Logo Passei Direto
Buscar
Material
páginas com resultados encontrados.
páginas com resultados encontrados.

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Prévia do material em texto

® Todos os direitos reservados. Proibida a redistribuição deste material. 
SCRUM MASTER
Curso
ADVANCED
Versão: 1.1 Liberação: 13/07/2020
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica 
deste material sem a permissão expressa do autor. 
INICIANTE INTERMEDIÁRIO AVANÇADO
Dificuldade
INFORMATION SECURITY MANAGEMENT
Curso oficial EXIN
ISMP
Formação de 
Information
Security Officer 
(ISO)
PROFESSIONAL
based on 
ISO/IEC 
27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Este módulo cobre:
▪ Visão geral das normas da família ISO/IEC 27000. 
▪ Estrutura da norma ISO/IEC 27001. 
▪ Certificação de organizações na ISO/IEC 27001. 
Módulo 01
Slide 2
Visão geral da ISO/IEC 27001
0%
Peso 
Foundation
Peso 
Essentials
1
peso exame
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Tópico
Slide 3
Visão geral das normas da família 
ISO/IEC 27000
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Siglas importantes
International 
Organization for 
Standardization
ISO
International 
Electrotechnical 
Commission
IEC
Associação 
Brasileira de 
Normas 
Técnicas
ABNT
Norma 
Brasileira
NBR
Segurança da 
Informação
SI
Sistema de 
Gerenciamento 
de Segurança 
da Informação
SGSI
Slide 4
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Conceitos básicos 
Antes de iniciar o estudo sobre a ISO/IEC 27001, devemos entender os conceitos 
referentes a: 
▪ Normas: têm como propósito definir regras e instrumentos de controle para assegurar a 
conformidade de um processo, produto ou serviço. 
▪ Políticas: contêm orientações para alcançar conformidade com os objetivos de negócio. 
▪ Regulamentações: são exigências estabelecidas por leis e regulamentos de setor. 
▪ Baseline: nível mínimo de proteção nos sistemas críticos. A ISO/IEC 27001 e 27002 
podem ser consideradas uma linha de base de proteção da segurança da informação.
– Ou seja, quando a empresa não sabe pode onde começar, pode implementar os
controles propostos por essas normas.
▪ Diretrizes:
– Em um contexto estratégico, podem ser interpretadas como ações ou caminhos a 
serem seguidos em determinados momentos. 
– Orientam o que deve ser feito e como para que se alcancem os objetivos 
estabelecidos na política [ISO 27002].
▪ Procedimentos: são instruções no nível operacional. 
Slide 5
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Família ISO/IEC 27000
▪ A série ISO / IEC 
27000 (também 
conhecida como 'Família 
de normas GSI' ou 
'ISO27K') inclui normas 
de segurança da 
informação publicadas 
em conjunto pela ISO 
e pela IEC. 
▪ Existem mais de 40 
normas nessa família. 
Vocabulário
Requisitos
Diretrizes
Guias 
específicos 
para setores
Guias de 
controle 
específicos
Slide 6
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Algumas normas da família ISO/IEC 27000
As normas internacionais para segurança da informação são ordenadas respeitando ordem 
de numeração, tal como elencado a seguir:
ISO/IEC 27000: SGSI – Linhas gerais e vocabulário
ISO/IEC 27001: SGSI – Requisitos
ISO/IEC 27002: Boas práticas para controles de SI
ISO/IEC 27003: Guia de implantação do SGSI
ISO/IEC 27004: Gestão da segurança da informação – Medição
ISO/IEC 27005: Gestão de riscos em segurança da informação
ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de SGSIs
ISO/IEC 27007: Diretrizes para auditoria em SGSI
Slide 7
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
ISO/IEC TR 27008: Diretrizes para auditores sobre controle de segurança da informação
ISO/IEC 27010: Gestão de segurança da informação para comunicação intersetorial e interorganizacional
ISO/IEC 27011: Diretrizes para gestão de segurança da informação em organizações de 
telecomunicação com base na ISO/IEC 27002
ISO/IEC 27013: Diretrizes para a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1
ISO/IEC 27014: Governança de segurança da informação
ISO/IEC 27701: Extensão ISO 27001/2 para Privacidade de Dados
ISO/IEC TR 27015: Diretrizes para a gestão de segurança da informação em serviços financeiros
ISO/IEC TR 27016: Diretrizes para a gestão de segurança da informação – Empresas de economia
Algumas normas da família ISO/IEC 27000
Slide 8
As normas internacionais para segurança da informação são ordenadas respeitando ordem 
de numeração, tal como elencado a seguir:
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
O que é a ISO/IEC 27001?
▪ Define os requisitos para implementação, 
operação, monitoramento, revisão, 
manutenção e melhoria de um SGSI.
– Os requisitos começam com “DEVE”. 
• Na ISO/IEC 27002, começam 
com “CONVÊM”
▪ Essa norma é passível de certificação. 
▪ Pode ser aplicada em qualquer 
organização, independentemente de 
porte ou setor. 
▪ É ainda mais valorizada em empresas 
que priorizam a segurança da informação 
e a tem como fator crítico para as 
operações:
– Empresas de finanças, TI e setores 
públicos.
▪ Versão vigente na ABNT: 2013
Slide 9
Quando a norma é traduzida aqui, ela 
recebe a denominação de ABNT NBR
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Evolução da ISO/IEC 27001
▪ Tudo começa quando o Departamento de Comércio e Indústria do Reino Unido (DTI) cria 
um código de boas práticas de segurança para SI.
▪ Em 1995: o código do DTI foi adotado como padrão britânico BS7799-1.
▪ Em 1995: foi criado o padrão BS7799-2 para requisitos do SGSI.
▪ Em 2000: a ISO adotou a BS7799-1 como ISO/IEC 17799.
▪ Em 2005: a ISO publicou a ISO/IEC 27001 a partir da BS7799-2.
▪ Em 2007: a ISO/IEC 17799 foi renomeada para ISO/IEC 27002.
▪ Em 2013: é feita a primeira grande revisão da 27001 e da 27002 para alinhamento com 
outras ISOs.
Slide 10
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
O que é um SGSI?
▪ Consiste nas políticas, procedimentos, 
diretrizes, recursos e atividades associados, 
gerenciados coletivamente por uma 
organização, a fim de proteger seus ativos de 
informação.
▪ Não necessariamente inclui um sistema 
automatizado.
▪ É uma abordagem sistemática para 
estabelecer, implementar, operar, monitorar, 
revisar, manter e melhorar a segurança das 
informações de uma organização a fim de 
alcançar os objetivos de negócios.
▪ Não é nada mais do que vários processos de 
segurança interligados – quanto melhor estes 
processos são definidos e inter-relacionados, 
menos incidentes haverá.
SGSI
Slide 11
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuiçãodeste material. 
14 componentes de um SGSI conforme ISO/IEC 27001
Fonte: ISACA
Liderança e 
comprome-
timento
Objetivos de 
SI
Política de 
SI
Papéis, 
responsa-
bilidades e 
competências
Gerencia-
mento de 
riscos
Monito-
ramento de 
desempenho 
e KPIs
Documentação
Gerenciamento 
de incidentes
Comunicação Conscientização 
dos usuários
Gestão de 
fornecedores
Auditoria 
interna
Melhoria 
contínua
SGSI
Contexto da 
organização
Disponibilidade
Slide 12
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Tópico
Slide 13
Estrutura da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Seções da ISO/IEC 27001:2013
ISO/IEC 
27001 
Seções de 
requisitos
4
5
6
78
9
10
Contexto da organização
Liderança
Planejamento
ApoioOperação
Avaliação de 
desempenho 
Melhoria
0 - Introdução
1 - Escopo da norma 
(finalidade da norma)
2 - Referência normativa: 
faz referência à ISO/IEC 
27000
3 - Termos e definições: 
aplica-se à ISO/IEC 27000
Seções introdutórias: 
Slide 14
Anexo A – Controles e 
objetivos de controle
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Adoção do modelo PDCA
A ISO/IEC 27001 adota o modelo "Plan-Do-Check-Act” (PDCA), que é aplicado para 
estruturar todos os processos do SGSI.
Slide 15
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Adoção do modelo PDCA
Contexto da 
organização 
(4)
Liderança (5)
Planejamento 
(6)
Apoio (7) Operação (8)
Avaliação de 
desempenho 
(9)
Melhoria (10)
Entendendo a 
organização e 
seu contexto 
(4.1)
Entendendo as 
necessidades e 
expectativas 
das partes 
interessadas 
(4.2)
Determinando 
o escopo do 
SGSI
(4.3)
Sistema de 
gestão da 
segurança da 
informação 
(4.4)
Liderança e 
comprometime
nto (5.1)
Política (5.2)
Papéis, 
responsabilidad
e e autoridades 
organizacionais 
(5.3)
Ações para 
contemplar 
riscos e 
oportunidades 
(6.1)
Objetivo da 
segurança da 
informação e 
planos para 
alcançá-la (6.2)
Recursos (7.1)
Planejamento e 
controle 
operacional 
(8.1)
Avaliação de 
riscos de 
segurança da 
informação 
(8.2)
Tratamento de 
riscos de 
Segurança da 
Informação 
(8.3)
Monitoramento, 
medição, 
análise e 
avaliação (9.1)
Auditoria 
interna (9.2)
Analise crítica 
pela Direção 
(9.3)
Não 
conformidade e 
ações 
corretivas 
(10.1)
Melhoria 
contínua (10.2)
Competência 
(7.2)
Conscientiza-
ção (7.3)
Comunicação 
(7.4)
Informação 
documentada 
(7.5)
PLAN DO CHECK ACT
Slide 16
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Seções da ISO/IEC 27001:2013
0 Introdução
▪ Esta norma foi preparada com o objetivo de prover requisitos para estabelecer, 
implementar, manter e melhorar continuamente um SGSI. 
1 Escopo
▪ Esta norma especifica os requisitos para estabelecer, implementar, manter e melhorar 
continuamente um sistema de gestão da segurança da informação dentro do contexto da 
organização. 
▪ Ela também inclui requisitos para a avaliação e tratamento de riscos de segurança da 
informação voltados para as necessidades da organização. 
2 Referências normativas
▪ Somente a ISO/IEC 27000 é considerada absolutamente essencial para os usuários da 
ISO/IEC 27001: as demais normas ISO27k são opcionais.
3 Termos e definições
▪ São definidos na ISO/IEC 27000.
Slide 17
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Seções da ISO/IEC 27001:2013
4 Contexto da organização
▪ Enfatiza que é necessário 
compreender o contexto 
organizacional. 
– Questões externas e internas, 
bem como as partes 
interessadas, precisam ser 
identificadas e consideradas.
– Este contexto servirá como base 
para definir o escopo do SGSI.
▪ A clausula 4.4 informa claramente 
que “a organização deve estabelecer, 
implementar, manter e melhorar 
continuamente” o SGSI.
Organização
Questões internas
• Práticas
• Cultura
• Valores
• Objetivos
• Estratégia
• Recursos
Questões externas
• Regulamentos
• Concorrentes
• Economia e 
política do país
• Aspectos sociais
Partes 
interessadas
• Consumidores
• Funcionários
• Acionistas
• Fornecedores & 
parceiros
Slide 18
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Escopo do SGSI
▪ Um escopo documentado do 
SGSI é um 
dos requisitos obrigatórios
para certificação.
▪ O seu principal propósito é 
definir qual informação se 
pretende proteger.
▪ Auditor de certificação 
verificará se todos os 
elementos do SGSI 
funcionam bem dentro do 
seu escopo; ele não 
verificará os departamentos 
ou sistemas que não 
estão incluídos em seu 
escopo.
Fonte: https://advisera.com/27001academy/pt-br/knowledgebase/como-definir-o-escopo-do-sgsi/
Podemos desenhar processos que estão incluídos 
no escopo do SGSI e então, fora deste círculo, 
desenhar os processos que tem interface. 
Slide 19
https://advisera.com/27001academy/pt-br/knowledgebase/como-definir-o-escopo-do-sgsi/
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
O que documentar no escopo do SGSI?
A documentação do escopo do SGIS pode cobrir:
▪ Dentro do escopo: o que está no escopo.
▪ Fora de escopo: exclusões com justificativas.
▪ Partes interessadas da empresa: mencionar as principais partes interessadas.
▪ Locais geográficos / físicos da empresa: mencionar locais que fazem parte da 
implementação. 
Slide 20
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Exemplo 1 de escopo de SGSI
A empresa está comprometida em proteger suas informações e as de seus 
clientes. Para atingir esse objetivo, ela implementou um sistema de gestão 
de segurança da informação de acordo com a ISO/ EC 27001: 2013. 
O SGSI da empresa é aplicável às seguintes áreas de negócios: 
• Departamento de Finanças.
• Sistemas e redes internos de TI usados ​​para back-end (como e-mail, 
planilhas de horas, contratos de desenvolvimento e armazenamento e 
elaboração de relatórios).
Slide 21
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Escopo como parte do certificado emitido
Slide 22
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Seções da ISO/IEC 27001:2013
5 Liderança
▪ Enfatiza que a alta gerência deve demonstrar liderança e compromisso com o SGSI, 
assegurando estabelecimento de políticas e objetivos, fornecendo recursos, atribuindo 
papéis, responsabilidades e autoridades de segurança da informação e promovendo 
melhoria contínua.
6 Planejamento
▪ Enfatiza o estabelecimento do processo para identificar, analisare planejar o tratamento 
de riscos às informações e esclarecer os objetivos de segurança das informações.
▪ Se faz necessário estabelecer uma metodologia formal de gerenciamento de riscos. 
▪ Após identificar os controles necessários para tratar os riscos, deve ser elaborada uma 
declaração de aplicabilidade que justifique inclusões e exclusões de controles do 
Anexo A. 
Slide 23
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Template para declaração de aplicabilidade
ISO/IEC 27001:2013 Controles do Anexo A Declaração de aplicabilidade
Cláusula Seção
Objetivo de 
controle/controle
Aplicável?
Nível de 
Implementação
Justificativa/ 
evidência
5 Políticas de 
segurança
5,1
Orientação da direção 
para segurança da 
informação 
5.1.1
Políticas para 
segurança da 
informação 
Sim
5.1.2
Análise crítica das 
políticas para 
segurança da 
informação 
Sim
Slide 24
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Seções da ISO/IEC 27001:2013
7 Apoio
▪ Enfatiza que recursos adequados e competentes sejam determinados, havendo 
conscientização, planejamento de comunicação e controle de documentação do SGSI.
8 Operação
▪ Fornece requisitos para avaliar e tratar riscos de informações, gerenciar mudanças e 
documentar coisas (em parte para que possam ser auditadas pelos auditores de 
certificação).
9 Avaliação de desempenho
▪ Enfatiza que é necessário determinar o que monitorar e medir, que são necessários 
métodos para analisar e avaliar / auditar os controles, processos e SGSI, a fim de 
melhorar sistematicamente as coisas sempre que necessário.
10 Melhoria
▪ Aborda conduções de auditorias e revisões ( por exemplo, não-conformidades e ações 
corretivas), enfatiza fazer melhorias contínuas no SGSI.
Slide 25
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Controles do Anexo A da ISO/IEC 27001
O Anexo A da ISO/IEC 27001 tem um catálogo de 114 controles de segurança em 14 
grupos e 35 objetivos de controle, os quais a organização deve selecionar de acordo com 
a sua aplicabilidade (para tratar os riscos). 
A.12 Segurança nas operações 
A.13 Segurança nas comunicações 
A.14 Aquisição, desenvolvimento e manutenção 
de sistemas 
A.15 Relacionamento na cadeia de suprimento 
A.16 Gestão de incidentes de segurança da 
informação 
A.17 Aspectos da segurança da informação na 
gestão da continuidade do negócio 
A.18 Conformidade 
A.5 Políticas de segurança da informação 
A.6 Organização da segurança da informação 
A.7 Segurança em recursos humanos 
A.8 Gestão de ativos 
A.9 Controle de acesso 
A.10 Criptografia 
A.11 Segurança física e do ambiente 
Você pode excluir determinados controles do Anexo A se não houver riscos ou requisitos 
para eles em sua organização.
Slide 26
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Exemplo de objetivo de controle
A.5.1 Orientação da direção para segurança da informação 
Objetivo: Prover orientação da direção e apoio para a segurança da informação de acordo com 
os requisitos do negócio e com as leis e regulamentações relevantes.
A.5.1.1 Políticas para 
segurança da 
informação 
Controle 
Um conjunto de políticas de segurança da informação deve 
ser definido, aprovado pela direção, publicado e comunicado 
para os funcionários e partes externas relevantes. 
A.5.1.2 Análise crítica das 
políticas para 
segurança da 
informação 
Controle 
As políticas de segurança da informação devem ser 
analisadas criticamente a intervalos planejados ou quando 
mudanças significativas ocorrerem, para assegurar a sua 
contínua pertinência, adequação e eficácia. 
Slide 27
DENTRO DA NORMA: 27001
===================
10 SESSÕES > 22 Cláusulas > *47 Requisitos 
ANEXO A da ISO-27001 (que faz referencia a 27002)
=====================
14 Grupos > 35 Objetivos > 114 Controles fazendo referência para a ISO-27002
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Comparativo entre as ISOs
27001 27002 27701
1. Escopo
2. Referências normativas
3. Termos e definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação
10. Melhoria
11. ANEXOS
1. Objetivo
2. Termos e definições
3. Estrutura
4. Análise de Riscos
5. Política de Seg. Inf.
6. Organizando a Seg. Inf.
7. Gestão de Ativos
8. Segurança de RH
9. Controle de Acesso
10. Criptografia
11. Segurança Física
12. Operações e Comunicações
13. Controle de Ativos
14. Sistemas de Informação
15. Gestão de Incidentes
16. Gestão da Continuidade
17. Conformidade
1. Escopo
2. Referências normativas
3. Termos e definições
4. Conceitos Gerais
5. Requisitos SGPI (27001)
6. Diretrizes SGPI (27002)
7. Diretrizes (Controladores)
8. Diretrizes (Operadores)
9. ANEXOS (A,B, C, D, E, F)
SGPI:
Sistema 
de Gestão e 
Privacidade 
da 
Informação
SGSI:
Sistema 
de Gestão 
de Seg. da 
Informação
Slide 28
https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Demonstrar
Demonstrar diretamente nas ISO/IEC 27001 e 
27002 o relacionamento de conteúdos. 
Slide 29
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Tópico
Slide 30
Certificação de organizações na 
ISO/IEC 27001 
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Estágios para certificação
A certificação da ISO/IEC 27001 envolve basicamente um processo de auditoria em dois 
estágios:
Estágio 1
• Baseado em análise 
preliminar e informal do SGSI, 
faz uma verificação da 
existência e da completude 
da documentação-chave, 
como a política de segurança 
da informação, Declaração de 
Aplicabilidade e Plano de 
Tratamento de Riscos.
Estágio 2
• É um detalhamento, com 
auditoria em profundidade, 
avaliando a existência e 
efetividade do SGSI 
declarado na Declaração de 
Aplicabilidade e Plano de 
Tratamento de Riscos.
Slide 31
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Plano de implementação alto nível da ISO/IEC 27001
Obtenção de 
patrocínio da alta 
direção (CEO)
Análise do 
contexto e 
definição de 
escopo do SGSI
Plano de 
implementação
Política de 
segurança da 
informação
Definição de 
metodologia de 
gerenciamento de 
riscos
Inventário de 
ativos de 
informação
Avaliação de 
Riscos
Declaração de 
Aplicabilidade 
(justificar 
controlesanexo A)
Implementação de 
controles & 
aceitação de 
riscos residuais
Documentação / 
procedimentos do 
SGSI
Programa de 
conscientização 
Auditoria interna & 
análise crítica da 
alta direção
Estágio 1: 
auditoria de 
certificação 
(externa)
Estágio 2: 
auditoria de 
certificação final
Um projeto de implementação até a 
certificação final pode durar em média de 
6 a 9 meses dependendo do tamanho da 
organização. 
Slide 32
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Para auditoria, serão necessários documentos e registros
Documentos
• Refere-se ao futuro, ao 
planejamento, às diretrizes que 
nortearão os rumos da empresa. 
• Estabelecem onde a empresa quer 
chegar, como seus funcionários 
deverão agir e de que modo as 
tarefas do processo deverão ser 
executadas. 
• Exemplos:
• Política de SI.
• Procedimento de gerenciamento 
de incidentes.
Registros 
• São anotações que ocorreram no 
passado, fatos que já aconteceram. 
• São evidências, pois de fato tais 
registros são a prova de alguma coisa 
que já aconteceu. 
• Exemplos:
• Registros de treinamentos 
realizados. 
• Registros de auditorias realizadas. 
Slide 33
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Documentos obrigatórios para certificação
Aqui estão os documentos para estar em conformidade com a ISO/IEC 27001 - observe que 
os documentos do Anexo A são obrigatórios apenas se houver riscos que exigiriam sua 
implementação:
▪ Escopo do SGSI (seção 4.3).
▪ Política e objetivos de segurança da informação (seções 5.2 e 6.2).
▪ Metodologia de avaliação e tratamento de riscos (seção 6.1.2).
▪ Declaração de aplicabilidade (cláusula 6.1.3 d).
▪ Plano de tratamento de riscos (cláusulas 6.1.3 e 6.2).
▪ Relatório de avaliação de riscos (seção 8.2).
▪ Definição de funções e responsabilidades de segurança (seções A.7.1.2 e A.13.2.4).
▪ Inventário de ativos (seção A.8.1.1).
▪ Uso aceitável de ativos (seção A.8.1.3).
▪ Política de controle de acessos (seção A.9.1.1).
▪ Programa de auditoria interna do SGSI (seção 9.2).
Fonte: https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
Slide 34
https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Documentos obrigatórios para certificação (continuação)
▪ Procedimentos operacionais para gerenciamento de TI (seção A.12.1.1).
▪ Princípios de engenharia de sistemas seguros (seção A.14.2.5).
▪ Política de segurança do fornecedor (cláusula A.15.1.1).
▪ Procedimento de gerenciamento de incidentes (seção A.16.1.5).
▪ Procedimentos de continuidade de negócios (seção A.17.1.2).
▪ Requisitos estatutários, regulamentares e contratuais (seção A.18.1.1).
Fonte: https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
Slide 35
https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Registros obrigatórios
E aqui estão os registros obrigatórios (para evidências):
▪ Registros de treinamentos, habilidades, experiência e qualificações (seção 7.2).
▪ Resultados de monitoramento e medição (seção 9.1).
▪ Resultados das auditorias internas (seção 9.2).
▪ Resultados da análise crítica pela administração (seção 9.3).
▪ Resultados de ações corretivas (seção 10.1).
▪ Logs de atividades do usuário, exceções e eventos de segurança (cláusulas A.12.4.1 e 
A.12.4.3).
Fonte: https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
Slide 36
https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Vantagens da certificação
Maior segurança 
para a rede 
corporativa 
Diferencial para 
clientes que 
buscam empresas 
parceiras 
certificadas 
Redução de custos 
com prevenção de 
incidentes de 
segurança da 
informação 
Mais organização e 
produtividade 
Conformidade com 
requisitos legais 
Valor de mercado 
para divulgações e 
diferenciação em 
negociações
Slide 37
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
ISOs com maior número de certificados
Norma
Total de certificados 
válidos
ISO 9001:2015 878.664
ISO 14001:2015 307.059
ISO 22000:2005&2018 32.120
ISO IEC 27001:2013 31.910
ISO 13485:2003&2016 19.472
ISO 50001:2011 18.059
ISO 45001:2018 11.952
ISO 20000-1:2011 5.327
ISO 22301:2012 1.506
ISO 28000:2007 617
ISO 39001:2012 547
ISO 37001:2016 389
Fonte: 
https://www.iso.org/the-iso-
survey.html
Resultado da 
pesquisa 
realizada pela ISO 
em 2018
Slide 38
https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8
https://www.iso.org/the-iso-survey.html
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Países que mais têm empresas certificadas em ISO/IEC 27001
Fonte: https://www.iso27001security.com/html/27001.html Slide 39
https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8
https://www.iso27001security.com/html/27001.html
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Módulo 1: Visão geral da ISO/IEC 27001
® Todos os direitos reservados. Proibida a redistribuição deste material. 
Países que mais têm certificados emitidos em ISO/IEC 27001
Fonte: 
https://www.iso.org/the-iso-
survey.html
Ranking País Certificados
1 China 7.199
2 Japan 5.093
3
United Kingdom of Great Britain and 
Northern Ireland 2.444
4 India 2.161
5 Germany 1.057
6 Italy 1.041
7 United States of America 911
8 Taiwan, Province of China 827
9 Netherlands 788
10 Spain 726
11 Turkey 707
12 Poland 700
13 Romania 585
14 Czech Republic 543
15 Hungary 484
16 Israel 439
17 Korea (Republic of) 353
18 Bulgaria 339
19 Malaysia 276
20 Australia 264
21 Greece 240
22 Thailand 239
23 France 223
....
37 Brazil 110
Resultado da 
pesquisa 
realizada pela ISO 
em 2018
https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.actia.com%2Fmedia%2Fzoo%2Fimages%2FLogo-ISO27001_0dcac661105a7d49f51f7e6d22c7df40.jpg&imgrefurl=https%3A%2F%2Fwww.actia.com%2Fen%2Fpress%2Fnews%2Fitem%2FWith%2520its%2520ISO%252027001%2520certification%2C%2520ACTIA%2520sets%2520its%2520sights%2520on%2520total%2520security&docid=rsMaGQSrxyt2WM&tbnid=Z5TZYl-vusdanM%3A&vet=10ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg..i&w=1000&h=1000&bih=712&biw=1485&q=ISO-27001&ved=0ahUKEwj_yqCL-PzmAhX5HbkGHdPzA04QMwhUKAYwBg&iact=mrc&uact=8https://www.iso.org/the-iso-survey.html

Mais conteúdos dessa disciplina