ISO/IEC 27001/2022 Flashcards
Qual o objetivo da ISO27001?
A ISO 27001 é baseada em uma abordagem de gestão de riscos e
é aplicável a qualquer tipo de organização, independentemente do tamanho ou setor.
Quais os principais objetivos da NBR ISO IEC 27001:2022?
(EIMMC)
Estabelecer, Implementar, Manter e Melhorar Continuamente (EIMMC) um SGSI dentro da
organização
A ISO27001 é dividida em duas partes principais:
Requisitos do SGSI e Controles de segurança da informação
O que cada uma faz?
- Requisitos do SGSI: Descreve os requisitos gerais para estabelecer, implementar, manter e
melhorar continuamente um SGSI. Inclui a política de segurança da informação, a definição de
escopo e fronteiras do SGSI, a avaliação e tratamento de riscos, a declaração de aplicabilidade,
a gestão de recursos humanos, a comunicação, entre outros aspectos. - Controles de segurança da informação: Conhecido como Anexo A, lista 93 controles de
segurança da informação, reestruturados em quatro seções (organizacionais, humanos,
tecnológicos, físicos), com 11 novos controles e detalhamento na categorização. Inclui áreas
como inteligência de ameaças, segurança da informação para serviços em nuvem,
monitoramento de segurança física, entre outros.
A NBR ISO/IEC 27001:2013 define sete requisitos genéricos, aplicáveis a qualquer tipo de
organização, para um Sistema de Gestão de Segurança da Informação (SGSI).Quais são?
(CLOMAPA)
Contexto da Organização
Liderança
Operação
Melhoria
Avaliação de Desempenho
Planejamento
Apoio (ou Suporte)
A NBR ISO/IEC 27001:2013 define sete requisitos genéricos, aplicáveis a qualquer tipo de
organização, para um Sistema de Gestão de Segurança da Informação (SGSI).Explique cada
Contexto da Organização
Liderança
Operação
Melhoria
Avaliação de Desempenho
Planejamento
Apoio (ou Suporte)
- Contexto da Organização
A organização deve definir o escopo e os limites do SGSI, considerando questões internas
e externas, bem como requisitos dos stakeholders. - Liderança
A alta administração deve demonstrar seu compromisso com o SGSI, estabelecer a política
de segurança da informação, definir papéis e responsabilidades para a segurança da
informação e assegurar que os recursos necessários para o SGSI estejam disponíveis. - Planejamento
A organização precisa estabelecer os objetivos do SGSI e planejar como alcançá-los. Isso
inclui a identificação de riscos e oportunidades, e a definição de tratamentos de riscos. - Apoio (ou Suporte)
Recursos adequados devem ser fornecidos para o SGSI. O pessoal precisa ser competente
e consciente da segurança da informação. A comunicação interna e externa sobre o SGSI
deve ser planejada e controlada. - Operação
A organização deve planejar, implementar e controlar os processos necessários para
atender aos requisitos do SGSI. Isso inclui a avaliação de riscos de segurança da informação
e a implementação de controles de segurança da informação. - Avaliação de Desempenho
A organização precisa avaliar o desempenho e a eficácia do SGSI através de monitoramento,
medição, análise e avaliação. Isso inclui auditorias internas e a análise crítica (revisão) pela
alta administração. - Melhoria
A organização deve identificar oportunidades e implementar ações para melhorar
continuamente o SGSI e corrigir quaisquer não conformidades encontradas.
