Normas da família ISO 27000
-
Upload
fernando-palma-portal-gsti-wwwportalgsticombr -
Category
Technology
-
view
493 -
download
2
description
Transcript of Normas da família ISO 27000
ISO 27001 ISO 27002 ISO 27003
ISO 27004 ISO 27005 ISO 27009
ISO 27017 ISO 27031
As normas da Família ISO 27000
Palestras virtuais Portal GSTI
ISO 27040
16/09/2014
Por Fernando [email protected]
16/09/2014
Consultor em Governança de TI, Gestão de Serviços de TI e Gestão da Segurança da Informação, sócio diretor na PMG Solutions, mestrando em Adm. de Empresas, graduado em S. I. pela UNIFACS. Possui certificações como ITIL Expert, ITIL Manager, COBIT, OCEB, ISO 20.000 F e ISO 27.002 F. Professor de pós-graduação na UNIJORGE e Ruy Barbosa, de concursos na ITnerante e palestrante.
Fundador do Portal GSTI, onde tem publicado centenas de artigos, vídeo aulas e palestras virtuais. Treinou mais de 1 mil profissionais em ITIL, COBIT e gestão da segurança foi docente da Universidade Católica de Salvador. Atuou como coordenador de TI no HBA, como professor de graduação na UCSAL, de cursos de extensão na UNIFACS, como consultor, gerente de sistemas e coordenador de servicedesk pela Avansys Tecologia.
Fernando Palma
Facilitador: currículo resumido
16/09/2014
Agenda da palestra: normas ISO 27000
Introdução as
normas da família ISO 27000
Escopo de
algumas normas
da família ISO
27000
Parte 01
Parte 02
Normas da família ISO 27000
Parte 01
Segurança da informação
Família de normas p/ o SGSI
ISO/IEC 27000:2009, ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27003:2010,
ISO/IEC 27004:2009, ISO/IEC 27005:2011,
ISO/IEC 27006:2011, ISO/IEC 27007:2011,
ISO/IEC TR 27008:2011, ISO/IEC 27010:2012,
ISO/IEC 27011:2008, ISO/IEC FDIS 27013,
ISO/IEC FDIS 27014, ISO/IEC TR 27015, ISO/IEC 27016
Outras normas p/ Segurança
ISO/IEC 27017, ISO 27019, ISO 27033-1, ISO 27033-2
ISO 27033-4, ISO 27033-5, ISO 27033-227033-6
ISO 27035, ISO 27040, ISO 27041, ISO 27042....
Agenda da palestra: normas ISO 27000
Introdução as
normas da família ISO 27000
Escopo de
algumas normas
da família ISO
27000
Parte 01
Parte 02
16/09/2014
ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27007
ISO 27010
ISO 27015
ISO 27015
ISO 27033
ISO 27034
ISO 27035
16/09/2014
ISO 27000 – Overview do SGSI
2. Termos e definições
3. Sobre SGSI
4. Resumo da família ISO 2700 p/ o SGSI
Controle de acesso, ativo, ativo ataque, autenticação, disponibilidade, confidencialidade, integridade, incidente de segurança, política procedimento, etc.
A razão para o SGSI, o que é, segurança da informação, abordagem por processos, etc.
01 de 12 01 de 12
16/09/2014
ISO 27000: Figure 1 ― ISMS Family
16/09/2014
ISO 27001 – requisitos para o SGSI 02 de
12
4.2.1 Estabelecimento SGSI
4.2.3. Monitorament
o e análise crítica do SGSI
4.2.4. Manutenção e Melhoria
do SGSI
4.2.2. Implementaç
ão e Operação do
SGSI
Plan
Do
Check
Act
Utilizada por empresas para obter certificação empresarial
Principal componente: requisitos do SGSI (seção 04)
02 de 12
Norma ISO
27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A Objetivo
s de controle
e controle
s
Anexo B
Anexo C
ISO 27001
ISO 27002 – Código de prática para segurança da informação
03 de 12
Utilizada em apoio a ISO 27001
Objetivos de controle e controles
Diretrizes
Controles
O que são?
Como?
Política
s
Pro
cedim
en
tos/
Norm
as
Pro
cesso
s
Estru
tura
s org
aniza
cio
nais
Prá
ticas
Devem ser
ImplementadosEstabelecidos
Monitorados
Avaliados criticamente
Melhorados
ISO 27002
Norma ISO 27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
ISO 27002
ISO 27003 – diretrizes para a implementação do SGSI
04 de 12
Detalhes sobre a implementação do SGSI
Um guia para a empresa que implementa o SGSI
Uma abordagem baseada em processos
1. Introdução2 Referências normativas 3. Termos e definições 4 Estrutura 5 Obtenção de aprovação da administração para iniciar um projeto de SGSI 6 Definição do escopo do SGSI, fronteiras e política de SGSI 7 Condução de uma avaliação do SGSI8 Realização de avaliação de risco e plano de tratamento de riscos 9 Planejando o SGSI
ISO 27003
ISO 27004 – métricas de medição para a gestão da segurança da informação
05 de 12
Como analisar e reportar dados
Responsabilidades na gerência de performance
Avaliação da eficácia do SGSI
ISO 27007 – diretrizes para guiar a auditoria do sistema de gestão da segurança da informação.
06 de 12
Deve ser usada junto com a ISO 27006
Usada por organizações que trabalham com auditoria e certificação de SGSI
ISO 27010 – comunicação em gestão da segurança da informação.
07 de 12
Auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado
Aborda um guia para a comunicação em gestão da segurança da informação tanto no escopo da organização como fora dela
ISO/IEC 27015– Gestão da segurança da informação para serviços financeiros.
08 de 12
ISO/IEC 27016: o mesmo raciocínio da 27015, só que para o setor de economia
Gestão da segurança da informação para serviços financeiros
ISO/IEC 27017: controles específicos para cloud computing..
09 de 12
Controles complementares para serviços em cloud computing.
ISO 27033: norma dividida em 06 partes para segurança em redes..
10 de 12
ISO 27033-1 trata sobre a introdução e conceitos gerais para segurança em redes.
ISO 27033-3: tem o objetivo de definir os riscos específicos, técnicas de projetos e controles relacionados a segurança em redes.
ISO 27033-2: guia para o planejamento, desenho, implementação e documentação da segurança em redes.
ISO 27034: segurança de aplicações, também dividida em 06 partes.
11 de 12
ISO 27034-1: trata sobre a introdução e conceitos gerais para segurança em aplicações.
ISO 27034-3: guia para o processo de gestão da segurança em aplicações.
ISO 27034-2: trata sobre a organização normativa para segurança em aplicações.
ISO 27035: guia detalhado para a gestão de incidentes de segurança da informação.
12 de 12
Cobre o processo de mapeamento de eventos e incidentes.
Auxilia na análise controle de vulnerabilidades.
ISO 27037: orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais.
Outras normas da família ISO 27000.
ISO 27038: especificação para redação digital. Trata sobre requisitos para a redação e compartilhamento da informação digital de forma adequada, seja ela publicada internamente na organização ou a partes externas. ISO 27799: gerenciamento de segurança da informação para a área de saúde.
ISO 27040: aspectos de segurança da informação para sistemas e infraestrutura de storage.
Brinde de hoje!
Desconto no curso virtual ISO 27002 – [email protected]
Gostaria de ter sua opinião
Sobre esta palestra
O que você achou deste evento?Fim da
apresentação