Segurança da Informação Flashcards
As normas NBR ISO são traduções das normas ISO (internacionais) para o português e que passam a ser adotadas pela ABNT.
ISO 27000: dispõe sobre a visão geral, o vocabulário utilizado no contexto de sistema de gerenciamento de segurança da informação e referencia as normas da família 27000.
ISO 27001: especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI.
ISO 27002: especifica boas práticas para a gestão de um SGSI.
ISO 27003: especifica diretrizes para a implantação de um SGSI, incluindo o processo de especificação e projeto do SGSI.
ISO 27004: dispõe sobre o monitoramento, medição, análise e avaliação dos SGSI.
ISO 27005: dispõe sobre a gestão de riscos de segurança da informação.
ISO 27001
O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização.
ISO 27001
Um SGSI deve preservar as propriedades da segurança da informação: confidencialidade, integridade e disponibilidade.
As normas da família ISO 27000 são estabelecidas de maneira geral e se aplicam a todas as organizações independentemente.
O Anexo A da ISO 27002 lista mecanismos de controle de segurança da informação que podem ser selecionados por uma organização.
Exemplos: criptografia, controle de acesso.
ISO 27001
Requisito 4 - Contexto
Deve ser entendida a organização e seu contexto e determinar as questões internas e externas, entender as necessidades e expectativas das partes interessadas.
Com isso, determina-se o escopo do SGSI.
ISO 27001
Requisito 5 - Liderança
A alta direção da organização deve estabelecer uma política de segurança da informação:
- de acordo com o propósito da organização.
- estabelecendo objetivos da SI.
- comprometimento com a sua realização.
- fornecendo a devida estrutura.
- comprometimento com melhoria contínua.
ISO 27001
Requisito 6 - Planejamento
Devem ser tomadas ações para contemplar riscos e oportunidades para:
- assegurar que o SGSI poderá alcançar seus resultados.
- reduzir efeitos indesejados.
- alcançar melhoria contínua.
ISO 27001
Requisito 7 - Apoio
A organização deve determinar e prover recursos para estabelecer, implementar, manter e melhorar continuamente o SGSI.
Incluindo:
- treinamento dos funcionários.
- conscientização.
- comunicação.
- documentação da informação.
A ISO 27001 tem como requisito a documentação da informação, e deve ser assegurada a sua disponibilidade e proteção.
ISO 27001
Requisito 8 - Operação
A organização deve planejar, implementar e controlar os processos necessários para atender os requisitos de segurança da informação, levando em conta os objetivos, riscos e oportunidades ligadas à segurança da informação.
ISO 27001
A organização deve manter informação documentada na abrangência necessária com o intuito de gerar confiança de que os processos estão sendo realizados conforme planejado.