Questões Comentadas ISO 27001

Tamanho: px
Começar a partir da página:

Download "Questões Comentadas ISO 27001"

Transcrição

1 2012 Questões Comentadas ISO LhugoJr Versão /12/2012

2 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES COMENTADAS CESPE/UNB - TI SEGURANÇA DA INFORMAÇÃO PARA CONCURSOS NÍVEL AVANÇADO - Provas de TI Também foram usadas outras fontes, como livros, comentários do site Questões de Concursos, etc. Os comentários são sempre feitos colocando as fontes encontradas, algumas questões são mais difíceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros. Espero que ajude. Abraços. Notas da Versa o Essa é a versão 1.0, sendo a maioria das questões da banca CESPE, com o tempo espero acrescentar muito mais questões. Caso encontre algum erro nesta versão pode mandar um para colocando o número da questão e o erro encontrado. Você também pode ajudar a melhorar os comentários, alguns comentários podem estar com o nível fraco, isso ocorre quando não são encontradas fontes que tratam sobre o tema da questão. Caso você encontre alguma fonte ou queira melhorar o comentário mande um . LhugoJr Página 1

3 1 ISO CESPE (CESPE - TCU 2007 Analista de Controle Externo Tecnologia da Informação) 1) A ISO define diretrizes para certificação de que uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma auditoria de terceira parte, nos moldes da ISO A ISO não define processo de certificação. Esse processo só foi definido na norma 27001:2006. Portanto a questão está errada. (CESPE SERPRO 2008 Analista Especialidade: Redes de Computadores) 2) A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC Segundo a norma: Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. A questão está correta. É a alta administração que deve aceitar os riscos. 3) Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses. A norma fala no item Monitorar e analisar criticamente o SGSI: e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6). NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos. Ainda temos na 27001: 6 Auditorias internas do SGSI A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados; c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado. A norma não fala nada em auditoria externa e nem fala sobre o prazo. Portanto o item está errado. 4) Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação. LhugoJr Página 2

4 Na norma podemos encontrar a seguinte figura e tabela: Usando ainda o comentário do professor Sócrates: A identificação de ações corretivas e preventivas está compreendida na fase checar (check), pois fazem parte da etapa de monitoração e avaliação crítica do SGSI. Já a execução dessas ações, que englobam a melhoria do SGSI, está na fase agir (act). Portanto a questão está errada. 5) A norma NBR ISO/IEC recomenda a adoção de abordagem qualitativa para a realização da análise de risco. Na norma não foi encontrado nenhum recomendação sobre abordagem qualitativa ou quantitativa, a norma somente fala em análise de risco. Portanto o item está errado. (CESPE - ANATEL 2009 Analista Administrativo: TI Arquitetura de soluções) 6) Considere as diferentes fases do ciclo de gestão no modelo da figura plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no LhugoJr Página 3

5 escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. Na norma podemos encontrar a seguinte tabela: Tabela B.1 Princípios da OECD e o modelo PDCA Conscientização Princípios da OECD Convém que os participantes estejam conscientes da necessidade de segurança de sistemas de informação e redes e do que eles podem fazer para aumentar a segurança. Responsabilidade Todos os participantes são responsáveis pela segurança de sistemas de informação e redes. Resposta Convém que os participantes ajam de modo oportuno e cooperativo para prevenir, detectar e responder a incidentes de segurança da informação. Análise/Avaliação de riscos Convém que os participantes conduzam análises/avaliações de risco. Arquitetura e implementação de segurança Convém que os participantes incorporem a segurança como um elemento essencial de sistemas de informação e redes. Gestão de segurança Convém que os participantes adotem uma abordagem detalhada para a gestão da segurança. Reavaliação Convém que os participantes analisem criticamente e reavaliem a segurança dos sistemas de informação e redes, e façam as modificações apropriadas nas políticas de segurança, práticas, medidas e procedimentos. Correspondência entre o processo do ISMS e a fase do PDCA Esta atividade é parte da fase Fazer (Do) (ver e 5.2.2). Esta atividade é parte da fase Fazer (Do) (ver e 5.1). Esta é, em parte, uma atividade de monitoração da fase Checar (Check) (ver e 6 a 7.3) e uma atividade de resposta da fase Agir (Act) (ver e 8.1 a 8.3). Isto também pode ser coberto por alguns aspectos das fases Planejar (Plan) e Checar (Check). Esta atividade é parte da fase Planejar (Plan) (ver 4.2.1) e a reanálise/reavaliação dos riscos é parte da fase Checar (Check) (ver e 6 até 7.3). Uma vez finalizada a análise/avaliação de riscos, os controles são selecionados para o tratamento dos riscos como parte da fase Planejar (Plan) (ver 4.2.1). A fase Fazer (Do) (ver e 5.2) então cobre a implementação e o uso operacional destes controles. A gestão de riscos é um processo que inclui a prevenção, detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todos estes aspectos são cercados nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act). A reanálise/revaliação de segurança da informação é uma parte da fase Checar (Check) (ver e 6 até 7.3), onde análises críticas regulares devem ser realizadas para verificar a eficácia do sistema de gestão de segurança da informação, e a melhoria da segurança é parte da fase Agir (Act) (ver e 8.1 a 8.3). Portanto a questão está errada. A definição de critérios para aceitação e avaliação dos riscos deve ocorrer na Fase Plan. (CESPE Ministério do Desenvolvimento Social Técnico de Nível Superior (Nível V TI)) 7) Uma organização que reivindica conformidade com a norma ISO deve implementar pelo menos os requisitos necessários para o estabelecimento do sistema de gestão de segurança da informação (SGSI). Usando o comentário do professor Sócrates: LhugoJr Página 4

6 Ela deve implementar todos os requisitos para o estabelecimento do SGSI, para alegar que está em conformidade com a ISO/IEC A não conformidade em qualquer das seções, em regra, significa que a empresa não pode ser certificada como ISO Não confunda requisitos com os controles, já que estes podem não ser implementados desde que devidamente justificados na Declaração de Aplicabilidade. (CESPE ANAC 2009 Analista Administrativo Tecnologia da Informação) 8) Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos. Na norma 27001, Implementar e operar o SGSI: A organização deve: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5). b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades. c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)). O gabarito foi dado como correto, mas temos no item Monitorar e analisar criticamente o SGSI: c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. Portanto o gabarito está duvidoso, porque na Implementação e operação fala-se em definir como medir..., já no item Monitorar e analisar, fala-se em medir a eficácia. 9) O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação. Na norma podemos achar a seguinte definição: Sistema de gestão da segurança da informação (SGSI) a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Portanto o item está errado. SGSI não é o sistema global e sim parte dele. 10) Disponibilidade é a garantia de que a informação é acessível ou revelada somente a pessoas, entidades ou processos autorizados a acessá-la. Vamos as definições encontradas na norma: Disponibilidade - propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados A questão está errada, ela trocou confidencialidade por disponibilidade. 11) A política de segurança da informação dispõe de regras relativas ao estabelecimento do fórum multifuncional para coordenação da segurança da informação. LhugoJr Página 5

7 Não foi encontrado nada na norma que fala sobre estabelecimento de fórum multifuncional. Portanto item errado. (CESPE - TCU 2009 Auditor Federal de Controle Externo Tecnologia da Informação) 12) Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade. Resumindo, sim estes documentos são encontrados na Portanto o item está correto. Vamos resumir o que está escrito. DOCUMENTOS REGISTROS Declaração da política de segurança; Relatório de análise/avaliação de risco; Declaração de aplicabilidade Livros de visitantes; Relatórios de auditoria; Ocorrências de incidentes de segurança; Outros registros. (CESPE TRE/PR 2009 Analista Judiciário Especialidade: Análise de Sistemas) 13) Tomar as ações corretivas e preventivas para alcançar a melhoria contínua, com base nos resultados da auditoria interna do SGSI, na revisão gerencial ou em outra informação pertinente, faz parte da fase do planejamento do SGSI. As ações corretivas e preventivas faz parte da fase ACT (Manutenção e melhoria). Questão errada. Plan (planejar) (estabelecer o SGSI) Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Implementar e operar a política, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. LhugoJr Página 6

8 (CESPE IJSN/ES 2010 Especialista em Estudos e Pesquisas Governamentais Informática e Gestão da Informação) 14) A norma ISO indica que uma política global de segurança da informação deve ser estabelecida antes da elaboração de uma declaração de aplicabilidade de controles de segurança, mas somente após a realização de uma análise/avaliação de risco formal. Segundo o professor Sócrates Filho: A declaração de aplicabilidade de controles de segurança deve ser estabelecida após a realização de uma análise/avaliação de risco formal. Na norma, 4.2 Estabelecendo e gerenciando o SGSI, temos a seguinte sequência: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia c) Definir a abordagem de análise/avaliação de riscos da organização. d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opções para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade. Podemos ver que está errado a sequência proposta na questão. (CESPE ANEEL 2010 Analista Administrativo Área 3 Tecnologia da Informação) 15) Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos. O professor Sócrates fala sobre esta questão: Os objetivos de controle e os controles deve ser selecionados com base nos resultados dos processo de análise/avaliação de riscos e das decisões de como tratar os riscos, mas a organização pode utilizar outros critérios (requisitos de conformidade legal, por exemplo) para essa seleção. 16) A classificação, a aposição de rótulos e o tratamento de um ativo de informação, em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização, são efetuados pelos usuários desse ativo. Segundo a norma: Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser definido e implementado de acordo com o esquema de classificação adotado pela organização. LhugoJr Página 7

9 Portanto a questão está errada, a classificação, rotulação é feita pela organização. 17) Para cada usuário ou grupos de usuários, deve ser efetuada uma política de controle de acesso com regras e direitos, com os controles de acesso lógico e físico bem integrados. Uma daquelas questões que são boa para aprender. O gabarito é correto. Portanto vale memorizar esta questão. (CESPE TCU Auditor Federal de Controle Externo Tecnologia da Informação) 18) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. Usando mais uma vez a tabela: Plan (planejar) (estabelecer o SGSI) Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Implementar e operar a política, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. Percebemos que a questão está errada. 19) Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos. Mas um daquelas questões que vale a pena lembrar. Vamos melhorar o aprendizado: GARANTIA DA CONTINUIDADE DO NEGÓCIO MINIMIZAÇÃO DOS RISCOS MAXIMIZAÇÃO DO RETORNO SOBRE OS INVESTIMENTO 20) (SERPRO/Analista/Negócios em Tecnologia da Informação/2010) Segundo a NBR 27001, um sistema de gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, e manutenção e melhoria do sistema. Segundo o professor Gleyson Azevedo: LhugoJr Página 8

10 NBR ISO/IEC 27001:2006 é composto das seguintes fases: estabelecimento, implementação e operação, monitoramento e análise crítica, manutenção e melhoria. Portanto esta questão está errada. Mas ela foi anulada. 21) (MCT/Tecnologista Jr/2008) Dependendo de seu tamanho ou natureza, uma organização pode considerar um ou mais requisitos da norma ISO como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional. No item 1.2 Aplicação, a fala: Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma. Portanto questão errada. 22) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar). No item Monitorar e analisar criticamente o SGSI: A organização deve: a) Executar procedimentos de monitoração e análise crítica e outros controles para: 1) prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação; 3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. Portanto a questão está correta. 23) (ANTAQ/Analista Administrativo/Informática/2009) As normas ABNT NBR ISO/IEC 27001:2006 e ABNT NBR ISO/IEC 17799:2005 enunciam um mesmo conjunto de mais de cento e trinta controles de segurança, os quais, por sua vez, são agrupados em mais de 30 objetivos de controle, sendo a primeira das normas de redação mais abstrata que a segunda e com estrutura de seções parcialmente correspondente à da norma ABNT NBR ISO 9001:2000. Usando como comentário, o professor Gleyson Azevedo: Anulada. As normas (anexo A) e possuem um mesmo conjunto de 133 controles e 39 objetivos de controle. A norma 27001, por ser gerencial e não um código de prática, possui redação mais abstrata do que a e sua estrutura possui correlação com a norma ISO 9001:2000 (ABNT, 2006, pp ). A despeito disso, a banca anulou a questão alegando a presença de ambiguidade no texto, evidenciada pela expressão a primeira das normas, haja vista que o leitor poderia ficar em dúvida se a questão estava se referindo à primeira citada no texto ou à que foi primeiro publicada. LhugoJr Página 9

11 24) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Uma política de segurança eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurança, como firewalls, sistemas de detecção de intrusos, validadores de senha e criptografia forte. Vamos mais uma vez usar o comentário do professor Gleyson Azevedo: A eficácia da política de segurança, bem como sua pertinência e adequação, não está associada à utilização de ferramentas específicas, mas a um processo de constante avaliação e implementação de ajustes, fundamentados na realização de análises críticas a intervalos planejados ou quando mudanças significativas ocorrerem (ABNT, 2005, p. 9). Portanto a questão está errada. 25) (CESPE TRE-RJ - Analista Judiciário - Análise de Sistemas) A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma. A não possui as diretrizes, e sim os requisitos para aplicação da SGSI. Portanto a questão está errada. Usando uma definição da 27002, temos: Diretriz - descrição que orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas 26) (CESPE TRE-RJ - Analista Judiciário - Análise de Sistemas ) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos. A norma no item Estabelecer o SGSI, nada fala em definir um plano diretor, segue o que está na norma (resumidamente): A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2); b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opções para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade. Portanto a questão está errada 27) (CESPE TJ-AL - Analista Judiciário - Análise de Sistemas )Com base na NBR ISO/IEC n.º /2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação. a) O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação. LhugoJr Página 10

12 b) Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco. c) Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação. d) O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação e) Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial. Segundo a norma temos: Sistema de gestão da segurança da informação (SGSI) a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para Gestão de riscos - atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Avaliação de riscos - processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco Evento de segurança da informação - uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação Incidente de segurança da informação - um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados Portanto a questão correta é a letra A. 28) (CESPE TJ-AL - Analista Judiciário - Análise de Sistemas) Com base na NBR ISO/IEC n.º /2006, assinale a opção correta em relação às auditorias internas do sistema de gestão da segurança da informação (SGSI). a) Em um processo de auditoria interna os auditores auditam seu próprio trabalho. b) Em uma auditoria interna, a definição das responsabilidades e dos requisitos é dispensável para o planejamento e a execução de um procedimento documentado. c) As atividades de acompanhamento devem abranger a verificação das ações executadas e o relato dos resultados de verificação. d) O responsável pela área a ser auditada deve assegurar que as ações sejam executadas com qualidade, para eliminar as não conformidades detectadas e as suas causas, não importando a quantidade de tempo despendido. e) A objetividade e a imparcialidade são princípios que devem ser observados na seleção dos auditores; na execução de auditorias, contudo, em virtude de a auditoria ser uma atividade caracterizada pela discricionariedade, esses princípios não devem ser plenamente adotados. Usando a 27001, temos: LhugoJr Página 11

13 6 Auditorias internas do SGSI A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados; c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado. Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho. As responsabilidades e os requisitos para planejamento e para execução de auditorias e para relatar os resultados e a manutenção dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado. O responsável pela área a ser auditada deve assegurar que as ações sejam executadas, sem demora indevida, para eliminar as nãoconformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados de verificação (ver seção 8). Portanto o gabarito é letra C 29) (CESPE Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas) Deve ser incluída na documentação do sistema de gestão de segurança da informação a identificação dos colaboradores da empresa. No item 4.3 Requisitos de documentação, temos: A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI. A documentação do SGSI deve incluir: a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI; b) o escopo do SGSI (ver 4.2.1a)); c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c)); e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g)); f) o plano de tratamento de riscos (ver 4.2.2b)); g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles (ver 4.2.3c)); h) registros requeridos por esta Norma (ver 4.3.3); e i) a Declaração de Aplicabilidade. Portanto a questão está errada, porque a questão não fala em identificação dos colaboradores da empresa. 30) (CESPE PREVIC - Analista de Tecnologia da Informação) A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar). Essa questão é repetida, mas vale a pena decorar ela. LhugoJr Página 12

14 No item Monitorar e analisar criticamente o SGSI: A organização deve: a) Executar procedimentos de monitoração e análise crítica e outros controles para: 1) prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação; 3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. Portanto questão correta. 31) (CESPE TRT - 21ª Região (RN) - Analista Judiciário - Tecnologia da Informação) A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários. Na 27001, no anexo, podemos encontrar: A.10.4 Proteção contra códigos maliciosos e códigos móveis Objetivo: Proteger a integridade do software e da informação. A Controle contra códigos maliciosos Controle A questão trocou software por hardware, portanto questão errada. Devem ser implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários. 32) (CESPE Banco da Amazônia - Técnico Científico - Tecnologia da Informação - Segurança da Informação) Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. Nesta questão vamos usar o comentário de dois usuários do QC. Marco Aurélio Americo de Azevedo Avaliação da Probabilidade: Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experiência passada, estatística, motivação e competência de ameaças intencionais, fatores geográficos de ameaças acidentais, vulnerabilidades e os controles existentes e sua eficácia. Leonardo Marcelino Teixeira Análises críticas devem ser executadas em níveis de profundidade distintos OK, como há níveis diversos de complexidade, é correto que haja níveis de profundidade distintos. e se apóiam nas análises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e métricas, a base para todo o SGSI é a análise/avaliação de riscos. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentário do Marco Aurélio. LhugoJr Página 13

15 Portanto a questão está correta. 33) (CESPE INMETRO - Analista Executivo em Metrologia e Qualidade - Desenvolvimento de Sistemas - Parte II) A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização. Essa questão podemos responder pelo item 7 Análise crítica do SGSI pela direção: A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3). Portanto a questão está errada. 1.2 Outras bancas 34) (INSTITUTO CIDADES TCM-GO - Auditor de Controle Externo - Informática) De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, não faz parte do processo de identificação dos riscos: a) Estimar os níveis de riscos; b) Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos; c) Identificar as ameaças para esses ativos; d) Identificar as vulnerabilidades que poderiam ser exploradas pelas ameaças; e) Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos. No item Estabelecer o SGSI, temos: (...) d) Identificar os riscos. 1) Identificar os ativos dentro do escopo do SGSI e os proprietários2) destes ativos. 2) Identificar as ameaças a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação de riscos estabelecidos em 4.2.1c)2). Sendo assim, o gabarito da questão é letra A. LhugoJr Página 14

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Questões Comentadas ISO 270022

Questões Comentadas ISO 270022 2012 Questões Comentadas ISO 270022 Lhugojr Versão 1.0 09/12/2012 0 Introduça ovale ressaltar que alguns comenta rios sobre as questo es foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO -

Leia mais

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos DEZ 2005 Projeto 21:204.01-012 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Sede: Rio de Janeiro

Leia mais

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com Comentários sobre prova do TRE/PR 2009 (CESPE TRE/PR 2009 Analista Judiciário Especialidade: Análise de Sistemas) A figura acima ilustra como um sistema de gerenciamento de segurança da informação (SGSI)

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Uso Exclusivo em Treinamento

Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br ABNT NBR ISO 9001:2008 Uso Exclusivo em Treinamento SUMÁRIO 0. Introdução 2 0.1 Generalidades 2 0.2 Abordagem de processo 3 0.3 Relação com a norma NBR ISO 9004 5 0.4

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Tradução livre Uso Exclusivo em Treinamento

Tradução livre Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br N786-1 ISO CD 9001 Tradução livre Uso Exclusivo em Treinamento N786-1 ISO CD 9001 para treinamento - Rev0 SUMÁRIO Página Introdução 4 0.1 Generalidades 4 0.2 Abordagem

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Sistema de Gestão da Qualidade -Requisitos

Sistema de Gestão da Qualidade -Requisitos MB Consultoria Av. Constantino Nery, Nº 2789, Edifício Empire Center, Sala 1005 a 1008 Manaus - Amazonas - Brasil CEP: 69050-002 Telefones: (92) 3656.2452 Fax: (92) 3656.1695 e-mail: mb@netmb.com.br Site:

Leia mais

Sistemas de gestão da qualidade - Requisitos

Sistemas de gestão da qualidade - Requisitos DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade - Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680 Rio

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

14 ANEXO 02 - NORMA ISO 9001:2000 - INTERPRETAÇÃO LIVRE

14 ANEXO 02 - NORMA ISO 9001:2000 - INTERPRETAÇÃO LIVRE 14 ANEXO 02 - NORMA ISO 9001:2000 - INTERPRETAÇÃO LIVRE Sumário Prefácio 0 Introdução 1 Objetivo 2 Referência normativa 3 Termos e definições 4 Sistema de gestão da qualidade 5 Responsabilidade da direção

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1 MÓDULO C REQUISITOS DA NORMA AMBIENTAL ISO 14001 ISO 14000 Edição Junho / 2006 - Rev.0 C-1 REQUISITOS DA NORMA AMBIENTAL ISO 14001/04 Sumário A.) A Organização ISO...3 B.) Considerações sobre a elaboração

Leia mais

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE PARA O BRASIL E AMÉRICA LATINA PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 Diretrizes para auditorias de sistemas de gestão da qualidade e/ou ambiental

Leia mais

Palestra Informativa Sistema da Qualidade NBR ISO 9001:2000

Palestra Informativa Sistema da Qualidade NBR ISO 9001:2000 Palestra Informativa Sistema da Qualidade NBR ISO 9001:2000 ISO 9001:2000 Esta norma considera de forma inovadora: problemas de compatibilidade com outras normas dificuldades de pequenas organizações tendências

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

ISO 17025 Versão 2005

ISO 17025 Versão 2005 1º Fórum Regional de Química - ES ISO 17025 Versão 2005 Rev. 14 Samuel Vieira JUN/2010 1 Terminologia e Siglas ABNT NBR ISO 9000:2000 Sistemas de gestão da qualidade Fundamentos e Vocabulário ABNT NBR

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com)

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com) Conceitos Básicos e Implementação Pref. Mun. Vitória 2007 Analista de Suporte 120 A ITIL (information technology infrastructure library) visa documentar as melhores práticas na gerência, no suporte e na

Leia mais

Gestão de Riscos de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

Gestão de Riscos de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Gestão de Riscos de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes A superfície da terra apresenta uma variedade infinita de lugares. Deves fugir de uns e buscar outros. Todavia, deves

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

ABNT NBR ISO 9001. Sistemas de gestão da qualidade Requisitos. Quality management systems Requirements ' NORMA BRASILEIRA. Segunda edição 28.11.

ABNT NBR ISO 9001. Sistemas de gestão da qualidade Requisitos. Quality management systems Requirements ' NORMA BRASILEIRA. Segunda edição 28.11. ' NORMA BRASILEIRA ABNT NBR ISO 9001 Segunda edição 28.11.2008 Válida a partir de 28.12.2008 Sistemas de gestão da qualidade Requisitos Quality management systems Requirements Palavras-chave: Sistemas

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade Requisitos Sumário Prefácio 0 Introdução 1 Objetivo 2 Referência normativa 3 Termos e definições 4 Sistema de gestão da qualidade 5 Responsabilidade

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos ABNT Associação Brasileira de Normas Técnicas DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade Requisitos Sede: Rio de Janeiro Av. Treze de Maio, 13 28 o. andar CEP 20003-900 Caixa Postal 1680 Rio

Leia mais

Principais tópicos da norma NBR ISO/IEC 27001:2006

Principais tópicos da norma NBR ISO/IEC 27001:2006 FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS TIAGO GREGÓRIO DA SILVA Principais tópicos da norma NBR ISO/IEC 27001:2006 SÃO PAULO 2013 Índice 1 Introdução... 3 2 Assunto

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos SET/2000 PROJETO NBR ISO 9001 Sistemas de gestão da qualidade Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeir o Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680

Leia mais

MANUAL DA QUALIDADE MQ-01

MANUAL DA QUALIDADE MQ-01 Sumário 1 Objetivo 2 Últimas Alterações 3 Termos e definições 4 Sistema de gestão de qualidade 5 Responsabilidade da direção 6 Gestão de recursos 7 Realização do produto 8 Medição, análise e melhoria.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Sistemas de gestão da qualidade Requisitos

Sistemas de gestão da qualidade Requisitos SET/2000 PROJETO NBR ISO 9001 Sistemas de gestão da qualidade Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Manual de Gestão da Qualidade MGQ Elaborado por: Representante da Direção (RD)

Manual de Gestão da Qualidade MGQ Elaborado por: Representante da Direção (RD) 1/22 Nº revisão Descrição da Revisão 00 Emissão do documento baseado nos requisitos da ISO 9001:2008 Vendas Gestão de Contratos Service Demais envolvidos na análise e aprovação Área / Processo Responsável

Leia mais

ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO. Documento de caráter orientativo

ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO. Documento de caráter orientativo Coordenação Geral de Acreditação ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO Documento de caráter orientativo DOQ-CGCRE-002 Revisão 03

Leia mais

PERGUNTAS MAIS FREQÜENTES SOBRE A TRANSIÇÃO (NBR ISO 14001: 2004)

PERGUNTAS MAIS FREQÜENTES SOBRE A TRANSIÇÃO (NBR ISO 14001: 2004) PERGUNTAS MAIS FREQÜENTES SOBRE A TRANSIÇÃO (NBR ISO 14001: 2004) Ao longo dos últimos anos, a Fundação Carlos Alberto Vanzolini vem trabalhando com a Certificação ISO 14000 e, com o atual processo de

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Preparando a Implantação de um Sistema de Gestão da Qualidade

Preparando a Implantação de um Sistema de Gestão da Qualidade Preparando a Implantação de um Projeto Pró-Inova - InovaGusa Ana Júlia Ramos Pesquisadora em Metrologia e Qualidade e Especialista em Sistemas de Gestão da Qualidade 1. Gestão Gestão Atividades coordenadas

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

ISO 9000 ISO 9001:2008

ISO 9000 ISO 9001:2008 ISO 9001:2008 QUALIDADE II ISO 9000 A ISO 9000 - Qualidade é o nome genérico utilizado pela série de normas da família 9000 (ISO) que estabelece as diretrizes para implantação de Sistemas de Gestão da

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

NBR ISO 9001/2000 NBR ISO 9004/2000

NBR ISO 9001/2000 NBR ISO 9004/2000 NBR ISO 9001/2000 NBR ISO 9004/2000 2 Prefácio 3 A ABNT Associação Brasileira de Normas Técnicas é o Fórum Nacional de Normatização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

II Encontro Nacional dos Lacens e VISA IV Encontro de Lacens AUDITORIA INTERNA Instituto Nacional de Controle de Qualidade em Saúde

II Encontro Nacional dos Lacens e VISA IV Encontro de Lacens AUDITORIA INTERNA Instituto Nacional de Controle de Qualidade em Saúde II Encontro Nacional dos Lacens e VISA IV Encontro de Lacens AUDITORIA INTERNA Brasília, a, 08 e 09 de dezembro e de 2011 IMPORTÂNCIA Ferramenta de gestão para monitorar e verificar a eficácia da implementação

Leia mais

2 NBR ISO 10005:1997. 1 Objetivo. 3 Definições. 2 Referência normativa

2 NBR ISO 10005:1997. 1 Objetivo. 3 Definições. 2 Referência normativa 2 NBR ISO 10005:1997 1 Objetivo 1.1 Esta Norma fornece diretrizes para auxiliar os fornecedores na preparação, análise crítica, aprovação e revisão de planos da qualidade. Ela pode ser utilizada em duas

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA TECNOLOGIA DA INFORMAÇÃO ICA 7-19 PRECEITOS DE SEGURANÇA DA INFORMAÇÃO PARA O DEPARTAMENTO DE CONTROLE DO ESPAÇO AÉREO 2012 MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA

Leia mais

a qualidade em suas mãos www.iso4all.com.br

a qualidade em suas mãos www.iso4all.com.br a qualidade em suas mãos www.iso4all.com.br ISO/DIS 9001:2015 Tradução livre* Sistemas de Gestão da Qualidade - Requisitos Sumário Prefácio... 5 Introdução... 6 0.1 Generalidades... 6 0.2 A Norma ISO para

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015

DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015 DIS (DRAFT INTERNATIONAL STANDARD) - ISO 9001:2015 Sistemas de Gestão da Qualidade - Requisitos Tradução Livre Prefácio ISO (International Organization for Standardization) é uma federação mundial de organismos

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão: 4.2.2 Manual da Qualidade Está estabelecido um Manual da Qualidade que inclui o escopo do SGQ, justificativas para exclusões, os procedimentos documentados e a descrição da interação entre os processos

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma? ABNT NBR ISO/IEC 27002 Organização

Leia mais

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos. Gestão da Qualidade 2005

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos. Gestão da Qualidade 2005 ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos Gestão da Qualidade 2005 Estrutura da Norma 0. Introdução 1. Campo de Aplicação 2. Referência Normativa 3. Termos e Definições 4. Sistema de Gestão

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

Procedimento Geral para Certificação de Sistema de Gestão da Qualidade

Procedimento Geral para Certificação de Sistema de Gestão da Qualidade Pág. 1 de 12 1. OBJETIVO O objetivo deste documento é o de estabelecer os critérios de certificação da ABRACE, para prestação de serviços de avaliação da conformidade e certificação de Sistemas de Gestão.

Leia mais

PROPOSTA VERSÃO 23/05/2003

PROPOSTA  VERSÃO 23/05/2003 PROPOSTA Itens e Requisitos do Sistema de Qualificação SIQ Empresas de Arquitetura e Engenharia Consultiva Programa Brasileiro da Qualidade e Produtividade do Habitat PBQP-H VERSÃO 23/05/2003 ÍNDICE 0

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1 Certificação NBR Requisitos A partir da versão 1994, a série ISO 9000 passou a ser conhecida como família ISO 9000 ; leva em conta duas situações, a contratual e não contratual; Para a situação não contratual

Leia mais

Introdução à ISO 9001 ano 2008

Introdução à ISO 9001 ano 2008 Introdução à ISO 9001 ano 2008 1. A FAMÍLIA DE NORMAS ISO 9000 1.1 Histórico A primeira Norma de Garantia da Qualidade foi publicada em 1979 pela British Standards Institution (BSI) em três partes como

Leia mais

PROGRAMA INTEGRADO DE DESENVOLVIMENTO E QUALIFICAÇÃO DE FORNECEDORES SISTEMA DE GESTÃO DA QUALIDADE EM FORNECIMENTO

PROGRAMA INTEGRADO DE DESENVOLVIMENTO E QUALIFICAÇÃO DE FORNECEDORES SISTEMA DE GESTÃO DA QUALIDADE EM FORNECIMENTO PROGRAMA INTEGRADO DE DESENVOLVIMENTO E QUALIFICAÇÃO DE FORNECEDORES SISTEMA DE GESTÃO DA QUALIDADE EM FORNECIMENTO SGQF:: 2008 SUMÁRIO PREFÁCIO -------------------------------------------------------------------------------------------------------------------------------------------

Leia mais

PROCESSO EXTERNO DE CERTIFICAÇÃO

PROCESSO EXTERNO DE CERTIFICAÇÃO 1 de 9 1. OBJETIVO: Este procedimento estabelece o processo para concessão, manutenção, extensão e exclusão da certificação de Sistema de Gestão de Segurança da Informação, em conformidade com norma ABNT

Leia mais

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicação (POSIC-TRT3) no âmbito do Tribunal Regional do Trabalho

Leia mais