Prévia do material em texto
® Todos os direitos reservados. Proibida a redistribuição deste material. SCRUM MASTER Curso ADVANCED Versão: 1.1 Liberação: 13/07/2020 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. INICIANTE INTERMEDIÁRIO AVANÇADO Dificuldade INFORMATION SECURITY MANAGEMENT Curso oficial EXIN ISMP Formação de Information Security Officer (ISO) PROFESSIONAL based on ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Este módulo cobre: ▪ Visão geral das normas da família ISO/IEC 27000. ▪ Estrutura da norma ISO/IEC 27001. ▪ Certificação de organizações na ISO/IEC 27001. Módulo 01 Slide 2 Visão geral da ISO/IEC 27001 0% Peso Foundation Peso Essentials 1 peso exame ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Tópico Slide 3 Visão geral das normas da família ISO/IEC 27000 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Siglas importantes International Organization for Standardization ISO International Electrotechnical Commission IEC Associação Brasileira de Normas Técnicas ABNT Norma Brasileira NBR Segurança da Informação SI Sistema de Gerenciamento de Segurança da Informação SGSI Slide 4 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Conceitos básicos Antes de iniciar o estudo sobre a ISO/IEC 27001, devemos entender os conceitos referentes a: ▪ Normas: têm como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. ▪ Políticas: contêm orientações para alcançar conformidade com os objetivos de negócio. ▪ Regulamentações: são exigências estabelecidas por leis e regulamentos de setor. ▪ Baseline: nível mínimo de proteção nos sistemas críticos. A ISO/IEC 27001 e 27002 podem ser consideradas uma linha de base de proteção da segurança da informação. – Ou seja, quando a empresa não sabe pode onde começar, pode implementar os controles propostos por essas normas. ▪ Diretrizes: – Em um contexto estratégico, podem ser interpretadas como ações ou caminhos a serem seguidos em determinados momentos. – Orientam o que deve ser feito e como para que se alcancem os objetivos estabelecidos na política [ISO 27002]. ▪ Procedimentos: são instruções no nível operacional. Slide 5 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Família ISO/IEC 27000 ▪ A série ISO / IEC 27000 (também conhecida como 'Família de normas GSI' ou 'ISO27K') inclui normas de segurança da informação publicadas em conjunto pela ISO e pela IEC. ▪ Existem mais de 40 normas nessa família. Vocabulário Requisitos Diretrizes Guias específicos para setores Guias de controle específicos Slide 6 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Algumas normas da família ISO/IEC 27000 As normas internacionais para segurança da informação são ordenadas respeitando ordem de numeração, tal como elencado a seguir: ISO/IEC 27000: SGSI – Linhas gerais e vocabulário ISO/IEC 27001: SGSI – Requisitos ISO/IEC 27002: Boas práticas para controles de SI ISO/IEC 27003: Guia de implantação do SGSI ISO/IEC 27004: Gestão da segurança da informação – Medição ISO/IEC 27005: Gestão de riscos em segurança da informação ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de SGSIs ISO/IEC 27007: Diretrizes para auditoria em SGSI Slide 7 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. ISO/IEC TR 27008: Diretrizes para auditores sobre controle de segurança da informação ISO/IEC 27010: Gestão de segurança da informação para comunicação intersetorial e interorganizacional ISO/IEC 27011: Diretrizes para gestão de segurança da informação em organizações de telecomunicação com base na ISO/IEC 27002 ISO/IEC 27013: Diretrizes para a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1 ISO/IEC 27014: Governança de segurança da informação ISO/IEC 27701: Extensão ISO 27001/2 para Privacidade de Dados ISO/IEC TR 27015: Diretrizes para a gestão de segurança da informação em serviços financeiros ISO/IEC TR 27016: Diretrizes para a gestão de segurança da informação – Empresas de economia Algumas normas da família ISO/IEC 27000 Slide 8 As normas internacionais para segurança da informação são ordenadas respeitando ordem de numeração, tal como elencado a seguir: ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. O que é a ISO/IEC 27001? ▪ Define os requisitos para implementação, operação, monitoramento, revisão, manutenção e melhoria de um SGSI. – Os requisitos começam com “DEVE”. • Na ISO/IEC 27002, começam com “CONVÊM” ▪ Essa norma é passível de certificação. ▪ Pode ser aplicada em qualquer organização, independentemente de porte ou setor. ▪ É ainda mais valorizada em empresas que priorizam a segurança da informação e a tem como fator crítico para as operações: – Empresas de finanças, TI e setores públicos. ▪ Versão vigente na ABNT: 2013 Slide 9 Quando a norma é traduzida aqui, ela recebe a denominação de ABNT NBR ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Evolução da ISO/IEC 27001 ▪ Tudo começa quando o Departamento de Comércio e Indústria do Reino Unido (DTI) cria um código de boas práticas de segurança para SI. ▪ Em 1995: o código do DTI foi adotado como padrão britânico BS7799-1. ▪ Em 1995: foi criado o padrão BS7799-2 para requisitos do SGSI. ▪ Em 2000: a ISO adotou a BS7799-1 como ISO/IEC 17799. ▪ Em 2005: a ISO publicou a ISO/IEC 27001 a partir da BS7799-2. ▪ Em 2007: a ISO/IEC 17799 foi renomeada para ISO/IEC 27002. ▪ Em 2013: é feita a primeira grande revisão da 27001 e da 27002 para alinhamento com outras ISOs. Slide 10 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. O que é um SGSI? ▪ Consiste nas políticas, procedimentos, diretrizes, recursos e atividades associados, gerenciados coletivamente por uma organização, a fim de proteger seus ativos de informação. ▪ Não necessariamente inclui um sistema automatizado. ▪ É uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança das informações de uma organização a fim de alcançar os objetivos de negócios. ▪ Não é nada mais do que vários processos de segurança interligados – quanto melhor estes processos são definidos e inter-relacionados, menos incidentes haverá. SGSI Slide 11 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuiçãodeste material. 14 componentes de um SGSI conforme ISO/IEC 27001 Fonte: ISACA Liderança e comprome- timento Objetivos de SI Política de SI Papéis, responsa- bilidades e competências Gerencia- mento de riscos Monito- ramento de desempenho e KPIs Documentação Gerenciamento de incidentes Comunicação Conscientização dos usuários Gestão de fornecedores Auditoria interna Melhoria contínua SGSI Contexto da organização Disponibilidade Slide 12 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Tópico Slide 13 Estrutura da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Seções da ISO/IEC 27001:2013 ISO/IEC 27001 Seções de requisitos 4 5 6 78 9 10 Contexto da organização Liderança Planejamento ApoioOperação Avaliação de desempenho Melhoria 0 - Introdução 1 - Escopo da norma (finalidade da norma) 2 - Referência normativa: faz referência à ISO/IEC 27000 3 - Termos e definições: aplica-se à ISO/IEC 27000 Seções introdutórias: Slide 14 Anexo A – Controles e objetivos de controle ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Adoção do modelo PDCA A ISO/IEC 27001 adota o modelo "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. Slide 15 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Adoção do modelo PDCA Contexto da organização (4) Liderança (5) Planejamento (6) Apoio (7) Operação (8) Avaliação de desempenho (9) Melhoria (10) Entendendo a organização e seu contexto (4.1) Entendendo as necessidades e expectativas das partes interessadas (4.2) Determinando o escopo do SGSI (4.3) Sistema de gestão da segurança da informação (4.4) Liderança e comprometime nto (5.1) Política (5.2) Papéis, responsabilidad e e autoridades organizacionais (5.3) Ações para contemplar riscos e oportunidades (6.1) Objetivo da segurança da informação e planos para alcançá-la (6.2) Recursos (7.1) Planejamento e controle operacional (8.1) Avaliação de riscos de segurança da informação (8.2) Tratamento de riscos de Segurança da Informação (8.3) Monitoramento, medição, análise e avaliação (9.1) Auditoria interna (9.2) Analise crítica pela Direção (9.3) Não conformidade e ações corretivas (10.1) Melhoria contínua (10.2) Competência (7.2) Conscientiza- ção (7.3) Comunicação (7.4) Informação documentada (7.5) PLAN DO CHECK ACT Slide 16 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Seções da ISO/IEC 27001:2013 0 Introdução ▪ Esta norma foi preparada com o objetivo de prover requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. 1 Escopo ▪ Esta norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. ▪ Ela também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. 2 Referências normativas ▪ Somente a ISO/IEC 27000 é considerada absolutamente essencial para os usuários da ISO/IEC 27001: as demais normas ISO27k são opcionais. 3 Termos e definições ▪ São definidos na ISO/IEC 27000. Slide 17 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Seções da ISO/IEC 27001:2013 4 Contexto da organização ▪ Enfatiza que é necessário compreender o contexto organizacional. – Questões externas e internas, bem como as partes interessadas, precisam ser identificadas e consideradas. – Este contexto servirá como base para definir o escopo do SGSI. ▪ A clausula 4.4 informa claramente que “a organização deve estabelecer, implementar, manter e melhorar continuamente” o SGSI. Organização Questões internas • Práticas • Cultura • Valores • Objetivos • Estratégia • Recursos Questões externas • Regulamentos • Concorrentes • Economia e política do país • Aspectos sociais Partes interessadas • Consumidores • Funcionários • Acionistas • Fornecedores & parceiros Slide 18 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Escopo do SGSI ▪ Um escopo documentado do SGSI é um dos requisitos obrigatórios para certificação. ▪ O seu principal propósito é definir qual informação se pretende proteger. ▪ Auditor de certificação verificará se todos os elementos do SGSI funcionam bem dentro do seu escopo; ele não verificará os departamentos ou sistemas que não estão incluídos em seu escopo. Fonte: https://advisera.com/27001academy/pt-br/knowledgebase/como-definir-o-escopo-do-sgsi/ Podemos desenhar processos que estão incluídos no escopo do SGSI e então, fora deste círculo, desenhar os processos que tem interface. Slide 19 https://advisera.com/27001academy/pt-br/knowledgebase/como-definir-o-escopo-do-sgsi/ ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. O que documentar no escopo do SGSI? A documentação do escopo do SGIS pode cobrir: ▪ Dentro do escopo: o que está no escopo. ▪ Fora de escopo: exclusões com justificativas. ▪ Partes interessadas da empresa: mencionar as principais partes interessadas. ▪ Locais geográficos / físicos da empresa: mencionar locais que fazem parte da implementação. Slide 20 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Exemplo 1 de escopo de SGSI A empresa está comprometida em proteger suas informações e as de seus clientes. Para atingir esse objetivo, ela implementou um sistema de gestão de segurança da informação de acordo com a ISO/ EC 27001: 2013. O SGSI da empresa é aplicável às seguintes áreas de negócios: • Departamento de Finanças. • Sistemas e redes internos de TI usados para back-end (como e-mail, planilhas de horas, contratos de desenvolvimento e armazenamento e elaboração de relatórios). Slide 21 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Escopo como parte do certificado emitido Slide 22 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Seções da ISO/IEC 27001:2013 5 Liderança ▪ Enfatiza que a alta gerência deve demonstrar liderança e compromisso com o SGSI, assegurando estabelecimento de políticas e objetivos, fornecendo recursos, atribuindo papéis, responsabilidades e autoridades de segurança da informação e promovendo melhoria contínua. 6 Planejamento ▪ Enfatiza o estabelecimento do processo para identificar, analisare planejar o tratamento de riscos às informações e esclarecer os objetivos de segurança das informações. ▪ Se faz necessário estabelecer uma metodologia formal de gerenciamento de riscos. ▪ Após identificar os controles necessários para tratar os riscos, deve ser elaborada uma declaração de aplicabilidade que justifique inclusões e exclusões de controles do Anexo A. Slide 23 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Template para declaração de aplicabilidade ISO/IEC 27001:2013 Controles do Anexo A Declaração de aplicabilidade Cláusula Seção Objetivo de controle/controle Aplicável? Nível de Implementação Justificativa/ evidência 5 Políticas de segurança 5,1 Orientação da direção para segurança da informação 5.1.1 Políticas para segurança da informação Sim 5.1.2 Análise crítica das políticas para segurança da informação Sim Slide 24 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Seções da ISO/IEC 27001:2013 7 Apoio ▪ Enfatiza que recursos adequados e competentes sejam determinados, havendo conscientização, planejamento de comunicação e controle de documentação do SGSI. 8 Operação ▪ Fornece requisitos para avaliar e tratar riscos de informações, gerenciar mudanças e documentar coisas (em parte para que possam ser auditadas pelos auditores de certificação). 9 Avaliação de desempenho ▪ Enfatiza que é necessário determinar o que monitorar e medir, que são necessários métodos para analisar e avaliar / auditar os controles, processos e SGSI, a fim de melhorar sistematicamente as coisas sempre que necessário. 10 Melhoria ▪ Aborda conduções de auditorias e revisões ( por exemplo, não-conformidades e ações corretivas), enfatiza fazer melhorias contínuas no SGSI. Slide 25 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Controles do Anexo A da ISO/IEC 27001 O Anexo A da ISO/IEC 27001 tem um catálogo de 114 controles de segurança em 14 grupos e 35 objetivos de controle, os quais a organização deve selecionar de acordo com a sua aplicabilidade (para tratar os riscos). A.12 Segurança nas operações A.13 Segurança nas comunicações A.14 Aquisição, desenvolvimento e manutenção de sistemas A.15 Relacionamento na cadeia de suprimento A.16 Gestão de incidentes de segurança da informação A.17 Aspectos da segurança da informação na gestão da continuidade do negócio A.18 Conformidade A.5 Políticas de segurança da informação A.6 Organização da segurança da informação A.7 Segurança em recursos humanos A.8 Gestão de ativos A.9 Controle de acesso A.10 Criptografia A.11 Segurança física e do ambiente Você pode excluir determinados controles do Anexo A se não houver riscos ou requisitos para eles em sua organização. Slide 26 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Exemplo de objetivo de controle A.5.1 Orientação da direção para segurança da informação Objetivo: Prover orientação da direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. A.5.1.1 Políticas para segurança da informação Controle Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela direção, publicado e comunicado para os funcionários e partes externas relevantes. A.5.1.2 Análise crítica das políticas para segurança da informação Controle As políticas de segurança da informação devem ser analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia. Slide 27 DENTRO DA NORMA: 27001 =================== 10 SESSÕES > 22 Cláusulas > *47 Requisitos ANEXO A da ISO-27001 (que faz referencia a 27002) ===================== 14 Grupos > 35 Objetivos > 114 Controles fazendo referência para a ISO-27002 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Comparativo entre as ISOs 27001 27002 27701 1. Escopo 2. Referências normativas 3. Termos e definições 4. Contexto da organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação 10. Melhoria 11. ANEXOS 1. Objetivo 2. Termos e definições 3. Estrutura 4. Análise de Riscos 5. Política de Seg. Inf. 6. Organizando a Seg. Inf. 7. Gestão de Ativos 8. Segurança de RH 9. Controle de Acesso 10. Criptografia 11. Segurança Física 12. Operações e Comunicações 13. Controle de Ativos 14. Sistemas de Informação 15. Gestão de Incidentes 16. Gestão da Continuidade 17. Conformidade 1. Escopo 2. Referências normativas 3. Termos e definições 4. Conceitos Gerais 5. Requisitos SGPI (27001) 6. Diretrizes SGPI (27002) 7. Diretrizes (Controladores) 8. Diretrizes (Operadores) 9. ANEXOS (A,B, C, D, E, F) SGPI: Sistema de Gestão e Privacidade da Informação SGSI: Sistema de Gestão de Seg. da Informação Slide 28 https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Demonstrar Demonstrar diretamente nas ISO/IEC 27001 e 27002 o relacionamento de conteúdos. Slide 29 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Tópico Slide 30 Certificação de organizações na ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Estágios para certificação A certificação da ISO/IEC 27001 envolve basicamente um processo de auditoria em dois estágios: Estágio 1 • Baseado em análise preliminar e informal do SGSI, faz uma verificação da existência e da completude da documentação-chave, como a política de segurança da informação, Declaração de Aplicabilidade e Plano de Tratamento de Riscos. Estágio 2 • É um detalhamento, com auditoria em profundidade, avaliando a existência e efetividade do SGSI declarado na Declaração de Aplicabilidade e Plano de Tratamento de Riscos. Slide 31 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Plano de implementação alto nível da ISO/IEC 27001 Obtenção de patrocínio da alta direção (CEO) Análise do contexto e definição de escopo do SGSI Plano de implementação Política de segurança da informação Definição de metodologia de gerenciamento de riscos Inventário de ativos de informação Avaliação de Riscos Declaração de Aplicabilidade (justificar controlesanexo A) Implementação de controles & aceitação de riscos residuais Documentação / procedimentos do SGSI Programa de conscientização Auditoria interna & análise crítica da alta direção Estágio 1: auditoria de certificação (externa) Estágio 2: auditoria de certificação final Um projeto de implementação até a certificação final pode durar em média de 6 a 9 meses dependendo do tamanho da organização. Slide 32 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Para auditoria, serão necessários documentos e registros Documentos • Refere-se ao futuro, ao planejamento, às diretrizes que nortearão os rumos da empresa. • Estabelecem onde a empresa quer chegar, como seus funcionários deverão agir e de que modo as tarefas do processo deverão ser executadas. • Exemplos: • Política de SI. • Procedimento de gerenciamento de incidentes. Registros • São anotações que ocorreram no passado, fatos que já aconteceram. • São evidências, pois de fato tais registros são a prova de alguma coisa que já aconteceu. • Exemplos: • Registros de treinamentos realizados. • Registros de auditorias realizadas. Slide 33 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Documentos obrigatórios para certificação Aqui estão os documentos para estar em conformidade com a ISO/IEC 27001 - observe que os documentos do Anexo A são obrigatórios apenas se houver riscos que exigiriam sua implementação: ▪ Escopo do SGSI (seção 4.3). ▪ Política e objetivos de segurança da informação (seções 5.2 e 6.2). ▪ Metodologia de avaliação e tratamento de riscos (seção 6.1.2). ▪ Declaração de aplicabilidade (cláusula 6.1.3 d). ▪ Plano de tratamento de riscos (cláusulas 6.1.3 e 6.2). ▪ Relatório de avaliação de riscos (seção 8.2). ▪ Definição de funções e responsabilidades de segurança (seções A.7.1.2 e A.13.2.4). ▪ Inventário de ativos (seção A.8.1.1). ▪ Uso aceitável de ativos (seção A.8.1.3). ▪ Política de controle de acessos (seção A.9.1.1). ▪ Programa de auditoria interna do SGSI (seção 9.2). Fonte: https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/ Slide 34 https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/ ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Documentos obrigatórios para certificação (continuação) ▪ Procedimentos operacionais para gerenciamento de TI (seção A.12.1.1). ▪ Princípios de engenharia de sistemas seguros (seção A.14.2.5). ▪ Política de segurança do fornecedor (cláusula A.15.1.1). ▪ Procedimento de gerenciamento de incidentes (seção A.16.1.5). ▪ Procedimentos de continuidade de negócios (seção A.17.1.2). ▪ Requisitos estatutários, regulamentares e contratuais (seção A.18.1.1). Fonte: https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/ Slide 35 https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/ ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Registros obrigatórios E aqui estão os registros obrigatórios (para evidências): ▪ Registros de treinamentos, habilidades, experiência e qualificações (seção 7.2). ▪ Resultados de monitoramento e medição (seção 9.1). ▪ Resultados das auditorias internas (seção 9.2). ▪ Resultados da análise crítica pela administração (seção 9.3). ▪ Resultados de ações corretivas (seção 10.1). ▪ Logs de atividades do usuário, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3). Fonte: https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/ Slide 36 https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/ ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Vantagens da certificação Maior segurança para a rede corporativa Diferencial para clientes que buscam empresas parceiras certificadas Redução de custos com prevenção de incidentes de segurança da informação Mais organização e produtividade Conformidade com requisitos legais Valor de mercado para divulgações e diferenciação em negociações Slide 37 ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. ISOs com maior número de certificados Norma Total de certificados válidos ISO 9001:2015 878.664 ISO 14001:2015 307.059 ISO 22000:2005&2018 32.120 ISO IEC 27001:2013 31.910 ISO 13485:2003&2016 19.472 ISO 50001:2011 18.059 ISO 45001:2018 11.952 ISO 20000-1:2011 5.327 ISO 22301:2012 1.506 ISO 28000:2007 617 ISO 39001:2012 547 ISO 37001:2016 389 Fonte: https://www.iso.org/the-iso- survey.html Resultado da pesquisa realizada pela ISO em 2018 Slide 38 https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8 https://www.iso.org/the-iso-survey.html ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Países que mais têm empresas certificadas em ISO/IEC 27001 Fonte: https://www.iso27001security.com/html/27001.html Slide 39 https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8 https://www.iso27001security.com/html/27001.html ® Todos os direitos reservados. Proibida a redistribuição deste material. Módulo 1: Visão geral da ISO/IEC 27001 ® Todos os direitos reservados. Proibida a redistribuição deste material. Países que mais têm certificados emitidos em ISO/IEC 27001 Fonte: https://www.iso.org/the-iso- survey.html Ranking País Certificados 1 China 7.199 2 Japan 5.093 3 United Kingdom of Great Britain and Northern Ireland 2.444 4 India 2.161 5 Germany 1.057 6 Italy 1.041 7 United States of America 911 8 Taiwan, Province of China 827 9 Netherlands 788 10 Spain 726 11 Turkey 707 12 Poland 700 13 Romania 585 14 Czech Republic 543 15 Hungary 484 16 Israel 439 17 Korea (Republic of) 353 18 Bulgaria 339 19 Malaysia 276 20 Australia 264 21 Greece 240 22 Thailand 239 23 France 223 .... 37 Brazil 110 Resultado da pesquisa realizada pela ISO em 2018 https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8https://www.iso.org/the-iso-survey.html