SlideShare una empresa de Scribd logo

ISO 27001 Sistema Gestão Segurança Informação

Descargar como PPTX, PDF
Rafael Maia
Rafael Maia

A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.

Tecnología
1 de 30
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1
 FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE. 2/30
 Introdução ◦ Conceitos  Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles  Conclusão  Referências 3/30
 NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT) 2. ISO - Organização Internacional para Padronização 1. International Organization for Standardization 3. IEC - Comissão Eletrotécnica Internacional 1. International Electrotechnical Commission 4/30
 Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário  Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação  Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações  Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da informação 5/30
Publicado o código de prática pelo governo inglês Publicado pelo BSI como BS 7799 1992 1995 1º Grande revisão da BS 7799 1999 Republicado como padrão Internacional ISO/IEC 17799-1 2000 Publicada BS 7799-2 Especificação do SGSI 2002 Publicação BS 7799-2=ISO/IEC 27001 E NBR ISO/IEC 17799 2005 ABNT publica a NBR ISO/IEC 27001:2006 2006 ABNT publica a NBR ISO/IEC 27002:2007(Correção e Renomeação 17799-1) 2007 2013 27001:2013 substitui a 2005 6/30
 Conceitos ◦ Sistema  Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas 7/30
 Conceitos ◦ Gestão  São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega 8/30
 Conceitos ◦ Segurança da Informação  Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005 9/30
 Outros Conceitos ◦ Risco  A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização - ◦ Ameaça  Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização ◦ Vulnerabilidade  Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça ◦ Impacto  Mudança adversa no nível obtido dos objetivos de negócios ◦ Ativo  Qualquer coisa que tenha valor para a organização 10/30
11/30 Integrity Responsibility Confidentiality Availability Integrity Information Security Confidentiality Authenticity Responsibility Non repudiation Confidentiality Availability Integrity Information Security Reliability Authenticity Responsibility Non repudiation PeopleProducts Partners Process
12/30
 É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 13/30
 Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monito rização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.  É independente de fabricantes ◦ Se destina ao estabelecimento  Processos e Procedimento de acordo com realidade de cada organização 14/30
 A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e controles que as organizações devem adotar – NORMATIVO  INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma 2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001 15/30
16/30 ANEXO A- ISO27001:2006
17/30 ANEXO A- ISO27001:2006
 Reduz o risco de responsabilidade por não implantar um SGSI  Identifica e corrige pontos fracos  A alta direção assume a responsabilidade pela SI  Permite revisão independente do SGSI  Oferece confiança aos stakeholders  Melhor consciência sobre Segurança  Combina recursos com outros sistemas de gestão  Mecanismo para medir o sucesso do Sistema 18/30
 Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. 19/30
 Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes ◦ Objetivos de Controle  Documento da política de segurança da informação  Análise crítica da política de segurança da informação 20/30
21/30
 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. ◦ Objetivos de Controle  Incluindo segurança da informação no processo de gestão da continuidade de negócio  Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 22/30
23/30
 Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação ◦ Objetivos de Controle  Uso de senha  Política de mesa limpa e tela limpa 24/30
25/30
Prioridade!!! 26/30
27/30
 A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI. 28/30
 Normas da família 27000 29/30
30/30

Recomendados

Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Introdução à Engenharia de Software
Introdução à Engenharia de SoftwareIntrodução à Engenharia de Software
Introdução à Engenharia de SoftwareNécio de Lima Veras
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Elaine Cecília Gatto
 
Ferramenta de apoio a gerência de configuração de software
Ferramenta de apoio a gerência de configuração de softwareFerramenta de apoio a gerência de configuração de software
Ferramenta de apoio a gerência de configuração de softwareelliando dias
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 

Recomendados

Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Introdução à Engenharia de Software
Introdução à Engenharia de SoftwareIntrodução à Engenharia de Software
Introdução à Engenharia de SoftwareNécio de Lima Veras
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Elaine Cecília Gatto
 
Ferramenta de apoio a gerência de configuração de software
Ferramenta de apoio a gerência de configuração de softwareFerramenta de apoio a gerência de configuração de software
Ferramenta de apoio a gerência de configuração de softwareelliando dias
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 
Exemplos de User Stories
Exemplos de User StoriesExemplos de User Stories
Exemplos de User StoriesManoel Pimentel Medeiros
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadoresdeisiweg
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Fernando Palma
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Itil
ItilItil
Itillcbj
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Perfil profissional ti
Perfil profissional tiPerfil profissional ti
Perfil profissional tiadhenawer
 
Virtualização - Máquinas Virtuais
Virtualização - Máquinas VirtuaisVirtualização - Máquinas Virtuais
Virtualização - Máquinas VirtuaisAndré Felipe Santos Martins
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoLeinylson Fontinele
 
CMM e CMMI
CMM e CMMICMM e CMMI
CMM e CMMIRonney Moreira de Castro
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareLeinylson Fontinele
 
Teste de Software - Introdução
Teste de Software - IntroduçãoTeste de Software - Introdução
Teste de Software - IntroduçãoJoeldson Costa Damasceno
 
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)Gleyciana Garrido
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvensAnna Carolina Soares Medeiros
 
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...Leinylson Fontinele
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de RedeNatanael Simões
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
O Processo de Desenvolvimento de Software
O Processo de Desenvolvimento de SoftwareO Processo de Desenvolvimento de Software
O Processo de Desenvolvimento de SoftwareCamilo de Melo
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 

Más contenido relacionado

La actualidad más candente

Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadoresdeisiweg
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Fernando Palma
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Itil
ItilItil
Itillcbj
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Perfil profissional ti
Perfil profissional tiPerfil profissional ti
Perfil profissional tiadhenawer
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoLeinylson Fontinele
 
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)Gleyciana Garrido
 
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...Leinylson Fontinele
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de RedeNatanael Simões
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
O Processo de Desenvolvimento de Software
O Processo de Desenvolvimento de SoftwareO Processo de Desenvolvimento de Software
O Processo de Desenvolvimento de SoftwareCamilo de Melo
 

La actualidad más candente (20)

Exemplos de User Stories
Exemplos de User StoriesExemplos de User Stories
Exemplos de User Stories
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadores
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDS
 
Itil
ItilItil
Itil
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Perfil profissional ti
Perfil profissional tiPerfil profissional ti
Perfil profissional ti
 
Virtualização - Máquinas Virtuais
Virtualização - Máquinas VirtuaisVirtualização - Máquinas Virtuais
Virtualização - Máquinas Virtuais
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - Apresentação
 
CMM e CMMI
CMM e CMMICMM e CMMI
CMM e CMMI
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
 
Teste de Software - Introdução
Teste de Software - IntroduçãoTeste de Software - Introdução
Teste de Software - Introdução
 
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
Projeto de Banco de Dados: Gerenciamento de Locadora de Vídeo (parte escrita)
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvens
 
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
Banco de Dados II Aula Prática 1 (Conversão do modelo conceitual para modelo ...
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de Rede
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
O Processo de Desenvolvimento de Software
O Processo de Desenvolvimento de SoftwareO Processo de Desenvolvimento de Software
O Processo de Desenvolvimento de Software
 

Destacado

Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Webinar iso20000 iso27000
Webinar iso20000 iso27000Webinar iso20000 iso27000
Webinar iso20000 iso27000EXIN
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Toni Hebert
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Rodrigodelimabispo
 
PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005PECB
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Cláudio Dodt
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRodrigo Mesquita
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
Politica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalhoPolitica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalhoEvandroPFonseca
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000Ramana K V
 
Ilustración de Colecciones: Devolución 1er Colección Ilustrada
Ilustración de Colecciones: Devolución 1er Colección IlustradaIlustración de Colecciones: Devolución 1er Colección Ilustrada
Ilustración de Colecciones: Devolución 1er Colección IlustradaEduardo Sganga
 

Destacado (20)

Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
Webinar iso20000 iso27000
Webinar iso20000 iso27000Webinar iso20000 iso27000
Webinar iso20000 iso27000
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
 
ISO/IEC 27001 Foundation - PECB
ISO/IEC 27001 Foundation - PECBISO/IEC 27001 Foundation - PECB
ISO/IEC 27001 Foundation - PECB
 
PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005PECB Webinar: Risk Treatment according to ISO 27005
PECB Webinar: Risk Treatment according to ISO 27005
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades Virtuais
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Mudanças 5 edição pmbok
Mudanças 5 edição pmbokMudanças 5 edição pmbok
Mudanças 5 edição pmbok
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Politica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalhoPolitica de saúde e segurança do trabalho
Politica de saúde e segurança do trabalho
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000
 
Ilustración de Colecciones: Devolución 1er Colección Ilustrada
Ilustración de Colecciones: Devolución 1er Colección IlustradaIlustración de Colecciones: Devolución 1er Colección Ilustrada
Ilustración de Colecciones: Devolución 1er Colección Ilustrada
 

Similar a ISO 27001 Sistema Gestão Segurança Informação

Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 

Similar a ISO 27001 Sistema Gestão Segurança Informação (20)

Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 

ISO 27001 Sistema Gestão Segurança Informação

  • 1. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1
  • 2.  FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE. 2/30
  • 3.  Introdução ◦ Conceitos  Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles  Conclusão  Referências 3/30
  • 4.  NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT) 2. ISO - Organização Internacional para Padronização 1. International Organization for Standardization 3. IEC - Comissão Eletrotécnica Internacional 1. International Electrotechnical Commission 4/30
  • 5.  Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário  Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação  Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações  Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da informação 5/30
  • 6. Publicado o código de prática pelo governo inglês Publicado pelo BSI como BS 7799 1992 1995 1º Grande revisão da BS 7799 1999 Republicado como padrão Internacional ISO/IEC 17799-1 2000 Publicada BS 7799-2 Especificação do SGSI 2002 Publicação BS 7799-2=ISO/IEC 27001 E NBR ISO/IEC 17799 2005 ABNT publica a NBR ISO/IEC 27001:2006 2006 ABNT publica a NBR ISO/IEC 27002:2007(Correção e Renomeação 17799-1) 2007 2013 27001:2013 substitui a 2005 6/30
  • 7.  Conceitos ◦ Sistema  Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas 7/30
  • 8.  Conceitos ◦ Gestão  São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega 8/30
  • 9.  Conceitos ◦ Segurança da Informação  Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005 9/30
  • 10.  Outros Conceitos ◦ Risco  A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização - ◦ Ameaça  Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização ◦ Vulnerabilidade  Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça ◦ Impacto  Mudança adversa no nível obtido dos objetivos de negócios ◦ Ativo  Qualquer coisa que tenha valor para a organização 10/30
  • 11. 11/30 Integrity Responsibility Confidentiality Availability Integrity Information Security Confidentiality Authenticity Responsibility Non repudiation Confidentiality Availability Integrity Information Security Reliability Authenticity Responsibility Non repudiation PeopleProducts Partners Process
  • 12. 12/30
  • 13.  É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 13/30
  • 14.  Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monito rização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.  É independente de fabricantes ◦ Se destina ao estabelecimento  Processos e Procedimento de acordo com realidade de cada organização 14/30
  • 15.  A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e controles que as organizações devem adotar – NORMATIVO  INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma 2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001 15/30
  • 18.  Reduz o risco de responsabilidade por não implantar um SGSI  Identifica e corrige pontos fracos  A alta direção assume a responsabilidade pela SI  Permite revisão independente do SGSI  Oferece confiança aos stakeholders  Melhor consciência sobre Segurança  Combina recursos com outros sistemas de gestão  Mecanismo para medir o sucesso do Sistema 18/30
  • 19.  Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. 19/30
  • 20.  Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes ◦ Objetivos de Controle  Documento da política de segurança da informação  Análise crítica da política de segurança da informação 20/30
  • 21. 21/30
  • 22.  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. ◦ Objetivos de Controle  Incluindo segurança da informação no processo de gestão da continuidade de negócio  Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 22/30
  • 23. 23/30
  • 24.  Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação ◦ Objetivos de Controle  Uso de senha  Política de mesa limpa e tela limpa 24/30
  • 25. 25/30
  • 27. 27/30
  • 28.  A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI. 28/30
  • 29.  Normas da família 27000 29/30
  • 30. 30/30