Get Started. It's Free
or sign up with your email address
Rocket clouds
ISO 27002:2013 by Mind Map: ISO 27002:2013

1. 4 Estrutura desta Norma

1.1. 4.1 Seções

1.2. 4.2 Categorias de controles

2. 0 Introdução

2.1. 0.1 Contexto e histórico

2.2. 0.2 Requisitos de segurança da informação

2.3. 0.3 Seleção de controle

2.4. 0.4 Desenvolvendo suas próprias diretrizes

2.5. 0.5 Considerações sobre o ciclo de vida

2.6. 0.6 Normas relacionadas

3. 1 Escopo

4. 2 Referências normativas

5. 3 Termos e definições

6. 5 Políticas de segurança da informação

6.1. 5.1 Orientação da direção para segurança da informação

6.1.1. 5.1.1 Políticas para segurança da informação

6.1.2. 5.1.2 Análise crítica das políticas para segurança da informação

7. 6 Organização da segurança da informação

7.1. 6.1 Organização interna

7.1.1. 6.1.1 Responsabilidades e papéis pela segurança da informação

7.1.2. 6.1.2 Segregação de funções

7.1.3. 6.1.3 Contato com autoridades

7.1.4. 6.1.4 Contato com grupos especiais

7.1.5. 6.1.5 Segurança da informação no gerenciamento de projetos

7.2. 6.2 Dispositivos móveis e trabalho remoto

7.2.1. 6.2.1 Política para o uso de dispositivo móvel

7.2.2. 6.2.2 Trabalho remoto

8. 7 Segurança em recursos humanos

8.1. 7.1 Antes da contratação

8.1.1. 7.1.1 Seleção

8.1.2. 7.1.2 Termos e condições de contratação

8.1.3. 7.2 Durante a contratação

8.2. 7.2.1 Responsabilidades da direção

8.2.1. 7.2.2 Conscientização, educação e treinamento em segurança da informação

8.2.2. 7.2.3 Processo disciplinar

8.3. 7.3 Encerramento e mudança da contratação

8.3.1. 7.3.1 Responsabilidades pelo encerramento ou mudança da contratação

9. 8 Gestão de ativos

9.1. 8.1 Responsabilidade pelos ativos

9.1.1. 8.1.1 Inventário dos ativos

9.1.2. 8.1.2 Proprietário dos ativos

9.1.3. 8.1.3 Uso aceitável dos ativos

9.1.4. 8.1.4 Devolução de ativos

9.2. 8.2 Classificação da informação

9.2.1. 8.2.1 Classificação da informação

9.2.2. 8.2.2 Rótulos e tratamento da informação

9.2.3. 8.2.3 Tratamento dos ativos

9.3. 8.3 Tratamento de mídias

9.3.1. 8.3.1 Gerenciamento de mídias removíveis

9.3.2. 8.3.2 Descarte de mídias

9.3.3. 8.3.3 Transferência física de mídias

10. 9 Controle de acesso

10.1. 9.1 Requisitos do negócio para controle de acesso

10.1.1. 9.1.1 Política de controle de acesso

10.1.2. 9.1.2 Acesso às redes e aos serviços de rede

10.2. 9.2 Gerenciamento de acesso do usuário

10.2.1. 9.2.1 Registro e cancelamento de usuário

10.2.2. 9.2.2 Provisionamento para acesso de usuário

10.2.3. 9.2.3 Gerenciamento de direitos de acesso privilegiados

10.2.4. 9.2.4 Gerenciamento da informação de autenticação secreta de usuários

10.2.5. 9.2.5 Análise crítica dos direitos de acesso de usuário

10.2.6. 9.2.6 Retirada ou ajuste de direitos de acesso

10.3. 9.3 Responsabilidades dos usuários

10.3.1. 9.3.1 Uso da informação de autenticação secreta

10.4. 9.4 Controle de acesso ao sistema e à aplicação

10.4.1. 9.4.1 Restrição de acesso à informação

10.5. 9.4.2 Procedimentos seguros de entrada no sistema (log-on)

10.6. 9.4.3 Sistema de gerenciamento de senha

10.7. 9.4.4 Uso de programas utilitários privilegiados

10.8. 9.4.5 Controle de acesso ao código-fonte de programas

11. 10 Criptografia

11.1. 10.1 Controles criptográficos

11.1.1. 10.1.1 Política para o uso de controles criptográficos

11.1.2. 10.1.2 Gerenciamento de chaves

12. 11 Segurança física e do ambiente

12.1. 11.1 Áreas seguras

12.1.1. 11.1.1 Perímetro de segurança física

12.1.2. 11.1.2 Controles de entrada física

12.1.3. 11.1.3 Segurança em escritórios, salas e instalações

12.1.4. 11.1.4 Proteção contra ameaças externas e do meio-ambiente

12.1.5. 11.1.5 Trabalhando em áreas seguras

12.1.6. 11.1.6 Áreas de entrega e de carregamento

12.2. 11.2 Equipamentos

12.2.1. 11.2. 1 Escolha do local e proteção do equipamento

12.2.2. 11.2.2 Utilidades

12.2.3. 11.2.3 Segurança do cabeamento

12.2.4. 11.2.4 Manutenção dos equipamentos

12.2.5. 11.2.5 Remoção de ativos

12.2.6. 11.2.6 Segurança de equipamentos e ativos fora das dependências da organização

12.2.7. 11.2.7 Reutilização e alienação segura de equipamentos

12.2.8. 11.2.8 Equipamento de usuário sem monitoração

12.2.9. 11.2.9 Política de mesa limpa e tela limpa

13. 12 Segurança nas operações

13.1. 12.1 Responsabilidades e procedimentos operacionais

13.1.1. 12.1.1 Documentação dos procedimentos de operação

13.1.2. 12.1.2 Gestão de mudanças

13.1.3. 12.1.3 Gestão de capacidade

13.1.4. 12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção

13.2. 12.2 Proteção contra códigos maliciosos

13.2.1. 12.2.1 Controles contra códigos maliciosos

13.3. 12.3 Cópias de segurança

13.3.1. 12.3.1 Cópias de segurança das informações

13.4. 12.4 Registros e monitoramento

13.4.1. 12.4.1 Registros de eventos

13.4.2. 12.4.2 Proteção das informações dos registros de eventos (logs)

13.4.3. 12.4.3 Registros de eventos (log) de administrador e operador

13.4.4. 12.4.4 Sincronização dos relógios

13.5. 12.5 Controle de software operacional

13.5.1. 12.5.1 Instalação de software nos sistemas operacionais

13.6. 12.6 Gestão de vulnerabilidades técnicas

13.6.1. 12.6.1 Gestão de vulnerabilidades técnicas

13.6.2. 12.6.2 Restrições quanto à instalação de software

13.7. 12.7 Considerações quanto à auditoria de sistemas de informação

13.7.1. 12.7.1 Controles de auditoria de sistemas de informação

14. 13 Segurança nas comunicações

14.1. 13.1 Gerenciamento da segurança em redes

14.1.1. 13.1.1 Controles de redes

14.1.2. 13.1.2 Segurança dos serviços de rede

14.1.3. 13.1.3 Segregação de redes

14.2. 13.2 Transferência de informação

14.2.1. 13.2.1 Políticas e procedimentos para transferência de informações

14.2.2. 13.2.2 Acordos para transferência de informações

14.2.3. 13.2.3 Mensagens eletrônicas

14.2.4. 13.2.4 Acordos de confidencialidade e não divulgação

15. 14 Aquisição, desenvolvimento e manutenção de sistemas

15.1. 14.1 Requisitos de segurança de sistemas de informação

15.1.1. 14.1.1 Análise e especificação dos requisitos de segurança da informação

15.1.2. 14.1.2 Serviços de aplicação seguros em redes públicas

15.1.3. 14.1.3 Protegendo as transações nos aplicativos de serviços

15.2. 14.3 Dados para teste

15.2.1. 14.3.1 Proteção dos dados para teste

15.3. 14.2 Segurança em processos de desenvolvimento e de suporte

15.3.1. 14.2.1 Política de desenvolvimento seguro

15.3.2. 14.2.2 Procedimentos para controle de mudanças de sistemas

15.3.3. 14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais

15.3.4. 14.2.4 Restrições sobre mudanças em pacotes de Software

15.3.5. 14.2.5 Princípios para projetar sistemas seguros

15.3.6. 14.2.6 Ambiente seguro para desenvolvimento

15.3.7. 14.2.7 Desenvolvimento terceirizado

15.3.8. 14.2.8 Teste de segurança do sistema

15.3.9. 14.2.9 Teste de aceitação de sistemas

16. 15 Relacionamento na cadeia de suprimento

16.1. 15.1 Segurança da informação na cadeia de suprimento.

16.1.1. 15.1.1 Política de segurança da informação no relacionamento com os fornecedores

16.1.2. 15.1.2 Identificando segurança da informação nos acordos com fornecedores

16.1.3. 15.1.3 Cadeia de suprimento na tecnologia da comunicação e informação

16.2. 15.2 Gerenciamento da entrega do serviço do fornecedor

16.2.1. 15.2.1 Monitoramento e análise crítica de serviços com fornecedores

16.2.2. 15.2.2 Gerenciamento de mudanças para serviços com fornecedores

17. 16 Gestão de incidentes de segurança da informação

17.1. 16.1 Gestão de incidentes de segurança da informação e melhorias

17.1.1. 16.1.1 Responsabilidades e procedimentos

17.1.2. 16.1.2 Notificação de eventos de segurança da informação

17.1.3. 16.1.3 Notificando fragilidades de segurança da informação

17.1.4. 16.1.4 Avaliação e decisão dos eventos de segurança da informação

17.1.5. 16.1.5 Resposta aos incidentes de segurança da informação

17.1.6. 16.1.6 Aprendendo com os incidentes de segurança da informação

17.1.7. 16.1.7 Coleta de evidências

18. 17 Aspectos da segurança da informação na gestão da continuidade do negócio

18.1. 17.1 Continuidade da segurança da informação

18.1.1. 17.1.1 Planejando a continuidade da segurança da informação

18.1.2. 17.1.2 Implementando a continuidade da segurança da informação

18.1.3. 17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação

18.2. 17.2 Redundâncias

18.2.1. 17.2.1 Disponibilidade dos recursos de processamento da informação

19. 18 Conformidade

19.1. 18.1 Conformidade com requisitos legais e contratuais

19.1.1. 18.1.1 Identificação da legislação aplicável e de requisitos contratuais

19.1.2. 18.1.2 Direitos de propriedade intelectual

19.1.3. 18.1.3 Proteção de registros

19.1.4. 18.1.4 Proteção e privacidade de informações de identificação pessoal

19.1.5. 18.1.5 Regulamentação de controles de criptografia

19.2. 18.2 Análise crítica da segurança da informação

19.2.1. 18.2.1 Análise crítica independente da segurança da informação

19.2.2. 18.2.2 Conformidade com as políticas e procedimentos de segurança da informação

19.2.3. 18.2.3 Análise crítica da conformidade técnica

20. Mapa desenvolvido pela Academia do Hacker

20.1. www.academiadohacker.com.br

20.2. Fiquem a vontade para usar, divulgar, imprimir, fazer churrasco, etc