ISO 27001 (Sistema de Gestão de Segurança da Informação)


    O que é?

    ISO 27000 é um conjunto de normas técnicas que estabelecem um modelo de Sistema de Segurança da Informação, que pode ser utilizado em empresas de todos os portes e segmentos de atuação.

    Principais Normas da família ISO 27000:

    • ISO/IEC 27000 – Sistemas de Gestão da Segurança da Informação – Fundamentos e vocabulário
    • ISO/IEC 27001 – Sistemas de Gestão da Segurança da Informação – Requisitos
    • ISO/IEC 27002 – Código de prática para controles de segurança da informação
    • ISO/IEC 27003 – Diretrizes para implantação de um sistema de gestão da segurança da informação
    • ISO/IEC 27004 – Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
    • ISO/IEC 27005 – Gestão de riscos de segurança da informação

     

    Objetivos de Controle:

    • Políticas de segurança da informação
    • Organização da segurança da informação
    • Segurança em recursos humanos
    • Gestão de ativos
    • Controle de acesso
    • Criptografia
    • Segurança física e do ambiente
    • Segurança nas operações
    • Segurança nas comunicações
    • Aquisição, desenvolvimento e manutenção de sistemas de informação
    • Relacionamento na cadeia de suprimento
    • Gestão de incidentes de segurança da informação
    • Aspectos da segurança da informação na continuidade do negócio
    • Conformidade

    ISO 27001 com a ASR

    • Diagnóstico Inicial
    • Relatório de Riscos de Segurança da Informação
    • Plano de ações
    • Palestra/ Workshop ISO27001
    • Consultoria
    • Definição de processos
    • Conscientização e institucionalização
    • Documentação de políticas, diretrizes e procedimentos
    • Avaliação de Monitoramento

    Kick-off

    • Definição de escopo
    • Cronograma macro
    • Conscientização (Palestra ISO27001)

    Diagnóstico Inicial
    Avaliação de riscos de Segurança

    • Atributos: confidencialidade, integridade, disponibilidade
    • Classificação: probabilidade e impacto
    • Critérios: aceitação, mitigação, contingência
    • Priorização

    Planejamento

    • Plano de ações
    • Recursos humanos e materiais
    • Cronograma
    • Comunicação
    • Indicadores




    Implementação
    Definição (consultoria) e formalização (documentação) de processos

    • Políticas e diretrizes
    • Termo de confidencialidade e sigilo
    • Procedimentos
    • Controles

    Capacitação
    Conscientização (treinamento) nos processos definidos

    Avaliação de monitoramento

    • Verificação de evidências
    • Entrevistas com colaboradores
    • Relatório de avaliação de riscos de segurança