Baixe o app para aproveitar ainda mais
Prévia do material em texto
A norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, tem como objetivo: · estabelecer diretrizes e princípios gerais para: · iniciar, · implementar, · manter e melhorar a gestão de segurança da informação em uma organização. É uma norma voltada para a gestão de segurança da informação. A ISO 27002 possui 133 controles e se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação. A numeração dessas seções se inicia no número 5. SEÇÃO 5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A organização ou empresa deve criar um documento sobre a política de segurança da informação, que deve conter: · Os conceitos de segurança da informação, · O comprometimento da direção com a política, · Uma estrutura para estabelecer os objetivos de controle e os controles, · A estrutura de análise, avaliação e gerenciamento de riscos, · As políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. SEÇÃO 6 – ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO Para implementar a SI em uma organização é necessário que seja estabelecida uma estrutura para gerenciá-la. Para tal, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. SEÇÃO 7 – GESTÃO DE ATIVOS Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos significa proteger e manter os ativos da organização. As informações e os ativos devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual tipo de uso é permitido fazer com esses ativos. Seção 8 - Segurança em Recursos Humanos: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto, roubo, fraude ou mau uso de recursos; Seção 9 - Segurança Física e do Ambiente: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização; Seção 10 - Gestão das Operações e Comunicações: Garantir a operação segura e correta dos recursos de processamento da informação; Seção 11 - Controle de Acesso: Controlar o acesso à informação com base nos requisitos de negócio e segurança da informação; Seção 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: Garantir que a segurança seja parte integrante de sistemas da informação; Seção 13- Gestão de Incidentes de Segurança da Informação: Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação em tempo hábil; Seção 14 - Gestão da Continuidade do Negócio: Não permitirá interrupção das atividades dos negócios e proteger os processos críticos contra efeito de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil; Seção 15 - Conformidade: Adequar os requisitos de segurança para não permitir a violação de regulamentações ou leis estabelecidas, além de obrigações contratuais. Entre estas 11 seções da Norma, temos uma que trata exclusivamente de segurança física para proteção da informação - esta seção possui 13 itens de controle para serem aplicados de acordo com a necessidade de cada organização. Elas estão distribuídas da seguinte forma: 1. Segurança física e do ambiente 1.1Áreas seguras 1.1.1 Perímetro de segurança física. 1.1.2 Controles de entrada física. 1.1.3 Segurança em escritórios salas e instalações. 1.1.4 Proteção contra ameaças externas e do meio ambiente. 1.1.5 O trabalho em áreas seguras. 1.1.6 Acesso do público, áreas de entrega e decarregamento. 1.2 Segurança de equipamentos 1.2.1 Instalação e proteção do equipamento. 1.2.2. Utilidades. 1.2.3 Segurança do cabeamento. 1.2.4 Manutenção dos equipamentos. 1.2.5 Segurança de equipamentos fora das dependências da organização. 1.2.6 Reutilização e alienação segura de equipamentos. 1.2.7 Remoção de propriedade.
Compartilhar