ISO 27001 Flashcards
Qual o objetivo da 27001
Estabelecer requisitos para um SGSI
Qual o objetivo da 27002
- Código de práticas para implementar SGSI.
- Objetivos de controles de segurança.
- Controles de segurança
Qual o objetivo da 27005
Estabelecer normas de gestão de risco para segurança da informação.
Qual norma é usada para fins de certificação?
27001
Qual norma tem sua implantação mandatória para implantação de um SGSI.
27001
27001, seção 0
- Introdução
27001, seção 1
- Objetivo
Estabelece requisitos para EIOMAMM um SGSI
O atendimento a TODOS requisitos da 27001, seções 4 a 8, é obrigatório?
SIM
A adoção de todos os controles prescritos na 27002 é obrigatória?
NÃO, porém deve ser justificado.
27001, seção 2
- Referência normativa
(A 27002 é indispensável para aplicação da 27001)
27001, seção 3
- Termos e definições
27001, seção 4
- SGSI - Sistema de Gestão de Segurança da Informação
27001, seção 5
- Responsabilidades da direção
27001, seção 6
- Auditorias internas do SGSI
- a auditoria deve ser periódica
- quem faz não pode auditor seus próprios trabalhos
- o auditado deve facilitar a auditoria
27001, seção 7
- Análise crítica do SGSI
* Feita pela direção
27001, seção 8
- Melhorias do SGSI
27001, anexo A
Objetivos de controle e controles
(É um anexo normativo)
27001, anexo B
Princípios do OECD - informativo
27001, anexo C
Correspondência com a ISO 9001 e ISO 14001
27001.0: introdução: ciclo PDCA, defina o P
Plan: ESTABELECER a política de segurança da informação.
27001.0: introdução: ciclo PDCA, defina o D
Do: IMPLEMENTAR e OPERAR a política.
27001.0: introdução: ciclo PDCA, defina o C
Check: MONITORAR e ANALISAR CRITICAMENTE
27001.0: introdução: ciclo PDCA, defina o A
Act: MANTER e MELHORAR por meio de ações corretivas e preventivas
O que significa EIOMAMM?
Estabelecer, Implementar, Operar, Monitorar, Analisar criticamente, Manter e Melhorar
O que é SGSI?
Sistema de Gestão da Segurança da Informação. Faz parte do sistema de gestão global da organização. Baseado na abordagem de risco do negócio para EIOMAMM a segurança da informação.
Qual a diferença entre INCIDENTE e EVENTO de segurança da informação?
EVENTO: qualquer violação da segurança da informação. Tem relevância, mas não é tão crítico.
INCIDENTE: um conjunto de um ou mais eventos. É crítico, requer atuação imediata.
O que é declaração de aplicabilidade?
Documento que descreve:
- Os objetivos de controle e os controles aplicáveis
- Os controles não aplicáveis.
27001, seção 4.2.1
Estabelecer o SGSI (plan):
- definir o escopo e limites do SGSI
- definir política de segurança da informação
- definir sistemática de analise e avaliação de risco
- identificar, analisar a avaliar risco
- identificar opção de tratamento de risco
- selecionar objetivo de controle e controle
- obter aprovação
- fazer declaração de aplicabilidade
27001, seção 4.2.2
Implementar e operar o SGSI (do):
- formular plano de tratamento de risco
- implementar o plano de tratamento de risco
- implementar os controles selecionados
- definir como medir os controles
- gerenciar as operações e recursos do SGSI
- obter aprovação da direção acerca dos riscos residuais
- implementar procedimentos e controles para rápida resposta a incidentes
27001, seção 4.2.3
Monitorara e analisar criticamente o SGSI (check):
- executar procedimentos para analisar e monitorar
- analisar criticamente regularmente
- conduzir auditorias internas no SGSI
- atualizar o plano de segurança da informação
- registrar as ações e eventos que podem causar algum impacto
27001, seção 4.2.4
Manter e melhorar o SGSI (act):
- implementar as melhorias identificadas
- executar ações preventivas e corretivas
- comunicar as ações às partes interessadas
- assegurar que as melhorias alcancem os objetivos
27001, seção 4.3
Requisitos de documentação
- declaração da política;
- escopo e objetivos do SGSI;
- procedimentos e controles;
- metodologia de risco;
- relatório de risco;
- plato de tratamento de risco;
- registros requeridos pela norma;
- delaração de aplicabilidade
Segundo a 27001, seção 4.3, qual a diferença entre registro e documentação ?
Registro é mais dinâmico.
Documentação é mais estática.
27001, seção 5.1
Comprometimento da direção:
- A direção deve estar comprometida com EIOMAMM.
27001, seção 5.2
Responsabilidade da direção:
- Gestão dos recursos e
- conscientização das pessoas quanto à importância do SGSI
27001, seção 7.2
Entradas para análise crítica do SGSI:
-
Resultados anteriores:
- auditorias e análises críticas;
- vulnerabilidades/ameaças não contempladas
- resultados das medições de eficácia;
- Partes Interessadas: realimentações das
- Aações Preventivas e Corretivas: situação das;
- Técnicas/Produtos/Procedimentos de melhoria da eficácia do SGSI;
- Mudança que poderia afetar o SGSI;
- Recomendações para melhoria.
27001, seção 8.1
Melhoria do SGSI: melhoria contínua
27001, seção 8.2
Melhoria do SGSI: Ações Corretivas
27001, seção 8.3
Melhoria do SGSI: Ações Preventivas
27001, seção 7.3
Saída da análise crítica do SGSI
- melhoria da eficácia do SGSI;
- atualização da análise/avaliação de riscos
- atualiação do plano de tratamento de riscos;
- modificação de procedimentos e controles que afetem a segurança da informação,
- necessidade de recursos;
- melhoria da medição da eficácia dos controles
