1. Seção 7. Gestão de ativos
1.1. Objetivos de controle
1.1.1. responsabilidade pelos ativos
1.1.1.1. objetiva
1.1.1.1.1. alcançar e manter a proteção dos ativos
1.1.1.2. controles
1.1.1.2.1. inventários dos ativos
1.1.1.2.2. proprietários dos ativos
1.1.1.2.3. uso aceitáveis dos ativos
1.1.2. classificação da informação
1.1.2.1. objetiva
1.1.2.1.1. estabelecimento de níveis de classificação
1.1.2.2. controle
1.1.2.2.1. rotulação e tratamento
1.1.2.2.2. recomendações para classificação
1.1.2.3. parâmetros de classificação
1.1.2.3.1. valor
1.1.2.3.2. requisitos legais
1.1.2.3.3. sensibilidade
1.1.2.3.4. criticidade
1.1.3. o que é tipo ativo
1.1.3.1. ISPFSI
1.1.3.1.1. informação
1.1.3.1.2. software
1.1.3.1.3. pessoas com habilidades e competências
1.1.3.1.4. físicos
1.1.3.1.5. serviços
1.1.3.1.6. intangíveis
2. Seção 5. Política de SI
2.1. Possui uma categoria
2.1.1. Política de SI
2.1.2. É conveniente que a direção
2.1.2.1. estabeleça uma política clara, alinhada com os objetivos do negócio
2.1.2.2. demonstre apoio e comprometimento com a organização
2.2. Controles
2.2.1. 5.1
2.2.1.1. Documento da política da segurança
2.2.1.1.1. aprovado por alguém
2.2.1.1.2. comunicado por alguém
2.2.1.1.3. contém um conjunto de info
2.2.1.1.4. não contém
2.2.2. 5.2
2.2.2.1. Análise crítica da política de SI
2.2.2.1.1. entradas
2.2.2.1.2. saídas
2.2.2.1.3. possui 1 gestor
2.2.2.1.4. deve ser realizada em intervalos planejados
3. Seções de Controle
3.1. pode evidenciar controles
3.1.1. políticas
3.1.2. processos
3.1.3. procedimentos
3.1.4. estruturas organizacionais
3.1.5. funções de software e hardware
3.2. cada controle possui
3.2.1. objetivo do controle
3.2.2. controle
3.2.3. diretrizes
3.2.4. informações adicionais
3.3. 133 controles
3.4. 39 objetivos de controle
3.5. a
4. seção 0. introdução
4.1. Segurança da Informação
4.1.1. é a proteção da informação de vários tipos de ameaças para garantir
4.1.1.1. a continuidade do negócio
4.1.1.2. minimizar o risco ao negócio
4.1.1.3. maximizar o retorno sobre os investimentos e as oportunidades de negócio
4.2. é essencial o estabelecimento de requisitos de SI
4.3. Fontes de requisitos
4.3.1. análise/avaliação de riscos
4.3.2. legislação
4.3.3. conjunto de princípios, objetivos e requisitos de negócio
4.4. Controles considerados essenciais para uma oganização
4.4.1. não são obrigatórios
4.4.2. proteção de dados e privacidade de informações pessoais
4.4.3. proteção de registros organizacionais
4.4.4. direitos de propriedade intelectual
4.5. Controles considerados práticas para a segurança da informação incluem
4.5.1. documento da política de SI
4.5.2. atribuição de responsabilidades para a SI
4.5.3. conscientização, educação e treinamentos em SI
4.5.4. processamento correto nas aplicações
4.5.5. gestão de vulnerabilidades técnicas
4.5.6. gestão da continuidade do negócio
4.5.7. gestão de incidentes de SI e melhorias
4.6. Fatores críticos de sucesso para implementação da SI
4.6.1. Política de SI, objetivos e atividades, que reflitam os objetivos de negócio
4.6.2. Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da SI que seja consistente com a cultura organizacional
4.6.3. Comprometimento e apoio visível de todos os níveis gerenciais
4.6.4. um bom entendimento dos requisitos de SI
4.6.5. divulgação eficiente da SI
4.6.6. distribuição de diretrizes e normas sobre a política de SI a todas as partes envolvidas
4.6.7. provisão de recursos financeiros
4.6.8. provisão de conscientização, treinamento e educação
4.6.9. estabelecimento de um eficiente processo de gestão de incidentes de SI
4.6.10. implementação de um sistema de medição
5. Seção 15. Conformidade
5.1. objetivos de controle
5.1.1. Conformidade com requisitos legais
5.1.2. Conformidade com normas e políticas de SI e conformidade técnica
5.1.3. Considerações quanto à auditoria de Sistemas de informação
6. Seção 14. Gestão da continuidade do negócio
6.1. objetivos de controle
6.1.1. aspectos da gestão da continuidade do negócio, relativos à SI
6.1.1.1. Controles
6.1.1.1.1. incluindo segurança da informação no processo de GCN
6.1.1.1.2. Continuidade de negócios e avaliação de riscos
6.1.1.1.3. Desenvolvimento e implementação de planos de continuidade relativos a SI
6.1.1.1.4. Estrutura do plano e continuidade de negócio
6.1.1.1.5. Testes, manutenção e reavaliação dos planos de continuidade de negócio
7. Seção 13. Gestão de incidentes de seg da informação
7.1. objetivos de controle
7.1.1. Notificações de fragilidades e eventos de segurança da informação
7.1.1.1. Notificações de eventos de segurança da informação
7.1.1.2. Notificando fragilidades de segurança da informação
7.1.2. Gestão de incidentes de segurança da informação e melhorias
7.1.2.1. controles
7.1.2.1.1. responsabiliades e procedimentos
7.1.2.1.2. aprendendo com os incidentes de SI
7.1.2.1.3. coleta de evidências
7.2. ler as diretrizes
8. Seção 12. Aquisição, Des. e Manut de Sist. de Informações
8.1. objetivos de controle
8.1.1. Requisitos de segurança de sistemas de informações
8.1.2. Processamento correto nas aplicações
8.1.2.1. controle
8.1.2.1.1. validação dos dados de entrada
8.1.2.1.2. controle do processamento das informações
8.1.2.1.3. validação dos dados de saída
8.1.2.1.4. integridade de mensagens
8.1.3. Controles criptográficos
8.1.3.1. controles
8.1.3.1.1. política para o uso de controles criptográficos
8.1.3.1.2. gerenciamento de chaves
8.1.4. Segurança dos arquivos de sistema
8.1.5. Segurança em processos de desenvolvimento e de suporte
8.1.5.1. controle
8.1.5.1.1. vazamento de informações
8.1.6. Gestão de vulnerabilidades técnicas
8.2. importante
8.2.1. SEGURANÇA DE APLICAÇÕES
8.2.1.1. estudar
8.2.1.1.1. TOP TEN OWASP
9. Seção 11. Controle de acesso
9.1. objetivo de controle
9.1.1. Requisitos de negócio para controle de acesso
9.1.1.1. controle
9.1.1.1.1. Política de controle de acesso
9.1.2. Gerenciamento de acesso do usuário
9.1.2.1. controle
9.1.2.1.1. registro de usuário
9.1.2.1.2. gerenciamento de privilégios
9.1.2.1.3. gerenciamento de senhas do usuários
9.1.2.1.4. análise crítica dos direitos de acesso de usuários
9.1.3. Responsabilidade dos usuários
9.1.3.1. controles
9.1.3.1.1. uso de senhas
9.1.3.1.2. equipamento de usuário sem monitoração
9.1.3.1.3. política de mesa limpa e tela protegida
9.1.4. Controle de acesso à rede
9.1.5. Controle de acesso ao sistema operacional
9.1.6. Controle de acesso à aplicação e a informação
9.1.7. Computação móvel e trabalho remoto
10. Seção 10. Gerenc de Operações e Com.
10.1. objetivos de controle
10.1.1. Procedimentos e responsabilidades operacionais
10.1.1.1. controles
10.1.1.1.1. Segregação de funções
10.1.1.1.2. Separação dos ambientes de desenv, teste e de produção
10.1.1.1.3. Gestão de mudanças
10.1.1.1.4. Doc. dos procedimentos de operação
10.1.2. Gerenc. de serviços terceirizados
10.1.3. Planejamento e aceitação dos sistemas
10.1.4. Proteção contra códigos maliciosos e códigos móveis
10.1.4.1. controles
10.1.4.1.1. controle contra códigos maliciosos
10.1.4.1.2. controle contra códigos móveis
10.1.5. Cópias de segurança
10.1.6. Gerenc da segurança em redes
10.1.6.1. controles
10.1.6.1.1. controles de redes
10.1.6.1.2. Segurança de serviços de rede
10.1.7. Manuseio de mídias
10.1.8. Troca de informações
10.1.9. Serviço de comércio eletrônico
10.1.9.1. controles
10.1.9.1.1. comércio eletrônico
10.1.9.1.2. transações on line
10.1.9.1.3. informações publicamente disponíveis
10.1.10. Monitoramento
10.1.10.1. controle
10.1.10.1.1. registro de auditoria
10.1.10.1.2. monitoramento do uso de sistema
10.1.10.1.3. proteção da informações dos registrs
10.1.10.1.4. registros de adminirtador e operador
10.1.10.1.5. registro de falhas
10.1.10.1.6. Sincronização dos relógios
11. Seção 9. Segurança Física e do ambiente
11.1. objetivos de controle
11.1.1. áreas seguras
11.1.2. segurança dos equipamentos
11.1.2.1. controle
11.1.2.1.1. instalação e proteção do eqpto
11.1.2.1.2. Utilidades
11.1.2.1.3. Segurança do cabeamento
11.1.2.1.4. Manutenção dos equipamentos
11.1.2.1.5. Segurança de eqpto fora do local
11.1.2.1.6. Reutilização e alienação seguras de eqpto
11.1.2.1.7. Remoção de propriedade
12. Seção 8. Segurança em Recursos Humanos
12.1. objetivos de controle
12.1.1. antes da contratação
12.1.1.1. controles
12.1.1.1.1. papeis e responsabilidades
12.1.1.1.2. seleção
12.1.1.1.3. termos e condições de contratação
12.1.2. durante a contratação
12.1.2.1. controles
12.1.2.1.1. responsabilidade da direção
12.1.2.1.2. conscientização, educação e treinamento
12.1.2.1.3. processo disciplinar
12.1.3. depois da contratação
12.1.3.1. controles
12.1.3.1.1. encerramento de atividades
12.1.3.1.2. devolução de ativos
12.1.3.1.3. retirada de direito de acessos
13. Seção 6. Organizando a SI
13.1. Objetivos de controle
13.1.1. Infraestrutura da SI
13.1.2. Partes Externas
13.1.2.1. identificar riscos com partes externas
13.1.2.2. identificar SI com clientes
13.1.2.3. acordos com terceiros
13.2. Controles
13.2.1. Comprometimento da Direção com a SI
13.2.2. Coordenação da SI
13.2.2.1. Multidisciplinaridade
13.2.2.1.1. interna
13.2.3. Atribuição de responsabilidade por SI
13.2.4. Processo de autorização para os recursos dde processamento
13.2.5. Acordo de confidencialidade
13.2.5.1. interna
13.2.5.2. protegem a informação
13.2.5.3. responsabiliza os signatários da informação
13.2.6. Contatos com autoridades
13.2.6.1. bombeiro , polícia
13.2.6.2. entidades de relacionamento da org
13.2.6.2.1. provedores de internet
13.2.7. Contatos com grupos especiais
13.2.8. Análise crítica independente de SI
13.2.8.1. pode ser feita por auditoria interna
13.2.8.2. por um gestor independente
13.2.8.3. por uma entidade terceira parte especializada
14. Histórico
14.1. BS 7799: 2005
14.1.1. BS 7799-1: 1999
14.1.1.1. ISO/IEC 17799:2000
14.1.1.1.1. ISO/IEC 17799:2005
14.1.2. BS 7799-2: 1998
14.1.2.1. BS 7799-2:2002
14.1.2.1.1. ISO/IEC 27.001:2005
15. Seções da norma
15.1. 0. Introdução
15.2. 1. Objetivo
15.3. 2. Termos e Definições
15.4. 3. Estrutura da norma
15.5. 4. Análise/Avaliação e tratamento de riscos
15.6. 5. Política de segurança da informação
15.7. 6. Organizando a segurança da informação
15.8. 7. Gestão de ativos
15.9. 8. Segurança em recursos humanos
15.10. 9. Segurança física e do ambiente
15.11. 10. Gerenciamento das operações e comunicações
15.12. 11. Controle de acesso
15.13. 12. Aquisição, desenvolvimento e manutenção de sistemas de informação
15.14. 13. Gestão de incidentes de segurança da informação
15.15. 14. Gestão da continuidade do negócio
15.16. 15. conformidade
16. seção 1. Objetivo
16.1. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da SI
16.2. Os objetivos definidos nesta norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da SI
16.3. Os objetivos de controle e controles desta norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos
16.4. Esta norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais
17. Seção 4. Análise/Avaliação e tratamento de riscos
17.1. tem finalidade ressaltar que esse é o primeiro passo a ser dado por uma organização para seleção dos controles a serem implementados
17.2. recomenda
17.2.1. a análise/avaliação de riscos inclua estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados
17.2.2. a análise/avaliação de riscos também seja realizada periodicamente, para contemplar as mudanças nos requisitos de segurança
17.3. opções de tratamento
17.3.1. aplicar controles apropriados para reduzir(retenção) os riscos
17.3.2. conhecer e objetivamente aceitar os riscos
17.3.3. evitar riscos
17.3.4. transferir os ricos