Norma 27002
Norma 27002
Seções 4 e 5
Charles Pereira Jaínaldo Silva
(2)
4. Análise/Avaliação e tratamento de riscos
4.1 Analisando/Avaliando os riscos de Segurança da Informação
• Convém que as análises de riscos identifiquem,
qualifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos para a
organização. Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de
segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra, estes riscos.
(3)
4. Análise/Avaliação e tratamento de riscos
4.1 Analisando/Avaliando os riscos de Segurança da Informação
Convém que a análise/avaliação de riscos:
• Inclua um enfoque sistemático de estimar a magnitude
do risco;
• Compare os riscos estimados contra os critérios de risco
para determinar a significância do risco.
• Periodicamente verificar os riscos que podem e devem
(4)
4. Análise/Avaliação e tratamento de riscos
4.2 Tratando os riscos de Segurança da Informação
Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ou ser aceitos.
Possíveis opções para o tratamento do risco, incluem:
• Aplicar controles para reduzir os riscos; • Conhecer e aceitar os riscos;
• Transferir os riscos associados para outra partes, por exemplo,
(5)
4. Análise/Avaliação e tratamento de riscos
4.2 Tratando os riscos de Segurança da Informação
A decisão de tratamento do risco serve para aplicar os controles apropriados
Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:
• Os requisitos e restrições de legislações e regulamentações nacionais e internacionais;
• Os objetivos organizacionais;
• Os requisitos e restrições operacionais;
• Custo de implementação;
(6)
4. Análise/Avaliação e tratamento de riscos
4.2 Tratando os riscos de Segurança da Informação
É importante reconhecer que alguns controles podem ou não ser aplicáveis a todos os sistemas de informação, e podem não ser praticáveis por todas as organizações.
Convém que os controles da segurança da informação sejam considerados na especificação de requisitos e nos estágios iniciais dos projetos e sistemas.
Nenhum conjunto de controle pode conseguir a segurança completa.
(7)
5. Política de Segurança da Informação
5.1 Política de Segurança da Informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e
demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança
(8)
5. Política de Segurança da Informação
5.1.1 Documento da política de Segurança da Informação
Controle:
Um documento da política de segurança da informação seja necessário a aprovação pela direção, publicado e
comunicado para todos os funcionários e partes externas relevantes.
Diretrizes para implementação:
Convém que o documento da política da segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação.
(9)
5. Política de Segurança da Informação
5.1.1 Documento da política de Segurança da Informação
Convém que o documento da política contenha declarações relativas a:
• Definição da segurança da informação, suas metas globais, escopo e importância;
• Estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
• Breve explanação das políticas, princípios, normas e requisitos específicos para a organização, entre eles:
• Conformidade com a legislação e com requisitos regulamentares e contratuais;
• Requisitos de conscientização, treinamento e educação em segurança da informação.
• Gestão de continuidade do negócio
• Consequências das violações da politica de segurança da informação
• Definição das responsabilidades gerais e específicas na gestão da segurança da informação;
(10)
5. Política de Segurança da Informação
5.1.2 Análise crítica da política de Segurança da Informação
Controle:
Convém que política de segurança da informação seja analisada a intervalos planejados ou quando mudanças significativas ocorrerem.
Diretrizes para implementação:
Convém que a política tenha um gestor com
responsabilidade para desenvolvimento, análise crítica e avaliação da política de segurança da informação.
(11)
5. Política de Segurança da Informação
5.1.2 Análise crítica da política de Segurança da Informação
• Convém que as entradas para a análise crítica pela direção incluam
informações como:
• Realimentação das partes interessadas;
• Resultados de análises críticas independentes;
• Situação de ações preventivas e corretivas;
• Desempenho do processo e conformidade com a política de segurança da informação;
(12)
5. Política de Segurança da Informação
5.1.2 Análise crítica da política de Segurança da Informação
Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:
• Melhoria do enfoque da organização para gerenciar a
segurança da informação e seus processos;
• Melhoria dos controles e dos objetivos de controle;
• Melhoria na alocação de recursos e/ou de responsabilidade;
Convém que um registro da análise crítica pela direção seja mantido.
Convém que a aprovação pela direção da política de segurança da informação revisada seja obtida.
(13)
Fonte
http://pt.scribd.com/doc/51112696/NBR-ISO-27002-para-impressao
(1)
5. Política de Segurança da Informação
5.1.1 Documento da política de Segurança da Informação
Controle:
Um documento da política de segurança da informação seja necessário a aprovação pela direção, publicado e
comunicado para todos os funcionários e partes externas relevantes.
Diretrizes para implementação:
Convém que o documento da política da segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação.
(2)
5. Política de Segurança da Informação
5.1.1 Documento da política de Segurança da Informação
Convém que o documento da política contenha declarações relativas a:
• Definição da segurança da informação, suas metas globais, escopo e importância;
• Estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
• Breve explanação das políticas, princípios, normas e requisitos específicos para a organização, entre eles:
• Conformidade com a legislação e com requisitos regulamentares e contratuais;
• Requisitos de conscientização, treinamento e educação em segurança da informação.
• Gestão de continuidade do negócio
• Consequências das violações da politica de segurança da informação
• Definição das responsabilidades gerais e específicas na gestão da segurança da informação; • Referências à documentação que possam apoiar a política.
(3)
5. Política de Segurança da Informação
5.1.2 Análise crítica da política de Segurança da Informação
Controle:
Convém que política de segurança da informação seja analisada a intervalos planejados ou quando mudanças significativas ocorrerem.
Diretrizes para implementação:
Convém que a política tenha um gestor com
responsabilidade para desenvolvimento, análise crítica e avaliação da política de segurança da informação.
(4)
5. Política de Segurança da Informação
5.1.2 Análise crítica da política de Segurança da Informação
• Convém que as entradas para a análise crítica pela direção incluam
informações como:
• Realimentação das partes interessadas;
• Resultados de análises críticas independentes;
• Situação de ações preventivas e corretivas;
• Desempenho do processo e conformidade com a política de segurança da informação;
(5)
5. Política de Segurança da Informação
5.1.2 Análise crítica da política de Segurança da Informação
Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:
• Melhoria do enfoque da organização para gerenciar a
segurança da informação e seus processos;
• Melhoria dos controles e dos objetivos de controle;
• Melhoria na alocação de recursos e/ou de responsabilidade; Convém que um registro da análise crítica pela direção seja mantido.
Convém que a aprovação pela direção da política de segurança da informação revisada seja obtida.
(6)
Fonte
http://pt.scribd.com/doc/51112696/NBR-ISO-27002-para-impressao