Governança de T.I

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Governança de T.I por Mind Map: Governança de T.I

1. ISO 27001

1.1. 1 - Geral

1.1.1. Específica os requisitos do EIOMAMM

1.1.1.1. estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI

1.1.2. Especifica requisitos para implementação de controles de segurança personalizada para uma organização ou suas partes

1.1.3. Cobre todos os tipos de organização

1.1.4. Possui 3 anexos

1.1.4.1. Anexo A: Caráter Normativo . Obejtivos de Controles e Controles (27002 de 5 a 15). Guia/ uma referência dos objetivos e controles.

1.1.4.2. Anexo B: Informativo - Princípios da OECD

1.1.4.3. Anexo C: Informativo - Correspondência com a ISO 9001 e 14001 .

1.1.5. Dividida em 8 partes

1.2. 2 - Referência Normativa

1.2.1. Baseado nas indicações da 27002

1.3. 3 -Termos e Definições

1.3.1. Ativo: Qualquer coisa que tenha valor em uma organização

1.3.2. Segurança da Informação: Preservação da confidencilidade, integridade e disponibilidade da informação.

1.3.3. Sistema de Gestao de Seg da Informação: è a parte de sistema de Gestão Global. Aborda riscos de negócio Serve para manter a segurança da informação.

1.3.4. Evento de Segurança da Informação: Alteração no estado de um ativo significativa sobre uma ativo de uma organização. Uma ocorrência identificada de um estado de sistema

1.3.5. Incidente de Segurança da Informação: Um simples ou uma série de eventos da informação, indesejaveis ou inesperado que tem grande probabilidade de comprometer as operações do negócio.

1.3.6. Integridade: Exatidão e completeza de ativos

1.3.7. Risco Residual: Risco remanescente após o tratamento de riscos.

1.3.8. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a individuo, entidades ou processos não autorizados.

1.3.9. Analise de Risco: Só analisa o risco de forma superficial.Analisa de forma preliminar.Identifica fontes e estima o risco.

1.3.10. Analise de Riscos/Avaliação: Processo completo de analise e avaliação de risco.

1.3.11. Avaliação de Risco: Comparar e determinar a importancia dos riscos.

1.3.12. Declaração de Aplicabilidade: Documento que descreve os objetivos de controle e controles refrentes a um SGSI de uma organização. Aplicaveis e não aplicaveis.

1.3.13. Tratamento de risco: Seleção e implementação de medidas para modificar um risco .

1.4. 4 - SGSI: Serve para proteger os ativos de informação e propiciar confiança entre as partes interessadas.

1.4.1. Para Estabelecer o SGSI uma organização deve definir o escopo e o limite do SGSI de acordo com as características do negócio. Deve-se definir a abordagem de analise/avaliação de riscos.Identificar riscos,ameaças, vulnerabilidade e impactos.

1.4.2. Obter aprovação da direção dos riscos residuais propostos

1.4.3. Necessário obter aprovação da direção para implementar um SGSI .

1.4.4. Necessário criar uma declaração de aplicabilidade.

2. ISO 27002

2.1. Objetivo - estabelece diretrizes e princípios para IINManMe: Iniciar,implementar,manter e melhorar.

2.2. Introdução

2.2.1. Gastos com controles devem ser balanceados de acordo com danos causados ao negócio.

2.2.2. Analise/Verificação de riscos deve ser realizada periodicamente

2.2.3. Controles podem ser selecionados a partir desta norma ou novos controles podem ser utilizados para atender a segurança da informação

2.2.4. A seleção de controle depende das decisões da organização baseadas no critério de aceitação de risco, opções para tratamento e enfoque geral da gestão. Convém serem observados requisitos de conformidade.

2.2.5. Os controles essenciais sobre os pontos de vista legal, devem ser protegidos os dados e privacidade de informações pessoais. Proteção dos registros organizacionais e de propriedade intelectual.

2.2.6. Os controles considerados práticas são política de segurança da informação, atribuições de responsabilidades, conscientização, educação e treinamento.

2.2.7. Fatores críticos para o sucesso: Deve existir politicas que reflitam a cultura do negócio. Deve ser feira a divulgação para todos da organização sobre as políticas. Deve haver provisao de recursos financeiros para SGSI. Deve haver processo eficiente de gestão de incidentes.

2.3. Termos e Definição

2.3.1. Recursos de processamento da informação: sistema, serviço ou infra-estrutura ou instalação fisica que os sabriguem

2.3.2. segurança da informação: confidencialidade, integridade e disponibilidade da informação

2.3.3. Política: Intenções e diretrizes globais formalmente expressas pela direção.

2.3.4. terceira parte: pessoa ou organismo reconhecido como independente das partes envolvidas de uma dado assunto. TERCEIROS .

2.3.5. Ameaça: Causa potencial de um incidente

2.3.6. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaçãs.

3. ITIL