ISO 27.002

Get Started. It's Free
or sign up with your email address
Rocket clouds
ISO 27.002 by Mind Map: ISO 27.002

1. Seção 15. Conformidade

1.1. objetivos de controle

1.1.1. Conformidade com requisitos legais

1.1.2. Conformidade com normas e políticas de SI e conformidade técnica

1.1.3. Considerações quanto à auditoria de Sistemas de informação

2. Seção 14. Gestão da continuidade do negócio

2.1. objetivos de controle

2.1.1. aspectos da gestão da continuidade do negócio, relativos à SI

2.1.1.1. Controles

2.1.1.1.1. incluindo segurança da informação no processo de GCN

2.1.1.1.2. Continuidade de negócios e avaliação de riscos

2.1.1.1.3. Desenvolvimento e implementação de planos de continuidade relativos a SI

2.1.1.1.4. Estrutura do plano e continuidade de negócio

2.1.1.1.5. Testes, manutenção e reavaliação dos planos de continuidade de negócio

3. Seção 13. Gestão de incidentes de seg da informação

3.1. objetivos de controle

3.1.1. Notificações de fragilidades e eventos de segurança da informação

3.1.1.1. Notificações de eventos de segurança da informação

3.1.1.2. Notificando fragilidades de segurança da informação

3.1.2. Gestão de incidentes de segurança da informação e melhorias

3.1.2.1. controles

3.1.2.1.1. responsabiliades e procedimentos

3.1.2.1.2. aprendendo com os incidentes de SI

3.1.2.1.3. coleta de evidências

3.2. ler as diretrizes

4. Seção 12. Aquisição, Des. e Manut de Sist. de Informações

4.1. objetivos de controle

4.1.1. Requisitos de segurança de sistemas de informações

4.1.2. Processamento correto nas aplicações

4.1.2.1. controle

4.1.2.1.1. validação dos dados de entrada

4.1.2.1.2. controle do processamento das informações

4.1.2.1.3. validação dos dados de saída

4.1.2.1.4. integridade de mensagens

4.1.3. Controles criptográficos

4.1.3.1. controles

4.1.3.1.1. política para o uso de controles criptográficos

4.1.3.1.2. gerenciamento de chaves

4.1.4. Segurança dos arquivos de sistema

4.1.5. Segurança em processos de desenvolvimento e de suporte

4.1.5.1. controle

4.1.5.1.1. vazamento de informações

4.1.6. Gestão de vulnerabilidades técnicas

4.2. importante

4.2.1. SEGURANÇA DE APLICAÇÕES

4.2.1.1. estudar

4.2.1.1.1. TOP TEN OWASP

5. Seção 11. Controle de acesso

5.1. objetivo de controle

5.1.1. Requisitos de negócio para controle de acesso

5.1.1.1. controle

5.1.1.1.1. Política de controle de acesso

5.1.2. Gerenciamento de acesso do usuário

5.1.2.1. controle

5.1.2.1.1. registro de usuário

5.1.2.1.2. gerenciamento de privilégios

5.1.2.1.3. gerenciamento de senhas do usuários

5.1.2.1.4. análise crítica dos direitos de acesso de usuários

5.1.3. Responsabilidade dos usuários

5.1.3.1. controles

5.1.3.1.1. uso de senhas

5.1.3.1.2. equipamento de usuário sem monitoração

5.1.3.1.3. política de mesa limpa e tela protegida

5.1.4. Controle de acesso à rede

5.1.5. Controle de acesso ao sistema operacional

5.1.6. Controle de acesso à aplicação e a informação

5.1.7. Computação móvel e trabalho remoto

6. Seção 10. Gerenc de Operações e Com.

6.1. objetivos de controle

6.1.1. Procedimentos e responsabilidades operacionais

6.1.1.1. controles

6.1.1.1.1. Segregação de funções

6.1.1.1.2. Separação dos ambientes de desenv, teste e de produção

6.1.1.1.3. Gestão de mudanças

6.1.1.1.4. Doc. dos procedimentos de operação

6.1.2. Gerenc. de serviços terceirizados

6.1.3. Planejamento e aceitação dos sistemas

6.1.4. Proteção contra códigos maliciosos e códigos móveis

6.1.4.1. controles

6.1.4.1.1. controle contra códigos maliciosos

6.1.4.1.2. controle contra códigos móveis

6.1.5. Cópias de segurança

6.1.6. Gerenc da segurança em redes

6.1.6.1. controles

6.1.6.1.1. controles de redes

6.1.6.1.2. Segurança de serviços de rede

6.1.7. Manuseio de mídias

6.1.8. Troca de informações

6.1.9. Serviço de comércio eletrônico

6.1.9.1. controles

6.1.9.1.1. comércio eletrônico

6.1.9.1.2. transações on line

6.1.9.1.3. informações publicamente disponíveis

6.1.10. Monitoramento

6.1.10.1. controle

6.1.10.1.1. registro de auditoria

6.1.10.1.2. monitoramento do uso de sistema

6.1.10.1.3. proteção da informações dos registrs

6.1.10.1.4. registros de adminirtador e operador

6.1.10.1.5. registro de falhas

6.1.10.1.6. Sincronização dos relógios

7. Seção 9. Segurança Física e do ambiente

7.1. objetivos de controle

7.1.1. áreas seguras

7.1.2. segurança dos equipamentos

7.1.2.1. controle

7.1.2.1.1. instalação e proteção do eqpto

7.1.2.1.2. Utilidades

7.1.2.1.3. Segurança do cabeamento

7.1.2.1.4. Manutenção dos equipamentos

7.1.2.1.5. Segurança de eqpto fora do local

7.1.2.1.6. Reutilização e alienação seguras de eqpto

7.1.2.1.7. Remoção de propriedade

8. Seção 8. Segurança em Recursos Humanos

8.1. objetivos de controle

8.1.1. antes da contratação

8.1.1.1. controles

8.1.1.1.1. papeis e responsabilidades

8.1.1.1.2. seleção

8.1.1.1.3. termos e condições de contratação

8.1.2. durante a contratação

8.1.2.1. controles

8.1.2.1.1. responsabilidade da direção

8.1.2.1.2. conscientização, educação e treinamento

8.1.2.1.3. processo disciplinar

8.1.3. depois da contratação

8.1.3.1. controles

8.1.3.1.1. encerramento de atividades

8.1.3.1.2. devolução de ativos

8.1.3.1.3. retirada de direito de acessos

9. Seção 7. Gestão de ativos

9.1. Objetivos de controle

9.1.1. responsabilidade pelos ativos

9.1.1.1. objetiva

9.1.1.1.1. alcançar e manter a proteção dos ativos

9.1.1.2. controles

9.1.1.2.1. inventários dos ativos

9.1.1.2.2. proprietários dos ativos

9.1.1.2.3. uso aceitáveis dos ativos

9.1.2. classificação da informação

9.1.2.1. objetiva

9.1.2.1.1. estabelecimento de níveis de classificação

9.1.2.2. controle

9.1.2.2.1. rotulação e tratamento

9.1.2.2.2. recomendações para classificação

9.1.2.3. parâmetros de classificação

9.1.2.3.1. valor

9.1.2.3.2. requisitos legais

9.1.2.3.3. sensibilidade

9.1.2.3.4. criticidade

9.1.3. o que é tipo ativo

9.1.3.1. ISPFSI

9.1.3.1.1. informação

9.1.3.1.2. software

9.1.3.1.3. pessoas com habilidades e competências

9.1.3.1.4. físicos

9.1.3.1.5. serviços

9.1.3.1.6. intangíveis

10. Seção 6. Organizando a SI

10.1. Objetivos de controle

10.1.1. Infraestrutura da SI

10.1.2. Partes Externas

10.1.2.1. identificar riscos com partes externas

10.1.2.2. identificar SI com clientes

10.1.2.3. acordos com terceiros

10.2. Controles

10.2.1. Comprometimento da Direção com a SI

10.2.2. Coordenação da SI

10.2.2.1. Multidisciplinaridade

10.2.2.1.1. interna

10.2.3. Atribuição de responsabilidade por SI

10.2.4. Processo de autorização para os recursos dde processamento

10.2.5. Acordo de confidencialidade

10.2.5.1. interna

10.2.5.2. protegem a informação

10.2.5.3. responsabiliza os signatários da informação

10.2.6. Contatos com autoridades

10.2.6.1. bombeiro , polícia

10.2.6.2. entidades de relacionamento da org

10.2.6.2.1. provedores de internet

10.2.7. Contatos com grupos especiais

10.2.8. Análise crítica independente de SI

10.2.8.1. pode ser feita por auditoria interna

10.2.8.2. por um gestor independente

10.2.8.3. por uma entidade terceira parte especializada

11. Seção 5. Política de SI

11.1. Possui uma categoria

11.1.1. Política de SI

11.1.2. É conveniente que a direção

11.1.2.1. estabeleça uma política clara, alinhada com os objetivos do negócio

11.1.2.2. demonstre apoio e comprometimento com a organização

11.2. Controles

11.2.1. 5.1

11.2.1.1. Documento da política da segurança

11.2.1.1.1. aprovado por alguém

11.2.1.1.2. comunicado por alguém

11.2.1.1.3. contém um conjunto de info

11.2.1.1.4. não contém

11.2.2. 5.2

11.2.2.1. Análise crítica da política de SI

11.2.2.1.1. entradas

11.2.2.1.2. saídas

11.2.2.1.3. possui 1 gestor

11.2.2.1.4. deve ser realizada em intervalos planejados

12. Histórico

12.1. BS 7799: 2005

12.1.1. BS 7799-1: 1999

12.1.1.1. ISO/IEC 17799:2000

12.1.1.1.1. ISO/IEC 17799:2005

12.1.2. BS 7799-2: 1998

12.1.2.1. BS 7799-2:2002

12.1.2.1.1. ISO/IEC 27.001:2005

13. Seções de Controle

13.1. pode evidenciar controles

13.1.1. políticas

13.1.2. processos

13.1.3. procedimentos

13.1.4. estruturas organizacionais

13.1.5. funções de software e hardware

13.2. cada controle possui

13.2.1. objetivo do controle

13.2.2. controle

13.2.3. diretrizes

13.2.4. informações adicionais

13.3. 133 controles

13.4. 39 objetivos de controle

13.5. a

14. Seções da norma

14.1. 0. Introdução

14.2. 1. Objetivo

14.3. 2. Termos e Definições

14.4. 3. Estrutura da norma

14.5. 4. Análise/Avaliação e tratamento de riscos

14.6. 5. Política de segurança da informação

14.7. 6. Organizando a segurança da informação

14.8. 7. Gestão de ativos

14.9. 8. Segurança em recursos humanos

14.10. 9. Segurança física e do ambiente

14.11. 10. Gerenciamento das operações e comunicações

14.12. 11. Controle de acesso

14.13. 12. Aquisição, desenvolvimento e manutenção de sistemas de informação

14.14. 13. Gestão de incidentes de segurança da informação

14.15. 14. Gestão da continuidade do negócio

14.16. 15. conformidade

15. seção 0. introdução

15.1. Segurança da Informação

15.1.1. é a proteção da informação de vários tipos de ameaças para garantir

15.1.1.1. a continuidade do negócio

15.1.1.2. minimizar o risco ao negócio

15.1.1.3. maximizar o retorno sobre os investimentos e as oportunidades de negócio

15.2. é essencial o estabelecimento de requisitos de SI

15.3. Fontes de requisitos

15.3.1. análise/avaliação de riscos

15.3.2. legislação

15.3.3. conjunto de princípios, objetivos e requisitos de negócio

15.4. Controles considerados essenciais para uma oganização

15.4.1. não são obrigatórios

15.4.2. proteção de dados e privacidade de informações pessoais

15.4.3. proteção de registros organizacionais

15.4.4. direitos de propriedade intelectual

15.5. Controles considerados práticas para a segurança da informação incluem

15.5.1. documento da política de SI

15.5.2. atribuição de responsabilidades para a SI

15.5.3. conscientização, educação e treinamentos em SI

15.5.4. processamento correto nas aplicações

15.5.5. gestão de vulnerabilidades técnicas

15.5.6. gestão da continuidade do negócio

15.5.7. gestão de incidentes de SI e melhorias

15.6. Fatores críticos de sucesso para implementação da SI

15.6.1. Política de SI, objetivos e atividades, que reflitam os objetivos de negócio

15.6.2. Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da SI que seja consistente com a cultura organizacional

15.6.3. Comprometimento e apoio visível de todos os níveis gerenciais

15.6.4. um bom entendimento dos requisitos de SI

15.6.5. divulgação eficiente da SI

15.6.6. distribuição de diretrizes e normas sobre a política de SI a todas as partes envolvidas

15.6.7. provisão de recursos financeiros

15.6.8. provisão de conscientização, treinamento e educação

15.6.9. estabelecimento de um eficiente processo de gestão de incidentes de SI

15.6.10. implementação de um sistema de medição

16. seção 1. Objetivo

16.1. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da SI

16.2. Os objetivos definidos nesta norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da SI

16.3. Os objetivos de controle e controles desta norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos

16.4. Esta norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais

17. Seção 4. Análise/Avaliação e tratamento de riscos

17.1. tem finalidade ressaltar que esse é o primeiro passo a ser dado por uma organização para seleção dos controles a serem implementados

17.2. recomenda

17.2.1. a análise/avaliação de riscos inclua estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados

17.2.2. a análise/avaliação de riscos também seja realizada periodicamente, para contemplar as mudanças nos requisitos de segurança

17.3. opções de tratamento

17.3.1. aplicar controles apropriados para reduzir(retenção) os riscos

17.3.2. conhecer e objetivamente aceitar os riscos

17.3.3. evitar riscos

17.3.4. transferir os ricos