1. Estágios de certificação empresas
1.1. Estágio 1 da auditoria (Análise da documentação) – os auditores analisarão toda a documentação.
1.2. Estágio 2 da auditoria (Auditoria principal) – os auditores realizarão uma auditoria no local para verificar se todas as atividades na organização estão em conformidade com a ISO 27001 e com a documentação do SGSI.
1.3. Visitas de supervisão – após o certificado ser emitido, durante os 3 anos de sua validade, os auditores verificarão se a organização mantém seu SGSI.
2. ISO/IEC 27002
3. ISO/IEC 27001
3.1. Definição
3.1.1. escreve como gerenciar a segurança da informação em uma organização.
3.2. Detalhes
3.2.1. A versão mais recente desta norma foi publicada em 2013
3.2.2. ISO/IEC 27001:2013
3.2.3. a mais popular norma de segurança da informação no mundo
3.2.4. muitas organizações foram certificadas tendo-a como referência
3.2.4.1. número de certificados nos últimos anos:
3.3. Implantação
3.3.1. pode ser implementada em qualquer tipo de organização,
3.3.2. possibilita que organizações obtenham certificação
3.4. Funcionamento
3.4.1. O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade da informação de uma organização
3.4.1.1. identificando potenciais problemas podem ocorrer com a informação
3.4.1.1.1. (i.e. avaliação de risco)
3.4.1.1.2. (i.e. mitigação de risco ou tratamento de risco)
3.4.2. Desta forma, a principal filosofia da ISO 27001 é baseada na gestão de riscos: descobrir onde os riscos estão, e então trata-los sistematicamente:
3.4.2.1. .
3.4.3. a maioria das implementações da ISO 27001 serão sobre definir as regras organizacionais (i.e. documentos escritos) que são necessárias de modo a prevenir brechas de segurança.
3.4.4. Uma vez que tal implementação irá requerer a gestão de múltiplas políticas, procedimentos, pessoas, ativos, etc., a ISO 27001 descreve como encaixar todos estes elementos de forma coerente no sistema de gestão de segurança da informação (SGSI).
3.4.5. Desta forma, gerir a segurança da informação não trata apenas de segurança em TI (i.e. fierwalls, anti-virus, etc.) mas também sobre gerenciar processos, proteção legal, recursos humanos, proteção física, etc.
3.5. Benefícios
3.5.1. Conformidade com requsitos legais
3.5.1.1. existem cada vez mais leis, regulamentações e requisitos contratuais relacionados a segurança da informação, e a boa notícia é que muitos deles podem ser resolvidos pela implementação da ISO 27001
3.5.2. Obter vantagem de marketing
3.5.2.1. se sua organização obtem a certificação e seus competidores não, você pode ter vantagem sobre eles na visão de clientes que são sensíveis a questão de manter suas informações seguras.
3.5.3. Reduzir custos
3.5.3.1. Ao prevenir incidentes sua organização economizará uma quantidade significativa de dinheiro.
3.5.4. Melhor organização
3.5.4.1. a ISO 27001 ajuda a resolver tal situação porque ela encoraja as organizações a escrever seus principais processos (mesmo aqueles que não são relacionados a segurança), possibilitando a elas reduzir a perda de tempo de seus empregados.
3.6. Secções da ISO 27001
3.6.1. Seção 0: Introdução – explica o propósito da ISO 27001 e sua compatibilidade com outras normas de gestão.
3.6.2. Seção 1: Escopo – explica que esta norma é aplicável a qualquer tipo de organização.
3.6.3. Seção 2: Referência normativa – refere-se a ISO / IEC 27000 como uma norma onde termos e definições são dadas.
3.6.4. Seção 3: Termos e definições – novamente, refere-se a ISO / IEC 27000.
3.6.5. Seção 4: Contexto da organização – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para o entendimento de assuntos externos e internos, partes interessadas e seus requisitos, e a definição do escopo do SGSI.
3.6.6. Seção 5: Liderança – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de segurança da informação de alto nível.
3.6.7. Seção 6: Planejamento – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para a avaliação de risco, tratamento de risco, Declaração de Aplicabilidade, plano de tratamento de risco, e define os objetivos de segurança da informação.
3.6.8. Seção 7: Apoio – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.
3.6.9. Seção 8: Operação – esta seção é parte da etapa execução (Do) do ciclo PDCA e define a implementação da avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir os objetivos de segurança da informação.
3.6.10. Seção 9: Avaliação do desempenho – esta seção é parte da etapa verificação (Check) do ciclo PDCA e define requisitos para o monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela Direção.
3.6.11. Seção 10: Melhoria – esta seção é parte da etapa de atuação (Act) do ciclo PDCA e define requisitos para não conformidades, ações corretivas e melhoria contínua.
3.7. implementar a ISO 27001
3.7.1. 1) Obter apoio da Alta Direção
3.7.2. 2) Utilizar metodologia de gerenciamento de projeto
3.7.3. 3) Definir o escopo do SGSI
3.7.4. 4) Escrever a política de segurança da informação de alto nível
3.7.5. 5) Definir a metodologia de avaliação de risco
3.7.6. 7) Escrever a Declaração de Aplicabilidade
3.7.7. 6) Realizar a avaliação de risco de o tratamento de risco
3.7.8. 8) Escrever o Plano de tratamento de risco
3.7.9. 9) Definir como medir a eficácia de seus controles e do seu SGSI
3.7.10. 10) Implementar todos os controles e procedimentos aplicáveis
3.7.11. 11) Implementar programas de treinamento e conscientização
3.7.12. 12) Realizar todas as operações diárias prescritas pela documentação do seu SGSI
3.7.13. 13) Monitorar e medir seu SGSI
3.7.14. 14) Realizar auditoria interna
3.7.15. 15) Realizar análise crítica pela direção
3.7.16. 16) Implementar ações corretivas
3.8. Documentação obrigatória
3.8.1. Documentação escrita
3.8.1.1. Escopo do SGSI (cláusula 4.3)
3.8.1.2. Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
3.8.1.3. Metodologia de avaliação de risco e de tratamento de risco (cláusula 6.1.2)
3.8.1.4. Declaração de aplicabilidade (cláusula 6.1.3 d)
3.8.1.5. Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
3.8.1.6. Relatório de avaliação de risco (cláusula 8.2)
3.8.1.7. Definição de papéis e responsabilidades de segurança (cláusulas A.7.1.2 e A.13.2.4)
3.8.1.8. Inventário de ativos (cláusula A.8.1.1)
3.8.1.9. Uso aceitável dos ativos (cláusula A.8.1.3)
3.8.1.10. Política de controle de acesso (cláusula A.9.1.1)
3.8.1.11. Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
3.8.1.12. Princípios para projetar sistemas seguros (cláusula A.14.2.5)
3.8.1.13. Política de segurança para fornecedores (cláusula A.15.1.1)
3.8.1.14. Procedimento para gestão de incidente (cláusula A.16.1.5)
3.8.1.15. Procedimentos de continuidade do negócio (cláusula A.17.1.2)
3.8.1.16. Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)
3.8.2. Registros obrigatórios
3.8.2.1. Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
3.8.2.2. Resultados de monitoramento e medição (cláusula 9.1)
3.8.2.3. Programa de auditoria interna (cláusula 9.2)
3.8.2.4. Resultados de auditorias internas (cláusula 9.2)
3.8.2.5. Resultados de análises críticas pela direção (cláusula 9.3)
3.8.2.6. Resultados de ações corretivas (cláusula 10.1)
3.8.2.7. Registros (logs) de atividades de usuários, de exceções e de eventos de segurança (cláusula A.12.4.1 e A.12.4.3)
3.9. Certificação
3.9.1. Pessoas
3.9.1.1. indivíduos podem participar de cursos e passar em exames para obter o certificado.
3.9.2. Empresas
3.9.2.1. Organizações pode ser certificadas para provar que elas estão em conformidade com todas as cláusulas mandatórias da norma
3.9.2.2. Para obter a certificação como uma organização, ela deve implementar a norma como explicado nas seções anteriores, e então se submeter a uma auditoria de certificação realizada por um organismo de certificação. A auditoria de certificação é realizada nos seguintes estágios: