Anda di halaman 1dari 98

Gesto de Segurana

da Informao
NORMAS NBR ISO/IEC 27001, 27002 e 27005

@thiagofagury
www.fagury.com.br
http://groups.yahoo.com/group/timasters

sexta-feira, 5 de novembro de 2010

As Normas
NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI

NBR ISO/IEC 27002 - Prticas para a


gesto de SI

NBR ISO/IEC 27005 - Gesto de riscos


de SI

27004 e 27003 - Gesto de SI (Medio)


e Guia de Impl. SGSI

27006 e 27007 - Requisitos e Diretrizes


para auditoria de um SGSI

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

Estrutura

0. Introduo
1. Objetivo
2. Referncia normativa
3. Termos e definies

4. Sistema de gesto de segurana da informao


(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao)

5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)

6. Auditorias internas do SGSI


7. Anlise crtica do SGSI pela direo
(Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica)

8. Melhoria do SGSI

(Melhoria contnua / Ao corretiva / Ao preventiva)


sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

Estrutura

Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princpios da OECD*
Anexo C - informativo:
Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introduo

Esta Norma foi preparada para prover um


modelo para EIOMAMM um Sistema de Gesto
de Segurana da Informao (SGSI).
EIOMAMM = estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e
melhorar

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introduo

- A adoo de um SGSI estratgica;


- Necessidades e objetivos, requisitos de segurana, processos
empregados, tamanho e estrutura da organizao direcionam a
implementao;
- SGSIs mudam ao longo do tempo;
- Norma pode ser usada para avaliar a conformidade pelas partes
interessadas internas e externas.
- Para fins de certificao a 27001 a referncia (antiga BS7799-2).
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introduo
Estabelecer

Implementar e
Operar

Manter e
Melhorar

Monitorar e
Anal. Criticamente

- Abordagem de processo: indica processos definidos, geridos e


interativos;
- Baseada no ciclo PDCA.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introduo

Plan (planejar) - estabelecer a poltica, objetivos, processos e


procedimentos do SGSI, relevantes para a gesto de riscos e a
melhoria da segurana da informao para produzir resultados de
acordo com as polticas e objetivos globais de uma organizao.
Do (fazer) - implementar e operar a poltica, controles, processos
e procedimentos do SGSI.
Check (checar) - avaliar e, quando aplicvel, medir o desempenho
de um processo frente poltica, objetivos e experincia prtica
do SGSI e apresent. os resultados p/ a anlise crtica pela direo.
Act (agir) - Executar as aes corretivas e preventivas, com base
nos resultados da auditoria interna do SGSI e da anlise crtica
pela direo ou outra informao pertinente, para alcanar a
melhoria contnua do SGSI.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introduo
Conformidade:

- Esta Norma est alinhada s ABNT NBR ISO


9001:2000 e ABNT NBR ISO 14001:2004* para
apoiar a implementao e a operao de forma
consistente e integrada com normas de gesto
relacionadas.
*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

1. Objetivo

1.1 Geral:
- A norma cobre todos os tipos de organizaes;
- Especifica os requisitos para EIOMAMM um
SGSI documentado dentro do contexto dos
riscos de negcio globais da organizao;
- Projetado para assegurar a seleo de controles
de segurana adequados e proporcionados para
proteger os ativos de informao e propiciar
confiana s partes interessadas.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

1. Objetivo
1.2 Aplicao:

- Os requisitos definidos so genricos e aplicveis a todas as


organizaes, independentemente de tipo, tamanho e natureza;
- A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel
quando uma organizao reivindica conformidade com a norma;
- Excluso de controle considerado necessrio aos critrios de aceitao
de riscos precisa ser justificada e evidncias de que os riscos associados
foram aceitos pelas pessoas responsveis precisam ser fornecidas;
- A menos que tais excluses no afetem a capacidade da organizao, e/
ou responsabilidade de prover segurana da informao que atenda os
requisitos de segurana determinados pela anlise/avaliao de riscos e
por requisitos legais e regulamentares aplicveis.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

2. Ref. Normativa
O documento a seguir referenciado
indispensvel para a aplicao desta Norma:
ABNT NBR ISO/IEC 17799:2005, Tecnologia da
informao Tcnicas de segurana Cdigo de
prtica para a gesto da segurana da informao.
*Ou seja, a 27002
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.1 ativo
Qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]

3.2 disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por
uma entidade autorizada
[ISO/IEC 13335-1:2004]

3.3 confidencialidade
Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no
autorizados
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.4 segurana da informao

Preservao da confidencialidade, integridade e disponibilidade da


informao; adicionalmente, outras propriedades, tais como
autenticidade, responsabilidade, no repdio e confiabilidade,
podem tambm estar envolvidas
[ABNT NBR ISO/IEC 17799:2005]

3.5 evento de segurana da informao

Uma ocorrncia identificada de um estado de sistema, servio ou


rede, indicando uma possvel violao da poltica de segurana da
informao ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da
informao
[ISO/IEC TR 18044:2004]
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.6 incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e
ameaar a segurana da informao
[ISO/IEC TR 18044:2004]

3.7 sistema de gesto da segurana da informao SGSI


A parte do sistema de gesto global, baseado na abordagem de
riscos do negcio, para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar a segurana
da informao

NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento,
responsabilidades, prticas, procedimentos, processos e recursos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.8 integridade
Propriedade de salvaguarda da exatido e completeza de
ativos
[ISO/IEC 13335-1:2004]

3.9 risco residual


Risco remanescente aps o tratamento de riscos
[ABNT ISO/IEC Guia 73:2005]

3.10 aceitao do risco


Deciso de aceitar um risco
[ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.11 anlise de riscos
Uso sistemtico de informaes para identificar fontes e
estimar o risco
[ABNT ISO/IEC Guia 73:2005]

3.12 anlise/avaliao de riscos


Processo completo de anlise e avaliao de riscos
[ABNT ISO/IEC Guia 73:2005]

3.13 avaliao de riscos


Processo de comparar o risco estimado com critrios de risco
predefinidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.14 gesto de riscos
Atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a
aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]

3.15 tratamento do risco


Processo de seleo e implementao de medidas para modificar
um risco
NOTA
Nesta Norma o termo controle usado como um sinnimo para medida.
[ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Definies
3.16 declarao de aplicabilidade
Declarao documentada que descreve os objetivos de controle
e controles que so pertinentes e aplicveis ao SGSI da
organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos
processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana
da informao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Requisitos gerais
A organizao deve estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto das atividades de negcio globais da
organizao e os riscos que ela enfrenta.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Estabelecer o SGSI
A organizao deve:
Definir o escopo e os limites do SGSI nos
termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer
excluses do escopo
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Estabelecer o SGSI
A organizao deve:
- Definir a abordagem de anlise/avaliao de
riscos da organizao (metodologia);
- Identificar os riscos (ativos/proprietrios);
- Analisar/avaliar riscos (probabilidades e
impacto);
- Identificar e avaliar as opes de tratamento;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos
(anexo A);
- Obter aprovao da direo dos riscos residuais propostos;
- Obter autorizao da direo para implementar e operar o
SGSI;
- Preparar uma Declarao de Aplicabilidade (controles
aplicveis e justificativas de excluso).
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Implementar e Operar o SGSI


A organizao deve:
- Formular um plano de tratamento de riscos que identifique a
ao de gesto apropriada, recursos, responsabilidades e
prioridades para a gesto dos riscos de segurana;
- Implementar o plano de tratamento de riscos para alcanar os
objetivos de controle identificados, que inclua consideraes de
financiamentos e atribuio de papis e responsabilidades.
- Implementar os controles selecionados para atender aos
objetivos de controle.
- Definir como medir a eficcia dos controles selecionados;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Implementar e Operar o SGSI


- Implementar programas de conscientizao e treinamento;
- Gerenciar as operaes do SGSI;
- Gerenciar os recursos para o SGSI;
- Implementar procedimentos e outros controles capazes
de permitir a pronta deteco de eventos de SI e resposta a
incidentes de segurana da informao

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Monitorar e Analisar Criticamente o SGSI


a)
Executar procedimentos de monitorao e anlise crtica e
outros controles;
b)Realizar anlises crticas regulares da eficcia do SGSI
(incluindo o atendimento da poltica e dos objetivos do SGSI, e a
anlise crtica de controles de segurana), levando em
considerao os resultados de auditorias de segurana da
informao, incidentes de segurana da informao, resultados da
eficcia das medies, sugestes e realimentao de todas as
partes interessadas.
c)
Medir a eficcia dos controles para verificar que os requisitos
de segurana da informao foram atendidos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Monitorar e Analisar Criticamente o SGSI


d)
Analisar criticamente as anlises/avaliaes de riscos a
intervalos planejados e analisar criticamente os riscos residuais e
os nveis de riscos aceitveis identificados;
e)
Conduzir auditorias internas do SGSI a intervalos planejados
(Seo 6);
NOTA
Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por
ou em nome da prpria organizao para propsitos internos.

f)
Realizar uma anlise crtica do SGSI pela direo em bases
regulares para assegurar que o escopo permanece adequado e que
so identificadas melhorias nos processos do SGSI
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Manter e Melhorar o SGSI


a)
Implementar as melhorias identificadas no SGSI.
b) Executar as aes preventivas e corretivas apropriadas.
Aplicar as lies aprendidas de experincias de segurana da
informao de outras organizaes e aquelas da prpria
organizao.
c) Comunicar as aes e melhorias a todas as partes
interessadas com um nvel de detalhe apropriado s
circunstncias e, se relevante, obter a concordncia sobre
como proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos
pretendidos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

4. SGSI

Requisitos de Documentao
- A documentao deve incluir registros de decises da direo,
assegurar que as aes sejam rastreveis s polticas e decises da
direo, e assegurar que os resultados registrados sejam
reproduzveis;
- Deve incluir declaraes documentadas da poltica, escopo,
procedimentos e controles que apoiam o SGSI, metodologia e
relatrio da anlise/aval. de riscos, procedimentos documentados
para EIOMAMM o SGSI e declarao de aplicabilidade;
- Controle de documentos;
- Controle de registros.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento
com o EIOMAMM do SGSI mediante:
a)
o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do
SGSI;
c)
o estabelecimento de papis e responsabilidades pela
segurana de informao;
d) a comunicao organizao da importncia em atender aos
objetivos de segurana da informao e conformidade;

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
e) a proviso de recursos suficientes para EIOMAMM o SGSI;
f)
a definio de critrios para aceitao de riscos e dos nveis de
riscos aceitveis;
g) a garantia de que as auditorias internas do SGSI sejam
realizadas;
h) a conduo de anlises crticas do SGSI pela direo.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

5. Responsabilidade da Direo
5.2 Gesto dos Recursos:
5.2.1 - Proviso de recursos;
5.2.2 - Treinamento, conscientizao e
competncia.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

6. Auditorias Internas
A organizao deve conduzir auditorias internas
do SGSI a intervalos planejados para determinar
se os objetivos de controle, controles, processos
e procedimentos do seu SGSI so executados
como esperado, se so eficazes e atendem aos
requisitos de conformidade e de SI.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

7. Anlise Crtica pela Direo


A direo deve analisar criticamente o SGSI da organizao a
intervalos planejados (pelo menos uma vez por ano) para
assegurar a sua contnua pertinncia, adequao e eficcia.
Entradas:
- resultados de auditorias do SGSI e anlises crticas;
- realimentao das partes interessadas;
- situao das aes preventivas e corretivas;
- vulnerabilidades ou ameaas no contempladas ant.;
- resultados da eficcia das medies;
- acompanhamento das aes oriundas de anlises crticas
anteriores;
- recomendaes para melhoria.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

7. Anlise Crtica pela Direo


Sadas:
a) Melhoria da eficcia do SGSI.
b) Atualizao da anlise/avaliao de riscos e do plano de
tratamento de riscos.
c)
Modificao de procedimentos e controles que afetem a
segurana da informao
d) Necessidade de recursos.
e) Melhoria de como a eficcia dos controles est sendo medida.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

8. Melhoria do SGSI
Melhoria contnua
A organizao deve continuamente melhorar a eficcia do SGSI
por meio do uso da poltica de segurana da informao,
objetivos de segurana da informao, resultados de auditorias,
anlises de eventos monitorados, aes corretivas e preventivas
e anlise crtica pela direo.
Aes corretivas e preventivas
Identificar no-conformidades; Determinar as causas de noconformidades; Avaliar a necessidade de aes para assegurar
que no haja recorrncia; Determinar e implementar as aes
necessrias; Registrar os resultados das aes executadas;
Analisar Criticamente as Aes.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

Exerccios e Observaes
- Consideraes sobre o Anexo A da norma;
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC
27002
O nico lugar onde o sucesso vem antes do trabalho no dicionrio
(Einstein)

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

Estrutura

0. INTRODUO
1. OBJETIVO
2. TERMOS E DEFINIES
3. ESTRUTURA DA NORMA

4. ANLISE/AVALIAO E TRATAMENTO DE RISCOS


5. POLTICA DE SEGURANA DA INFORMAO
6. ORGANIZANDO A SEGURANA DA INFORMAO
7. GESTO DE ATIVOS
8. SEGURANA EM RECURSOS HUMANOS
9. SEGURANA FSICA E DO AMBIENTE
10. GERENCIAMENTO DAS OPERAES E COMUNICAES
11. CONTROLE DE ACESSOS
12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS
13. GESTO DE INCIDENTES DE SEGURANA DA INFORMAO
14. GESTO DA CONTINUIDADE DO NEGCIO
15. CONFORMIDADE
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

- A informao um ativo que, como qualquer outro ativo


importante, essencial para os negcios de uma organizao
e conseqentemente necessita ser adequadamente protegida.
- A informao pode ser impressa ou escrita em papel,
armazenada eletronicamente, transmitida pelo correio ou por
meios eletrnicos, apresentada em filmes ou falada em
conversas.
- Segurana da informao a proteo da informao de vrios
tipos de ameaas para garantir a continuidade do negcio,
minimizar o risco ao negcio, maximizar o retorno sobre os
investimentos e as oportunidades de negcio.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

- A segurana da informao obtida a partir da


implementao de um conjunto de controles adequados,
incluindo polticas, processos, procedimentos, estruturas
organizacionais e funes de software e hardware.
- Estes controles precisam ser EIOMAMM.
- Fontes de requisitos de SI:
* Anlise/Avaliao de Riscos;
* Legislao e normas vigentes;
* Princpios e objetivos de negcio.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

- Os requisitos de segurana da informao so identificados


por meio de uma anlise/avaliao sistemtica dos riscos de
segurana da informao.
- Os gastos com os controles precisam ser balanceados de
acordo com os danos causados aos negcios gerados pelas
potenciais falhas na segurana da informao.
- Convm que a anlise/avaliao de riscos seja repetida
periodicamente para contemplar quaisquer mudanas que
possam influenciar os resultados desta anlise/avaliao.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

Seleo de controles:
- Os controles podem ser selecionados a partir desta Norma
ou de um outro conjunto de controles ou novos controles
podem ser desenvolvidos para atender s necessidades
especficas, conforme apropriado;
- A seleo de controles de segurana da informao depende
das decises da organizao, baseadas nos critrios para
aceitao de risco, nas opes para tratamento do risco e no
enfoque geral da gesto de risco aplicado organizao;
- Convm ser observados requisitos de conformidade.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

Ponto de partida para a SI:


Os controles considerados essenciais para uma organizao, sob
o ponto de vista legal, incluem, dependendo da legislao
aplicvel:
a) proteo de dados e privacidade de informaes pessoais;
b) proteo de registros organizacionais;
c) direitos de propriedade intelectual.
Os controles considerados prticas para a SI incluem:
a) documento da poltica de segurana da informao;
b) atribuio de responsabilidades para a SI;
c) conscientizao, educao e treinamento em SI;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

d) processamento correto nas aplicaes;


e) gesto de vulnerabilidades tcnicas;
f)
gesto da continuidade do negcio;
g) gesto de incidentes de SI e melhorias.
- Esses controles se aplicam para a maioria das
organizaes e na maioria dos ambientes.
- Apesar deste ser um ponto de partida, recomendvel a
seleo de controles com base na anlise/avaliao de
riscos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

Fatores crticos de sucesso:


a)
poltica de segurana da informao, objetivos e atividades, que
reflitam os objetivos do negcio;
b) uma abordagem e uma estrutura para a implementao,
manuteno, monitoramento e melhoria da segurana da
informao que seja consistente com a cultura organizacional;
c)
comprometimento e apoio visvel dos nveis gerenciais;
d) um bom entendimento dos requisitos de segurana da
informao, da anlise/avaliao de riscos e da gesto de risco;

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

e) divulgao eficiente da segurana da informao para todos


os gerentes, funcionrios e outras partes envolvidas para se
alcanar a conscientizao;
f)
distribuio de diretrizes e normas sobre a poltica de
segurana da informao para todos os gerentes, funcionrios
e outras partes envolvidas;
g)
proviso de recursos financeiros para as atividades da
gesto de segurana da informao;

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

0. Introduo

h)
proviso de conscientizao, treinamento e educao
adequados;
i)
estabelecimento de um eficiente processo de gesto de
incidentes de segurana da informao;
j)
implementao de um sistema de medio, que seja usado
para avaliar o desempenho da gesto da segurana da
informao e obteno de sugestes para a melhoria.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

1. Objetivo

Esta Norma estabelece diretrizes e princpios


gerais para IIManMe a gesto de segurana da
informao em uma organizao. Os objetivos
definidos nesta Norma provem diretrizes gerais
sobre as metas geralmente aceitas para a gesto
da segurana da informao.
IIManMe: iniciar, implementar, manter e
melhorar
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

2. Termos e Definies
2.1 ativo
qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]

2.2 controle
forma de gerenciar o risco, incluindo polticas, procedimentos,
diretrizes, prticas ou estruturas organizacionais, que podem
ser de natureza administrativa, tcnica, de gesto ou legal
NOTA
Controle tambm usado como um sinmino para proteo ou contramedida.

2.3 diretriz
descrio que orienta o que deve ser feito e como, para se
alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

2. Termos e Definies
2.4 recursos de processamento da informao
qualquer sistema de processamento da informao, servio ou
infra-estrutura, ou as instalaes fsicas que os abriguem
2.5 segurana da informao
preservao da confidencialidade, da integridade e da
disponibilidade da informao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, no
repdio e confiabilidade, podem tambm estar envolvidas

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

2. Termos e Definies
2.6 evento de segurana da informao
ocorrncia identificada de um sistema, servio ou rede, que indica uma
possvel violao da poltica de segurana da informao ou falha de
controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao
[ISO/IEC TR 18044:2004]

2.7 incidente de segurana da informao


um incidente de segurana da informao indicado por um simples ou
por uma srie de eventos de segurana da informao indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as
operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]

2.8 poltica
intenes e diretrizes globais formalmente expressas pela direo
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

2. Termos e Definies
2.9 risco
combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]

2.10 anlise de riscos


uso sistemtico de informaes para identificar fontes e estimar o
risco
[ABNT ISO/IEC Guia 73:2005]

2.11 anlise/avaliao de riscos


processo completo de anlise e avaliao de riscos
[ABNT ISO/IEC Guia 73:2005]

2.12 avaliao de riscos


processo de comparar o risco estimado com critrios de risco prdefinidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

2. Termos e Definies
2.13 gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao
no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o
tratamento de riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]

2.14 tratamento do risco


processo de seleo e implementao de medidas para modificar
um risco
[ABNT ISO/IEC Guia 73:2005]

2.15 terceira parte


pessoa ou organismo reconhecido como independente das partes
envolvidas, no que se refere a um dado assunto
[ABNT ISO/IEC Guia 2:1998]
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

2. Termos e Definies
2.16 ameaa
causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]

2.17 vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

3. Estrutura da Norma
- 11 sees de controles de segurana , totalizando 39
categorias principais de segurana e seo preliminar que
trata a anlise/avaliao e o tratamento de riscos.
- A norma apresenta 39 objetivos de controle (categorias) e
133 controles de segurana.
- A ordem das sees no segue grau de importncia , ficando
a cargo de cada organizao identificar as sees aplicveis e a
relevncia de cada uma.
- Cada categoria principal de segurana da informao contm
um objetivo de controle que define o que deve ser alcanado;
e um ou mais controles que podem ser aplicados para se
alcanar o objetivo do controle.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

3. Estrutura da Norma
Estrutura das Sees
- Objetivo do controle: o que deve ser alcanado;
- Controle: controle a ser implementado para atender o
objetivo do controle;
- Diretrizes: informaes mais detalhadas para apoiar a
implementao do controle;
- Informaes adicionais: informaes que podem ser
consideradas na implementao do controle, tais como
aspectos legais e referncias a outras normas.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

4. Anl./Aval. e Tratamento de Riscos


- Convm que as anlises/avaliaes de riscos identifiquem,
quantifiquem e priorizem os riscos com base em critrios para
aceitao dos riscos e dos objetivos relevantes para a organizao.
- Convm que a anlise/avaliao de riscos inclua um enfoque
sistemtico de estimar a magnitude do risco (anlise de riscos) e o
processo de comparar os riscos estimados contra os critrios de
risco para determinar a significncia do risco (avaliao do risco).
- Convm que as anlises/avaliaes de riscos tambm sejam
realizadas periodicamente, para contemplar as mudanas nos
requisitos de segurana da informao e na situao de risco, ou seja,
nos ativos, ameaas, vulnerabilidades, impactos, avaliao do risco e
quando uma mudana significativa ocorrer.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

4. Anl./Aval. e Tratamento de Riscos


- Antes de considerar o tratamento de um risco, a organizao deve
definir os critrios para avaliar se os riscos podem ser ou no
aceitos;
- Para cada risco identificado, uma deciso de tratamento deve ser
tomada;
- Opes de tratamento:
*Aplicar controles para a reduo do risco;
*Conhecer objetivamente e aceitar o risco;
*Evitar os riscos, proibindo aes que possam causar o risco;
*Transferir para outras partes (Ex: Seguradoras).

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

5. Poltica de SI

- Convm que a direo estabelea uma poltica clara, alinhada com os


objetivos do negcio e demonstre apoio e comprometimento com a
segurana da informao por meio da publicao e manuteno de
uma poltica de segurana da informao para toda a organizao.
- Deve conter:
* Uma definio de segurana da informao, suas metas globais,
escopo e importncia da segurana da informao;
* Uma declarao do comprometimento da direo;
* Uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de anlise/avaliao e gerenciamento
de risco;
* Definio das responsabilidades gerais e especficas na GSI.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

5. Poltica de SI
- Apenas uma categoria:

* Poltica de Segurana da Informao


- Controles:

* Documento da poltica de segurana da informao;


* Anlise Crtica da poltica de segurana da informao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

6. Organizando a SI
Objetivo: Gerenciar a segurana da informao dentro da
organizao.
- Convm que uma estrutura de gerenciamento seja estabelecida
para iniciar e controlar a implementao da segurana da
informao dentro da organizao.
- Convm que a direo aprove a poltica de segurana da
informao, atribua as funes da segurana, coordene e analise
criticamente a implementao da segurana da informao por
toda a organizao.
- Categorias:
* Infraestrutura da segurana da informao e Partes externas
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

6. Organizando a SI
- Controles:
* Comprometimento da direo com a SI;
* Coordenao da SI;
* Atribuio de responsabilidades para SI;
* Processo de autorizao p/ os recursos de processamento da inf.;
* Acordos de confidencialidade;
* Contato com autoridades;
* Contato com grupos especiais;
* Anlise Crtica Independente de SI;
* Identificao de riscos relacionados com partes externas;
* Identificao da SI ao tratar com clientes;
* Identificao da SI nos acordos com terceiros.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

7. Gesto de Ativos
- Objetivo: Alcanar e manter a proteo adequada dos ativos da
organizao.
- Convm que todos os ativos sejam inventariados e tenham um
proprietrio responsvel.
- Convm que os proprietrios dos ativos sejam identificados e a
eles seja atribuda a responsabilidade pela manuteno apropriada
dos controles.
Categorias:
* Responsabilidade pelos ativos;
* Classificao da informao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

7. Gesto de Ativos
- Controles:
* Inventrio dos ativos;
* Propriedade dos ativos;
* Uso aceitvel dos ativos;
* Recomendaes para classificao da informao;
* Rtulos e tratamento da informao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

8. Segurana em RH
- Objetivo: Assegurar que os funcionrios, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo com os seus
papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
- Convm que as responsabilidades pela segurana da informao
sejam atribudas antes da contratao, de forma adequada, nas
descries de cargos e nos termos e condies de contratao.
- Convm que todos os candidatos ao emprego, fornecedores e
terceiros sejam adequadamente analisados, especialmente em
cargos com acesso a informaes sensveis.
- Convm que todos os funcionrios, fornecedores e terceiros,
usurios dos recursos de processamento da informao, assinem
acordos sobre seus papis e responsabilidades pela segurana da
informao.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

8. Segurana em RH
- Categorias:
* Antes da contratao;
* Durante a contratao;
* Encerramento ou mudana da contratao.
- Controles:
* Papis e Responsabilidades * Seleo;
* Termos e condies de contratao;
* Responsabilidades da direo;
* Conscientizao, educao e treinamento em SI;
* Processo disciplinar;
* Encerramento de atividades;
* Devoluo de ativos;
* Retirada de direitos de acesso.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

9. Seg. Fsica e do Ambiente


- Objetivo: Prevenir o acesso fsico no autorizado, danos e
interferncias com as instalaes e informaes da
organizao.
- Convm que as instalaes de processamento da
informao crticas ou sensveis sejam mantidas em reas
seguras, protegidas por permetros de segurana definidos,
com barreiras de segurana e controles de acesso
apropriados. Convm que sejam fisicamente protegidas
contra o acesso no autorizado, danos e interferncias.
- Convm que a proteo oferecida seja compatvel com os
riscos identificados.
- 2 categorias:
* reas Seguras; e * Segurana de equipamentos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

9. Seg. Fsica e do Ambiente


- Controles:
* Permetro de Segurana
* Segurana em escritrios, salas e instalaes;
* Proteo contra ameaas externas e do meio ambiente;
* Trabalho em reas seguras;
* Acesso do pblico, reas de entrega e carregamento;
* Instalao e proteo do equipamento;
* Utilidades;
* Segurana do cabeamento;
* Manuteno dos equipamentos;
* Segurana de equipamentos fora das dep. da organizao;
* Reutilizao e alienao segura de equipamentos;
* Remoo de propriedade.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


10. Gerenciamento de Operaes e Comunicaes
- Tratado com nfase em 10 categorias
* Procedimentos e responsabilidades operacionais;
* Gerenciamento de servios terceirizados;
* Planejamento e aceitao dos sistemas;
* Proteo contra cdigos maliciosos e cdigos mveis;
* Cpias de segurana;
* Gerenciamento da segurana em redes;
* Manuseio de mdias;
* Troca de informaes;
* Servios de comrcio eletrnico;
* Monitoramento.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


10. Gerenciamento de Operaes e Comunicaes
- Controles:
* Documentao dos procedimentos de operao;
* Gesto de mudanas;
* Segregao de funes;
* Separao dos recursos de desenv., teste e produo;
* Entrega de servios (de terceiros);
* Monit. e Anl. Crtica de Servios Terceirzados;
* Gerenciamento de mudanas p/ serv. terceirizados;
* Gesto da capacidade;
* Aceitao de sistemas;
* Controle contra cdigos maliciosos;
* Controle contra cdigos mveis;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


10. Gerenciamento de Operaes e Comunicaes
- Controles:
* Cpias de segurana das informaes;
* Controle de redes;
* Segurana dos servios de rede;
* Gerenciamento de mdias removveis;
* Descarte de mdias;
* Procedimentos para tratamento de informao;
* Segurana da documentao de sistemas;
* Polticas e procedimentos para troca de informaes;
* Acordos para troca de informaes;
* Mdias em trnsito;
* Mensagens eletrnicas;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


10. Gerenciamento de Operaes e Comunicaes
- Controles:
* Sistemas de informao do negcio;
* Comrcio eletrnico;
* Transaes online;
* Informaes publicamente disponveis;
* Registros de auditoria;
* Monitoramento do uso de sistema;
* Proteo das informaes dos registros (log);
* Registros (log) de administrador e operador;
* Registro (log) de falhas;
* Sincronizao de relgios.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


Objetivo: Controlar acesso informao.
Convm que o acesso informao, recursos de processamento
das informaes e processos de negcios sejam controlados
com base nos requisitos de negcio e segurana da informao.
Convm que as regras de controle de acesso levem em
considerao as polticas para autorizao e disseminao da
informao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


- 7 categorias:
* Requisitos de negcio para controle de acesso;
* Gerenciamento de acesso do usurio;
* Responsabilidades dos usurios;
* Controle de acesso rede;
* Controle de acesso ao sistema operacional;
* Controle de acesso aplicao e informao;
* Computao mvel e trabalho remoto.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


- Controles:
* Poltica de controle de acesso;
* Registro de usurio;
* Gerenciamento de privilgios;
* Gerenciamento de senha do usurio;
* Anlise Crtica dos direitos de acesso de usurio;
* Uso de senhas;
* Equipamento de usurio sem monitorao;
* Poltica de mesa limpa e tela limpa;
* Poltica de uso dos servios da rede;
* Autenticao para conexo externa do usurio;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


- Controles:
* Identificao de equipamento em redes;
* Proteo e configurao de portas de diagnstico remotas;
* Segregao de redes;
* Controle de conexo de rede;
* Controle de roteamento de redes;
* Procedimentos seguros de entrada do sistema;
* Identificao e autenticao de usurio;
* Sistema de gerenciamento de senha;
* Uso de utilitrios de sistema;
* Desconexo de terminal por inatividade;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


- Controles:
* Limitao de horrio de conexo;
* Restrio de acesso informao;
* Isolamento de sistemas sensveis;
* Computao e comunicao mvel;
* Trabalho remoto.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


12. Aquisio, desenv. e manut. de sistemas de inf.
- Categorias:
* Requisitos de segurana de sistemas de informao;
* Processamento correto nas aplicaes;
* Controles criptogrficos;
* Segurana dos arquivos do sistema;
* Segurana em processos de desenvolvimento e de
suporte;
* Gesto de vulnerabilidades tcnicas.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


12. Aquisio, desenv. e manut. de sistemas de inf.
- Controles:
* Anlise e especificao dos requisitos de segurana;
* Validao dos dados de entrada;
* Integridade das mensagens;
* Validao dos dados de sada;
* Poltica para uso de controles criptogrficos;
* Gerenciamento de chaves;
* Controle de software operacional;
* Proteo dos dados para teste de sistemas;
* Controle de acesso ao cdigo fonte do programa;
* Procedimentos para controle de mudanas;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


12. Aquisio, desenv. e manut. de sistemas de inf.
- Controles:
* Anlise crtica tcnica das aplicaes aps mudanas de SO;
* Restries sobre mudanas em pacotes de software;
* Vazamento de informaes;
* Desenvolvimento terceirizado de software;
* Controle de vulnerabilidades tcnicas.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

13. Gesto de Incidentes de SI


- 2 categorias:
* Notificao de fragilidades e eventos de segurana da
informao;
* Gesto de incidentes de segurana da informao e
melhorias.
- Controles:
* Notificao de eventos de segurana da informao;
* Notificao de fragilidades de segurana da informao;
* Responsabilidades e procedimentos;
* Aprendizado com os incidentes de SI;
* Coleta de evidncias.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

14. Gesto de Cont. do Negcio


Objetivo:
No permitir a interrupo das atividades do negcio e proteger os
processos crticos contra efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hbil, se for o caso.
- Convm que o processo de gesto da continuidade do negcio seja
implementado para minimizar um impacto sobre a organizao e recuperar
perdas de ativos da informao;
- Convm que a gesto da continuidade do negcio inclua controles para
identificar e reduzir riscos, em complementao ao processo de anlise/
avaliao de riscos global.
- As conseqncias de desastres, falhas de segurana, perda de servios e
disponibilidade de servios devem estar sujeitas a uma anlise de impacto
nos negcios.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

14. Gesto de Cont. do Negcio


Controles:
* Incluso da SI no processo de gerenciamento da
continuidade de negcios;
* Continuidade de negcios e anlise/avaliao de riscos;
* Estrutura do plano de continuidade do negcio;
* Testes, manuteno e reavaliao dos planos de continuidade
do negcio.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

15. Conformidade
Objetivos: assegurar conformidade quanto ao aparato
normativo vigente, seja ele tcnico, legal (civil, penal, criminal,
regulamentao de setor) ou interno ao negcio.
Contempla 3 categorias:
* Conformidade com requisitos legais;
* Conformidade com normas e polticas de segurana da
informao e conformidade tcnica;
* Consideraes quanto auditoria de sistemas de
informao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

15. Conformidade
Controles:
* Identificao da legislao vigente;
* Direitos de propriedade intelectual;
* Proteo de registros organizacionais;
* Proteo de dados e privacidade de inf. pessoais;
* Preveno de mau uso de recursos de proc. da inf.;
* Regulamentao de controles e criptografia;
* Conformidade com as polticas e normas de SI;
* Verificao da conformidade tcnica;
* Controles de auditoria de sistemas de informao;
* Proteo de ferramentas de auditoria de sistemas de inf.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

Exerccios e Observaes
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC
27005
Mais do que de mquinas, precisamos de humanidade. Mais do que de inteligncia, precisamos
de afeio e doura. Sem essas virtudes, a vida ser de violncia e tudo ser perdido.
(Charles Chaplin - O ltimo discurso, do filme O Grande Ditador)

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

1. Introduo
2. Escopo
3. Referncias Normativas
4. Termos e Definies
5. Organizao da Norma
6. Contextualizao
7. Viso Geral do Processo de Gesto de Riscos de Segurana
da Informao
8. Definio do Contexto
9. Anlise/Avaliao de Riscos de SI
10. Anlise/Avaliao de Riscos de SI
11. Tratamento do Risco de SI
12. Aceitao do Risco de SI
13. Comunicao do Risco de SI
14. Monitoramento e Anlise Crtica de Riscos de SI

Estrutura

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

- Esta norma est de acordo com os conceitos especificados


na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar
uma implementao satisfatria da segurana da informao
tendo como base a gesto de riscos.
- Esta norma se aplica a todos os tipos de organizao que
pretendam gerir os riscos que poderiam comprometer a
segurana da informao da organizao.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

- Apresenta diretrizes para o processo de Gesto de


Riscos de Segurana da Informao (GRSI) de uma
organizao, em conformidade com os requisitos de um
SGSI descritos na NBR ISO/IEC 27001.
- A norma no inclui uma metodologia especfica para a
gesto de riscos de segurana da informao.
-Cabe organizao definir sua abordagem ao processo de
riscos, levando em conta, por exemplo, o escopo dos seu
SGSI, o contexto da gesto de riscos e o seu setor de
atividade econmica.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

- Esta norma do interesse de gestores e pessoal envolvidos


com a gesto de riscos de segurana da informao em uma
organizao e, quando aplicvel, em entidades externas que do
suporte a essa atividade.
- Apresenta diretrizes para o processo de Gesto de Riscos de
Segurana da Informao (GRSI) de uma organizao, em
conformidade com os requisitos de um SGSI descritos na NBR
ISO/IEC 27001.
- A norma no inclui uma metodologia especfica para a gesto
de riscos de segurana da informao.
-Cabe organizao definir sua abordagem ao processo de
riscos, levando em conta, por exemplo, o escopo dos seu SGSI,
o contexto da gesto de riscos e o seu setor de atividade
econmica.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

- A 27005 adota como referenciais normativos as normas


27001 e 27002, indispensveis a aplicao desta.
- necessria abordagem sistemtica de gesto de riscos
de segurana da informao para se identificar as
necessidades da organizao em relao aos requisitos de
SI e para criar um SGSI eficaz.
- A gesto de riscos de SI faz parte da gesto de riscos
corporativos, devendo estar alinhada a esta.
- Convm que a gesto de riscos de segurana da
informao seja um processo contnuo, contemplando:
definir o contexto, avaliar e tratar os riscos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

Termos e definies:
Impacto mudana adversa no nvel obtido dos objetivos de
negcios
Riscos de segurana da informao a possibilidade de uma
ameaa explorar vulnerabilidades de um ativo ou de um
conjunto de ativos, prejudicando a organizao (medido em
funo da probabilidade de um evento e de sua consequncia).
Ao de evitar o risco deciso de no se envolver ou agir de
forma a se retirar de uma situao de risco
Comunicao do risco troca ou compartilhamento de
informao sobre risco entre o tomador de deciso e outras
partes envolvidas
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

Termos e definies:
Estimativa de riscos processo utilizado para atribuir valores
probabilidade e consequncias de um risco
Identificao de riscos processo para localizar, listar e
caracterizar elementos do risco
Reduo do risco aes tomadas para reduzir a probabilidade,
as consequncias negativas ou ambas associadas a um risco
Reteno do risco aceitao do nus da perda ou do benefcio
do ganho associado a um determinado risco
Transferncia do risco compartilhamento com uma outra
entidade do nus da perda associado a um risco

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

Aplicabilidade:
O processo de GRSI pode ser aplicado organizao
como um todo, a uma rea especfica da organizao (por
exemplo: um departamento, uma localidade, um servio),
a um sistema de informaes, a controles j existentes,
planejados ou apenas a aspectos particulares de um
controle (exemplo: Plano de Continuidade de Negcios)

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Overview

O processo de gesto de riscos de SI:


* Definio do contexto (Seo 7);
* Anlise/avaliao de riscos (Seo 8);
* Tratamento do risco (Seo 9);
* Aceitao do risco (Seo 10);
* Comunicao do risco (Seo 11);
* Monitoramento e anlise crtica do risco (Seo 12).

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005

Exerccios e Observaes
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?
Obrigado!
@thiagofagury
sexta-feira, 5 de novembro de 2010

Anda mungkin juga menyukai