ABNT NBR ISO/IEC 27001

Tamanho: px
Começar a partir da página:

Download "ABNT NBR ISO/IEC 27001"

Transcrição

1 ABNT NBR ISO/IEC Para Dataprev e Senado 1/63

2 As Normas NBR ISO/IEC Requisitos para implantar um SGSI NBR ISO/IEC Práticas para a gestão de SI NBR ISO/IEC Gestão de riscos de SI e Gestão de SI (Medição) e Guia de Impl. SGSI e Requisitos e Diretrizes para auditoria de um SGSI 15999:1 e 15999:2 - Gestão de Continuidade de Negócios (Código de Prática e Requisitos) 2/63

3 Questões - Conceitos Básicos MCT/ Cargos diversos [119] Uma organização que deseje implantar um sistema de gestão de segurança da informação (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006. [120] A seção 5 da norma ISO/IEC trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de acesso. [119 - A] A norma ISO adota o modelo plan-do-check-act (PDCA), que é aplicado para estruturar todos os processos dos sistemas de gestão de segurança da informação information security management system (ISMS). [120 - B] Dependendo de seu tamanho ou natureza, uma organização pode considerar um ou mais requisitos da norma ISO como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional. 3/63

4 Questões - Conceitos Básicos ANAC 2009 [96] A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação. AFCE/TCU 2010 [177] A Norma NBR ISO/IEC estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC trata dos requisitos dos sistemas de gestão de segurança da informação. [178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. 4/63

5 Questões - Conceitos Básicos Serpro 2010 [57] A NBR corresponde à atualização da norma internacional ISO/IEC [58] Segundo a NBR 27001, um sistema de gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, manutenção e melhoria do sistema. Aneel 2010 [112] A melhoria contínua do SGSI ocorre na forma de ações corretivas e preventivas, entre outras. Um exemplo de ação corretiva é a alteração na redação do documento da política de segurança da informação para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a não conformidades no cumprimento dessa política. Um exemplo de ação preventiva é a adoção de novos controles de acesso ao ambiente físico. 5/63

6 Estrutura 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção (Geral / Entradas para a análise crítica / Saídas da Análise Crítica) 8. Melhoria do SGSI (Melhoria contínua / Ação corretiva / Ação preventiva) 6/63

7 Estrutura Anexos: Anexo A - normativo: Objetivos de Controles e Controles ( a 15) Anexo B - informativo: Princípios da OECD* Anexo C - informativo: Correspondência c/ ISO 9001 e ISO *Organização para cooperação e desenvolvimento econômico 7/63

8 0. Introdução Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gestão de Segurança da Informação (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar 8/63

9 0. Introdução - A adoção de um SGSI é estratégica; - Necessidades e objetivos, requisitos de segurança, processos empregados, tamanho e estrutura da organização direcionam a implementação; - SGSIs mudam ao longo do tempo; - Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas. - Para fins de certificação a é a referência (antiga BS7799-2). 9/63

10 0. Introdução Estabelecer Implementar e Operar Manter e Melhorar Monitorar e Anal. Criticamente - Abordagem de processo: indica processos definidos, geridos e interativos; - Baseada no ciclo PDCA. 10/63

11 0. Introdução Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Do (fazer) - implementar e operar a política, controles, processos e procedimentos do SGSI. Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresent. os resultados p/ a análise crítica pela direção. Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. 11/63

12 0. Introdução Compatibilidade com outros sistemas de gestão: - Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. *Tratam do Sistema de Gestão da Qualidade e Sistema de Gestão Ambiental 12/63

13 1. Objetivo 1.1 Geral: - A norma cobre todos os tipos de organizações; - Especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negócio globais da organização; - Projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas. 13/63

14 1. Objetivo 1.2 Aplicação: - Os requisitos definidos são genéricos e aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza; - A exclusão de quaisquer dos requisitos em 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com a norma; - A menos que tais exclusões não afetem a capacidade da organização, e/ ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. - Exclusão de controle considerado necessário aos critérios de aceitação de riscos precisa ser justificada e evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas; 14/63

15 2. Ref. Normativa O documento a seguir referenciado é indispensável para a aplicação desta Norma: ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação Técnicas de segurança Código de prática para a gestão da segurança da informação. *Ou seja, a /63

16 Gabaritando as Questões! MCT/ Cargos diversos C E C E [119] Uma organização que deseje implantar um sistema de gestão de segurança da informação (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006. [120] A seção 5 da norma ISO/IEC trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de acesso. [119 - A] A norma ISO adota o modelo plan-do-check-act (PDCA), que é aplicado para estruturar todos os processos dos sistemas de gestão de segurança da informação information security management system (ISMS). [120 - B] Dependendo de seu tamanho ou natureza, uma organização pode considerar um ou mais requisitos da norma ISO como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional. 16/63

17 Gabaritando as Questões! Reflexão Sobre a Questão 120: É muito importante observar que o CESPE dificilmente deixa apenas um caminho para o candidato gabaritar a questão. Na questão 120, mesmo que o candidato não soubesse / não houvesse decorado a estrutura da norma, seria possível identificar o erro porque Classificar a Informação é uma prática (Controle), objeto da norma ABNT NBR ISO/IEC /63

18 Gabaritando as Questões! C E E ANAC 2009 [96] A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação. AFCE/TCU 2010 [177] A Norma NBR ISO/IEC estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC trata dos requisitos dos sistemas de gestão de segurança da informação. [178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. 18/63

19 Gabaritando as Questões! E X C Serpro 2010 [57] A NBR corresponde à atualização da norma internacional ISO/IEC [58] Segundo a NBR 27001, um sistema de gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, manutenção e melhoria do sistema. Aneel 2010 [112] A melhoria contínua do SGSI ocorre na forma de ações corretivas e preventivas, entre outras. Um exemplo de açãocorretiva é a alteração na redação do documento da política de segurança da informação para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a não conformidades no cumprimento dessa política. Um exemplo de ação preventiva é a adoção de novos controles de acesso ao ambiente físico. 19/63

20 Questões sobre Termos e Definições Petrobras 2007 / Infra [137] A confidencialidade diz respeito à garantia de que a informação será acessada por qualquer um que dispuser de recursos tecnológicos apropriados, explicitamente ou não. [138] A integridade diz respeito à garantia de que a informação só será alterada ou deletada por quem tem autorização explícita para tal. [139] A disponibilidade diz respeito à garantia de que será possível a qualquer pessoa acessar a informação sempre que for necessário. 20/63

21 Questões sobre Termos e Definições Banco da Amazônia 2009 [51] Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação Anac 2009 [100] O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação. [112] Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios. 21/63

22 3. Termos e Definições 3.1 ativo Qualquer coisa que tenha valor para a organização [ISO/IEC :2004] 3.2 disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC :2004] 3.3 confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados [ISO/IEC :2004] 22/63

23 3. Termos e Definições 3.4 segurança da informação Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas [ABNT NBR ISO/IEC 17799:2005] 3.5 evento de segurança da informação Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação [ISO/IEC TR 18044:2004] 23/63

24 3. Termos e Definições 3.6 incidente de segurança da informação Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação [ISO/IEC TR 18044:2004] 3.7 sist. de gestão da segurança da informação-sgsi A parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação NOTA O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. 24/63

25 3. Termos e Definições 3.8 integridade Propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC :2004] 3.9 risco residual Risco remanescente após o tratamento de riscos [ABNT ISO/IEC Guia 73:2005] 3.10 aceitação do risco Decisão de aceitar um risco [ABNT ISO/IEC Guia 73:2005] 25/63

26 3. Termos e Definições 3.11 análise de riscos Uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005] 3.12 análise/avaliação de riscos Processo completo de análise e avaliação de riscos [ABNT ISO/IEC Guia 73:2005] 3.13 avaliação de riscos Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005] 26/63

27 3. Termos e Definições 3.14 gestão de riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos NOTA A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] 3.15 tratamento do risco Processo de seleção e implementação de medidas para modificar um risco NOTA Nesta Norma o termo controle é usado como um sinônimo para medida. [ABNT ISO/IEC Guia 73:2005] 27/63

28 3. Termos e Definições 3.16 declaração de aplicabilidade Declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização NOTA Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação. 28/63

29 Gabaritando as Questões! E C(p) E Petrobras 2007 / Infra [137] A confidencialidade diz respeito à garantia de que a informação será acessada por qualquer um que dispuser de recursos tecnológicos apropriados, explicitamente ou não. [138] A integridade diz respeito à garantia de que a informação só será alterada ou deletada por quem tem autorização explícita para tal. [139] A disponibilidade diz respeito à garantia de que será possível a qualquer pessoa acessar a informação sempre que for necessário. 29/63

30 Gabaritando as Questões! Reflexão - Questão 138 Primeiro ponto: A definição da norma não é essa. Embora o comando da questão não referenciasse a norma, o edital deste certame o fazia. Segundo ponto: O acesso por pessoas autorizadas garante integridade da informação? Jamais. Ou somente no CESPE... 30/63

31 Gabaritando as Questões! Banco da Amazônia 2009 E [51] Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação Anac 2009 [100] O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação. [112] Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios. E E 31/63

32 SGSI, Resp. Direção, Análise Crítica, Melhoria Aneel 2010 [110] Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos. [111] A análise crítica do SGSI da organização deve ser efetuada periodicamente pela alta direção, considerando os resultados de auditorias externas, entre outras informações. Essa análise assegura a contínua pertinência, adequação e eficácia do SGSI, e produz versões atualizadas da análise/avaliação de riscos e do plano de tratamento de riscos. 32/63

33 SGSI, Resp. Direção, Análise Crítica, Melhoria ANAC 2009 [97] Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos. [98] Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização. [99] Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos. 96 e 100 já foram feitas. 33/63

34 SGSI, Resp. Direção, Análise Crítica, Melhoria Anatel Negócios (referindo-se a figura do PDCA) [83] Considere as diferentes fases do ciclo de gestão no modelo da figura plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. [85] A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro, ao uso de rótulos. 34/63

35 SGSI, Resp. Direção, Análise Crítica, Melhoria TCU 2009 [170] Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade. 35/63

36 SGSI, Resp. Direção, Análise Crítica, Melhoria Serpro Redes [86] A declaração de aplicabilidade é um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP. [87] A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC [88] O estabelecimento da política do sistema de gestão de segurança da informação (SGSI) é de responsabilidade da equipe de segurança da informação. 36/63

37 SGSI, Resp. Direção, Análise Crítica, Melhoria Serpro Redes [89] Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/ IEC recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses. [90] A identificação de não-conformidades potenciais e suas causas é caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC [91] Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação. [92] A norma NBR ISO/IEC recomenda a adoção de abordagem qualitativa para a realização da análise de risco. 37/63

38 SGSI, Resp. Direção, Análise Crítica, Melhoria MPS 2010 [101] Risco residual é aquele remanescente quando as medidas implementadas para modificar esse risco não conseguem eliminá-lo. [102] A declaração de aplicabilidade define os ambientes ou as unidades da organização alvo dos controles estabelecidos pelo sistema de gestão de segurança da informação (SGSI). [103] Integridade é a propriedade que garante que uma informação não será furtada da organização. 38/63

39 4. SGSI Requisitos gerais A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. 39/63

40 4. SGSI Estabelecer o SGSI A organização deve: Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo 40/63

41 4. SGSI Estabelecer o SGSI A organização deve: - Definir a abordagem de análise/avaliação de riscos da organização (metodologia); - Identificar os riscos (ativos/proprietários); - Analisar/avaliar riscos (probabilidades e impacto); - Identificar e avaliar as opções de tratamento; 41/63

42 4. SGSI Estabelecer o SGSI - Selecionar os objetivos de controle para tratamento de riscos (anexo A); - Obter aprovação da direção dos riscos residuais propostos; - Obter autorização da direção para implementar e operar o SGSI; - Preparar uma Declaração de Aplicabilidade (controles aplicáveis e justificativas de exclusão). 42/63

43 4. SGSI Implementar e Operar o SGSI A organização deve: - Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança; - Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades. - Implementar os controles selecionados para atender aos objetivos de controle. - Definir como medir a eficácia dos controles selecionados; 43/63

44 4. SGSI Implementar e Operar o SGSI - Implementar programas de conscientização e treinamento; - Gerenciar as operações do SGSI; - Gerenciar os recursos para o SGSI; - Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de SI e resposta a incidentes de segurança da informação 44/63

45 4. SGSI Monitorar e Analisar Criticamente o SGSI a) Executar procedimentos de monitoração e análise crítica e outros controles; b)realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas. c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. 45/63

46 4. SGSI Monitorar e Analisar Criticamente o SGSI d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados; e) Conduzir auditorias internas do SGSI a intervalos planejados (Seção 6); NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos. f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI 46/63

47 4. SGSI Manter e Melhorar o SGSI a) Implementar as melhorias identificadas no SGSI. b) Executar as ações preventivas e corretivas apropriadas. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização. c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. 47/63

48 4. SGSI Requisitos de Documentação - A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis; - Deve incluir declarações documentadas da política, escopo, procedimentos e controles que apoiam o SGSI, metodologia e relatório da análise/aval. de riscos, procedimentos documentados para EIOMAMM o SGSI e declaração de aplicabilidade; - Controle de documentos; - Controle de registros. 48/63

49 5. Resp. da Direção 5.1 Comprometimento da Direção: A Direção deve fornecer evidência do seu comprometimento com o EIOMAMM do SGSI mediante: a) o estabelecimento da política do SGSI; b) a garantia de que são estabelecidos os planos e objetivos do SGSI; c) o estabelecimento de papéis e responsabilidades pela segurança de informação; d) a comunicação à organização da importância em atender aos objetivos de segurança da informação e conformidade; 49/63

50 5. Resp. da Direção 5.1 Comprometimento da Direção: e) a provisão de recursos suficientes para EIOMAMM o SGSI; f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; g) a garantia de que as auditorias internas do SGSI sejam realizadas; h) a condução de análises críticas do SGSI pela direção. 50/63

51 5. Resp. da Direção 5.2 Gestão dos Recursos: Provisão de recursos; Treinamento, conscientização e competência. 51/63

52 6. Auditorias Internas A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI são executados como esperado, se são eficazes e atendem aos requisitos de conformidade e de SI. 52/63

53 7. Análise Crítica pela Direção A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Entradas: - resultados de auditorias do SGSI e análises críticas; - realimentação das partes interessadas; - situação das ações preventivas e corretivas; - vulnerabilidades ou ameaças não contempladas ant.; - resultados da eficácia das medições; - acompanhamento das ações oriundas de análises críticas anteriores; - recomendações para melhoria. 53/63

54 7. Análise Crítica pela Direção Saídas: a) Melhoria da eficácia do SGSI. b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos. c) Modificação de procedimentos e controles que afetem a segurança da informação d) Necessidade de recursos. e) Melhoria de como a eficácia dos controles está sendo medida. 54/63

55 8. Melhoria do SGSI Melhoria contínua A organização deve continuamente melhorar a eficácia do SGSI por meio do uso da política de segurança da informação, objetivos de segurança da informação, resultados de auditorias, análises de eventos monitorados, ações corretivas e preventivas e análise crítica pela direção. Ações corretivas e preventivas Identificar não-conformidades; Determinar as causas de nãoconformidades; Avaliar a necessidade de ações para assegurar que não haja recorrência; Determinar e implementar as ações necessárias; Registrar os resultados das ações executadas; Analisar Criticamente as Ações. 55/63

56 Gabaritando as Questões! E E Aneel 2010 [110] Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos. Exclusivamente? E os requisitos de conformidade? E o negócio? [111] A análise crítica do SGSI da organização deve ser efetuada periodicamente pela alta direção, considerando os resultados de auditorias externas, entre outras informações. Essa análise assegura a contínua pertinência, adequação e eficácia do SGSI, e produz versões atualizadas da análise/avaliação de riscos e do plano de tratamento de riscos. Cuidado! A fala em auditorias INTERNAS. 56/63

57 Gabaritando as Questões! C E C ANAC 2009 [97] Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos. [98] Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização. [99] Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos. 96 e 100 já foram feitas. 57/63

58 Gabaritando as Questões! Comentário sobre a 99: A norma diz que a organização deve: - Definir como medir a eficácia dos controles selecionados; - O descrito no item 99 refere-se ao Check ou Monitorar e Analisar Criticamente; - Mais uma para a conta do CESPE... 58/63

59 Gabaritando as Questões! Anatel Negócios (referindo-se a figura do PDCA) E C! [83] Considere as diferentes fases do ciclo de gestão no modelo da figura plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. [85] A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro, ao uso de rótulos. Polêmica! Consta nos Anexos... 59/63

60 Gabaritando as Questões! TCU 2009 C [170] Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade. 60/63

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

Uso Exclusivo em Treinamento

Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br ABNT NBR ISO 9001:2008 Uso Exclusivo em Treinamento SUMÁRIO 0. Introdução 2 0.1 Generalidades 2 0.2 Abordagem de processo 3 0.3 Relação com a norma NBR ISO 9004 5 0.4

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Sistemas de gestão da qualidade - Requisitos

Sistemas de gestão da qualidade - Requisitos DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade - Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680 Rio

Leia mais

Tradução livre Uso Exclusivo em Treinamento

Tradução livre Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br N786-1 ISO CD 9001 Tradução livre Uso Exclusivo em Treinamento N786-1 ISO CD 9001 para treinamento - Rev0 SUMÁRIO Página Introdução 4 0.1 Generalidades 4 0.2 Abordagem

Leia mais

ABNT NBR ISO 9001. Sistemas de gestão da qualidade Requisitos. Quality management systems Requirements ' NORMA BRASILEIRA. Segunda edição 28.11.

ABNT NBR ISO 9001. Sistemas de gestão da qualidade Requisitos. Quality management systems Requirements ' NORMA BRASILEIRA. Segunda edição 28.11. ' NORMA BRASILEIRA ABNT NBR ISO 9001 Segunda edição 28.11.2008 Válida a partir de 28.12.2008 Sistemas de gestão da qualidade Requisitos Quality management systems Requirements Palavras-chave: Sistemas

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Sistema de Gestão da Qualidade -Requisitos

Sistema de Gestão da Qualidade -Requisitos MB Consultoria Av. Constantino Nery, Nº 2789, Edifício Empire Center, Sala 1005 a 1008 Manaus - Amazonas - Brasil CEP: 69050-002 Telefones: (92) 3656.2452 Fax: (92) 3656.1695 e-mail: mb@netmb.com.br Site:

Leia mais

14 ANEXO 02 - NORMA ISO 9001:2000 - INTERPRETAÇÃO LIVRE

14 ANEXO 02 - NORMA ISO 9001:2000 - INTERPRETAÇÃO LIVRE 14 ANEXO 02 - NORMA ISO 9001:2000 - INTERPRETAÇÃO LIVRE Sumário Prefácio 0 Introdução 1 Objetivo 2 Referência normativa 3 Termos e definições 4 Sistema de gestão da qualidade 5 Responsabilidade da direção

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade Requisitos Sumário Prefácio 0 Introdução 1 Objetivo 2 Referência normativa 3 Termos e definições 4 Sistema de gestão da qualidade 5 Responsabilidade

Leia mais

ESTRUTURA ISO 9.001:2008

ESTRUTURA ISO 9.001:2008 Sistema de Gestão Qualidade (SGQ) ESTRUTURA ISO 9.001:2008 Objetivos: Melhoria da norma existente; Melhoria do entendimento e facilidade de uso; Compatibilidade com a ISO 14001:2004; Foco Melhorar o entendimento

Leia mais

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos DEZ 2005 Projeto 21:204.01-012 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Sede: Rio de Janeiro

Leia mais

Principais tópicos da norma NBR ISO/IEC 27001:2006

Principais tópicos da norma NBR ISO/IEC 27001:2006 FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS TIAGO GREGÓRIO DA SILVA Principais tópicos da norma NBR ISO/IEC 27001:2006 SÃO PAULO 2013 Índice 1 Introdução... 3 2 Assunto

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos ABNT Associação Brasileira de Normas Técnicas DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade Requisitos Sede: Rio de Janeiro Av. Treze de Maio, 13 28 o. andar CEP 20003-900 Caixa Postal 1680 Rio

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos SET/2000 PROJETO NBR ISO 9001 Sistemas de gestão da qualidade Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1 MÓDULO C REQUISITOS DA NORMA AMBIENTAL ISO 14001 ISO 14000 Edição Junho / 2006 - Rev.0 C-1 REQUISITOS DA NORMA AMBIENTAL ISO 14001/04 Sumário A.) A Organização ISO...3 B.) Considerações sobre a elaboração

Leia mais

Preparando a Implantação de um Sistema de Gestão da Qualidade

Preparando a Implantação de um Sistema de Gestão da Qualidade Preparando a Implantação de um Projeto Pró-Inova - InovaGusa Ana Júlia Ramos Pesquisadora em Metrologia e Qualidade e Especialista em Sistemas de Gestão da Qualidade 1. Gestão Gestão Atividades coordenadas

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Introdução à ISO 9001 ano 2008

Introdução à ISO 9001 ano 2008 Introdução à ISO 9001 ano 2008 1. A FAMÍLIA DE NORMAS ISO 9000 1.1 Histórico A primeira Norma de Garantia da Qualidade foi publicada em 1979 pela British Standards Institution (BSI) em três partes como

Leia mais

Material didático ESR

Material didático ESR Material didático ESR 1 Sessão de aprendizagem 1 Modelo de conteúdo do material didático 2 Jean Caminha Introdução 3 A ação e interação dos objetivos com as incertezas originam ao risco, que se apresenta

Leia mais

NBR ISO 9001/2000 NBR ISO 9004/2000

NBR ISO 9001/2000 NBR ISO 9004/2000 NBR ISO 9001/2000 NBR ISO 9004/2000 2 Prefácio 3 A ABNT Associação Brasileira de Normas Técnicas é o Fórum Nacional de Normatização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 5. Política de Segurança da Informação 1 Roteiro (1/1) Objetivo Documento Orientações Mínimas para o Documento Análise Crítica e Avaliações 2 Objetivo

Leia mais

Vital para a Competitividade da sua Organização

Vital para a Competitividade da sua Organização ISO 27001 Segurança da Informação Vital para a Competitividade da sua Organização Quem Somos? Apresentação do Grupo DECSIS Perfil da Empresa Com origem na DECSIS, Sistemas de Informação, Lda., fundada

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos SET/2000 PROJETO NBR ISO 9001 Sistemas de gestão da qualidade Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeir o Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680

Leia mais

PROCESSO EXTERNO DE CERTIFICAÇÃO

PROCESSO EXTERNO DE CERTIFICAÇÃO 1 de 9 1. OBJETIVO: Este procedimento estabelece o processo para concessão, manutenção, extensão e exclusão da certificação de Sistema de Gestão de Segurança da Informação, em conformidade com norma ABNT

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004 QSP Informe Reservado Nº 41 Dezembro/2004 Sistemas de Gestão O QUE MUDOU COM A NOVA ISO 14001:2004 Material especialmente preparado para os Associados ao QSP. QSP Informe Reservado Nº 41 Dezembro/2004

Leia mais

ISO 9000 ISO 9001:2008

ISO 9000 ISO 9001:2008 ISO 9001:2008 QUALIDADE II ISO 9000 A ISO 9000 - Qualidade é o nome genérico utilizado pela série de normas da família 9000 (ISO) que estabelece as diretrizes para implantação de Sistemas de Gestão da

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

PROGRAMA INTEGRADO DE DESENVOLVIMENTO E QUALIFICAÇÃO DE FORNECEDORES SISTEMA DE GESTÃO DA QUALIDADE EM FORNECIMENTO

PROGRAMA INTEGRADO DE DESENVOLVIMENTO E QUALIFICAÇÃO DE FORNECEDORES SISTEMA DE GESTÃO DA QUALIDADE EM FORNECIMENTO PROGRAMA INTEGRADO DE DESENVOLVIMENTO E QUALIFICAÇÃO DE FORNECEDORES SISTEMA DE GESTÃO DA QUALIDADE EM FORNECIMENTO SGQF:: 2008 SUMÁRIO PREFÁCIO -------------------------------------------------------------------------------------------------------------------------------------------

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos NORMA BRASILEIRA ABNT NBR ISO 9001:2008 ERRATA 1 Publicada em 11.09.2009 Sistemas de gestão da qualidade Requisitos ERRATA 1 Esta Errata 1 da ABNT NBR ISO 9001:2008 foi elaborada no Comitê Brasileiro da

Leia mais

a qualidade em suas mãos www.iso4all.com.br

a qualidade em suas mãos www.iso4all.com.br a qualidade em suas mãos www.iso4all.com.br ISO/DIS 9001:2015 Tradução livre* Sistemas de Gestão da Qualidade - Requisitos Sumário Prefácio... 5 Introdução... 6 0.1 Generalidades... 6 0.2 A Norma ISO para

Leia mais

DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015

DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015 DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015 Sistemas de Gestão da Qualidade - Requisitos Tradução Livre Prefácio ISO (International Organization for Standardization) é uma federação mundial de organismos

Leia mais

PERGUNTAS MAIS FREQÜENTES SOBRE A TRANSIÇÃO (NBR ISO 14001: 2004)

PERGUNTAS MAIS FREQÜENTES SOBRE A TRANSIÇÃO (NBR ISO 14001: 2004) PERGUNTAS MAIS FREQÜENTES SOBRE A TRANSIÇÃO (NBR ISO 14001: 2004) Ao longo dos últimos anos, a Fundação Carlos Alberto Vanzolini vem trabalhando com a Certificação ISO 14000 e, com o atual processo de

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental

Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental NOV 2002 NBR ISO 19011 Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP

Leia mais

OHSAS-18001:2007 Tradução livre

OHSAS-18001:2007 Tradução livre SISTEMAS DE GESTÃO DE SAÚDE E SEGURANÇA OCUPACIONAL - REQUISITOS (OCCUPATIONAL HEALTH AND SAFETY MANAGEMENT SYSTEMS - REQUIREMENTS) OHSAS 18001:2007 Diretrizes para o uso desta tradução Este documento

Leia mais

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 14001:2015 Tendências da nova revisão

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 14001:2015 Tendências da nova revisão ISO 14001:2015 Tendências da nova revisão A ISO 14001 EM SUA NOVA VERSÃO ESTÁ QUASE PRONTA Histórico ECS -ASSESSORIA E CONSULTORIA TÉCNICA As normas da série ISO 14000 foram emitidas pela primeira vez

Leia mais

Módulo 2. Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos 0, 1, 2, 3 e 4/4, Exercícios

Módulo 2. Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos 0, 1, 2, 3 e 4/4, Exercícios Módulo 2 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos 0, 1, 2, 3 e 4/4, Exercícios Norma NBR ISO 9001:2008 - Índice 0 - Introdução 1 - Escopo 2 - Referência Normativa 3 -

Leia mais

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE PARA O BRASIL E AMÉRICA LATINA PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 Diretrizes para auditorias de sistemas de gestão da qualidade e/ou ambiental

Leia mais

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 9001:2015 Tendências da nova revisão

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 9001:2015 Tendências da nova revisão ISO 9001:2015 Tendências da nova revisão A ISO 9001 em sua nova versão está quase pronta Histórico ECS -ASSESSORIA E CONSULTORIA TÉCNICA As normas da série ISO 9000 foram emitidas pela primeira vez no

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Diretrizes para a seleção de consultores de Sistemas de Gestão da Qualidade e uso de seus serviços.

Diretrizes para a seleção de consultores de Sistemas de Gestão da Qualidade e uso de seus serviços. NORMA BRASILEIRA NBR ISO 10019 Primeira edição 20.08.2007 Válida a partir de 20.09.2007 Diretrizes para a seleção de consultores de Sistemas de Gestão da Qualidade e uso de seus serviços. Guidelines for

Leia mais

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1 Certificação NBR Requisitos A partir da versão 1994, a série ISO 9000 passou a ser conhecida como família ISO 9000 ; leva em conta duas situações, a contratual e não contratual; Para a situação não contratual

Leia mais

ABNT NBR 16001 NORMA BRASILEIRA. Responsabilidade social Sistema da gestão Requisitos. Social responsibility Management system Requirements

ABNT NBR 16001 NORMA BRASILEIRA. Responsabilidade social Sistema da gestão Requisitos. Social responsibility Management system Requirements NORMA BRASILEIRA ABNT NBR 16001 Primeira edição 30.11.2004 Válida a partir de 30.12.2004 Responsabilidade social Sistema da gestão Requisitos Social responsibility Management system Requirements Palavras-chave:

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Manual de Gestão da Qualidade MGQ Elaborado por: Representante da Direção (RD)

Manual de Gestão da Qualidade MGQ Elaborado por: Representante da Direção (RD) 1/22 Nº revisão Descrição da Revisão 00 Emissão do documento baseado nos requisitos da ISO 9001:2008 Vendas Gestão de Contratos Service Demais envolvidos na análise e aprovação Área / Processo Responsável

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Abordagem de Processo: conceitos e diretrizes para sua implementação

Abordagem de Processo: conceitos e diretrizes para sua implementação QP Informe Reservado Nº 70 Maio/2007 Abordagem de Processo: conceitos e diretrizes para sua implementação Tradução para o português especialmente preparada para os Associados ao QP. Este guindance paper

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

SISTEMA DE GESTÃO DA QUALIDADE MQ 01 Rev. 07 MANUAL DA QUALIDADE

SISTEMA DE GESTÃO DA QUALIDADE MQ 01 Rev. 07 MANUAL DA QUALIDADE Rev. Data. Modificações 01 14/09/2007 Manual Inicial 02 12/06/2009 Revisão Geral do Sistema de Gestão da Qualidade 03 22/10/2009 Inclusão de documento de referência no item 8. Satisfação de cliente, Alteração

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

ABNT NBR 15331 Turismo de aventura Sistema de gestão da segurança Requisitos

ABNT NBR 15331 Turismo de aventura Sistema de gestão da segurança Requisitos NORMA BRASILEIRA ABNT NBR 15331 Primeira edição 30.12.2005 Válida a partir de 30.01.2006 Turismo de aventura Sistema de gestão da segurança Requisitos Adventure tourism Safety management system Requirements

Leia mais

ENGENHARIA DE PRODUÇÃO EPR 16 - SISTEMA DE GESTÃO DA QUALIDADE

ENGENHARIA DE PRODUÇÃO EPR 16 - SISTEMA DE GESTÃO DA QUALIDADE ENGENHARIA DE PRODUÇÃO EPR 16 - SISTEMA DE GESTÃO DA QUALIDADE ISO 9001:2000 Prof. Dr. João Batista Turrioni Objetivo geral Introduzir e discutir a importância da adoção de um Sistema de Gestão da Qualidade

Leia mais

FORMAÇÃO DE AUDITORES DA QUALIDADE. Instrutor: F. Ermi R. Ferrari

FORMAÇÃO DE AUDITORES DA QUALIDADE. Instrutor: F. Ermi R. Ferrari FORMAÇÃO DE AUDITORES DA QUALIDADE Instrutor: F. Ermi R. Ferrari A EMPRESA Sandra Ferrari Valquíria Novaes Ermi Ferrari Sejam bem vindos! SUMÁRIO Apresentação dos participantes Trabalho em equipe Sistema

Leia mais

SISTEMAS DE GESTÃO PARA SEGURANÇA E SAÚDE OCUPACIONAL - ESPECIFICAÇÃO

SISTEMAS DE GESTÃO PARA SEGURANÇA E SAÚDE OCUPACIONAL - ESPECIFICAÇÃO OHSAS 18001 SISTEMAS DE GESTÃO PARA SEGURANÇA E SAÚDE OCUPACIONAL - ESPECIFICAÇÃO IMPORTANTE: A BSI-OHSAS 18001 não é uma Norma Britânica. A BSI-OHSAS 18001 será cancelada quando da inclusão do seu conteúdo

Leia mais

CÓPIA CONTROLADA USO EXCLUSIVO PARA TREINAMENTO INTERNO DO LIM56

CÓPIA CONTROLADA USO EXCLUSIVO PARA TREINAMENTO INTERNO DO LIM56 NORMA ABNT BRASILEIRA NBR ISO 9001 Segunda edição 28.11.2008 Válida a partir de 28.12.2008 Sistemas de gestão da qualidade - Requisitos Quality management systems - Requirements CÓPIA CONTROLADA USO EXCLUSIVO

Leia mais

Correspondência entre OHSAS 18001, ISO 14001:1996, ISO 9001:1994 e ISO 9001:2000

Correspondência entre OHSAS 18001, ISO 14001:1996, ISO 9001:1994 e ISO 9001:2000 Anexo A (informativo) Correspondência entre, ISO 14001:1996, ISO 9001:1994 e ISO 9001:2000 Tabela A.1 - Correspondência entre, ISO 14001:1996 e ISO 9001:1994 Seção Seção ISO 14001:1996 Seção ISO 9001:1994

Leia mais

MANUAL DA QUALIDADE MQ-01

MANUAL DA QUALIDADE MQ-01 Sumário 1 Objetivo 2 Últimas Alterações 3 Termos e definições 4 Sistema de gestão de qualidade 5 Responsabilidade da direção 6 Gestão de recursos 7 Realização do produto 8 Medição, análise e melhoria.

Leia mais

II Encontro Nacional dos Lacens e VISA IV Encontro de Lacens AUDITORIA INTERNA Instituto Nacional de Controle de Qualidade em Saúde

II Encontro Nacional dos Lacens e VISA IV Encontro de Lacens AUDITORIA INTERNA Instituto Nacional de Controle de Qualidade em Saúde II Encontro Nacional dos Lacens e VISA IV Encontro de Lacens AUDITORIA INTERNA Brasília, a, 08 e 09 de dezembro e de 2011 IMPORTÂNCIA Ferramenta de gestão para monitorar e verificar a eficácia da implementação

Leia mais

SEGURANÇA, MEIO AMBIENTE E SAÚDE

SEGURANÇA, MEIO AMBIENTE E SAÚDE ELABORADO APROVADO FOLHA: 1/24 NOME Vivan Gonçalves Coordenador do SESMT Teresinha de Lara Coordenador do SGI DATA: 02/01/2007 VERSÃO: 01 ÍNDICE 1. Objetivo 4 1.1. Escopo do SGSSO TELEDATA 5 2. Referências

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

Lista de Verificação / Checklist

Lista de Verificação / Checklist Lista de Verificação / Checklist Avaliação NC / PC / C Departamentos Padrões de Referência /// Referências do MQ //// Referências Subjetivas A B C D E Cláusula Padrão Conforme/ Não C. 4 Sistema de Gestão

Leia mais

ABNT/CB PROJETO DE REVISÃO ABNT NBR ISO 9001 OUTUBRO:2008 APRESENTAÇÃO

ABNT/CB PROJETO DE REVISÃO ABNT NBR ISO 9001 OUTUBRO:2008 APRESENTAÇÃO Sistemas de gestão da qualidade - Requisitos PRESENTÇÃO 1) Este 1º Projeto de Revisão foi elaborado pela CE-25:002.18 - Comissão de Estudo de Sistemas da Qualidade - do BNT/CB-25 - Qualidade, nas reuniões

Leia mais

DIS ISO 9001:2015 Publicado em Maio de 2014

DIS ISO 9001:2015 Publicado em Maio de 2014 DIS ISO 9001:2015 Publicado em Maio de 2014 Abordagem de Processos Risk-based thinking (Pensamento baseado em Risco) Anexo SL (Estrutura de Alto Nível) Anexo SL (Estrutura de Alto Nível) 1 - Escopo 2 -

Leia mais

NBR ISO 9001:2008. Prof. Marcos Moreira

NBR ISO 9001:2008. Prof. Marcos Moreira NBR ISO 9001:2008 Sistema de Gestão da Qualidade Prof. Marcos Moreira História International Organization for Standardization fundada em 1947, em Genebra, e hoje presente em cerca de 157 países. Início

Leia mais

Estrutura da ISO DIS 9001/2015 ISO/TC 176/SC 2 Document N1224, July 2014

Estrutura da ISO DIS 9001/2015 ISO/TC 176/SC 2 Document N1224, July 2014 Prefácio Introdução 0.1 Generalidades 0.2 As normas ISO para gestão da qualidade 0.3 Abordagem de processo 0.4 Ciclo PDCA 0.5 Pensamento baseado em risco Estrutura da ISO DIS 9001/2015 0.6 Compatibilidade

Leia mais

2 NBR ISO 10005:1997. 1 Objetivo. 3 Definições. 2 Referência normativa

2 NBR ISO 10005:1997. 1 Objetivo. 3 Definições. 2 Referência normativa 2 NBR ISO 10005:1997 1 Objetivo 1.1 Esta Norma fornece diretrizes para auxiliar os fornecedores na preparação, análise crítica, aprovação e revisão de planos da qualidade. Ela pode ser utilizada em duas

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

TRANSQUALIT GERENCIAMENTO DE RISCOS

TRANSQUALIT GERENCIAMENTO DE RISCOS TRANSQUALIT Transqualit GRIS GERENCIAMENTO DE RISCOS INTRODUÇÃO Organizações de todos os tipos estão cada vez mais preocupadas em atingir e demonstrar um desempenho em termos de gerenciamento dos riscos

Leia mais

PROPOSTA VERSÃO 23/05/2003

PROPOSTA  VERSÃO 23/05/2003 PROPOSTA Itens e Requisitos do Sistema de Qualificação SIQ Empresas de Arquitetura e Engenharia Consultiva Programa Brasileiro da Qualidade e Produtividade do Habitat PBQP-H VERSÃO 23/05/2003 ÍNDICE 0

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Diretrizes para auditoria de sistemas de gestão

Diretrizes para auditoria de sistemas de gestão Diretrizes para auditoria de sistemas de gestão 1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo de Tecnologia de Suporte (CE-25:000.03) do Comitê Brasileiro da Qualidade (ABNT/CB-25),

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSIPR 00 14/AGO/09 1/6 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais