A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Apresentações semelhantes


Apresentação em tema: "Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,"— Transcrição da apresentação:

1 Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); Ciclo PDCA; Dividida em cinco seções: O Sistema de Gestão da Segurança da Informação; A responsabilidade da administração; As auditorias internas do ISMS; A revisão do ISMS; A melhoria do ISMS.

2 Ciclo PDCA O modelo PDCA (ou ciclo de Deming) é usado para controlar uma série de ações, com o objetivo de controlar algum processo. Este modelo é baseado em quatro etapas: Planejar (Plan) Executar (Do) Verificar (Check) Agir (Act)

3 Ciclo PDCA

4

5 ISO/IEC Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação ISO/IEC 27002: Substitui a antiga ISO/IEC 17799; Dividida nas seguintes seções: 1. Política de segurança da informação; 2. Organizando a segurança da informação; 3. Gestão de ativos; 4. Segurança em recursos humanos; 5. Segurança física do ambiente; 6. Gestão das operações e comunicações;

6 ISO/IEC Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação 7. Controle de acesso 8. Aquisição, desenvolvimento e manutenção de sistemas de informação; 9. Gestão de incidentes de segurança da informação; 10. Gestão da continuidade do negócio; 11. Conformidade.

7 ISO/IEC Política de segurança da informação 1. Elaboração do Documento da Política de Segurança da Informação

8 ISO/IEC Organizando a segurança da informação 1. Infra-estrutura da Segurança da Informação 2. Partes Externas

9 ISO/IEC Gestão de ativos 1. Responsabilidade Pelos Ativos 2. Classificação da Informação

10 ISO/IEC – Segurança em recursos humanos 1. Antes da Contratação 2. Durante a Contratação 3. Encerramento ou Mudança da Contratação

11 ISO/IEC Segurança física do ambiente 1. Áreas Seguras 1. Perímetro de segurança física 2. Controles de entrada física 3. Segurança em escritórios, salas e instalações 4. Proteção contra ameaças externas e do meio ambiente 5. Trabalhando em área seguras 6. Acesso do público, áreas de entrega e de carregamento 2. Segurança de Equipamentos 1. Instalação e proteção do equipamento 2. Utilidades 3. Segurança do cabeamento 4. Manutenção dos equipamentos 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e alienação segura de equipamentos 7. Remoção de propriedade

12 ISO/IEC Gestão das operações e comunicações 1. Procedimentos e Responsabilidades Operacionais 2. Gerenciamento de Serviços Terceirizados 3. Planejamento e Aceitação dos Sistemas 4. Proteção Contra Códigos Maliciosos e Códigos Móveis 5. Cópias de Segurança 6. Gerenciamento da Segurança em Redes 7. Manuseio de Mídias 8. Troca de Informações 9. Serviços de Comércio Eletrônico 10. Monitoramento

13 ISO/IEC Controle de acesso 1. Requisitos de Negócio Para Controle de Acesso 2. Gerenciamento de Acesso do Usuário 3. Responsabilidades dos Usuários 4. Controle de Acesso à Rede 5. Controle de Acesso ao Sistema Operacional 6. Controle de Acesso à Aplicação e à Informação 7. Computação Móvel e Trabalho Remoto

14 ISO/IEC Aquisição, desenv. e manut. de sist. de informação 1. Requisitos de Segurança de Sistemas de Informação 2. Processamento Correto nas Aplicações 3. Controles Criptográficos 4. Segurança dos Arquivos do Sistema 5. Segurança em Processos de Desenvolvimento e Suporte 6. Gestão de Vulnerabilidades Técnicas

15 ISO/IEC Gestão de incidentes de seg. da informação 1. Notificação de Fragilidades e Eventos de Segurança da Informação 2. Gestão de Incidentes de Segurança da Informação e Melhorias

16 ISO/IEC Gestão da continuidade do negócio 1. Aspectos da Gestão da Continuidade do Negócio, Relativos à Segurança da Informação

17 ISO/IEC Conformidade 1. Conformidade com Requisitos Legais 2. Conformidade com Normas e Políticas de Segurança da Informação e Conformidade Técnica 3. Considerações Quanto à Auditoria de Sistemas de Informação

18 Normas ISO/IEC da série de Segurança da Informação ISO/IEC 27000: Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; ISO/IEC 27001: Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como princípio da norma e é certificável para empresas. ISO/IEC 27002: Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcançar os controles certificáveis na ISO Essa ISO é certificável para profissionais e não para empresas.

19 Normas ISO/IEC da série de Segurança da Informação ISO/IEC 27003: Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005. ISO/IEC 27004: Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação. ISO/IEC 27005: Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO em casos de certificação ou através da ISO em casos de somente implantação.

20 Normas ISO/IEC da série de Segurança da Informação ISO/IEC 27006: Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer. ISO/IEC Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação. ISO/IEC Auditoria nos controles de um SGSI - O foco são nos controles para implementação da ISO

21 Normas ISO/IEC da série de Segurança da Informação ISO/IEC Gestão de Segurança da Informação para Comunicações Inter Empresariais- Foco nas melhores formas de comunicar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma transparente entre empresas particulares e governamentais. ISO/IEC 27011: Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinja seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO


Carregar ppt "Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,"

Apresentações semelhantes


Anúncios Google