e os recursos. Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso facilitando os serviços de controle e manutenção desta barreira. Ao virtualizar o data center, estas barreiras facilitam o planejamento de ações minimizando os recursos oferecidos aos essencialmente necessários. Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006) 2. Entendendo a NBR Linha do Tempo da Norma ISO /IEC 17799:2000 & ISO/IEC 27001:2005 Um breve histórico da evolução da norma até chegar a ISO 27001: : publicada a primeira versão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada a primeira versão da BS (BS : Sistema de gestão da Segurança da Informação - Especificações e guia para uso) : publicada uma revisão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada a primeira versão da norma ISO/IEC (ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) : publicada a primeira versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada revisão da norma BS 7799 parte 2 (BS7799-2: Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação); - Outubro/2005: publicada a norma ISO (ISO/IEC 27001: Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). 2.1 Tópicos Relevantes da ABNT NBR ISO/IEC Segurança para sistemas de informações foi um dos primeiros itens a definirem padrões. A gerência de segurança da informação visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados. A NBR ISO IEC 17799:2005 é um código de práticas de gestão de segurança da informação. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores. 2.2 Os objetivos explícitos desta norma são: Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Em sua documentação a ABNT NBR-ISO/IEC :2005 aborda 11 tópicos principais: 1. Política de segurança - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança. 2. Segurança organizacional - aborda a estrutura de uma gerência para a segurança de informação, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de serviços.

3 3. Classificação e controle de ativos de informação - trabalha a classificação, o registro e o controle dos ativos da organização. 4. Segurança em pessoas - tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Também é abordada a inclusão de responsabilidades relativas à segurança na descrição dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança. 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infraestrutura de tecnologia de Informação. 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de sistemas, gerência de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de backup, controle de documentação, segurança de correio eletrônico, entre outras. 7. Controle de acesso - aborda o controle de acesso a sistemas, a definição de competências, o sistema de monitoração de acesso e uso, a utilização de senhas, dentre outros assuntos. 8. Desenvolvimento e manutenção de sistemas - são abordados os requisitos de segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do desenvolvimento e suporte de sistemas. 9. Gestão de incidentes de segurança - incluída na versão 2005, apresenta dois itens: Notificação de fragilidades e eventos de segurança da informação e gestão de incidentes de segurança da informação e melhorias. 10. Gestão da continuidade do negócio - reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado. 11. Conformidade - aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes. 3. Entendendo a NBR Processo de Gestão A abordagem de processo para a gestão da segurança da informação apresentada nesta norma encoraja que seus usuários enfatizem a importância de: a-) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação; b-) implantação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização; c-) monitoração e analise crítica do desempenho e eficácia do SGSI; e d-) melhoria contínua baseada em medições objetivas. Para a execução e implantação desta norma, é sugerido uma atuação baseada no modelo PDCA. "Plan-Do-Check-Act"(PDCA) Plan Planejar Estabelecer o SGSI Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Do Fazer Implementar e Operar o SGSI - Implementar e operar as políticas, controles, processos e procedimentos do SGSI. Check Checar/Monitorar/Analisar Criticamente Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiências práticas do SGSI e apresentar os resultados para a analise crítica pela direção. Act Agir Manter e melhorar o SGSI Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. (ABNT ISO/IEC-27001) 3.1 Norma ABNT NBR ISO/IEC A nova família da série ISO IEC está relacionada com os requisitos mandatários da ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados. (Módulo Security- acesso 01/11/ Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI- Sistema de Gerenciamento da Segurança da Informação, de uma organização. Para esta abordagem, a norma orienta à observação de um conjunto de ações e tarefas. Estas ações devem ser planejadas visando à eficiência de sua aplicação. Destaco como pontos importantes para a aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser

4 discutidas e aperfeiçoadas em conjunto com os usuários envolvidos. Assim o sendo, a aplicabilidade torna-se um consenso e uma regra apoiada por todos. Obter o envolvimento e aprovação da direção é outro ponto fundamental para a adoção da regra. 3.2 Tabela dos principais requisitos referenciados na ABNT-NBR O planejamento das ações relativas à norma deve atender a um conjunto de requisitos. Na tabela a seguir apresento alguns destes macro requisitos. Requisitos gerais Estabelecendo e Gerenciando o SGSI Estabelecer o SGSI Implementar e operar o SGSI Monitorar e analisar criticamente o SGSI Manter e melhorar o SGSI. 4.3 Requisitos de Documentação A documentação de SGSI deve incluir. (disponibilize, publique, torne público) Controle de documentos. (disponibilize, publique, torne público) Controle de registros 5 Responsabilidade da direção. 5.1 Comprometimento da direção 5.2 Gestão de Risco Provisão de Recursos Treinamento, conscientização e competência 6 Auditorias internas. 6.1 Questões a serem auditadas. 7 Analise crítica do SGSI. 7.1 Analisar com periodicidade, ao menos uma vez por ano Entradas para analise crítica. 7.3 Saídas da analise crítica. 8 Melhoria do SGSI. 8.1 Melhoria continuada. 8.2 Ação corretiva. 8.3 Ação preventiva. Estes macro requisitos devem ser observados e seguidos para a composição do SGSI. 4. Ferramenta para trabalhar normalizado Elaborar um plano sobre segurança da informação requer uma metodologia. A metodologia aqui apresentada relaciona as ações identificadas nas normas e as ações identificadas no ambiente foco da ação. Obter com clareza as ações necessárias, as ações emergenciais, as ações facilitadoras, permite o planejamento do SGSI. A ferramenta proposta, além de facilitar a visualização, facilita o acompanhamento e a localização das etapas já decorridas do SGSI. Desenhar um mapa com estes requisitos, seus desdobramentos, suas ações, as ações já implantadas as em implantação as primordiais, as polêmicas, facilita as decisões necessárias. 4.1 Preparação dos Requisitos O mapa conceitual destes requisitos deve refletir a ligação entre as ações identificadas e os requisitos descritos nas normas. Utilizando de cores, símbolos, marcas, sinais e outros, o mapa torna claros os objetivos do plano de ação. 4.2 Preparação do Mapa O Mapa Conceitual construído a partir destes requisitos deve refletir a ligação entre as ações identificadas e os requisitos normativos. A construção do Mapa de Segurança deve observar a área sobre a qual se quer atuar, levando-se em conta a mais abrangente e completa avaliação como foco do levantamento e desenho do SGSI. Para a construção do SGSI observamos a mais completa avaliação para mapearmos a área de atuação desejada. Devemos também planejar as etapas de implantação seguimentando o Mapa de Atuação, de uma forma aplicável levando-se em conta sempre o grau de maturidade existente no ambiente de sua aplicação, Não ser mais realista que o Rei, identificada no levantamento do mapa da situação atual de maturidade para segurança. O Mapa deve conter informações que permitam identificar ações facilitadoras para a pulverização da cultura de segurança da informação como a construção de uma Brigada de Segurança da Informação nos moldes de uma brigada de incêndio, com o objetivo de Pulverizar e Conscientizar sobre as práticas de segurança da Informação. Deve constar no Mapa às ações de divulgação planejadas para atingir as etapas previstas no SGSI, devendo ainda desenhar os modelos de Documentos Padrão que objetivam a divulgação bem como os locais de afixação destes avisos facilitando a pulverização dos conceitos de segurança. Deverá ainda conter o plano de treinamento que será aplicado, contendo conteúdos, públicos alvos e possíveis datas para estas ações. Ao planejarmos os treinamentos, devemos fazê-lo para todos os níveis e todos os envolvidos, Docentes, Discentes, Funcionários. Todas estas ações deverão estar contidas no mapa de forma clara e objetiva, tornando-se uma ferramenta de trabalho e planejamento do SGSI. Ao término desta fase devemos ter em mãos dois mapas, um relativo aos itens abrangidos pela normalização e um outro construído pela avaliação do escopo pretendido com a geração destas regras, o SGSI.

5 4.3 Construção do Mapa Para a construção do mapa conceitual deve-se partir pelo objeto a ser construído, o SGSI, qual deve conectar-se aos requisitos exigidos pelas normas. A junção dos dois Mapas apresentará um mapa onde facilita a localização das ações do plano e os requisitos das normas. Podemos então, utilizando-se de cores, símbolos, marcas, sinais e outros métodos demarcadores de posição, utilizar o mapa com uma ótica mais clara para qualquer leitor, dos objetivos do plano de ação. 4.3 Aplicação do Mapa O Mapa de Segurança como ferramenta para rápida visualização do SGSI adotado, deve ficar exposto em lugar visível e de fácil acesso aos envolvidos diretamente na implantação do SGSI, assim como poderá ser apresentado etapa por etapa aos demais membros da comunidade envolvida na implantação do SGSI. 5. Conclusão Administrar ambientes computacionais implica em atender as normas e diretrizes da organização. A não conformidade às normas ou o descumprimento ou a não observância implica em penalização legal por omissão a estas. A alegação de desconhecimento não tem valor legal. Referências ABNT NBR ISO/IEC27001 de 03/2006 ABNT NBR ISO/IEC17799 de 2001 ABNT NBR ISO/IEC :2004 ABNT NBR ISO/IEC TR :2004 ABNT NBR ISO/IEC Guia 73:2005] ISSA-Information System Security Association Journal. Módulo Security News -visitado em 30 Out bjid=4885&pagecounter=0&idiom=0 Anexo 1 Vocabulário referencial para SI Ativo qualquer coisa que tenha valor para a organização. [ISO/IEC :2004] Disponibilidade propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC :2004] Confiabilidade propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC :2004] Segurança da informação preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] Evento de segurança da Informação uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR :2004] Incidente de Segurança da Informação um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR :2004] SGSI Sistema de gestão da segurança da informação a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos). Integridade propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC :2004] Risco residual risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] Aceitação do risco decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005] Análise de riscos uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] Análise/Avaliação de riscos processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005] Avaliação de riscos processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005] Gestão de risco atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] Tratamento do risco processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005] Declaração de aplicabilidade declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1 MÓDULO C REQUISITOS DA NORMA AMBIENTAL ISO 14001 ISO 14000 Edição Junho / 2006 - Rev.0 C-1 REQUISITOS DA NORMA AMBIENTAL ISO 14001/04 Sumário A.) A Organização ISO...3 B.) Considerações sobre a elaboração

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

ESTRUTURA ISO 9.001:2008

ESTRUTURA ISO 9.001:2008 Sistema de Gestão Qualidade (SGQ) ESTRUTURA ISO 9.001:2008 Objetivos: Melhoria da norma existente; Melhoria do entendimento e facilidade de uso; Compatibilidade com a ISO 14001:2004; Foco Melhorar o entendimento

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

Uso Exclusivo em Treinamento

Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br ABNT NBR ISO 9001:2008 Uso Exclusivo em Treinamento SUMÁRIO 0. Introdução 2 0.1 Generalidades 2 0.2 Abordagem de processo 3 0.3 Relação com a norma NBR ISO 9004 5 0.4

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 5. Política de Segurança da Informação 1 Roteiro (1/1) Objetivo Documento Orientações Mínimas para o Documento Análise Crítica e Avaliações 2 Objetivo

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Código: PO01 Tribunal Regional do Trabalho da 18ª Região Comissão de Segurança da Informação Núcleo de Governança Corporativa de TIC Setor de Segurança da Informação Revisão: 1.1 Vigência: 29/01/2016 Classificação:

Leia mais

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010 BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

Vital para a Competitividade da sua Organização

Vital para a Competitividade da sua Organização ISO 27001 Segurança da Informação Vital para a Competitividade da sua Organização Quem Somos? Apresentação do Grupo DECSIS Perfil da Empresa Com origem na DECSIS, Sistemas de Informação, Lda., fundada

Leia mais

UNIVERSIDADE FEDERAL DO PARANÁ AMANDA CRISTINA MOSCHEN

UNIVERSIDADE FEDERAL DO PARANÁ AMANDA CRISTINA MOSCHEN UNIVERSIDADE FEDERAL DO PARANÁ AMANDA CRISTINA MOSCHEN Proposta de implantação ABNT ISO/IEC 27001 Sistemas de gestão de segurança da informação em uma empresa de seguros de vida. CURITIBA 2014 1 AMANDA

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

Material didático ESR

Material didático ESR Material didático ESR 1 Sessão de aprendizagem 1 Modelo de conteúdo do material didático 2 Jean Caminha Introdução 3 A ação e interação dos objetivos com as incertezas originam ao risco, que se apresenta

Leia mais

Preparando a Implantação de um Sistema de Gestão da Qualidade

Preparando a Implantação de um Sistema de Gestão da Qualidade Preparando a Implantação de um Projeto Pró-Inova - InovaGusa Ana Júlia Ramos Pesquisadora em Metrologia e Qualidade e Especialista em Sistemas de Gestão da Qualidade 1. Gestão Gestão Atividades coordenadas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

Sistemas de gestão da qualidade - Requisitos

Sistemas de gestão da qualidade - Requisitos DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade - Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680 Rio

Leia mais

Gestão Estratégica da Segurança das Informações

Gestão Estratégica da Segurança das Informações Gestão de riscos Risco é o efeito da incerteza nos objetivos. ISO Guide Riscos Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular irá explorar uma vulnerabilidade

Leia mais

Manual de Gestão da Qualidade MGQ Elaborado por: Representante da Direção (RD)

Manual de Gestão da Qualidade MGQ Elaborado por: Representante da Direção (RD) 1/22 Nº revisão Descrição da Revisão 00 Emissão do documento baseado nos requisitos da ISO 9001:2008 Vendas Gestão de Contratos Service Demais envolvidos na análise e aprovação Área / Processo Responsável

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015

DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015 DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015 Sistemas de Gestão da Qualidade - Requisitos Tradução Livre Prefácio ISO (International Organization for Standardization) é uma federação mundial de organismos

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM SISTEMA DE GESTÃO AMBIENTAL: ISO 14001 Material Didático: IBB 254 Gestão Ambiental / 2015 Conceitos Gerais A gestão ambiental abrange uma vasta gama de questões, inclusive aquelas com implicações estratégicas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

NBR ISO 9001/2000 NBR ISO 9004/2000

NBR ISO 9001/2000 NBR ISO 9004/2000 NBR ISO 9001/2000 NBR ISO 9004/2000 2 Prefácio 3 A ABNT Associação Brasileira de Normas Técnicas é o Fórum Nacional de Normatização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês

Leia mais

Principais tópicos da norma NBR ISO/IEC 27001:2006

Principais tópicos da norma NBR ISO/IEC 27001:2006 FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS TIAGO GREGÓRIO DA SILVA Principais tópicos da norma NBR ISO/IEC 27001:2006 SÃO PAULO 2013 Índice 1 Introdução... 3 2 Assunto

Leia mais

PROCESSO EXTERNO DE CERTIFICAÇÃO

PROCESSO EXTERNO DE CERTIFICAÇÃO 1 de 9 1. OBJETIVO: Este procedimento estabelece o processo para concessão, manutenção, extensão e exclusão da certificação de Sistema de Gestão de Segurança da Informação, em conformidade com norma ABNT

Leia mais

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Comandar muitos é o mesmo que comandar poucos. Tudo é uma questão de organização. Controlar muitos ou poucos é uma mesma

Leia mais

livros indicados e / ou recomendados

livros indicados e / ou recomendados Material complementar. Não substitui os livros indicados e / ou recomendados Prof. Jorge Luiz - 203 Pág. SISTEMA DE GESTÃO DA QUALIDADE - SGQ Sistema de Gestão da Qualidade SGQ é a estrutura a ser criada

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

MUDANÇAS NA ISO 9001: A VERSÃO 2015

MUDANÇAS NA ISO 9001: A VERSÃO 2015 MUDANÇAS NA ISO 9001: A VERSÃO 2015 Está em andamento o processo de revisão da Norma ISO 9001: 2015, que ao ser concluído resultará na mudança mais significativa já efetuada. A chamada família ISO 9000

Leia mais

INTERPRETAÇÃO E IMPLEMENTAÇÃO

INTERPRETAÇÃO E IMPLEMENTAÇÃO NBR ISO 9001:2008 INTERPRETAÇÃO E IMPLEMENTAÇÃO 8 Princípios para gestão da qualidade Foco no cliente Liderança Envolvimento das pessoas Abordagem de processos Abordagem sistêmica para a gestão Melhoria

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Auditoria de Segurança

Leia mais

Tradução livre Uso Exclusivo em Treinamento

Tradução livre Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br N786-1 ISO CD 9001 Tradução livre Uso Exclusivo em Treinamento N786-1 ISO CD 9001 para treinamento - Rev0 SUMÁRIO Página Introdução 4 0.1 Generalidades 4 0.2 Abordagem

Leia mais