1078596
ISO 27002
- 0 - INTRODUÇÃO
- A INFORMAÇÃO É UM ATIVO ESSENCIAL PARA O
NEGÓCIO E NECESSITA SER PROTEGIDO
ADEQUADAMENTE (EMAIL, CARTA, FALADA EM
CONVERSA...)
- SEGURANÇA DA INFORMAÇÃO É A PROTEÇÃO DA
INFORMAÇÃO DE VÁRIOS TIPOS DE AMEAÇAS PARA
GARANTIR A CONTINUIDADE DO NEGOCIO
- OBITIDA A PARTIR DE
CONTROLES (PRÁTICAS)
ADEQUADOS (POLITICAS,
PROCESSOS, PROCEDIMENTOS...)
- OBITIDA A PARTIR DE
CONTROLES (PRÁTICAS)
ADEQUADOS (POLITICAS,
PROCESSOS, PROCEDIMENTOS...)
- REQUISITOS DE SI (IDENTIFICADOS POR MEIO DE
UMA ANÁLISE/AVALIAÇÃO SISTEMÁTICA(REPETIDA
PERIODICAMENTE)): ANÁLISE/AVALIAÇÃO DE RISCOS ;
LEGISLAÇÃO E NORMAS VIGENTES ; PRINCÍIOS E
OBJETIVOS DE NEGOCIO (ALÉM DA 27001)
- GASTOS COM CONTROLES BALANCEADOS DE ACORDO
COM OS DANOS CAUSADOS COM O NEGÓCIO
(ECONOMICAMENTE VIÁVEL)
- OS CONTROLES PODEM SER SELECIONADOS A
PARTIR DESSA NORMA, OU DE OUTRO CONJUNTO
DE CONTROLES QUE PODEM SER DESENVOLVIDOS
CONFORME O NEGOCIO
- CONTROLES ESSENCIAIS (SOB O PONTO DE VISTA
LEGAL): PROTEÇÃO DE DADOS E PRIVACIDADE ;
PROTEÇÃO DE REGISTROS ; DIREITOS DE
PROPRIEDADE INTELECTUAL
- A INFORMAÇÃO É UM ATIVO ESSENCIAL PARA O
NEGÓCIO E NECESSITA SER PROTEGIDO
ADEQUADAMENTE (EMAIL, CARTA, FALADA EM
CONVERSA...)
- 1 - OBJETIVOS
- ESTABELECER PRINCIPIOS
E DIRETRIZES PARA
(IIMANME) : INICIAR,
IMPLEMENTAR, MANTER E
MELHORAR
- ESTABELECER PRINCIPIOS
E DIRETRIZES PARA
(IIMANME) : INICIAR,
IMPLEMENTAR, MANTER E
MELHORAR
- 2 - TERMOS E
DEFINIÇÕES
- ATIVO
- QAULQUER COSIA QUE TENHA VALRO PARA A ORGANIZAÇÃO
- QAULQUER COSIA QUE TENHA VALRO PARA A ORGANIZAÇÃO
- CONTROLE
- FORMA DE GERENCIAR O RISCO (POLITICA, PROCEDIMENTOS...) - PROTEÇÃO OU CONTRAMEDIDA
- FORMA DE GERENCIAR O RISCO (POLITICA, PROCEDIMENTOS...) - PROTEÇÃO OU CONTRAMEDIDA
- DIRETRIZ
- DESCRIÇÃO DE O QUE DEVE SER FEITO E COMO
- DESCRIÇÃO DE O QUE DEVE SER FEITO E COMO
- RECURSO DE
PROCESSAMENTO
DA INFORMAÇÃO
- QUALQUER SISTEMA DE PROCESSAMENTO (SERVIÇO OU INFRA)
- QUALQUER SISTEMA DE PROCESSAMENTO (SERVIÇO OU INFRA)
- SEGURANÇA DA INFORMAÇÃO
- PRESERVAÇÃO DA CONFIDENCIALIDADE, INTEGRIDADE E
DISPONIBILIDADE. (AUTENTICI, NÃO REPUDIO, CONFIABILIDADE...
- PRESERVAÇÃO DA CONFIDENCIALIDADE, INTEGRIDADE E
DISPONIBILIDADE. (AUTENTICI, NÃO REPUDIO, CONFIABILIDADE...
- EVENTO SE SI
- ALTERAÇÃO NO ESTADO DE UM ATIVO (OCORRÊNCIA, POSSÍVEL VIOLAÇÃO, CAUSA DESCONHECIDA)
- ALTERAÇÃO NO ESTADO DE UM ATIVO (OCORRÊNCIA, POSSÍVEL VIOLAÇÃO, CAUSA DESCONHECIDA)
- INCIDENTE DE SI
- UM OU MAIS EVENTOS INDESEJADOS OU INESPERADOS QUE TEM PROBABILIDADE DE AMEAÇAR O NEGOCIO
- UM OU MAIS EVENTOS INDESEJADOS OU INESPERADOS QUE TEM PROBABILIDADE DE AMEAÇAR O NEGOCIO
- POLÍTICA
- INTENÇÃO E DIRETRIZES FORMALMENTE EXPRESSAS PELA DIREÇÃO
- INTENÇÃO E DIRETRIZES FORMALMENTE EXPRESSAS PELA DIREÇÃO
- RISCO
- COMBINAÇÃO DE PROBABILIDADE DE EVENTO E SUAS CONSEQUÊNCIAS (CONCRETIZAÇÃO DA AMEAÇA)
- COMBINAÇÃO DE PROBABILIDADE DE EVENTO E SUAS CONSEQUÊNCIAS (CONCRETIZAÇÃO DA AMEAÇA)
- ANÁLISE DE RISCO
- (PRELIMINAR) USO SISTEMÁTICO PARA IDENTIFICAR FONTES E ESTIMAR OS RISCOS (QUALITATIVO)
- (PRELIMINAR) USO SISTEMÁTICO PARA IDENTIFICAR FONTES E ESTIMAR OS RISCOS (QUALITATIVO)
- ANÁLISE/AVALIAÇÃO DE RISCO
- PROCESSO COMPLETO DA ANÁLISE E AVALIAÇÃO DE RISCOS
- PROCESSO COMPLETO DA ANÁLISE E AVALIAÇÃO DE RISCOS
- AVALIAÇÃO DE RISCO
- COMPARAR RISCOS COM CRITÉRIOS PRE-DEFINIDOS PARA DETERMINAR A IMPORTÂNCIA DOS RISCOS (QUANTITATIVO)
- COMPARAR RISCOS COM CRITÉRIOS PRE-DEFINIDOS PARA DETERMINAR A IMPORTÂNCIA DOS RISCOS (QUANTITATIVO)
- GESTÃO DE RISCOS
- COORDENAR E CONTROLAR A ORGANIZAÇÃO NO QUE SE REFERE A RISCOS
- COORDENAR E CONTROLAR A ORGANIZAÇÃO NO QUE SE REFERE A RISCOS
- TRATAMENTO DO RISCO
- SELEÇÃO E IMPLEMENTAÇÃO PARA MODIFICAR UM RISCO
- SELEÇÃO E IMPLEMENTAÇÃO PARA MODIFICAR UM RISCO
- TERCEIRA PARTE
- PESSOA OU ORGANISMO RECONHECIDO COMO INDEPENDENTE DAS PARTES ENVOLVIDAS (TERCEIRO)
- PESSOA OU ORGANISMO RECONHECIDO COMO INDEPENDENTE DAS PARTES ENVOLVIDAS (TERCEIRO)
- AMECÇA
- CAUSA POTENCIAL DE UM INCIDENTE INDESEJADO
- CAUSA POTENCIAL DE UM INCIDENTE INDESEJADO
- VULNERABILIDADE
- FRAGILIDADE DE UM ATIVO OU GRUPO DE ATIVOS EXPLORADA PELAS AMEAÇAS
- FRAGILIDADE DE UM ATIVO OU GRUPO DE ATIVOS EXPLORADA PELAS AMEAÇAS
- ATIVO
- 3 - ESTRUTURA
- 11 SEÇÕES DE CONTROLES DE SEGURANÇA PRINCIPAIS
- 39 CATEGORIAS (OBJETIVOS) PRINCIPAIS DE SEGURANÇA
133 CONTROLES DE SEGURANÇA
- SEM GRAU DE IMPORTÂNCIA DAS SEÇÕES (NÃO TEM HIERARQUIA)
- CADA CATEGORIA PRINCIPAL DA SI CONTÉM UM OBJETIVO
DE CONTROLE, QUE DEFINE O QUE DEVE SER ALCANÇADO
- OBJETIVOS DO CONTROLE: O QUE DEVE SER ALCANÇADO
- CONTROLE: O CONTROLE A SER IMPLEMENTADO PARA ATENDER OS OBJETIVOS
- DIRETRIZES: INFORMAÇÕES DETALHADAS PARA APOIAR A IMPLEMENTAÇÃO (ASPESCOS LEGAIS...)
- INFORMAÇÕES ADICIONAIS: CONSIDERAÇÕES NA IMPLEMENTAÇÃO DO CONTROLE
- 11 SEÇÕES DE CONTROLES DE SEGURANÇA PRINCIPAIS
- 4 - ANÁLISE/AVALIAÇÃO E
TRATAMENTO DE RISCOS
- IDENTIFICAR QUANTIFICAR E PRIORIZAR OS RISCOS COM BASE
NOS CRITÉRIOS DE ACEITAÇÃO E DOS OBJETIVOS RELEVANTES
- ENFOQUE SISTEMÁTICO(PARA SER REPETIDO) PARA ESTIMAR A MAGNITUDE DO RISCO
(ANÁLISE) E COMPARAR OS RISCOS PARA DETERMINAR A SIGNIFICÂNCIA (AVALIAÇÃO)
- REALIZAR AS ANÁLISES/AVALIAÇÕES PERIODICAMENTE (A BASES REGULARES)
- ANTES DE TRATAR OS RISCOS, DEVE-SE DEFINIR OS
CRITÉRIOS PARA DEFINIR SE OS RISCOS PODEM SER ACEITOS
- PARA 1 RISCO IDENTIFICADO DEVE SER TOMADA 1 DECISÃO DE TRATAMENTO
- OPÇÕES DE TRATAMENTO: APLICAR CONTROLES PARA REDUZIR OS RISCOS ; CONHECER
OBJETIVAMENTE E ACEITAR O RISCO ; EVITAR OS RISCOS, PROIBINDO AÇÕES QUE
POSSAM CAUSÁ-LO E TRANSFERIR PARA OUTRAS PARTES (EX: SEGURADORAS)
- IDENTIFICAR QUANTIFICAR E PRIORIZAR OS RISCOS COM BASE
NOS CRITÉRIOS DE ACEITAÇÃO E DOS OBJETIVOS RELEVANTES
- 5 - POLITICA DE SEGURANÇA
DA INFORMAÇÃO
- PROVER ORIENTAÇÃO DA DIREÇÃO PARA A SI COM OS REQUISITOS DO NEGÓCIO
- DOCUMENTO DA POLÍTICA DE SI (CONTROLE): CONVÉM QUE UM DOCUMENTO SEJA APROVADO
PELA DIREÇÃO E PUBLICADO E COMUNICADO PARA TODOS OS FUNCIONÁRIOS E PARTES
- ANÁLISE CRITICA DA POLÍTICA DE SI (CONTROLE): QUE A INTERVALOS PLANEJADOS
A POLÍTICA SOFRA UMA ANÁLISE CRITICA, OU QUANDO MUDANÇAS OCORREREM,
PARA ASSEGURAR A CONTINUA PERMANÊNCIA, ADEQUAÇÃO E EFICÁCIA.
- PROVER ORIENTAÇÃO DA DIREÇÃO PARA A SI COM OS REQUISITOS DO NEGÓCIO
- 6 - ORGANIZANDO
A SEGURANÇA DA
INFORMAÇÃO
- INFRA-ESTRUTURA DA SI
- COMPROMETIMENTO DA DIREÇÃO COM A SI (CONTROLE):
CONVÉM QUE A DIREÇÃO APOIE ATIVAMENTE A SI, DEFININDO
ATRIBUIÇÕES, CONHECENDO AS RESPONSABILIDADES PELA SI
- COORDENAR A SI (CONTROLE): CONVÉM QUE AS ATIVIDADES DE
SI SEJAM COORDENADAS POR REPRESENTANTES DE DIFERENTES
PARTES DA ORGANIZAÇÃO, COM FUNÇÕES E PAPEIS RELEVANTES
- ATRIBUIÇÕES DE RESPONSABILIDADES PARA A SI
(CONTROLE): CONVÉM QUE TODAS AS RESPONSABILIDADES
PELA SI DA INFORMAÇÃO ESTEJA BEM CLARA E DEFINIDA
- PROCESSAMENTO DE AUTORIZAÇÃO PARA RECURSOS DE PROCESSAMENTO
DA INFORMAÇÃO (CONTROLE): CONVÉM QUE SEJA DEFINIDO E IMPLEMENTADO
UM PROCESSO DE GESTÃO DE AUTORIZAÇÃO PARA NOVOS RECURSOS
- ACORDOS DE CONFIDENCIALIDADE (CONTROLE): CONVÉM QUE OS
REQUISITOS PARA CONFIDENCIALIDADE OU ACORDOS DE NÃO DIVULGAÇÃO
E POSTERIORMENTE ANALISADOS CRITICAMENTE DE FORMAS REGULARES
- CONTATO COM AUTORIDADES (CONTROLE): CONVÉM QUE OS
CONTATOS COM AS AUTORIDADES RELEVANTES SEJAM MANTIDOS
- CONTATO COM GRUPOS ESPECIAIS (CONTROLE): CONVÉM QUE SEJAM MANTIDOS
CONTATO APROPRIADOS COM GRUPOS ESPECIALIZADOS (ONGS,FÓRUMS...)
- COMPROMETIMENTO DA DIREÇÃO COM A SI (CONTROLE):
CONVÉM QUE A DIREÇÃO APOIE ATIVAMENTE A SI, DEFININDO
ATRIBUIÇÕES, CONHECENDO AS RESPONSABILIDADES PELA SI
- PARTES EXTERNAS
- MANTER A SEGURANÇA DOS RECURSOS DE PROCESSAMENTOS
E DA INFORMAÇÃO ACESSÍVEIS POR PARTES EXTERNAS
- IDENTIFICAÇÃO DOS RISCOS RELACIONADOS COM PARTES EXTERNAS
(CONTROLE): CONVÉM QUE OS RISCOS RELACIONADOS COM AS PARTES EXTERNAS
SEJAM VERIFICADOS, ANTES DE CONCEDER O ACESSO AS INFORMAÇÕES
- IDENTIFIQUE A SI QUANDO TRATANDO COM OS CLIENTES (CONTROLE):
CONVÉM QUE OS RISCOS RELACIONADOS COM OS CLIENTES SEJAM
VERIFICADOS, ANTES DE CONCEDER O ACESSO AS INFORMAÇÕES
- IDENTIFICAÇÃO DA SI NOS ACORDOS COM TERCEIROS (CONTROLE): CONVÉM
QUE OS ACORDOS COM TERCEIROS ENVOLVENDO O ACESSO,
PROCESSAMENTO, COMUNICAÇÃO... CUBRAM TODOS OS REQUISITOS DE SI
- MANTER A SEGURANÇA DOS RECURSOS DE PROCESSAMENTOS
E DA INFORMAÇÃO ACESSÍVEIS POR PARTES EXTERNAS
- INFRA-ESTRUTURA DA SI
- 7 - GESTÃO DE ATIVOS
- RESPONSABILIDADES
PELOS ATIVOS
- INVENTÁRIO DOS ATIVOS (CONTROLE): CONVÉM QUE
TODOS OS ATIVOS SEJAM CLARAMENTE IDENTIFICADOS
- PROPRIETÁRIO DOS ATIVOS (CONTROLE): PROPRIETÁRIO DESIGNADO
- USO ACEITÁVEL DOS ATIVOS (CONTROLE): CONVÉM QUE
SEJAM DEFINIDAS E DOCUMENTADAS REGRAS PARA QUE
SEJAM PERMITIDAS O USO DE INFORMAÇÃO DOS ATIVOS
- INVENTÁRIO DOS ATIVOS (CONTROLE): CONVÉM QUE
TODOS OS ATIVOS SEJAM CLARAMENTE IDENTIFICADOS
- CLASSIFICAÇÃO
DA INFORMAÇÃO
- RECOMENDAÇÕES PARA CLASSIFICAÇÃO (CONTROLE):
CONVÉM QUE A INFORMAÇÃO SEJA CLASSIFICADA EM TERMOS
DO SEU VALOR,SENSIBILIDADE.... PARA A ORGANIZAÇÃO
- RÓTULOS E TRATAMENTO DA INFORMAÇÃO (CONTROLE): CONVÉM
QUE UM CONJUNTO APROPRIADO DE PROCEDIMENTOS PARA
ROTULAÇÃO E TRATAMENTO DA INFORMAÇÃO SEJA DEFINIDO E
IMPLEMENTADO DE ACORDO COM O ADOTADO PELA ORGANIZAÇÃO
- RECOMENDAÇÕES PARA CLASSIFICAÇÃO (CONTROLE):
CONVÉM QUE A INFORMAÇÃO SEJA CLASSIFICADA EM TERMOS
DO SEU VALOR,SENSIBILIDADE.... PARA A ORGANIZAÇÃO
- INFORMAÇÕES ADICIONAIS
(TIPOS DE ATIVOS)
- ATIVOS DE INFORMAÇÃO: CONTRATOS,
ACORDOS, DOCUMENTOS, INFORMAÇÕES...
- ATIVOS DE SOFTWARES: APLICATIVOS,
SISTEMAS, SOFTWARES, UTILITÁRIOS
- ATIVOS FÍSICOS: EQUIPAMENTOS, MÍDIAS...
- SERVIÇOS: COMUTAÇÃO, COMUNICAÇÃO (EX:
AQUECIMENTO, TELEFONIA, ILUMINAÇÃO...)
- PESSOAS E SUAS QUALIFICAÇÕES: HABILIDADES E EXPERIÊNCAS
- INTANGÍVEIS: REPUTAÇÃO, IMAGEM DA ORGANIZAÇÃO
- ATIVOS DE INFORMAÇÃO: CONTRATOS,
ACORDOS, DOCUMENTOS, INFORMAÇÕES...
- RESPONSABILIDADES
PELOS ATIVOS
- 8 - SEGURANÇA
EM RH
- ANTES DA
CONTRATAÇÃO
- ASSEGURAR QUE TODOS(FUNCIONÁRIOS,
TERCEIROS...) ENTENDAM SUAS RESPONSABILIDADES
E ESTEJAM DE ACORDO COM SEUS PAPEIS
- PAPÉIS E RESPONSABILIDADES (CONTROLE): CONVÉM QUE OS
PAPÉIS PELA SI DE FUNCIONÁRIOS E TERCEIROS SEJAM
DEFINIDOS E DOCUMENTADOS DE ACORDO COM A POLÍTICA DE SI
- SELEÇÃO (CONTROLE): CONVÉM QUE TODAS AS VERIFICAÇÕES
DE CONTROLES DE TODOS OS CANDIDADOS A EMPREGO SEJAM
REALIZADAS DE ACORDO COM AS LEIS RELEVANTES
- TERMOS E CONDIÇÕES DE CONTRATAÇÃO (CONTROLE): CONVÉM QUE OS
FUNCIONÁRIOS E TODOS OS ENVOLVIDOS ASSINEM OS TERMOS DE CONDIÇÕES
DE SUA CONTRATAÇÃO PARA O TRABALHO, ONDE DEVE SER DECLARADO QUAIS
SÃO AS RESPONSABILIDADES DENTRO DA ORGANIZAÇÃO PARA A SI
- ASSEGURAR QUE TODOS(FUNCIONÁRIOS,
TERCEIROS...) ENTENDAM SUAS RESPONSABILIDADES
E ESTEJAM DE ACORDO COM SEUS PAPEIS
- DURANTE A
CONTRATAÇÃO
- ASSEGURAR QUE OS FUNCIONÁRIOS, FORNECEDORES E
TERCEIROS, ESTEJAM CONSCIENTES DAS AMEAÇAS E
PREOCUPAÇÕES RELATIVAS A SI, SUAS RESPONSABILIDADES E
OBRIGAÇÕES, ESTANDO PREPARADOS PARA APOIAR A POLÍTICA DE
SI (PARA REDUZIR RISCO DE ERRO HUMANO)
- RESPONSABILIDADES DA DIREÇÃO (CONTROLE): CONVÉM QUE A DIREÇÃO
SOLICITE A TODOS OS ENVOLVIDOS QUE PRATIQUEM A SI DE ACORDO COM
O ESTABELECIDO NAS POLÍTICAS E PRECEDIMENTOS
- CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO EM SI (CONTROLE):
CONVÉM QUE TODOS OS ENVOLVIDOS DA ORGANIZAÇÃO RECEBAM O
TREINAMENTO ADEQUADO E ATUALIZADOS NAS POLÍTICAS E
PROCEDIMENTOS RELEVANTES PARA SUAS FUNÇÕES
- PROCESSO DISCIPLINAR (CONTROLE): CONVÉM QUE
EXISTA UM PROCESSO DISCIPLINAR FORMAL PARA
OS FUNCIONÁRIOS QUE TENHAM COMETIDO UMA
VIOLAÇÃO NA SI
- ASSEGURAR QUE OS FUNCIONÁRIOS, FORNECEDORES E
TERCEIROS, ESTEJAM CONSCIENTES DAS AMEAÇAS E
PREOCUPAÇÕES RELATIVAS A SI, SUAS RESPONSABILIDADES E
OBRIGAÇÕES, ESTANDO PREPARADOS PARA APOIAR A POLÍTICA DE
SI (PARA REDUZIR RISCO DE ERRO HUMANO)
- ENCERRAMENTO
OU MUDANÇAS DA
CONTRATAÇÃO
- ASSEGURAR QUE OS FUNCIONÁRIOS DEIXEM A
ORGANIZAÇÃO OU MUDEM DE POSTO DE FORMA ORDENADA
- ENCERRAMENTO DA ATIVIDADE (CONTROLE): CONVÉM QUE
RESPONSABILIDADES PARA REALIZAR O ENCERRAMENTO
DE UM TRABALHO SEJAM CLARAMENTE DEFINIDAS E ATRIBUÍDAS
- DEVOLUÇÃO DE ATIVOS (CONTROLE): CONVÉM QUE TODOS OS
FUNCIONÁRIOS DEVOLVAM TODOS OS ATIVOS DA ORGANIZAÇÃO QUE
ESTEJAM E SUA POSSE APÓS O ENCERRAMENTO DE SUAS ATIVIDADES
- RETIRADA DOS DIREITOS DE ACESSOS (CONTROLE): CONVÉM QUE
OS DIREITOS DE ACESSO DE TODOS OS FUNCIONÁRIOS SEJAM
RETIRADOS APÓS O ENCERRAMENTO DE SUAS STIVIDADES
- ASSEGURAR QUE OS FUNCIONÁRIOS DEIXEM A
ORGANIZAÇÃO OU MUDEM DE POSTO DE FORMA ORDENADA
- ANTES DA
CONTRATAÇÃO
- 9 - SEGURANÇA
FISICA NO
AMBIENTE
- 10 -
Want to create your own Mind Maps for free with GoConqr? Learn more.