Normas ISOIEC de Segurana da Informao ISOIEC 27001
- Slides: 21
Normas ISO/IEC de Segurança da Informação �ISO/IEC 27001: �Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); �Ciclo PDCA; �Dividida em cinco seções: � O Sistema de Gestão da Segurança da Informação; � A responsabilidade da administração; � As auditorias internas do ISMS; � A revisão do ISMS; � A melhoria do ISMS.
Ciclo PDCA �O modelo PDCA (ou ciclo de Deming) é usado para controlar uma série de ações, com o objetivo de controlar algum processo. Este modelo é baseado em quatro etapas: �Planejar (Plan) �Executar (Do) �Verificar (Check) �Agir (Act)
Ciclo PDCA
Ciclo PDCA
ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação �ISO/IEC 27002: �Substitui a antiga ISO/IEC 17799; �Dividida nas seguintes seções: 1. 2. 3. 4. 5. 6. Política de segurança da informação; Organizando a segurança da informação; Gestão de ativos; Segurança em recursos humanos; Segurança física do ambiente; Gestão das operações e comunicações;
ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação 7. 8. 9. 10. 11. Controle de acesso Aquisição, desenvolvimento e manutenção de sistemas de informação; Gestão de incidentes de segurança da informação; Gestão da continuidade do negócio; Conformidade.
ISO/IEC 27002 - Política de segurança da informação 1. Elaboração do Documento da Política de Segurança da Informação
ISO/IEC 27002 - Organizando a segurança da informação 1. Infra-estrutura da Segurança da Informação 2. Partes Externas
ISO/IEC 27002 - Gestão de ativos 1. Responsabilidade Pelos Ativos 2. Classificação da Informação
ISO/IEC 27002 – Segurança em recursos humanos 1. Antes da Contratação 2. Durante a Contratação 3. Encerramento ou Mudança da Contratação
ISO/IEC 27002 - Segurança física do ambiente 1. Áreas Seguras 1. 2. 3. 4. 5. 6. 2. Perímetro de segurança física Controles de entrada física Segurança em escritórios, salas e instalações Proteção contra ameaças externas e do meio ambiente Trabalhando em área seguras Acesso do público, áreas de entrega e de carregamento Segurança de Equipamentos 1. 2. 3. 4. 5. 6. 7. Instalação e proteção do equipamento Utilidades Segurança do cabeamento Manutenção dos equipamentos Segurança de equipamentos fora das dependências da organização Reutilização e alienação segura de equipamentos Remoção de propriedade
ISO/IEC 27002 - Gestão das operações e comunicações 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Procedimentos e Responsabilidades Operacionais Gerenciamento de Serviços Terceirizados Planejamento e Aceitação dos Sistemas Proteção Contra Códigos Maliciosos e Códigos Móveis Cópias de Segurança Gerenciamento da Segurança em Redes Manuseio de Mídias Troca de Informações Serviços de Comércio Eletrônico Monitoramento
ISO/IEC 27002 - Controle de acesso 1. 2. 3. 4. 5. 6. 7. Requisitos de Negócio Para Controle de Acesso Gerenciamento de Acesso do Usuário Responsabilidades dos Usuários Controle de Acesso à Rede Controle de Acesso ao Sistema Operacional Controle de Acesso à Aplicação e à Informação Computação Móvel e Trabalho Remoto
ISO/IEC 27002 - Aquisição, desenv. e manut. de sist. de informação Requisitos de Segurança de Sistemas de Informação Processamento Correto nas Aplicações Controles Criptográficos Segurança dos Arquivos do Sistema Segurança em Processos de Desenvolvimento e Suporte 6. Gestão de Vulnerabilidades Técnicas 1. 2. 3. 4. 5.
ISO/IEC 27002 - Gestão de incidentes de seg. da informação Notificação de Fragilidades e Eventos de Segurança da Informação 2. Gestão de Incidentes de Segurança da Informação e Melhorias 1.
ISO/IEC 27002 - Gestão da continuidade do negócio 1. Aspectos da Gestão da Continuidade do Negócio, Relativos à Segurança da Informação
ISO/IEC 27002 - Conformidade 1. Conformidade com Requisitos Legais 2. Conformidade com Normas e Políticas de Segurança da Informação e Conformidade Técnica 3. Considerações Quanto à Auditoria de Sistemas de Informação
Normas ISO/IEC da série 27000 de Segurança da Informação �ISO/IEC 27000: 2009 - Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; �ISO/IEC 27001: 2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como princípio da norma e é certificável para empresas. �ISO/IEC 27002: 2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcançar os controles certificáveis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de Segurança da Informação �ISO/IEC 27003: 2010 - Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001: 2005. �ISO/IEC 27004: 2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação Mostra como medir a eficácia do sistema de gestão de SI na corporação. �ISO/IEC 27005: 2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.
Normas ISO/IEC da série 27000 de Segurança da Informação �ISO/IEC 27006: 2007 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer. �ISO/IEC 27007 - Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação. �ISO/IEC 27008 - Auditoria nos controles de um SGSI O foco são nos controles para implementação da ISO 27001.
Normas ISO/IEC da série 27000 de Segurança da Informação �ISO/IEC 27010 - Gestão de Segurança da Informação para Comunicações Inter Empresariais- Foco nas melhores formas de comunicar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma transparente entre empresas particulares e governamentais. �ISO/IEC 27011: 2008 - Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO 27002 - Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinja seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO 27002.
Isoiec
Iso 27001 staff awareness
Cia+
Dominios iso 27001
Iso 27001 roadmap
Iso/iec jtc 1/sc 27/wg 1 27001:2013
Dominios de iso 27001
Iso 27001 zalacznik a
Iso 27001 chapitres
Iso nn27001 certification
Iso/iec jtc 1/sc 27/wg 1 27001:2013
Iso/iec jtc 1/sc 27/wg 1 27001:2013
Sox vs iso 27001
Iso 27001 risk assessment tools
Owasp iso 27001
Iso 27001 services
Iso 27001 cia
Iso/iec 27030
Iso/iec 27001:2005 certification definition
Iso 27001 domains, control objectives and controls
Iso 27001 itil
Project plan for iso 27001 implementation
