Interpretação da norma NBR ISO/IEC 27001:2006

Documentos relacionados
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Segurança da Informação ISO/IEC ISO/IEC 27002

Gerenciamento e Interoperabilidade de Redes

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Treinamento e-learning. Interpretação e implantação da ISO 9001:2015

Gestão da Segurança da Informação

Gerencial Industrial ISO 9000

Formação Técnica em Administração. Modulo de Padronização e Qualidade

AULA 02 Qualidade em TI

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar :

Curso e- Learning. Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011

Segurança da Informação

CHECK-LIST ISO 14001:

Módulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte

Sistema de Gestão da Qualidade

Segurança da Informação Aula 10 SGSI ISO e Prof. Dr. Eng. Fred Sauer

Segurança e Auditoria de Sistemas

LISTA DE VERIFICAÇÃO

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

Sistema de Gestão Segurança e Saúde Ocupacional (SGSSO) ESTRUTURA ISO :2016

Revisão da ISO 14001:2015. Fernanda Spinassi

Gestão da Tecnologia da Informação

OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL

ISO/IEC família de normas ISO / IEC ISMS

ISO/IEC Roteiro IEC ISO. Histórico ISO/IEC ISO

Sistema de Gestão Segurança e Saúde do Trabalho (SGSSO) ESTRUTURA ISO 45001:2018

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

Requisitos onde as normas ISO 9001:2015 e ISO 14001:2015 requerem informação documentada:

Etapa 6 - Elaboração da documentação da qualidade

Questões sobre a IS014001

Política de segurança

Segurança da Informação

A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

Curso EAD. Formação de Auditores com base na norma NBR ISO 19011: /12/18

Módulo 5. Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 6.1, 6.2, 7.1, 7.2 e 7.3

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Portaria da Presidência

NBR ISO/IEC I. Políticas de segurança da informação. Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos;

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO

Módulo 8. NBR ISO Interpretação dos requisitos: 4.4.6, 4.4.7, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.6 Exercícios

MGQ Manual de Gestão da Qualidade. PDQ - Procedimento Documentado ITQ Instrução de Trabalho PQC Plano da Qualidade de Contrato

Elaboração: Professor José Silvino Filho Consultor de Projetos em Sistemas de Gestão da Qualidade e Documentação

ESTRUTURA ISO 9.001:2015

6. Norma 14001:2015 Sistema de Gestão Ambiental

Kit de Documentação da ISO 27001

DIAGNÓSTICO DA CERCIPENICHE PARA A QUALIDADE.

Portaria nº 966 de 26 de março de O Vice-Reitor da Universidade Federal de São Paulo, no uso de suas atribuições legais e regimentais,

Gestão da Tecnologia da Informação

Nova versão da ISO 22000: visão geral das principais mudanças propostas e seus impactos. Cíntia Malagutti 28/05/18

1. Principais diferenças 2008/ 2015

Relatório de Auditoria Interna Fl. 1

CHECKLIST DE AUDITORIA INTERNA ISO 9001:2008

CHECK-LIST ISO 9001:

AUDITORIAS DE SISTEMAS DE GESTÃO

Política de Segurança da Informação

ISO /2018 O QUE EFETIVAMENTE MUDOU?

Grupo de Extensão em Sistemas de Gestão Ambiental. Sistema de Gestão Ambiental

IATF - International Automotive Task Force IATF 16949:2016 Interpretações Sancionadas

SISTEMAS DE GESTÃO AMBIENTAL - REQUISITOS COM ORIENTAÇÕES PARA USO - ITENS 1 A

Definição. Sistema de Gestão Ambiental (SGA):

Ética Conduta Respeito Confiabilidade Responsabilidade

QUADRO COMPARATIVO: ISO 14001:2004 X ISO 14001:2015

GESTÃO AMBIENTAL. Prof. MARCELL M C MACENO

ABORDAGEM INICIAL DA INTER-RELAÇÃO DE ITENS DAS NORMAS ISO 9001:2008 e 14001:2004

AO aula 12 GESTÃO E BENCHMARKING. Prof. Wilson LAPO

Profa. Dra. Suelí Fischer Beckert

FORMAÇÃO DE AUDITORES INTERNOS DE GESTÃO DA QUALIDADE PARTE 1

ISO 9001:2015. Principais alterações. Andreia Martins Gestora de Cliente

GERENCIAMENTO DA QUALIDADE DO PROJETO

IDENTIFICAÇÃO DO CANDIDATO INSTRUÇÕES

Lista de Verificação - ABNT NBR ISO 9001:2008

Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

Título Código Rev. MÉTODOS DE ENSAIO E VALIDAÇÃO DE MÉTODOS MQ-CQMA

Apresentação do representante Técnico

Gerência de Projetos e Qualidade de Software. Prof. Walter Gima

Curso e- Learning SISTEMA DE GESTÃO INTEGRADO ISO 9000, ISO 14000, OHSAS 18000, SA Meio ambiente ISO Qualidade ISO 9000

USO EXCLUSIVO EM TREINAMENTO

Módulo 7. NBR ISO Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, Exercícios

MÓDULO CONTROLE DE REGISTROS 4.14 AUDITORIAS INTERNAS ANÁLISE CRÍTICA PELA DIREÇÃO

ISO/IEC 12207: Manutenção

Módulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3

SISTEMA DE GESTÃO AMBIENTAL AULA 13 AUDITORIA DE SISTEMAS

Ação Preventiva Ação para eliminar a causa de um potencial não-conformidade ou outra situação potencialmente indesejável.

Gerenciamento da Integração de Projetos. Parte 03. Gerenciamento de Projetos Espaciais CSE-301. Docente: Petrônio Noronha de Souza

Portaria da Presidência

Transcrição:

Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 1

Norma NBR ISO/IEC 27001 Índice 0 Introdução 1 Objetivo 2 Referência normativa 3 Termos e definições 4 Sistema de Gestão de Segurança da Informação 5 Responsabilidade da direção 6 Auditorias internas do SGSI 7 Análise crítica do SGSI pela direção 8 Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Princípios da OECD e desta norma Anexo C Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma 0 Introdução 0.1 Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 2

0.2 Abordagem de processo Necessidades de SI Expectativas de SI Requisitos organizacionais Requisitos da ISO 27001 Processos da organização Entrada Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação Saída 0.2 Abordagem de processo A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas A B C D E... 3

0.2 Abordagem de processo Agir Agir para melhorar continuamente o desempenho dos processos Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Verificar Monitorar/medir processos e produtos Fazer Implementar os processos 0.2 Abordagem de processo Modelo do PDCA Aplicado ao SGSI Estabelecer Partes interessadas D Implementar e operar P A Manter e melhorar Partes interessadas C Monitorar e revisar Expectativas e requisitos de segurança da informação Ciclo de desenvolvimento, manutenção e melhoria Segurança da Informação gerenciada 4

0.2 Abordagem de processo Fase planejar Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade 0.2 Abordagem de processo Fase fazer Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle 5

0.2 Abordagem de processo Fase verificar Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis 0.2 Abordagem de processo Fase agir Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos 6

0.3 Compatibilidade com outros sistema de gestão ISO 27001 Gestão de Segurança da Informação é alinhada com: ISO 9001 Gestão da Qualidade e com ISO 14001 Gestão do Meio Ambiente e com OSHAS 18001 Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização. 1 Objetivo 1.1 Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas. 7

1.2 Aplicação Requisitos genéricos A ISO 27001 é aplicável a qualquer organização Qualquer tipo Qualquer tamanho Qualquer produto/serviço Exclusões (itens não atendidos pela organização): Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 2 Referência normativa NBR ISO/IEC 17799:2005 Tecnologia da Informação Técnicas de Segurança Código de prática para a Gestão de Segurança da Informação 8

3 Termos e definições Ativo qualquer coisa que tenha valor para a organização Disponibilidade propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação 3 Termos e definições Incidente de segurança da informação um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação SGSI a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade propriedade de salvaguarda da exatidão e completeza de ativos Risco residual risco remanescente após o tratamento de riscos Aceitação do risco decisão de aceitar um risco Análise de riscos uso sistemático de informações para identificar fontes e estimar o risco 9

3 Termos e definições Análise/avaliação de riscos processo completo de análise e avaliação de riscos Avaliação de riscos processo de comparar o risco estimado com critérios de risco pré definidos para determinar a importância do risco Gestão de riscos atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização Exercício Indique se é verdadeiro ou falso: 1 ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI. 2 ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 ( ) Identificar e avaliar riscos estão contidos na fase fazer. 6 ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e completude de ativos. 7 ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001. 10

Resposta Indique se é verdadeiro ou falso: 1 ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI. 2 ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 ( F ) Identificar e avaliar riscos estão contidos na fase fazer. (estão contidos na fase planejar ) 6 ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e completude de ativos. 7 ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001. Fim do módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 11

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback