ISO 27002

ISO 27002

0 - INTRODUÇÃO
1. A INFORMAÇÃO É UM ATIVO ESSENCIAL PARA O NEGÓCIO E NECESSITA SER PROTEGIDO ADEQUADAMENTE (EMAIL, CARTA, FALADA EM CONVERSA...)
2. SEGURANÇA DA INFORMAÇÃO É A PROTEÇÃO DA INFORMAÇÃO DE VÁRIOS TIPOS DE AMEAÇAS PARA GARANTIR A CONTINUIDADE DO NEGOCIO
  1. OBITIDA A PARTIR DE CONTROLES (PRÁTICAS) ADEQUADOS (POLITICAS, PROCESSOS, PROCEDIMENTOS...)
3. REQUISITOS DE SI (IDENTIFICADOS POR MEIO DE UMA ANÁLISE/AVALIAÇÃO SISTEMÁTICA(REPETIDA PERIODICAMENTE)): ANÁLISE/AVALIAÇÃO DE RISCOS ; LEGISLAÇÃO E NORMAS VIGENTES ; PRINCÍIOS E OBJETIVOS DE NEGOCIO (ALÉM DA 27001)
4. GASTOS COM CONTROLES BALANCEADOS DE ACORDO COM OS DANOS CAUSADOS COM O NEGÓCIO (ECONOMICAMENTE VIÁVEL)
5. OS CONTROLES PODEM SER SELECIONADOS A PARTIR DESSA NORMA, OU DE OUTRO CONJUNTO DE CONTROLES QUE PODEM SER DESENVOLVIDOS CONFORME O NEGOCIO
6. CONTROLES ESSENCIAIS (SOB O PONTO DE VISTA LEGAL): PROTEÇÃO DE DADOS E PRIVACIDADE ; PROTEÇÃO DE REGISTROS ; DIREITOS DE PROPRIEDADE INTELECTUAL
1 - OBJETIVOS
1. ESTABELECER PRINCIPIOS E DIRETRIZES PARA (IIMANME) : INICIAR, IMPLEMENTAR, MANTER E MELHORAR
2 - TERMOS E DEFINIÇÕES
1. ATIVO
  1. QAULQUER COSIA QUE TENHA VALRO PARA A ORGANIZAÇÃO
2. CONTROLE
  1. FORMA DE GERENCIAR O RISCO (POLITICA, PROCEDIMENTOS...) - PROTEÇÃO OU CONTRAMEDIDA
3. DIRETRIZ
  1. DESCRIÇÃO DE O QUE DEVE SER FEITO E COMO
4. RECURSO DE PROCESSAMENTO DA INFORMAÇÃO
  1. QUALQUER SISTEMA DE PROCESSAMENTO (SERVIÇO OU INFRA)
5. SEGURANÇA DA INFORMAÇÃO
  1. PRESERVAÇÃO DA CONFIDENCIALIDADE, INTEGRIDADE E DISPONIBILIDADE. (AUTENTICI, NÃO REPUDIO, CONFIABILIDADE...
6. EVENTO SE SI
  1. ALTERAÇÃO NO ESTADO DE UM ATIVO (OCORRÊNCIA, POSSÍVEL VIOLAÇÃO, CAUSA DESCONHECIDA)
7. INCIDENTE DE SI
  1. UM OU MAIS EVENTOS INDESEJADOS OU INESPERADOS QUE TEM PROBABILIDADE DE AMEAÇAR O NEGOCIO
8. POLÍTICA
  1. INTENÇÃO E DIRETRIZES FORMALMENTE EXPRESSAS PELA DIREÇÃO
9. RISCO
  1. COMBINAÇÃO DE PROBABILIDADE DE EVENTO E SUAS CONSEQUÊNCIAS (CONCRETIZAÇÃO DA AMEAÇA)
10. ANÁLISE DE RISCO
  1. (PRELIMINAR) USO SISTEMÁTICO PARA IDENTIFICAR FONTES E ESTIMAR OS RISCOS (QUALITATIVO)
11. ANÁLISE/AVALIAÇÃO DE RISCO
  1. PROCESSO COMPLETO DA ANÁLISE E AVALIAÇÃO DE RISCOS
12. AVALIAÇÃO DE RISCO
  1. COMPARAR RISCOS COM CRITÉRIOS PRE-DEFINIDOS PARA DETERMINAR A IMPORTÂNCIA DOS RISCOS (QUANTITATIVO)
13. GESTÃO DE RISCOS
  1. COORDENAR E CONTROLAR A ORGANIZAÇÃO NO QUE SE REFERE A RISCOS
14. TRATAMENTO DO RISCO
  1. SELEÇÃO E IMPLEMENTAÇÃO PARA MODIFICAR UM RISCO
15. TERCEIRA PARTE
  1. PESSOA OU ORGANISMO RECONHECIDO COMO INDEPENDENTE DAS PARTES ENVOLVIDAS (TERCEIRO)
16. AMECÇA
  1. CAUSA POTENCIAL DE UM INCIDENTE INDESEJADO
17. VULNERABILIDADE
  1. FRAGILIDADE DE UM ATIVO OU GRUPO DE ATIVOS EXPLORADA PELAS AMEAÇAS
3 - ESTRUTURA
1. 11 SEÇÕES DE CONTROLES DE SEGURANÇA PRINCIPAIS
2. 39 CATEGORIAS (OBJETIVOS) PRINCIPAIS DE SEGURANÇA 133 CONTROLES DE SEGURANÇA
3. SEM GRAU DE IMPORTÂNCIA DAS SEÇÕES (NÃO TEM HIERARQUIA)
4. CADA CATEGORIA PRINCIPAL DA SI CONTÉM UM OBJETIVO DE CONTROLE, QUE DEFINE O QUE DEVE SER ALCANÇADO
5. OBJETIVOS DO CONTROLE: O QUE DEVE SER ALCANÇADO
6. CONTROLE: O CONTROLE A SER IMPLEMENTADO PARA ATENDER OS OBJETIVOS
7. DIRETRIZES: INFORMAÇÕES DETALHADAS PARA APOIAR A IMPLEMENTAÇÃO (ASPESCOS LEGAIS...)
8. INFORMAÇÕES ADICIONAIS: CONSIDERAÇÕES NA IMPLEMENTAÇÃO DO CONTROLE
4 - ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS
1. IDENTIFICAR QUANTIFICAR E PRIORIZAR OS RISCOS COM BASE NOS CRITÉRIOS DE ACEITAÇÃO E DOS OBJETIVOS RELEVANTES
2. ENFOQUE SISTEMÁTICO(PARA SER REPETIDO) PARA ESTIMAR A MAGNITUDE DO RISCO (ANÁLISE) E COMPARAR OS RISCOS PARA DETERMINAR A SIGNIFICÂNCIA (AVALIAÇÃO)
3. REALIZAR AS ANÁLISES/AVALIAÇÕES PERIODICAMENTE (A BASES REGULARES)
4. ANTES DE TRATAR OS RISCOS, DEVE-SE DEFINIR OS CRITÉRIOS PARA DEFINIR SE OS RISCOS PODEM SER ACEITOS
5. PARA 1 RISCO IDENTIFICADO DEVE SER TOMADA 1 DECISÃO DE TRATAMENTO
6. OPÇÕES DE TRATAMENTO: APLICAR CONTROLES PARA REDUZIR OS RISCOS ; CONHECER OBJETIVAMENTE E ACEITAR O RISCO ; EVITAR OS RISCOS, PROIBINDO AÇÕES QUE POSSAM CAUSÁ-LO E TRANSFERIR PARA OUTRAS PARTES (EX: SEGURADORAS)
5 - POLITICA DE SEGURANÇA DA INFORMAÇÃO
1. PROVER ORIENTAÇÃO DA DIREÇÃO PARA A SI COM OS REQUISITOS DO NEGÓCIO
2. DOCUMENTO DA POLÍTICA DE SI (CONTROLE): CONVÉM QUE UM DOCUMENTO SEJA APROVADO PELA DIREÇÃO E PUBLICADO E COMUNICADO PARA TODOS OS FUNCIONÁRIOS E PARTES
3. ANÁLISE CRITICA DA POLÍTICA DE SI (CONTROLE): QUE A INTERVALOS PLANEJADOS A POLÍTICA SOFRA UMA ANÁLISE CRITICA, OU QUANDO MUDANÇAS OCORREREM, PARA ASSEGURAR A CONTINUA PERMANÊNCIA, ADEQUAÇÃO E EFICÁCIA.
6 - ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO
1. INFRA-ESTRUTURA DA SI
  1. COMPROMETIMENTO DA DIREÇÃO COM A SI (CONTROLE): CONVÉM QUE A DIREÇÃO APOIE ATIVAMENTE A SI, DEFININDO ATRIBUIÇÕES, CONHECENDO AS RESPONSABILIDADES PELA SI
  2. COORDENAR A SI (CONTROLE): CONVÉM QUE AS ATIVIDADES DE SI SEJAM COORDENADAS POR REPRESENTANTES DE DIFERENTES PARTES DA ORGANIZAÇÃO, COM FUNÇÕES E PAPEIS RELEVANTES
  3. ATRIBUIÇÕES DE RESPONSABILIDADES PARA A SI (CONTROLE): CONVÉM QUE TODAS AS RESPONSABILIDADES PELA SI DA INFORMAÇÃO ESTEJA BEM CLARA E DEFINIDA
  4. PROCESSAMENTO DE AUTORIZAÇÃO PARA RECURSOS DE PROCESSAMENTO DA INFORMAÇÃO (CONTROLE): CONVÉM QUE SEJA DEFINIDO E IMPLEMENTADO UM PROCESSO DE GESTÃO DE AUTORIZAÇÃO PARA NOVOS RECURSOS
  5. ACORDOS DE CONFIDENCIALIDADE (CONTROLE): CONVÉM QUE OS REQUISITOS PARA CONFIDENCIALIDADE OU ACORDOS DE NÃO DIVULGAÇÃO E POSTERIORMENTE ANALISADOS CRITICAMENTE DE FORMAS REGULARES
  6. CONTATO COM AUTORIDADES (CONTROLE): CONVÉM QUE OS CONTATOS COM AS AUTORIDADES RELEVANTES SEJAM MANTIDOS
  7. CONTATO COM GRUPOS ESPECIAIS (CONTROLE): CONVÉM QUE SEJAM MANTIDOS CONTATO APROPRIADOS COM GRUPOS ESPECIALIZADOS (ONGS,FÓRUMS...)
2. PARTES EXTERNAS
  1. MANTER A SEGURANÇA DOS RECURSOS DE PROCESSAMENTOS E DA INFORMAÇÃO ACESSÍVEIS POR PARTES EXTERNAS
  2. IDENTIFICAÇÃO DOS RISCOS RELACIONADOS COM PARTES EXTERNAS (CONTROLE): CONVÉM QUE OS RISCOS RELACIONADOS COM AS PARTES EXTERNAS SEJAM VERIFICADOS, ANTES DE CONCEDER O ACESSO AS INFORMAÇÕES
  3. IDENTIFIQUE A SI QUANDO TRATANDO COM OS CLIENTES (CONTROLE): CONVÉM QUE OS RISCOS RELACIONADOS COM OS CLIENTES SEJAM VERIFICADOS, ANTES DE CONCEDER O ACESSO AS INFORMAÇÕES
  4. IDENTIFICAÇÃO DA SI NOS ACORDOS COM TERCEIROS (CONTROLE): CONVÉM QUE OS ACORDOS COM TERCEIROS ENVOLVENDO O ACESSO, PROCESSAMENTO, COMUNICAÇÃO... CUBRAM TODOS OS REQUISITOS DE SI
7 - GESTÃO DE ATIVOS
1. RESPONSABILIDADES PELOS ATIVOS
  1. INVENTÁRIO DOS ATIVOS (CONTROLE): CONVÉM QUE TODOS OS ATIVOS SEJAM CLARAMENTE IDENTIFICADOS
  2. PROPRIETÁRIO DOS ATIVOS (CONTROLE): PROPRIETÁRIO DESIGNADO
  3. USO ACEITÁVEL DOS ATIVOS (CONTROLE): CONVÉM QUE SEJAM DEFINIDAS E DOCUMENTADAS REGRAS PARA QUE SEJAM PERMITIDAS O USO DE INFORMAÇÃO DOS ATIVOS
2. CLASSIFICAÇÃO DA INFORMAÇÃO
  1. RECOMENDAÇÕES PARA CLASSIFICAÇÃO (CONTROLE): CONVÉM QUE A INFORMAÇÃO SEJA CLASSIFICADA EM TERMOS DO SEU VALOR,SENSIBILIDADE.... PARA A ORGANIZAÇÃO
  2. RÓTULOS E TRATAMENTO DA INFORMAÇÃO (CONTROLE): CONVÉM QUE UM CONJUNTO APROPRIADO DE PROCEDIMENTOS PARA ROTULAÇÃO E TRATAMENTO DA INFORMAÇÃO SEJA DEFINIDO E IMPLEMENTADO DE ACORDO COM O ADOTADO PELA ORGANIZAÇÃO
3. INFORMAÇÕES ADICIONAIS (TIPOS DE ATIVOS)
  1. ATIVOS DE INFORMAÇÃO: CONTRATOS, ACORDOS, DOCUMENTOS, INFORMAÇÕES...
  2. ATIVOS DE SOFTWARES: APLICATIVOS, SISTEMAS, SOFTWARES, UTILITÁRIOS
  3. ATIVOS FÍSICOS: EQUIPAMENTOS, MÍDIAS...
  4. SERVIÇOS: COMUTAÇÃO, COMUNICAÇÃO (EX: AQUECIMENTO, TELEFONIA, ILUMINAÇÃO...)
  5. PESSOAS E SUAS QUALIFICAÇÕES: HABILIDADES E EXPERIÊNCAS
  6. INTANGÍVEIS: REPUTAÇÃO, IMAGEM DA ORGANIZAÇÃO
8 - SEGURANÇA EM RH
1. ANTES DA CONTRATAÇÃO
  1. ASSEGURAR QUE TODOS(FUNCIONÁRIOS, TERCEIROS...) ENTENDAM SUAS RESPONSABILIDADES E ESTEJAM DE ACORDO COM SEUS PAPEIS
  2. PAPÉIS E RESPONSABILIDADES (CONTROLE): CONVÉM QUE OS PAPÉIS PELA SI DE FUNCIONÁRIOS E TERCEIROS SEJAM DEFINIDOS E DOCUMENTADOS DE ACORDO COM A POLÍTICA DE SI
  3. SELEÇÃO (CONTROLE): CONVÉM QUE TODAS AS VERIFICAÇÕES DE CONTROLES DE TODOS OS CANDIDADOS A EMPREGO SEJAM REALIZADAS DE ACORDO COM AS LEIS RELEVANTES
  4. TERMOS E CONDIÇÕES DE CONTRATAÇÃO (CONTROLE): CONVÉM QUE OS FUNCIONÁRIOS E TODOS OS ENVOLVIDOS ASSINEM OS TERMOS DE CONDIÇÕES DE SUA CONTRATAÇÃO PARA O TRABALHO, ONDE DEVE SER DECLARADO QUAIS SÃO AS RESPONSABILIDADES DENTRO DA ORGANIZAÇÃO PARA A SI
2. DURANTE A CONTRATAÇÃO
  1. ASSEGURAR QUE OS FUNCIONÁRIOS, FORNECEDORES E TERCEIROS, ESTEJAM CONSCIENTES DAS AMEAÇAS E PREOCUPAÇÕES RELATIVAS A SI, SUAS RESPONSABILIDADES E OBRIGAÇÕES, ESTANDO PREPARADOS PARA APOIAR A POLÍTICA DE SI (PARA REDUZIR RISCO DE ERRO HUMANO)
  2. RESPONSABILIDADES DA DIREÇÃO (CONTROLE): CONVÉM QUE A DIREÇÃO SOLICITE A TODOS OS ENVOLVIDOS QUE PRATIQUEM A SI DE ACORDO COM O ESTABELECIDO NAS POLÍTICAS E PRECEDIMENTOS
  3. CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO EM SI (CONTROLE): CONVÉM QUE TODOS OS ENVOLVIDOS DA ORGANIZAÇÃO RECEBAM O TREINAMENTO ADEQUADO E ATUALIZADOS NAS POLÍTICAS E PROCEDIMENTOS RELEVANTES PARA SUAS FUNÇÕES
  4. PROCESSO DISCIPLINAR (CONTROLE): CONVÉM QUE EXISTA UM PROCESSO DISCIPLINAR FORMAL PARA OS FUNCIONÁRIOS QUE TENHAM COMETIDO UMA VIOLAÇÃO NA SI
3. ENCERRAMENTO OU MUDANÇAS DA CONTRATAÇÃO
  1. ASSEGURAR QUE OS FUNCIONÁRIOS DEIXEM A ORGANIZAÇÃO OU MUDEM DE POSTO DE FORMA ORDENADA
  2. ENCERRAMENTO DA ATIVIDADE (CONTROLE): CONVÉM QUE RESPONSABILIDADES PARA REALIZAR O ENCERRAMENTO DE UM TRABALHO SEJAM CLARAMENTE DEFINIDAS E ATRIBUÍDAS
  3. DEVOLUÇÃO DE ATIVOS (CONTROLE): CONVÉM QUE TODOS OS FUNCIONÁRIOS DEVOLVAM TODOS OS ATIVOS DA ORGANIZAÇÃO QUE ESTEJAM E SUA POSSE APÓS O ENCERRAMENTO DE SUAS ATIVIDADES
  4. RETIRADA DOS DIREITOS DE ACESSOS (CONTROLE): CONVÉM QUE OS DIREITOS DE ACESSO DE TODOS OS FUNCIONÁRIOS SEJAM RETIRADOS APÓS O ENCERRAMENTO DE SUAS STIVIDADES
9 - SEGURANÇA FISICA NO AMBIENTE
10 -

Nächster

Beschreibung

Zusammenfassung der Ressource

ähnlicher Inhalt

	Erstellt von Raul Maia vor mehr als 11 Jahre