políticas de segurança da informação - aécio costa a seguranca... · iso 27001 - seção 0 –...
TRANSCRIPT
![Page 1: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/1.jpg)
Políticas de Segurança da Informação
Aécio Costa
![Page 2: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/2.jpg)
Políticas de Segurança da Informação
A segurança da informação é obtida a partir daimplementação de um conjunto de controles adequados, incluindopolíticas, processos, procedimentos, estruturas organizacionais efunções de software e hardware.
Os Controles necessitam ser:
Estabelecidos Implementados Monitorados Analisados
![Page 3: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/3.jpg)
Políticas de Segurança da Informação
A Gestão de Segurança da Informação requer acriação de uma política (que deve ser documentada).
E o que é a política de segurança da informação?
![Page 4: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/4.jpg)
Políticas de Segurança da Informação
A política de segurança da informação nada mais é queum conjunto de práticas e controles adequados, formada pordiretrizes, normas e procedimentos, com objetivo de minimizaros riscos com perdas e violações de qualquer bem.
![Page 5: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/5.jpg)
Políticas de Segurança da Informação
Outra definição:
Uma política de segurança é a expressão formal dasregras pelas quais é fornecido o acesso aos recursostecnológicos da organização.
![Page 6: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/6.jpg)
Políticas de Segurança da Informação
Política de SI são:
Normas, procedimentos, ferramentas e responsabilidades àspessoas que lidam com essa informação;
Formalmente documentos que ditam quais são as regras aplicadasdentro da empresa para uso de recursos tecnológicos e descarte deinformações.
![Page 7: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/7.jpg)
Políticas de Segurança da Informação
Objetivos de uma Política de Segurança da Informação
Proteção do conhecimento e da infraestrutura, a fim de atender:
-Requisitos legais-Viabilizar os serviços prestados -Evitar ou reduzir os riscos e ameaças-Orientar e estabelecer diretrizes para a proteção dos ativos deinformação, prevenção de ameaças e a conscientização daresponsabilidade dos funcionários.
![Page 8: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/8.jpg)
Políticas de Segurança da Informação
Com a implantação de uma Política temos:
Redução da probabilidade de ocorrência de quebra daconfidencialidade, da integridade e da disponibilidade dainformação
Redução de danos causados por eventuais ocorrências;
Não reincidências.
Usada tanto para prevenir problemas legais como para documentar aaderência ao processo de controle de qualidade.
![Page 9: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/9.jpg)
Políticas de Segurança da Informação
The International Organization for Standardization (ISO)Instituição internacional com sede na Suíça cuida doestabelecimento de padrões internacionais de certificação emdiversas áreas.
![Page 10: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/10.jpg)
Políticas de Segurança da Informação
As normas ISO que tratam sobre Gestão de Segurança da Informação são:
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
![Page 11: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/11.jpg)
Políticas de Segurança da Informação
ISO 27001Define os requisitos para a implementação de um SGSI.
ISO 27002Define boas práticas para a Gestão da segurança da informação.
ISO 27003Guia para implementação de um SGSI.
ISO 27004Define métricas e meios de medição para Avaliar a eficácia de umSGSI.
![Page 12: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/12.jpg)
Políticas de Segurança da Informação
ISO 27005Define linhas de orientação para a gestão do risco da segurança da informação.
![Page 13: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/13.jpg)
Políticas de Segurança da Informação
Sistema de Gestão da Segurança Informação (SGSI)
É uma parte do sistema global de gestão, baseado numaabordagem de risco que permite definir, implementar, operacionalizar,monitorizar, manter e melhorar a segurança da Informação segundo anorma.
![Page 14: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/14.jpg)
Políticas de Segurança da Informação
O Sistema de gestão SGSI, é baseado numaaproximação sistemática dos riscos inerentes aos negócios.
Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional.
PDCA
![Page 15: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/15.jpg)
Políticas de Segurança da Informação
PDCA (Plan, Do, Check, Act)
é uma ferramenta gerencial que possibilita a melhoriacontínua de processos e a solução de problemas.
![Page 16: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/16.jpg)
Políticas de Segurança da Informação
PDCA
-PLAN (PLANEJAR)Estabelecimento de políticas, objectivos, processos e
procedimentos relevantes para a administração do risco e para amelhoria da Segurança da Informação.Planeja os resultados de acordo com a estratégia da organização.
-DO (FAZER/IMPLEMENTAR/OPERAR) Implementação e operacionalização das políticas de controlo,
processos e procedimentos do Sistema.
![Page 17: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/17.jpg)
Políticas de Segurança da Informação
PDCA
-CHECK (VERIFICAR/MONITORIZAR/REVER)Inspecção da performance dos processos em comparação
com as políticas e objectivos de um SGSI. Estes resultados devem serreportados à gestão para análise.
-ACT (AGIR/MANTER/OPTIMIZAR) Tomada de acções correctivas e preventivas, baseadas nos
resultados das auditorias internas do SGSI e demais informaçõesprovenientes da gestão ou demais fontes relevantes.
![Page 18: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/18.jpg)
Políticas de Segurança da Informação
Análise e avaliação de riscos
A Gestão dos riscos é um dos aspectos chave da normaISO/IEC 27001, uma avaliação dos riscos é uma das exigênciasdesta norma.
![Page 19: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/19.jpg)
Políticas de Segurança da Informação
Como resultado da avaliação de riscos, deve ser feitauma lista dos riscos identificados, classificados em ordem degravidade para posteriormente serem tomadas medidas.
E como trata-se os riscos?
![Page 20: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/20.jpg)
Políticas de Segurança da Informação
Aplicar medidas de segurança: escolher as medidas mais apropriadas para reduzir o custo;
Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta à política de segurança da organização;
Evitar o risco: não permitir acções que possam sequer causar a ocorrência de riscos;
Transferir o risco: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte aodesenvolvimento de planos de segurança e orienta de melhor forma a Gestão daSegurança da Informação.
![Page 21: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/21.jpg)
Políticas de Segurança da Informação
ISO 27001
A norma tem como principio geral a adopção pelaorganização de um conjunto de requisitos, processos econtrolos com o objectivo de mitigarem e geriremadequadamente o risco da organização.
![Page 22: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/22.jpg)
Políticas de Segurança da Informação
ISO 27001
É uma abordagem 360º à Segurança da Informação.
Trata-se múltiplos temas tais como:
Segurança Aplicacional Protecção do meio físico Recursos humanos Continuidade de negócio Licenciamento Etc.
![Page 23: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/23.jpg)
Políticas de Segurança da Informação
ISO 27001
É independente de fabricantes porque se destina aoestabelecimento de processos e procedimentos que depoispodem ser materializados à realidade de cada organização deforma diferente e com a especificidade de cada ambientetecnológico e organizacional.
![Page 24: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/24.jpg)
Políticas de Segurança da Informação
![Page 25: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/25.jpg)
Políticas de Segurança da Informação
ISO 27001 - Seção 0 – Introdução
A norma sugere a adoção de uma abordagem de processopara um SGSI, ou seja, que a organização deve identificar e gerenciaros processos envolvidos em um Sistema de Gestão de Segurança daInformação, bem como reconhecer suas interações.
![Page 26: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/26.jpg)
Políticas de Segurança da Informação
ISO 27001 - Seção 1 – Objetivo
Especificar requisitos para o estabelecimento, implementação,operação, monitoração, análise crítica, manutenção e melhoria de umSistema de Gestão de Segurança da Informação (SGSI).
Os requisitos são genéricos de maneira a permitir que sejamaplicáveis a quaisquer organizações.
Independentemente do tipo, tamanho e natureza.
![Page 27: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/27.jpg)
Políticas de Segurança da Informação
ISO 27001 - Seção 2 – Referência Normativa
Referência da norma ABNT NBR ISO/IEC 17799:2005
![Page 28: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/28.jpg)
Políticas de Segurança da Informação
ISO 27001 – Seção 3 – Termos e Definições
São especificados termos e definições tais como:
impacto riscos de segurança da informação ação de evitar o risco estimativa de riscos identificação de riscos redução do risco
![Page 29: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/29.jpg)
Políticas de Segurança da Informação
ISO 27001 – Seção 4 - Sistema de Gestão de Segurança da Informação
Nesta seção é estruturado todos os processos envolvidosutilizando o ciclo PDCA.
![Page 30: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/30.jpg)
Políticas de Segurança da Informação
Estabelecer SGSI (Plan)
Compreende toda a preparação necessária para aimplementação do SGSI na organização.
Definir o escopo (abrangência) do SGSIConsidera-se as características do negócio, a organização, sualocalização, ativos e tecnologia. Exclusões de escopo deverão serjustificadas, se houver;
Definir uma Política de SGSIDeve conter princípios para ações relacionadas à Segurança daInformação, sendo aprovada pela direção;
![Page 31: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/31.jpg)
Políticas de Segurança da Informação
Definir uma metodologia para identificação, análise eavaliação de riscos, bem como a definição de opções detratamento desses riscos.
Requisitos identificados para o negócio; identificação de ativos; Ameaças, vulnerabilidades e impactos desses riscos aos ativos; critérios e níveis para aceitação de riscos (considera-se os impactos
para o negócio); Avaliação da probabilidade real da ocorrência; Estimativa de níveis de riscos e se esses riscos serão aceitos ou se
será necessário tratá-los.
![Page 32: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/32.jpg)
Políticas de Segurança da Informação
Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos.
Sugestão como ponto de partida controles derivados da normaABNT NBR ISO/IEC 27002.
Obter aprovação da direção dos riscos propostos, bemcomo da autorização para implementar e operar o SGSI.
Preparar a Declaração de Aplicabilidade.Fornece um resumo das decisões relativas ao tratamento de riscos
(lista dos objetivos de controle e controles selecionados e atualmenteimplementados, bem como quaisquer um deles que tenha sido excluído,devidamente justificado).
![Page 33: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/33.jpg)
Políticas de Segurança da Informação
Implementar e Operar SGSI (Do)
Compreende o funcionamento do SGSI na organização.
Elaborar e implementar um plano de tratamento de riscosIdentificação da ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;
Implementar controles selecionados anteriormente para atender aos objetivos de controle;
![Page 34: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/34.jpg)
Políticas de Segurança da Informação
Definir a medição da eficácia dos controles, bem comocomo as medidas que devem ser utilizadas para avaliação daeficácia;
Implementar programas de conscientização e treinamento;
Gerenciar operações e recursos para o SGSI;
Implementar procedimentos e outros controles para detectare responder prontamente a incidentes de segurança dainformação.
Incidente de segurança
Qualquer evento ou fato que ponha em risco a integridade, disponibilidade ou confidencialidade de determinadas informações. Exemplos: infecção de computadores por
vírus, queima de um HD (disco rígido) que contém informações importantes e que não foram copiadas para outra mídia, enchentes e alagamentos, incêndios, corrupção de
arquivos críticos.
![Page 35: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/35.jpg)
Políticas de Segurança da Informação
Monitorar e Analisar Criticamente SGSI (Check)
É através desta fase que são verificados o desempenhoe a eficácia do SGSI na organização.
Executar procedimentos de monitoração e análise crítica para:
Detectar erros; Tentativas, violações de segurança e incidentes.
Possibilitar à direção verificar se as atividades designadas apessoas ou implementadas via tecnologia são executadas conformeesperado;
Verificar se as ações tomadas para solucionar violações forameficazes;
![Page 36: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/36.jpg)
Políticas de Segurança da Informação
Realizar regularmente análises críticas da eficácia do SGSI,considerando-se resultados das auditorias de SGSI, incidentes,resultados das medições de eficácia, sugestões, etc.;
Medir a eficácia dos controles;
Realizar análise crítica periódica das avaliações de riscos paraverificar e considerar mudanças ocorridas ao longo do tempo;
Realizar auditorias internas periódicas do SGSI;
Realizar periodicamente a análise crítica do SGSI pela direção;
Atualizar planos de segurança conforme resultados obtidos namonitoração e análise crítica;
Registrar eventos e ações que possam impactar na eficácia ouno desempenho do SGSI.
![Page 37: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/37.jpg)
Políticas de Segurança da Informação
Manter e melhorar SGSI (Act)
Esta fase foca na manutenção e no aprimoramentocontínuo do SGSI da organização.
![Page 38: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/38.jpg)
Políticas de Segurança da Informação
Implementar melhorias identificadas no SGSI;
Executar ações preventivas e corretivas aplicando-se aslições aprendidas de outras organizações e/ou advindas daprópria experiência organizacional;
Comunicar ações e melhorias para as partesinteressadas;
Garantir que as melhorias realmente estejam atingindoos objetivos pretendidos.
![Page 39: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/39.jpg)
Políticas de Segurança da Informação
Requisitos de DocumentaçãoProcedimentos documentados e controles, incluindo aqueles
relacionados ao planejamento, à operação e ao controle dos processosde segurança da informação;
Controle de DocumentosAssegurar que as alterações e as versões dos documentos
sejam identificadas e estejam disponíveis quando necessárias;
Controle de RegistrosElementos utilizados para evidenciar a conformidade aos
requisitos e a eficácia da operação de um SGSI.
![Page 40: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/40.jpg)
Políticas de Segurança da Informação
ISO 27001 – Seção 5 - Responsabilidades da Direção
Estabelecimento da política do SGSI; Garantindo de que os planos e os objetivos do SGSI são
estabelecidos; Definindo papéis e responsabilidades pela segurança da
informação foram estabelecidos; Comunicando a organização informando a importância do
atendimento dos objetivos de segurança da informação; Provendo recursos suficientes para o SGSI; Definindo critérios para aceitação de riscos e dos níveis de
riscos aceitáveis; Garantindo a execução das auditorias internas e da realização
de análises críticas pela Direção.
![Page 41: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/41.jpg)
Políticas de Segurança da Informação
Gestão de Recursos
É dever da organização prover recursos para oestabelecimento, implementação, operação, monitoração,análise crítica, manutenção e melhoria de um SGSI.
Assegurar que as pessoas têm as competências necessáriaspara executar atividades relacionadas à segurança dainformação. Contratação de pessoal capacitado Fornecendo treinamentos
Registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal.
![Page 42: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/42.jpg)
Políticas de Segurança da Informação
ISO 27001 – Seção 6 - Auditorias Internas do SGSI
Planejamento de auditorias internas para determinar seobjetivos de controle, os controles, os processos eprocedimentos do SGSI atendem:
à norma à legislação pertinente
São definidos ainda os critérios de auditoria, escopo,frequência e métodos a serem utilizados.
![Page 43: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/43.jpg)
Políticas de Segurança da Informação
As responsabilidades e os requisitos para planejar eexecutar auditorias, relatar resultados e manter registros devemestar definidos em procedimento documentado.
![Page 44: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/44.jpg)
Políticas de Segurança da Informação
ISO 27001 – Seção 7 - Análise Crítica do SGSI pela Direção
O SGSI deve ser analisado criticamente pela Direção em intervalos planejados.
avaliação de oportunidades para melhoria necessidades de mudança do SGSI
Os resultados dessas análises devem ser documentados e osregistros mantidos.
![Page 45: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/45.jpg)
Políticas de Segurança da Informação
Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2.
![Page 46: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/46.jpg)
Políticas de Segurança da Informação
Seção 8 – Melhoria do SGSI
A organização deve continuamente melhorar o SGSI através de:
Política de segurança da informação Resultados das auditorias Análises de eventos monitorados Análise crítica pela Direção Ações corretivas e preventivas.
![Page 47: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/47.jpg)
Políticas de Segurança da Informação
Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte: ABNT, 2006, p. 12-3.
![Page 48: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/48.jpg)
Políticas de Segurança da Informação
Conclusão
Concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001.
![Page 49: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/49.jpg)
Políticas de Segurança da Informação
Não é aceitável que uma organização que pretenda estarconforme a norma exclua quaisquer requisitos descritos nasseções 4 a 8. Porém, é observado que:
![Page 50: Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,](https://reader031.vdocuments.site/reader031/viewer/2022022105/5bdacdf709d3f2db058d5f6d/html5/thumbnails/50.jpg)
Políticas de Segurança da Informação
A regra do jogo da segurança para qualquer organização e podeabranger, entre outras coisas:
Padrões para utilização de criptografia
Regras para utilização do e-mail e acesso à Internet Normas para utilização de programas e equipamentos
Procedimentos para guarda adequada das informações Definição de responsabilidades e perímetros de segurança Plano de contingência (documento adicional que estabelece como responder a incidentes de segurança)
Segurança lógica (políticas de senha, sistemas de autenticação de usuário, programas de detecção de vírus)
Segurança física (acesso de pessoas, guarda e proteção dos equipamentos, condição das instalações elétricas)