Segurança da Informação

Mapa mental do artigo - Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002em uma média empresa

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Segurança da Informação por Mind Map: Segurança da Informação

1. Em 1987 na Inglaterra, o DTI - Departamento de Industrias e Comércios, cria o padrão PD 0003.

1.1. Em 1995 a PD 0003 tornou-se BS7799:1995

1.1.1. Em 2000 a BS7799:1995 foi atualizada e homologada como ISO/IEC 17799:2000

1.1.1.1. Em 2007 a ISO/IEC 17799 passou a ser chamada de ISO/IEC 27002

2. Família ISO/IEC 27000

2.1. ISO/IEC 27001 - Gestão da Segurança da Informação

2.1.1. Ciclo PCDA

2.1.1.1. Plan (Planejar): Estabelecer o SGSI

2.1.1.2. Do (Fazer): Implementar e operar SGSI

2.1.1.3. Check (Checar): Monitorar e analisar criticamente SGSI

2.1.1.4. Act (Agir): Manter e Melhorar SGSI

2.2. ISO/IEC 27002 - Regulamento de práticas para implementação de um SGSI

2.2.1. Inventariar os ativos da organização

2.2.2. Realizar análise de risco

2.2.3. Classificar as informações

2.2.4. Criar um comitê de segurança

2.2.5. Elaborar uma PSI - Politica de Segurança da Informação

2.2.6. Auditar os controles que foram criados ou não

2.2.7. Criar padrões de contingência

2.2.8. Criar diretrizes próprias da organização quando necessário

2.3. ISO/IEC 27003 - Requisitos para um Sistema de Gestão de Segurança da Informação - SGSI

2.4. ISO/IEC 27004 - Fornece métricas de avaliação da eficácia de SGSI

2.5. ISO/IEC 27005 - Diretrizes para o processo de gestão de riscos

2.6. ISO/IEC 27006 - Especifica os requisitos para auditorias externas em um SGSI

3. Aplicação das Normas ISO/IEC 27001 e ISO/IEC 27002 em uma empresa de médio porte

3.1. Realizada no ambiente TIC da empresa

3.1.1. Pesquisa-Ação com diretores e funcionários que fazem parte do fluxo da informação

3.1.1.1. Áreas avaliadas

3.1.1.1.1. Gerência administrativa

3.1.1.1.2. Gerência Comercial

3.1.1.1.3. Gerência Financeira

3.1.1.1.4. Recursos Humanos

3.1.1.1.5. Supervisão de vendas

3.1.1.1.6. Setor fiscal

3.1.1.1.7. Faturamento

3.1.1.1.8. Contabilidade

3.1.1.1.9. Recepção

3.1.1.1.10. CPD - Centro de processamento de dados

3.2. Atividades realizadas em ordem de execução

3.2.1. 1 - Alinhamento e planejamento de SI

3.2.1.1. Reuniões com a diretoria da empresa

3.2.1.2. Aprovação dos recursos (Tempo, pessoas e equipamentos)

3.2.1.3. Objetivos para realizar o trabalho de acordo com que a empresa mais precisa à SI

3.2.2. 2 - Levantamento tecnológico

3.2.2.1. Dividido por setor da empresa

3.2.2.1.1. Inventário de harqware

3.2.2.1.2. Inventário de software

3.2.2.1.3. Endereçamento IP de todos os computadores

3.2.2.1.4. Internet principal e internet de contingência

3.2.3. 3 - Diagnostico inicial de conformidade

3.2.3.1. Requisitos das normas 27001 e 27002 atendidos pela empresa

3.2.3.1.1. Criação de checklists de zero a 10 sobre a situação atual da empresa

3.2.4. 4 - Criação da PSI - Politica de Segurança da Informação

3.2.4.1. Dificuldades na criação da PSI

3.2.4.1.1. Entendimento e conhecimento sobre PSI

3.2.4.1.2. Tempo e esforço dedicados

3.2.4.1.3. Possíveis ameaças expostas, as diretrizes foram alinhadas

3.2.5. 5 - Criação de documentos auxiliares

3.2.5.1. Criação de documentos para dar apoio a PSI

3.2.5.1.1. Declaração de comprometimento

3.2.5.1.2. Comitê permanente de segurança - CPS

3.2.5.1.3. Grupo de segurança da informação - GSI

3.2.5.1.4. Normas de SI criadas

3.2.6. 6 - Treinamento em Segurança da Informação

3.2.6.1. Diretores e funcionários

3.2.6.1.1. Conscientizar e treinar nas boas práticas de SI.

3.2.7. 7 - Diagnostico final de conformidade

3.2.7.1. Utilizando o mesmo método de checklists anterior no Diagnostico inicial, foi acrescentado novas notas para a situação

3.2.7.1.1. Calculou-se a média geral, para comparação com o diagnostico inicial de conformidade

3.2.8. 8 - Pesquisa de satisfação

3.2.8.1. Diretores e funcionários

3.2.8.1.1. Mensurar o que os diretores e funcionários pensavam sobre o trabalho realizado e o seu impacto no dia a dia da empresa.

3.2.9. 9 - Resultados Finais

3.2.9.1. Diagnóstico inicial de conformidade

3.2.9.1.1. Aspectos Organizacionais: 25,51%

3.2.9.1.2. Segurança Física: 54,66%

3.2.9.1.3. Segurança Lógica: 49,54%

3.2.9.1.4. Planos de Contingência: 28,40%

3.2.9.2. Diagnóstico final de conformidade

3.2.9.2.1. Aspectos Organizacionais: 75,83%

3.2.9.2.2. Segurança Física: 66,70%,

3.2.9.2.3. Segurança Lógica: 71,52%

3.2.9.2.4. Planos de Contingência: 78,26%

3.2.10. Conclusão

3.2.10.1. Após a aplicação das normas ISO/IEC 27001 e ISO/IEC 27002

3.2.10.1.1. O resultado do diagnóstico de conformidade final mostrou uma melhoria significativa e o resultado da pesquisa de satisfação mostrou que funcionários e diretores ficaram mais satisfeitos com o desempenho do trabalho.

4. Auditoria em Segurança da Informação

4.1. Disciplina:

5. Wanderson de Almeida Timóteo

5.1. Discente:

6. Nelcileno Araújo

6.1. Docente:

7. 201511316040

7.1. RGA:

8. https://mm.tt/1851790047?t=DGvysf2wLz

8.1. Link do projeto: