Principais tópicos norma NBR ISO 27001
Click here to load reader
-
Upload
tiago-gregorio -
Category
Documents
-
view
85 -
download
0
Transcript of Principais tópicos norma NBR ISO 27001
![Page 1: Principais tópicos norma NBR ISO 27001](https://reader037.fdocumentos.com/reader037/viewer/2022100311/557213fd497959fc0b937e89/html5/thumbnails/1.jpg)
FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS
TIAGO GREGÓRIO DA SILVA
Principais tópicos da norma NBR ISO/IEC 27001:2006
SÃO PAULO 2013
![Page 2: Principais tópicos norma NBR ISO 27001](https://reader037.fdocumentos.com/reader037/viewer/2022100311/557213fd497959fc0b937e89/html5/thumbnails/2.jpg)
Índice
1 Introdução ........................................................................................................ 3
2 Assunto da norma .............................................................................................. 4
3 Objetivos e aplicabilidade da norma ..................................................................... 4
4 Estabelecimento, implantação, monitoramento e melhoria contínua do SGSI ............ 4
5 Controles de documentos e registros .................................................................... 5
6 Responsabilidades da organização e da empresa .................................................... 5
Considerações finais .............................................................................................. 6
Referência bibliográfica .......................................................................................... 6
![Page 3: Principais tópicos norma NBR ISO 27001](https://reader037.fdocumentos.com/reader037/viewer/2022100311/557213fd497959fc0b937e89/html5/thumbnails/3.jpg)
1 Introdução
Este trabalho abordará a Norma NBR ISO/IEC 27001:2006, que consiste na tradução
idêntica da norma ISSO/IEC 27001:2005. Este documento fornece um conjunto de
requisitos necessários ao estabelecimento de um Sistema de Gestão de Segurança da
Informação (SGSI), que pode ser desenvolvido por organizações que desejam realizar a
gestão de suas informações de acordo com a gestão de riscos de negócio.
A norma está dividida em oito seções e três anexos, que são:
• 0 – Introdução;
• 1 – Objetivo;
• 2 – Referência normativa;
• 3 – Termos e definições;
• 4 - Sistema de gestão de segurança da informação;
• 5 – Responsabilidades da direção;
• 6 – Auditorias internas do SGSI;
• 7 – Análise crítica do SGSI pela direção;
• 8 – Melhoria do SGSI;
• Anexo A – Objetivos de controle e controles;
• Anexo B – Princípios da OECD (Organisation For Economic Co-Operation and
Development) e desta Norma;
• Anexo C – Correspondência entre a ABNT ISO 9001:2000, a ABNT ISO
14001:2004 e esta Norma.
Este trabalho se aterá apenas aos tópicos mais relevantes da norma.
![Page 4: Principais tópicos norma NBR ISO 27001](https://reader037.fdocumentos.com/reader037/viewer/2022100311/557213fd497959fc0b937e89/html5/thumbnails/4.jpg)
2 Assunto da norma
Na introdução, a norma propõe um modelo de gestão da informação que engloba ações
de estabelecimento, implementação, operação, monitoramento, análise crítica,
manutenção e melhoria contínua de um SGSI, cuja adoção pelas organizações deve ser
pautada por suas necessidades, objetivos, requisitos de segurança e processos
envolvidos, bem como seu tamanho e estrutura.
Para a adoção do modelo, a organização precisa identificar seus processos e disseminar
o entendimento da necessidade de estabelecimento de políticas, objetivos e
gerenciamento dos riscos de segurança da informação. Nesta direção, a norma adota o
modelo PDCA (Plan-Do-Check-Act), que serve para ordenar os processos do SGSI,
aglutinando os requisitos de segurança da informação, expectativa dos stakeholders,
ações necessárias e processos de segurança da informação, possibilitando avaliação e
melhoria contínua dos processos e a solução de problemas organizacionais relativos à
informação.
3 Objetivos e aplicabilidade da norma
A norma propaga a aplicabilidade do modelo a qualquer espécie de organização,
contemplando o meio público, privado e o terceiro setor. Assim como na introdução, diz
que fornece requisitos genéricos para estabelecimento, implementação, operação,
monitoramento, análise crítica, manutenção e melhoria contínua de um SGSI, levando
em consideração os riscos e as necessidades de cada atividade.
Para se considerar adequada a norma, a organização não pode suprimir qualquer um dos
requisitos elencados nas seções 4 a 8, alvo com justificativas e fornecimento de
comprovação de que os riscos inerentes foram aceitos pelas pessoas responsáveis.
Ainda, as exclusões não podem de forma alguma interferir na capacidade da organização
em prover segurança as suas informações, observadas as regulamentações legais.
4 Estabelecimento, implantação, monitoramento e melhoria contínua do SGSI
O estabelecimento é a fase onde a empresa se organiza para a adoção do SGSI,
seguindo estritamente os passos do PDCA. É aqui que se define o escopo, abrangência,
![Page 5: Principais tópicos norma NBR ISO 27001](https://reader037.fdocumentos.com/reader037/viewer/2022100311/557213fd497959fc0b937e89/html5/thumbnails/5.jpg)
políticas e métodos de análise de avaliação, identificação, análise e avaliação de riscos.
São identificadas e avaliadas também as opções para tratar os riscos identificados. É
imprescindível, em todas as fases, o apoio e comprometimento da alta direção.
Após o estabelecimento, o SGSI entra em operação, atribuindo papéis e
responsabilidades, implementando um plano de tratamento de riscos e definindo como
medir a eficácia dos controles, que servirão para indicar o alcance dos objetivos
propostos. É fundamental que a política seja propagada por intermédio de treinamento e
conscientização daqueles que lidam com informações. Além disso, devem ser
desenvolvidos mecanismos que detectem e respondam a eventos e incidentes de
segurança da informação.
Em seguida, o SGSI deve ser avaliado e melhorado continuamente, por meio de
métricas, auditorias internas e externas, ameaças internas e externas, verificação de
novas necessidades, incorporação de novas tecnologias e mudanças no aspecto legal.
5 Controles de documentos e registros
A documentação do SGSI compreende a política, objetivos, procedimentos
documentados e controles, inclusive os relacionados aos processos de segurança da
informação. Além disso, qualquer espécie de ferramenta adotada para avaliação e
tratamento de riscos, relatórios decorrentes destas avaliações, controles de acesso,
eventos monitorados devem ser registradas. Um procedimento para criação, utilização,
atualização, versionamento e descarte de documentos deve ser desenvolvido, mitigando
os riscos relativos ao uso de documentos não oficiais, não divulgados ou desatualizados.
6 Responsabilidades da organização e da empresa
A alta direção deve estar alinhada e comprometida com todas as dimensões da adoção
do SGSI, desde o planejamento até o seu refinamento contínuo, passando pela garantia
de provimento de recursos financeiros, materiais e humanos para o sucesso e
perenidade da política. Ainda estão no bojo de responsabilidades da alta direção a
garantia de realização de auditorias, de análises críticas que indiquem fragilidades e
possibilidades de melhoria, bem como planos de ações corretivas e preventivas.
![Page 6: Principais tópicos norma NBR ISO 27001](https://reader037.fdocumentos.com/reader037/viewer/2022100311/557213fd497959fc0b937e89/html5/thumbnails/6.jpg)
Considerações finais
A adoção de um padrão reconhecido internacionalmente é sempre sinal de compromisso
e seriedade na condução das várias dimensões que compõem as organizações. Esta
norma, em especial, é de relevância ímpar por se tratar de algo imprescindível: a
informação, cujo acesso na qualidade, tempo e por pessoas certas são fundamentais
para a continuidade dos negócios.
Além disso, certificar-se nesta norma, principalmente para empresas de comércio e
serviços, constitui-se em atestado de seriedade no tocante a gestão da segurança da
informação, agregando valor ao negócio e mostrando ao mundo que seus processos de
gestão da informação são confiáveis.
Referência bibliográfica
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Disponível em: <http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-IEC-27001.pdf> . Acesso em: 15/03/2012.