ISO/IEC família de normas ISO / IEC ISMS

Tamanho: px
Começar a partir da página:

Download "ISO/IEC família de normas ISO / IEC ISMS"

Transcrição

1 ISO/IEC família de normas ISO / IEC ISMS A série oferece recomendações de melhores práticas de segurança da informação, riscos e controles dentro do contexto de uma estratégia global Information Security Management System (ISMS), similar no projeto de sistemas de gestão da qualidade (ISO 9000) e de proteção ambiental (ISO série). A série é deliberadamente abrangente, cobrindo mais do que apenas a privacidade, confidencialidade e de TI ou de questões técnicas de segurança. É aplicável a organizações de todos os tamanhos e feitios. Todas as organizações são incentivadas a avaliar os seus riscos de segurança da informação, em seguida, implementar controles de segurança de informação de acordo com suas necessidades, utilizando as orientações e sugestões sempre pertinentes. Dada a natureza dinâmica da segurança da informação, o conceito ISMS incorpora o processo de melhoria contínua, conforme plano de Deming, ou seja, abordagem "PDCA", que procura abordar as mudanças nas ameaças, vulnerabilidades e incidentes de segurança da informação. ISO Vocabulário de Gestão da Segurança da Informação (sem data de publicação); ISO Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS para certificação de sistema de gestão de segurança da informação; ISO Esta norma substitui a ISO/IEC 17799:2005 (Código de Boas Práticas), sendo publicada em 2007; ISO Esta norma aborda a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação, publicada em 2006; ISO Esta norma incide sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação, publicada em 2008; ISO Esta norma é constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controle, publicada em 2008; ISO Esta norma é referente à recuperação e continuidade de negócio. Este documento tem o título de Guidelines for information and communications technology disaster recovery services, publicada em abril de 2007; ISO Auditoria do ISMS previsto 1 ISO/IEC Norma publicada em outubro de 2005 e em abril de 2006 no Brasil, substituindo a BS Seu nome completo é ISO/IEC 27001: Tecnologia da Informação - Técnicas de Segurança - Sistemas de Gestão da Segurança da Informação. Esta norma foi preparada para prover um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. A ISO/IEC especifica formalmente um sistema de gestão, que se destina a levar a segurança da informação sob o controle de gestão explícita. Sendo uma especificação formal significa que ela define requisitos específicos. A maioria das organizações tem um número de controles de segurança da informação. Sem um ISMS, no entanto, os controles tendem a ser um pouco desorganizados e desarticulados, tendo sido utilizados frequentemente para solucionar soluções especificas. Atenção: a norma de certificação é a NBR ISO IEC 27001:2006, a NBR ISO IEC é somente uma norma de referência contida na norma de certificação. 1.1 Aplicação da Norma A ISO/IEC (antiga 17799) trazia recomendações de uso opcional, ou seja, não era obrigatório o uso de todas as suas diretrizes oferecidas para que uma empresa possa implementar uma política de segurança da informação com eficácia. Entretanto, por se tratar de uma norma que estabeleceu critérios para certificação, para que uma empresa reivindique que está em conformidade com a ISO/IEC 27001, ela deve seguir todos os requisitos especificados em suas seções. A não conformidade em qualquer das seções, em regra, significa que a empresa não pode ser certificada como ISO/IEC Contudo, é possível que alguns dos controles necessários para satisfazer aos critérios de aceitação de riscos sejam excluídos, mas para isso, as exclusões precisam ser justificadas e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.

2 1.2 Declaração de Aplicabilidade É um documento exigido pela NBR ISO/IEC no qual a empresa tem que relacionar quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu ISMS. 1.3 Auditoria de Documentação, Pré-auditoria e Auditoria Interna do ISMS A Auditoria de Documentação tem como foco a seguinte documentação: Declaração de Aplicabilidade, Relatório de Avaliação de Riscos e Análise Crítica pela Direção entre outros possíveis documentos associados a estes, conforme aplicação. Esta análise não contempla procedimentos e práticas específicos, uma vez que estes são objeto da Préauditoria ou auditoria de pré-certificação, que tem por objetivo a análise crítica da adequação do sistema à norma. A pré-auditoria deve ser solicitada após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção, podendo ser solicitada para verificar o nível de adequação à norma em questão, tendo como principal objetivo a detecção de eventuais problemas conceituais que possam vir a ser despercebidos pela empresa em processo de certificação. A Pré-auditoria é realizada nas instalações da empresa e segue os mesmos passos da Auditoria de Certificação: Reunião de Abertura, investigação, relato das não-conformidades e reunião de encerramento. Geralmente a equipe auditora da Pré-auditoria será a mesma da Análise Documental e da Auditoria de Certificação. São verificados os procedimentos e a documentação em relação à sua adequação à norma de referência. O tempo dimensionado para esta auditoria, normalmente não permite que a equipe auditora tenha tempo para verificar se as práticas descritas na documentação estão adequadamente implementadas, isto é o que chamamos de auditoria de conformidade, que será realizada durante a Auditoria de Certificação (Inicial) e nas Auditorias de Manutenção. Algumas entidades recomendam que a Auditoria de Documentação ocorra pelo menos 30 dias antes da Auditoria de Certificação e, caso seja solicitada, 30 dias antes da Pré-auditoria. A organização deve conduzir auditorias internas do ISMS a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu ISMS: a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados; c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado. 1.4 A ISO/IEC e o Ciclo PDCA A ISO/IEC adota o modelo conhecido como Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do ISMS, de forma que as entradas do processo são as expectativas e requisitos de segurança de informação da organização. Como saída desse processo, temos a Gestão da Segurança da Informação propriamente dita. Dessa maneira, essa norma foi projetada para permitir a uma organização alinhar ou integrar seu ISMS com requisitos de sistemas de gestão relacionados.

3 Ciclo PDCA Etapa do processo Descrição Plan (planejar) estabelecer o SGSI Do (fazer) implementar e operar o SGSI Check (checar) Act (agir) monitorar e analisar criticamente o ISMS manter e melhorar o ISMS Estabelecer a política, objetivos, processos e procedimentos do ISMS, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Implementar e operar a política, controles, processos e procedimentos do ISMS. Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do ISMS e apresentar os resultados para a análise crítica pela direção. Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do ISMS e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do ISMS. 1.5 Etapas para se constituir um ISMS Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulneráveis a que eles estão submetidos e qual seria o impacto da materialização dessas ameaças. Por fim, com base nessas informações, são priorizados os controles necessários para garantir a segurança desses recursos. 1.6 Estabelecendo e Gerenciando o ISMS Estabelecer o ISMS A organização deve: a) Definir o escopo e os limites do ISMS nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do ISMS nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que: 1) Inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação; 2) Considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; 3) Esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do ISMS irão ocorrer ; 4) Estabeleça critérios em relação aos quais os riscos serão avaliados; e 5) Tenha sido aprovada pela direção. c) Definir a abordagem de análise/avaliação de riscos da organização. 1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao ISMS e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio. 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de riscos produzam resultados comparáveis e reproduzíveis. d) Identificar os riscos. 1) Identificar os ativos dentro do escopo do ISMS e os proprietários destes ativos. 2) Identificar as ameaças a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças.

4 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as consequências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação de riscos estabelecidos. f) Identificar e avaliar as opções para o tratamento de riscos. Possíveis ações incluem: 1) Aplicar os controles apropriados; 2) Aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos; 3) Evitar riscos; e 4) Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. g) Selecionar objetivos de controle e controles para o tratamento de riscos. Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos. Esta seleção deve considerar os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais. Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados. Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controles e controles adicionais podem também ser selecionados. O anexo A contém uma lista detalhada de objetivos de controle e controles que foram comumente considerados relevantes nas organizações. Os usuários desta Norma são direcionados para o anexo A como um ponto de partida para a seleção de controles, para assegurar que nenhuma opção de controle importante seja negligenciada. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o ISMS. j) Preparar uma Declaração de Aplicabilidade. Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: 1) Os objetivos de controle e os controles selecionados e as razões para sua seleção; 2) Os objetivos de controle e os controles atualmente implementados; e 3) A exclusão de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua exclusão. A Declaração de Aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente Implementar e operar o ISMS A organização deve: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança. b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades. c) Implementar os controles selecionados para atender aos objetivos de controle.

5 d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis. A medição da eficácia dos controles permite aos gestores e à equipe determinar o quanto os controles alcançam de forma satisfatória os objetivos de controle planejados. e) Implementar programas de conscientização e treinamento. f) Gerenciar as operações do ISMS. g) Gerenciar os recursos para o ISMS. h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação Monitorar e Analisar Criticamente o ISMS A organização deve: a) Executar procedimentos de monitoração e análise crítica e outros controles para: 1) Prontamente detectar erros nos resultados de processamento; 2) Prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação; 3) Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. b) Realizar análises críticas regulares da eficácia do ISMS (incluindo o atendimento da política e dos objetivos do ISMS, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas. c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a: 1) Organização; 2) Tecnologias; 3) Objetivos e processos de negócio; 4) Ameaças identificadas; 5) Eficácia dos controles implementados; 6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social. e) Conduzir auditorias internas do ISMS a intervalos planejados. Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos. f) Realizar uma análise crítica do ISMS pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do ISMS. g) Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica.

6 1.6.4 Manter e melhorar o ISMS A organização deve regularmente : a) Implementar as melhorias identificadas no ISMS. b) Executar as ações preventivas e corretivas apropriadas. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização. c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. 1.7 Requisitos de Documentação A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do ISMS. A documentação do ISMS deve incluir: a) Declarações documentadas da política e objetivos do ISMS; b) O escopo do ISMS; c) Procedimentos e controles que apóiam o ISMS; d) Uma descrição da metodologia de análise/avaliação de riscos; e) O relatório de análise/avaliação de riscos; f) O plano de tratamento de riscos; g) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) Registros requeridos por esta Norma; e i) A Declaração de Aplicabilidade. Onde o termo "procedimento documentado" aparecer nesta Norma, significa que o procedimento é estabelecido, documentado, implementado e mantido. A abrangência da documentação do ISMS pode variar de uma organização para outra devido ao: tamanho da organização e o tipo de suas atividades; e escopo e complexidade dos requisitos de segurança e o do sistema gerenciado Controle de Documentos Os documentos requeridos pelo ISMS devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: a) Aprovar documentos para adequação antes de sua emissão; b) Analisar criticamente e atualizar, quando necessário, e reaprovar documentos; c) Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas; d) Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso; e) Assegurar que os documentos permaneçam legíveis e prontamente identificáveis; f) Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação;

7 g) Assegurar que documentos de origem externa sejam identificados; h) Assegurar que a distribuição de documentos seja controlada; i) Prevenir o uso não intencional de documentos obsoletos; e j) Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito Controle de Registros Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do ISMS. Eles devem ser protegidos e controlados. O ISMS deve levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e implementados. Devem ser mantidos registros do desempenho do processo e de todas as ocorrências de incidentes de segurança da informação significativos relacionados ao SGSI. Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso preenchidos. 1.8 Anexo A A ABNT NBR ISO/IEC 17799: seções 5 a 15 fornece recomendações e um guia de implementação das melhores práticas para apoiar os controles especificados em A.5 a A.15 Tabela A1 Objetivos de Controle e Controles A.5 Política de Segurança A.5.1 Política de Segurança da Informação Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. A.6 Organizando a Segurança da Informação A.6.1 Infraestrutura da Segurança da Informação Objetivo: Gerenciar a segurança da informação dentro da organização. A.6.2 Partes Externas A.7 Gestão de Ativos Objetivo: Manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados comunicados ou gerenciados por partes externas. A.7.1 Responsabilidades pelos Ativos Objetivo: Alcançar e manter a proteção adequada dos ativos da organização A.7.2 Classificação das Informações Objetivo: Assegurar que a informação recebe um nível adequado de proteção A.8 Segurança em Recursos humanos A.8.1 Antes da Contratação Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso dos recursos. A.8.2 Durante a Contratação

8 Objetivo: Assegurar que os funcionários, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e estão preparados para apoiar a política de segurança da informação da organização durante os seus trabalhos normais, e para reduzir o risco de erro humano. A.8.3 Encerramento ou Mudança da Contratação Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de A.9 Segurança Física e do Ambiente A.9.1 Áreas Seguras trabalho de forma ordenada. Objetivo: Prever o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A.9.2 Segurança de Equipamentos Objetivo: Impedir perdas, danos, furtos ou comprometimento de ativos e interrupção das atividades da organização. A.10 Gerenciamento das Operações e Comunicações A.10.1 Procedimentos e Responsabilidades Operacionais Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação. A.10.2 Gerenciamento de Serviços Terceirizados Objetivo: Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados. A.10.3 Planejamento e Aceitação dos Sistemas Objetivo: Minimizar o risco de falhas nos sistemas. A.10.4 Proteção Contra Códigos Maliciosos e Códigos Móveis Objetivo: Promover a integridade do software e da informação. A.10.5 Cópias de Segurança Objetivo: Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação. A.10.6 Gerenciamento da Segurança em Redes Objetivo: Garantir a proteção das informações em redes e a proteção da infraestrutura de suporte. A.10.7 Manuseio de Mídias Objetivo: Prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos e interrupções das atividades de negócio. A.10.8 Troca de Informações Objetivo: Manter a segurança na troca de informações e softwares internamente à organização e com quaisquer entidades externas. A.10.9 Serviços de Comércio Eletrônico Objetivo: Garantir a segurança de serviços de comercio eletrônico e sua utilização segura. A Monitoramento Objetivo: Detectar atividades não autorizadas de processamento de informação. A.11 Controle de Acessos

9 A.11.1 Requisitos de Negócio para Controle de Acesso Objetivo: Controlar o acesso à informação A.11.2 Gerenciamento de Acesso de usuário Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. A.11.3 Responsabilidades dos Usuários Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação. A.11.4 Controle de Acesso à Rede Objetivo: Prevenir acesso não autorizado aos serviços de rede. A.11.5 Controle de Acesso ao Sistema Operacional Objetivo: Prevenir acesso não autorizado aos sistemas operacionais. A.11.6 Controle de acesso à aplicação e à Informação Objetivo: Prevenir acesso não autorizado à informação contida nos sistemas de aplicação. A.11.7 Computação Móvel e Trabalho Remoto Objetivo: Garantir a segurança da informação quando se utilizam a computação móvel e recursos de trabalho remoto. A.12 Controles Criptografados A.12.1 Requisitos de Segurança de Sistemas de Informação Objetivo: Garantir que segurança é parte integrante de sistemas de informação. A.12.2 Processamento Correto de Aplicações Objetivo: Prevenir a ocorrência de erros, perdas, modificações não autorizada ou mau uso de informações em aplicações A.12.3 Requisitos de Negócio para Controle de Acesso Objetivo: Promover a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos. A.12.4 Segurança dos Arquivos do Sistema Objetivo: Garantir segurança de arquivos de sistema. A.12.5 Segurança em Processos de Desenvolvimento e de Suporte Objetivo: Manter a segurança de sistemas aplicativos e da informação. A.12.6 Gestão de Vulnerabilidades Objetivo: Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas. A.13 Gestão de Incidentes de Segurança da Informação A.13.1 Notificação de Fragilidades e Eventos de Segurança da Informação Objetivo: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. A.13.2 Gestão de Incidentes de Segurança da Informação e Melhorias Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação.

10 A.14 Gestão da Continuidade do negócio A.14.1 Aspectos da Gestão da Continuidade do negócios, Relativos à Segurança da Informação Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. A.15 Conformidade A.15.1 Conformidade com Requisitos Legais Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. A.15.2 Conformidade com Normas e Políticas de Segurança da Informação e Conformidade Técnica Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação. A.15.3 Considerações Quanto à Auditoria de Sistemas de informação Objetivo: Maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação. 2 ISO/IEC A ISO/IEC foi atualizada para numeração ISO/IEC em julho de O padrão é um conjunto, de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema, ou seja, código de práticas para gestão de segurança da informação. Enquanto esta representa um código de recomendações, a ISO/IEC representa requerimentos, ou seja, todos os itens descritos no tópico 4.2 da norma são obrigatórios, são eles: Estabelecer um ISMS, Implementar e Operar um ISMS, Monitorar e Analisar Criticamente o ISMS e Manter e Melhorar o ISMS, aqui neste material representa o tópico 1.6, com isso a norma ISO/IEC permite uma certificação de organização. A NBR ISO/IEC 17799, está dividida em 11 seções, Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança): a) Política de segurança da informação; b) Organizando a segurança da informação; c) Gestão de ativos; d) Segurança em recursos humanos; e) Segurança física e do ambiente; f) Gestão das operações e comunicações; g) Controle de acessos; h) Aquisição, desenvolvimento e manutenção de sistemas de informação; i) Gestão de incidentes de segurança da informação; j) Gestão da continuidade do negócio; k) Conformidade. 2.1 Política de Segurança da Informação Essa seção orienta a direção no estabelecimento de uma política clara de segurança da informação, alinhada com os objetivos do negócio, com demonstração de seu apoio e comprometimento com a segurança da informação por

11 meio da publicação, manutenção e divulgação da política para toda a organização. São fornecidas diretrizes para elaboração do documento e sua análise crítica. Documento que define parâmetros para gestão da Segurança da Informação: - Padrões a serem seguidos e ações a serem tomadas; - Descreve processos relativos à segurança; - Descreve responsabilidades sobre os processos; - Deve ser apoiado pela gerência; - Deve ser abordado em treinamentos; 2.2 Organizando a Segurança da Informação Essa seção da norma orienta a direção de como gerenciar a segurança da informação dentro da organização e, ainda, de como manter a segurança de seus recursos de processamento da informação, que são acessados, processados, comunicados ou gerenciados por partes externas. - Define a infra-estrutura para gerência da segurança da informação; - As responsabilidades e as regras devem estar claramente definidas; - Um gestor para cada ativo do ambiente; - Inclusão de novos recursos feita sob autorização de um responsável; - Consultor interno ou externo disponível para atuar em suspeitas de incidentes de segurança. São fornecidas ainda diretrizes para o relacionamento com partes externas, na identificação dos riscos relacionados e dos requisitos de segurança da informação necessários ao tratar com clientes e terceiros. - Controle de acesso à locais críticos; - Tipo do controle definindo conforme riscos e valor da informação; - Presença de terceiros mediante autorização e acompanhamento; - Serviços terceirizados regulamentados por contrato; 2.3 Controle e Classificação de Ativos Essa seção da norma orienta a direção a alcançar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação seja classificada de acordo com seu nível adequado de proteção. São fornecidas diretrizes para realização de inventário dos ativos, definição de seus proprietários e regras para seu uso. Em relação à classificação da informação, a norma faz algumas recomendações e sugere a definição de procedimentos para rotulação e tratamento da informação. Contabilização dos ativos: - Mapeia todos os ativos da informação e atribui responsáveis; - Associa ativos com níveis de segurança; Classificação da Informação: - Define a importância de um ativo; - Definição pode variar com o tempo; 2.4 Segurança em Pessoas Essa seção da norma orienta a direção a assegurar que funcionários, fornecedores e terceiros compreendam suas responsabilidades, estejam conscientes das ameaças relativas à segurança da informação e prontos para apoiar a

12 política de segurança da informação da organização. São fornecidas diretrizes para definição de papéis e responsabilidades, inclusive da direção, seleção de pessoal, termos e condições de contratação, conscientização, educação e treinamento em segurança da informação, e processo disciplinar. Para os casos de encerramento ou mudança da contratação, são fornecidas diretrizes para encerramento de atividades, devolução de ativos e retirada de direitos de acesso. Essa seção abrange contratação temporária ou de longa duração de pessoas, nomeação e mudança de funções, atribuição de contratos e encerramento de qualquer uma dessas situações. 2.5 Segurança Física e do Ambiente Essa seção da norma orienta a direção a prevenir acesso físico não autorizado, danos e interferências nas instalações e informações, assim como a impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização. São fornecidas diretrizes para áreas seguras, incluindo perímetro de segurança física, controles de entrada física, segurança em escritórios, salas e instalações, proteção contra ameaças externas e do meio ambiente e acesso do público, áreas de entrega e carregamento. Áreas de segurança: - Controle de acesso à áreas restritas; - Nível de proteção proporcional aos riscos e importância; - Podem ser utilizados mecanismos de autenticação e vigilância (câmeras); Equipamentos de segurança: - Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica, contato com substâncias); - Proteção do cabeamento de rede; Controles gerais: - Diminuem o vazamento de informações; - Política Tela limpa, mesa limpa. O acesso é negado às informações sendo trabalhadas no momento; 2.6 Gestão das Operações e Comunicações Essa seção da norma orienta a direção quanto aos procedimentos e responsabilidades operacionais, incluindo gestão de mudanças, segregação de funções e separação dos ambientes de produção, desenvolvimento e teste. São fornecidas diretrizes também para gerenciamento de serviços terceirizados, planejamento e aceitação de sistemas, proteção contra códigos maliciosos e móveis, cópias de segurança, gerenciamento da segurança em redes, manuseio de mídias, troca de informações, serviços de correio eletrônico e, por fim, monitoramento. 2.7 Controle de Acesso Essa seção da norma orienta a direção quanto aos controles de acesso à informação e aos recursos de processamento das informações. São fornecidas diretrizes para definição de requisitos de negócio para controle de acesso, gerenciamento de acesso e responsabilidades do usuário, controle de acesso à rede, sistema operacional, aplicação e informação, e, por fim, aspectos sobre computação móvel e trabalho remoto. Tais diretrizes englobam desde a definição de uma política de controle de acesso e o gerenciamento de privilégios até o isolamento de sistemas sensíveis. - Gerência de acesso dos usuários - Responsabilidade dos usuários - Controle de Acesso ao Sistema Operacional - Controle de Acesso às aplicações - Computação móvel e trabalho remoto - Notificação do uso e acesso ao sistema - Controle de Acesso à rede

13 - Requisitos do negócio para controle de acesso 2.8 Manutenção e Desenvolvimento de Sistemas Essa seção da norma orienta a direção quanto à definição dos requisitos necessários de segurança de sistemas de informação, medidas preventivas contra processamento incorreto das aplicações, uso de controles criptográficos, além de fornecer diretrizes para a segurança dos arquivos de sistema, segurança em processos de desenvolvimento e suporte, e gestão de vulnerabilidades técnicas. Fornece critérios para o desenvolvimento de sistemas confiáveis. - A segurança deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurança na fase de iniciação de projetos. - Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados. - Deve-se garantir a integridade de arquivos associados a aplicações, controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos. 2.9 Gestão da Continuidade dos Negócios Essa seção da norma orienta a direção para que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados e gerenciados de forma consistente e efetiva, permitindo a tomada de ação corretiva em tempo hábil. São fornecidas diretrizes para notificação de eventos e fragilidades de segurança da informação, definição de responsabilidades e procedimentos de gestão desses eventos e fragilidades, além da coleta de evidências e do estabelecimento de mecanismos para análise dos incidentes recorrentes ou de alto impacto com vistas à sua quantificação e monitoramento Gestão de Incidentes de Segurança Esta seção, apresenta dois itens. Um deles é a notificação de fragilidades e eventos de segurança da informação. O outro é a gestão de incidentes de segurança da informação e melhorias Conformidade Essa seção da norma orienta a direção a evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação, além de garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação. São fornecidas diretrizes para identificação da legislação vigente, proteção dos direitos de propriedade intelectual, proteção dos registros organizacionais, proteção de dados e privacidade de informações pessoais, prevenção de mau uso de recursos de processamento da informação e regulamentação de controles de criptografia. Além disso, são feitas algumas considerações quanto à auditoria de sistemas de informação.

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de Curso e- Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini   / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 11 Tema:

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini   / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 11 Tema:

Leia mais

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Gerenciamento e Interoperabilidade de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Como a SI pode ser obtida? Implementando CONTROLES, para garantir que os objetivos de segurança

Leia mais

Interpretação da norma NBR ISO/IEC 27001:2006

Interpretação da norma NBR ISO/IEC 27001:2006 Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste

Leia mais

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste

Leia mais

Segurança da Informação ISO/IEC ISO/IEC 27002

Segurança da Informação ISO/IEC ISO/IEC 27002 Segurança da Informação ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27001 Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA ÍNDICE 1. OBJETIVO... 3 2. ABRANGÊNCIA... 3 3. DIRETRIZES... 3 3.1. TREINAMENTO E CONSCIENTIZAÇÃO... 3 3.2. COOPERAÇÃO ENTRE ORGANIZAÇÕES... 3 3.3. CONDUTAS

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 0. Introdução 1 Roteiro Definição Justificativa Fontes de Requisitos Análise/Avaliação de Riscos Seleção de Controles Ponto de Partida Fatores Críticos

Leia mais

Formação Técnica em Administração. Modulo de Padronização e Qualidade

Formação Técnica em Administração. Modulo de Padronização e Qualidade Formação Técnica em Administração Modulo de Padronização e Qualidade Competências a serem trabalhadas ENTENDER OS REQUISITOS DA NORMA ISO 9001:2008 E OS SEUS PROCEDIMENTOS OBRIGATÓRIOS SISTEMA DE GESTÃO

Leia mais

Gerenciamento e Interoperabilidade de Redes

Gerenciamento e Interoperabilidade de Redes EN3610 Gerenciamento e Interoperabilidade de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Santo André, abril de 2011 Como a SI pode ser obtida? Implementando CONTROLES, para

Leia mais

Anexo A (normativo) Objetivos de controle e controles

Anexo A (normativo) Objetivos de controle e controles Anexo A (normativo) Objetivos de controle e controles Os objetivos de controle e controles listados na tabela A.1 são derivados diretamente e estão alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005

Leia mais

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex. 1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Disposições Gerais Os sistemas de informação, a infraestrutura tecnológica, os arquivos de dados e as informações internas ou externas, são considerados importantes

Leia mais

Módulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte

Módulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte Módulo 3 4. Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte Sistemas de gestão da qualidade Requisitos 4 Contexto da organização 4.1 Entendendo a organização

Leia mais

LISTA DE VERIFICAÇÃO

LISTA DE VERIFICAÇÃO LISTA DE VERIFICAÇÃO Tipo de Auditoria: AUDITORIA DO SISTEMA DE GESTÃO DA QUALIDADE Auditados Data Realização: Responsável: Norma de Referência: NBR ISO 9001:2008 Auditores: 4 SISTEMA DE GESTÃO DA QUALIDADE

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Segurança da Informação Preservação de: Confidencialidade Integridade Disponibilidade Como a SI pode ser

Leia mais

CHECK-LIST ISO 14001:

CHECK-LIST ISO 14001: Data da Auditoria: Nome da empresa Auditada: Auditores: Auditados: Como usar este documento: Não é obrigatório o uso de um check-list para o Sistema de Gestão. O Check-list é um guia que pode ser usado

Leia mais

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar :

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar : Origem da norma 1-Objetivos Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar : Política e objetivos alinhados com os requisitos legais e outros

Leia mais

AULA 02 Qualidade em TI

AULA 02 Qualidade em TI Bacharelado em Sistema de Informação Qualidade em TI Prof. Aderson Castro, Me. AULA 02 Qualidade em TI Prof. Adm. Aderson Castro, Me. Contatos: adersoneto@yahoo.com.br 1 Qualidade de Processo A Série ISO

Leia mais

Grupo de Extensão em Sistemas de Gestão Ambiental. Sistema de Gestão Ambiental

Grupo de Extensão em Sistemas de Gestão Ambiental. Sistema de Gestão Ambiental Grupo de Extensão em Sistemas de Gestão Ambiental Sistema de Gestão Ambiental 10 SIGA 25 de agosto de 2013 PANGeA O grupo iniciou suas atividades em 2005. Constituído por alunos da ESALQ Projetos internos

Leia mais

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ÍNDICE 1. OBJETIVO... 2 2. APLICAÇÃO... 2 3. REFERÊNCIA... 2 4. CONCEITOS... 2 5. RESPONSABILIDADES... 3 6. PRINCÍPIOS E DIRETRIZES... 3 6.1. Disposições

Leia mais

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste

Leia mais

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO PRINCÍPIOS ISO 9001:2015 1. Foco no cliente 2. Liderança 3. Engajamento das pessoas 4. Abordagem de processo 5. Melhoria

Leia mais

Lista de Verificação de Auditorias Internas do SGI - MA - SST

Lista de Verificação de Auditorias Internas do SGI - MA - SST 4.1 Requisitos Gerais 4.2 Política: Ambiental e de SST A empresa possui uma Política Ambiental e de SST? A Política é apropriada a natureza, escala, impactos ambientais e perigos e riscos das suas atividades,

Leia mais

Controles de acordo com o Anexo A da norma ISO/IEC 27001

Controles de acordo com o Anexo A da norma ISO/IEC 27001 Controles de acordo com o Anexo A da norma ISO/IEC 27001 A.5.1.1 Políticas para a segurança da informação A.5.1.2 Revisão das políticas para a segurança da informação A.6.1.1 Funções e responsabilidades

Leia mais

Gerencial Industrial ISO 9000

Gerencial Industrial ISO 9000 Gerencial Industrial ISO 9000 Objetivo: TER UMA VISÃO GERAL DO UM SISTEMA DE GESTÃO DA QUALIDADE: PADRÃO ISO 9000 Qualidade de Processo Qualidade do produto não se atinge de forma espontânea. A qualidade

Leia mais

CHECKLIST DE AUDITORIA INTERNA ISO 9001:2008

CHECKLIST DE AUDITORIA INTERNA ISO 9001:2008 4 Sistema de gestão da qualidade 4.1 Requisitos gerais A CICON CONSTRUTORA E INCORPORADORA: Determina, documenta, implementa e mantêm um sistema de gestão da qualidade para melhorar continuamente a sua

Leia mais

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt Segurança de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Segurança da Informação Preservação de: Confidencialidade Integridade Disponibilidade Como a SI pode ser obtida? Implementando

Leia mais

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer Segurança da Aula 9 Políticas de Segurança Prof. Dr. Eng. Fred Sauer http://www.fredsauer.com.br fsauer@gmail.com Política de Segurança de Informações É um documento que serve como mecanismo preventivo

Leia mais

Sistema de Gestão da Qualidade

Sistema de Gestão da Qualidade LV -001 0 Página 1 de 20 RESUMO DA AUDITORIA Data da auditoria: / / Auditor(es): Pessoas contatadas: Pontos positivos detectados: Pontos que precisam de melhoria: Não Conformidades Encontradas: Assinatura

Leia mais

Questões sobre a IS014001

Questões sobre a IS014001 Professor: Carlos William Curso/ Disciplina/Período: Administração/ Gestão Ambiental/ 2º ano Aluno: Lázaro Santos da Silva Questões sobre a IS014001 1. A NBR ISO 14001:2004 foi concebida para estabelecer

Leia mais

Requisitos onde as normas ISO 9001:2015 e ISO 14001:2015 requerem informação documentada:

Requisitos onde as normas ISO 9001:2015 e ISO 14001:2015 requerem informação documentada: Com a finalidade de entendermos melhor quais requisitos das normas ISO revisadas requerem a criação de algum tipo de informação documentada, seja ela, procedimento, registro, check lists, especificações,

Leia mais

Rabobank Segurança Cibernética

Rabobank Segurança Cibernética INFORMAÇÕES SOBRE A POLÍTICA DE SEGURANÇA CIBERNÉTICA DO BANCO RABOBANK 1. INTRODUÇÃO Este documento consiste em uma versão simplificada da Política de Segurança Cibernética do Banco Rabobank International

Leia mais

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO 1/5 CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO 0000536 - André Delgado- SEGURANCA Danielle Souza; Oscar Zuccarelli; HISTÓRICO DE REVISÕES REVISÃO DATA REV. ALTERAÇÕES Atualização do item 2.2 - Solicitar

Leia mais

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4 ÍNDICE 1. OBJETIVO... 2 2. CONCEITOS... 2 3. PRINCÍPIOS... 3 4. DIRETRIZES CORPORATIVAS... 3 5. ESTRUTURA DE GERENCIAMENTO... 4 5.1 Gestão de acessos às informações... 4 5.2 Proteção do ambiente... 4 5.3

Leia mais

Segurança da Informação Aula 10 SGSI ISO e Prof. Dr. Eng. Fred Sauer

Segurança da Informação Aula 10 SGSI ISO e Prof. Dr. Eng. Fred Sauer Segurança da Informação Aula 10 SGSI ISO 27001 e 27002 Prof. Dr. Eng. Fred Sauer http://www.fredsauer.com.br fsauer@gmail.com Partes Interessadas ABNT NBR ISO/IEC 27001:2013 Plan Ciclo PDCA Estabelecimento

Leia mais

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de Curso e- Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste

Leia mais

10) Implementação de um Sistema de Gestão Alimentar

10) Implementação de um Sistema de Gestão Alimentar Módulo 5 11 2 2 5 5 APPCC 3 3 4 4 10) Implementação de um Sistema de Gestão Alimentar 1. Escopo 2.Responsabilidade da direção 3.Requisitos de documentação 4.Gestão de recursos 5.Realização do produto 6.Medição,

Leia mais

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos ISO 9001:2008 GESTÃO DE QUALIDADE O que é ISO? ISO = palavra grega que significa Igualdade O Comitê - ISO A Organização Internacional de Normalização (ISO) tem sede em Genebra na Suíça, com o propósito

Leia mais

SÉRIE ISO SÉRIE ISO SÉRIE ISO GESTÃO AMBIENTAL E DA QUALIDADE GESTÃO AMBIENTAL E DA QUALIDADE SISTEMAS DE GESTÃO AMBIENTAL

SÉRIE ISO SÉRIE ISO SÉRIE ISO GESTÃO AMBIENTAL E DA QUALIDADE GESTÃO AMBIENTAL E DA QUALIDADE SISTEMAS DE GESTÃO AMBIENTAL 1993 - CRIAÇÃO DO COMITÊ TÉCNICO 207 (TC 207) DA ISO. NORMAS DA : ISO 14001 - SISTEMAS DE - ESPECIFICAÇÃO COM ORIENTAÇÃO PARA USO. ISO 14004 - SISTEMAS DE - DIRETRIZES GERAIS SOBRE PRINCÍPIOS, SISTEMAS

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Eng. SERGIO VILLARREAL Conteúdo Introdução Conceitos Normas e SGSI Profissionais da SI Atividades Duração: 2 h 1 Introdução Informação Ativo mais importante das organizações Empresas

Leia mais

Definição. Sistema de Gestão Ambiental (SGA):

Definição. Sistema de Gestão Ambiental (SGA): Definição Sistema de Gestão Ambiental (SGA): A parte de um sistema da gestão de uma organização utilizada para desenvolver e implementar sua política ambiental e gerenciar seus aspectos ambientais. Item

Leia mais

Política Controles Internos

Política Controles Internos Política Controles 1. Objetivo Esta política estabelece diretrizes e responsabilidades para a implementação e manutenção do Sistema de Controles integrado ao Gerenciamento de Risco Operacional aplicável

Leia mais

USO EXCLUSIVO EM TREINAMENTO

USO EXCLUSIVO EM TREINAMENTO USO EXCLUSIVO EM TREINAMENTO Página 1 de 24 Índice Assunto... Pg 0.1 Sistema de Gestão da Qualidade... 04 0.2 Requisitos gerais... 04 0.3 Requisitos de documentação... 06 0.4 Generalidades... 06 1.1 Sistema

Leia mais

Kit de documentação premium da ISO e ISO 22301

Kit de documentação premium da ISO e ISO 22301 Kit de documentação premium da ISO e ISO http://www.isostandard.com/pt/produtos/kit-de-ferramentas-da-documentacaopremium-da-iso--e-da-bs-25999 Nota: a documentação deve ser implementada preferencialmente

Leia mais

Política de segurança

Política de segurança 1001 - Política de segurança Controlo Documental Data Versão Modificações Autor 19/12/2014 1.0 Criação Manel Cervera Díaz 04/01/2016 1.1 Revisão e Atualização Manel Cervera Díaz 16/03/2016 1.2 Separação

Leia mais

Kit de Documentação da ISO 27001

Kit de Documentação da ISO 27001 Kit de Documentação da ISO 27001 Nota: a documentação deve ser implementada preferencialmente na ordem listada neste documento. A ordem da implementação da documentação relacionada ao Anexo A está definida

Leia mais

Módulo 7. NBR ISO Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, Exercícios

Módulo 7. NBR ISO Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, Exercícios Módulo 7 NBR ISO 14001 - Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, 4.4.5 Exercícios 4.3 Planejamento 4.3.3 Objetivos e metas e programa de gestão ambiental A organização deve

Leia mais

#AULÃO EXTRA04 (PROFA. MÔNICA ROBERTA) DE FAMÍLIA ISO9000 (1 a 110)

#AULÃO EXTRA04 (PROFA. MÔNICA ROBERTA) DE FAMÍLIA ISO9000 (1 a 110) #AULÃO EXTRA04 (PROFA. MÔNICA ROBERTA) DE FAMÍLIA ISO9000 (1 a 110) #FAMÍLIA ISO9000 (MRS/APO/QLDE/ISO/9001/2008) 01- No Tópico Introdução, sobre generalidades, convém que a adoção de um sistema de gestão

Leia mais

Gerenciamento da Integração de Projetos. Parte 03. Gerenciamento de Projetos Espaciais CSE-301. Docente: Petrônio Noronha de Souza

Gerenciamento da Integração de Projetos. Parte 03. Gerenciamento de Projetos Espaciais CSE-301. Docente: Petrônio Noronha de Souza Gerenciamento da Integração de Projetos Parte 03 Gerenciamento de Projetos Espaciais CSE-301 Docente: Petrônio Noronha de Souza Curso: Engenharia e Tecnologia Espaciais Concentração: Engenharia e Gerenciamento

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Agosto de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Continuação do Domínio de Processos PO (PO4, PO5

Leia mais

Revisão da ISO 14001:2015. Fernanda Spinassi

Revisão da ISO 14001:2015. Fernanda Spinassi Revisão da ISO 14001:2015 Fernanda Spinassi Requisito 4 Contexto da Organização Está mais claramente definida a obrigação de monitorar e analisar criticamente as questões externas e internas da organização

Leia mais

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi MODELO DE REFERÊNCIA DE SEGURANÇA Criado para definir uma arquitetura de rede confiável e que implemente uma política de segurança, que consiste em uma série de regras, procedimentos, autorizações e negações

Leia mais

Treinamento e-learning. Interpretação e implantação da ISO 9001:2015

Treinamento e-learning. Interpretação e implantação da ISO 9001:2015 Treinamento e-learning Interpretação e implantação da ISO 9001:2015 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa da

Leia mais

IATF - International Automotive Task Force IATF 16949:2016 Interpretações Sancionadas

IATF - International Automotive Task Force IATF 16949:2016 Interpretações Sancionadas :2016 Interpretações Sancionadas A 1 a edição da foi publicada em outubro de 2016 e entrou em vigor em 1º de janeiro de 2017. As seguintes Interpretações Sancionadas foram determinadas e aprovadas pela

Leia mais

Por Constantino W. Nassel

Por Constantino W. Nassel NORMA ISO 9000 SISTEMA DE GESTÃO DA QUALIDADE ISO 9001:2000 REQUISITOS E LINHAS DE ORIENTAÇÃO PARA IMPLEMENTAÇÃO Por Constantino W. Nassel CONTEÚDOS O que é a ISO? O que é a ISO 9000? Histórico Normas

Leia mais

Módulo 8. NBR ISO Interpretação dos requisitos: 4.4.6, 4.4.7, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.6 Exercícios

Módulo 8. NBR ISO Interpretação dos requisitos: 4.4.6, 4.4.7, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.6 Exercícios Módulo 8 NBR ISO 14001 - Interpretação dos requisitos: 4.4.6, 4.4.7, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.6 Exercícios 4.4.6 Controle Operacional A organização deve identificar e planejar aquelas operações

Leia mais

Ministério das Cidades

Ministério das Cidades Ministério das idades Secretaria Nacional de Habitação Programa Brasileiro da Qualidade e Produtividade do Habitat - PBQP-H ANEXO III Sistema de Avaliação da onformidade de Empresas de Serviços e Obras

Leia mais

IATF - International Automotive Task Force IATF 16949:2016 Interpretações Sancionadas

IATF - International Automotive Task Force IATF 16949:2016 Interpretações Sancionadas :2016 Interpretações Sancionadas A 1 a edição da foi publicada em outubro de 2016 e entrou em vigor em 1º de janeiro de 2017. As seguintes Interpretações Sancionadas foram determinadas e aprovadas pela

Leia mais

FORMAÇÃO DE AUDITORES INTERNOS DE GESTÃO DA QUALIDADE PARTE 1

FORMAÇÃO DE AUDITORES INTERNOS DE GESTÃO DA QUALIDADE PARTE 1 FORMAÇÃO DE AUDITORES INTERNOS DE GESTÃO DA QUALIDADE PARTE 1 Curso realizado de 23 a 26 de agosto /2010 OBJETIVO PARTE 1: Capacitar os participantes para: Ter habilidade para avaliar os requisitos da

Leia mais

Módulo 5 Requisito 8 Validação, verificação e melhoria do Sistema de Gestão da Segurança de Alimentos Etapas para implementação do APPCC e da ISO

Módulo 5 Requisito 8 Validação, verificação e melhoria do Sistema de Gestão da Segurança de Alimentos Etapas para implementação do APPCC e da ISO Módulo 5 Requisito 8 Validação, verificação e melhoria do Sistema de Gestão da Segurança de Alimentos Etapas para implementação do APPCC e da ISO 22000 Processo de Certificação 8 Validação, verificação

Leia mais

SISTEMA DE SEGURANÇA E SAÚDE OCUPACIONAL.

SISTEMA DE SEGURANÇA E SAÚDE OCUPACIONAL. OBJETIVO DO CURSO Capacitar os participantes no entendimento dos conceitos fundamentais de qualidade pertinentes aos requisitos da Norma OHSAS 18000 e interpretar cada um dos requisitos do SISTEMA DE SEGURANÇA

Leia mais

CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO

CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO 1/12 ELABORADO CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO APROVADO Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO EDIÇÃO DATA ALTERAÇÕES EM RELAÇÃO

Leia mais

Módulo 5. Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 6.1, 6.2, 7.1, 7.2 e 7.3

Módulo 5. Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 6.1, 6.2, 7.1, 7.2 e 7.3 Módulo 5 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 6.1, 6.2, 7.1, 7.2 e 7.3 Estrutura da norma Sistema de Gestão da Qualidade 4 C L I E N R E Q U I S 5 Responsabilidade

Leia mais

Segurança da Informação

Segurança da Informação Universidade Federal do Rio de Janeiro Centro de Ciências Jurídicas e Econômicas Faculdade de Administração e Ciências Contábeis Biblioteconomia e Gestão de Unidades de Informação Segurança da Informação

Leia mais

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento. Histórico de Revisões Versão: 01 Data de Revisão: Histórico: Elaboração do Documento. Índice I. Objetivo... 1 II. Abrangência... 1 III. Documentação Complementar... 1 IV. Conceitos e Siglas... 2 V. Responsabilidades...

Leia mais

Elaboração: Professor José Silvino Filho Consultor de Projetos em Sistemas de Gestão da Qualidade e Documentação

Elaboração: Professor José Silvino Filho Consultor de Projetos em Sistemas de Gestão da Qualidade e Documentação Elaboração: Professor José Silvino Filho Consultor de Projetos em Sistemas de da Qualidade e Documentação e-mail: silvino.qualidade@gmail.com Telefone: (61) 3877-9576, 9631-3707 Sumário SGQ Princípios

Leia mais

DIAGNÓSTICO DA CERCIPENICHE PARA A QUALIDADE.

DIAGNÓSTICO DA CERCIPENICHE PARA A QUALIDADE. Norma de referência Auditores Âmbito José António Carvalho de Sousa Formação Profissional e Emprego Cátia Leila Almeida Santana Objetivo Avaliar a situação atual da Cercipeniche frente às exigências da

Leia mais

Normas ISO:

Normas ISO: Universidade Católica de Pelotas Tecnólogo em Análise e Desenvolvimento de Sistemas Disciplina de Qualidade de Software Normas ISO: 12207 15504 Prof. Luthiano Venecian 1 ISO 12207 Conceito Processos Fundamentais

Leia mais

Relatório de Auditoria Interna Fl. 1

Relatório de Auditoria Interna Fl. 1 1 RESUMO DA AUDITORIA Data da auditoria: / / Auditor(es): Pessoas contatadas: Pontos positivos detectados: Pontos que precisam de melhoria: Não Conformidades Encontradas: Assinatura do Auditor(es) 2 Item

Leia mais

Douglas Rosemann Prof. Carlos Eduardo Negrão Bizzotto

Douglas Rosemann Prof. Carlos Eduardo Negrão Bizzotto Protótipo de software para avaliação da segurança da informação de uma empresa conforme a norma NBR ISO/IEC 17799 Douglas Rosemann Prof. Carlos Eduardo Negrão Bizzotto Roteiro de Apresentação Introdução

Leia mais

Curso e- Learning. Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011

Curso e- Learning. Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011 Curso e- Learning Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Novembro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Finalizar o conteúdo da Disciplina Governança de

Leia mais

APOSTILAS: NORMAS; ABNT NBR ISO; MPS BR

APOSTILAS: NORMAS; ABNT NBR ISO; MPS BR APOSTILAS: NORMAS; ABNT NBR ISO; MPS BR Fonte: http://www.softex.br/mpsbr/_home/default.asp Apostilas disponíveis no site 1 NORMAS: NBR ISO NBR ISO/IEC CMM SPICE Continuação... 2 NORMAS VISÃO GERAL NBR

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Braspor Gráfica e Editora Ltda. Política de Segurança da Informação Versão 3.0-01 de setembro de 2017 Este documento é propriedade da Braspor Gráfica e Editora Ltda. e contém informações proprietárias,

Leia mais

A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000

A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000 1. A Norma NBR ISO 9001:2000 A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000 A ISO International Organization for Standardization, entidade internacional responsável

Leia mais

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Versão 1.0 neutronica.com.br 2016 Sumário PARTE I... 5 I. Introdução... 5 II. Melhores Práticas de Governança... 6 III. Melhores Práticas de Entrega de Serviços...

Leia mais

CB.POL a. 1 / 7

CB.POL a. 1 / 7 CB.POL-.01 4 a. 1 / 7 1. CONTEÚDO DESTE DOCUMENTO Esta política estabelece diretrizes e responsabilidades para a implementação e manutenção do Sistema de Controles Internos integrado ao Gerenciamento de

Leia mais

Atuar no planejamento e execução das Auditorias da Qualidade. Estabelecer lista de verificação para auditoria;

Atuar no planejamento e execução das Auditorias da Qualidade. Estabelecer lista de verificação para auditoria; Página 1 de 9 AUDITORIAS DA QUALIDADE ETAPA 1. Objetivo geral: Atuar no planejamento e execução das Auditorias da Qualidade. Desempenho esperado: Estabelecer programa anual de auditorias; Elaborar agenda

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS Versão 1.0 29/01/2018 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 4 6 Responsabilidades...

Leia mais

ISO/IEC 12207: Manutenção

ISO/IEC 12207: Manutenção ISO/IEC 12207: Manutenção O desenvolvimento de um sistema termina quando o produto é liberado para o cliente e o software é instalado para uso operacional Daí em diante, deve-se garantir que esse sistema

Leia mais

ISO /2018 O QUE EFETIVAMENTE MUDOU?

ISO /2018 O QUE EFETIVAMENTE MUDOU? ISO 45.001/2018 O QUE EFETIVAMENTE MUDOU? SAIBA TUDO O QUE FOI ALTERADO COM ESTA SIGNIFICATIVA MUDANÇA. BOA LEITURA! www.ambito.com.br Material elaborado pela sócia e consultora jurídica Cristiane botelho

Leia mais

Grupos de Processos de Gerenciamento de Projetos

Grupos de Processos de Gerenciamento de Projetos Grupos de Processos de Gerenciamento de Projetos Vamos aprender um pouco mais sobre os grupos de processos dentro do Gerenciamento de Projetos. Basicamente são 5 grupos de processos, que são os estados

Leia mais

NBR ISO/IEC 2700. I. Políticas de segurança da informação. Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos;

NBR ISO/IEC 2700. I. Políticas de segurança da informação. Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; NBR ISO/IEC 2700 ISO/IEC 27000: Esta norma apresenta a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando

Leia mais

Módulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3

Módulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3 Módulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3 Estrutura da norma Sistema de Gestão da Qualidade 4 C L I E N R E Q U I S 5 Responsabilidade

Leia mais

QUALIDADE DE SOFTWARE ISO/IEC Segunda Edição Prof. Edison A M Morais

QUALIDADE DE SOFTWARE ISO/IEC Segunda Edição Prof. Edison A M Morais QUALIDADE DE SOFTWARE ISO/IEC 12207 Segunda Edição 13.03.2009 Prof. Edison A M Morais http://www.edison.eti.br prof@edison.eti.br 1 Descrever o objetivo da Norma ISO 12207. Mostrar a estrutura da norma.

Leia mais

6. Norma 14001:2015 Sistema de Gestão Ambiental

6. Norma 14001:2015 Sistema de Gestão Ambiental 6. Norma 14001:2015 Sistema de Gestão Ambiental A alma da ISO 14001 é a identificação de aspectos e impactos ambientais e a elaboração de um programa para reduzir esses impactos. Por meio de controles,

Leia mais

Políticas Corporativas

Políticas Corporativas 1 IDENTIFICAÇÃO Título: Restrições para Uso: POLÍTICA DE CONTROLES INTERNOS Acesso Controle Livre Reservado Confidencial Controlada Não Controlada Em Revisão 2 - RESPONSÁVEIS Etapa Área Responsável Cargo

Leia mais

REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA

REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA 15/05/2018 1. Definição da atividade de auditoria A Auditoria Interna da TOTVS é uma atividade independente e objetiva que presta serviços de avaliação e de

Leia mais