História

De acordo com a ISO/IEC TR 13335 parte 3 - Techniques for the management of

it security. Publicada em 1998, apresenta técnicas de gestão de segurança para a área de

tecnologia da informação. Pode ser utilizada para trabalhar em conjunto com a BS

7799-2, que sugere quais os processos devem ser implantados para conduzir a gestão de

segurança, enquanto que a ISO 13335-3 descreve as técnicas.

Fundamentos da Gestão de Segurança

Governo e organizações comerciais dependem muito do uso da informação para

conduzir suas atividades empresariais. Compromisso de confidencialidade, integridade,

disponibilidade, não repúdio, responsabilidade, autenticidade e confiabilidade de uma

organização ativa pode ter um impacto adverso. Consequentemente há uma necessidade

crítica para proteger as informações e gerenciar a segurança de sistemas de TIC dentro

das organizações. Esta obrigação de proteger informações é particularmente importante

hoje em dia, o ambiente, porque muitas organizações estão interna e externamente

conectadas por redes de sistemas de TIC não necessariamente controlados por suas

organizações. Assim, a legislação em muitos países requer que a Administração tomar

as medidas adequadas para mitigar relacionado com o negócio de risco eo usa de

sistemas de TIC. Essa legislação pode abranger não só a proteção da privacidade /

dados, mas também os mercados de saúde e financeiros, entre outros.

Abrangência da Norma

As informações fornecidas na ISO / IEC 13335-1 podem não ser diretamente

aplicável a todas as organizações. Em particular, as pequenas organizações não são

susceptíveis de ter todos os recursos disponíveis para executar completamente algumas

das funções descritas. Nestas situações, é importante que os conceitos e as funções

básicas sejam tratados de uma maneira apropriada para a organização. Mesmo em

grandes organizações, algumas das funções discutidas nesta parte não podem ser

realizadas exatamente como descritas.

Processos

Os processos são constituído por um conjunto de orientações genéricas de gestão

da segurança dos TI, com 5 partes produzidas nos últimos oito anos, alguns com

atualizações recentes:

2004 - Parte 1: (ISO / IEC 13335-1 de tecnologia da informação - Técnicas de

segurança - Gestão de informação e comunicação de segurança de tecnologia. Parte 1: -

Conceitos e modelos de informação e tecnologia de comunicações de gestão de

segurança) fornece uma visão geral dos conceitos fundamentais e modelos utilizados

para descrever a gestão da segurança das TIC.

1997 - Parte 2: (ISO / IEC 13335-2 Tecnologia de Informação Técnicas de segurança -

Gestão de informação e comunicação de segurança de tecnologia - Parte 2: - Técnicas

de informação e tecnologia de comunicações de gerenciamento de riscos de segurança,

a ser publicado) descreve técnicas de gestão de riscos de segurança apropriadas para o

uso por aqueles envolvidos com atividades de gestão.

Note-se que as partes 3, 4 e 5 são Relatórios Técnicos. Como se observa no prefácio,

ISO / IEC 13335 Parte 1 substitui ISO / IEC TR 13335 Parte 1 e Parte 2. ISO / IEC

13335 Parte 2, quando publicado, irá substituir a norma ISO / IEC TR 13335 Parte 3 e

Parte 4.

1998 - Parte 3: (ISO / IEC TR 13335-3 tecnologia da informação - Técnicas de

segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 3:

Técnicas para a gestão de segurança de Tecnologia da Informação) descreve técnicas de

gestão de riscos de segurança apropriadas para o uso por aqueles que estão envolvidos

com a gestão atividades.

2000 - Parte 4: (ISO / IEC TR 13335-4 Tecnologia da informação - Técnicas de

segurança - Diretriz para a gestão de segurança de Tecnologia da Informação - Parte 4: -

Seleção de salvaguardas) fornece orientação para a seleção de salva arquivos, e como

isso pode ser apoiada pelo uso de modelos de referência e os controlos. Ele também

descreve como este complementa as técnicas de segurança descritos na Parte 2, e como

métodos de avaliação adicionais podem ser usados para a seleção de salvaguardas.

2001 - Parte 5: (ISO / IEC TR 13335-5 tecnologia da informação - Técnicas de

segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 5: -

Gestão orientação sobre segurança de rede) fornece orientação no que diz respeito às

redes e comunicações para os responsáveis pela gestão de TI segurança. Esta orientação

apoia a identificação e análise das comunicações fatores que devem ser levados em

conta para estabelecer os requisitos de segurança de rede relacionados. Ele também

contém uma breve introdução aos possíveis áreas de salvaguarda.

Política de segurança de TI

Uma política de segurança corporativa de TI deve ser produzida baseada de

acordo com a estratégia e objetivos de segurança de TI sendo necessário estabelecer e

manter uma política corporativa de segurança consistente com o negócio, segurança,

políticas de TI, legislação e regulamentação.

Atividades relevantes de segurança descritas na política de segurança podem ser

baseadas nas estratégias e objetivos organizacionais, nos resultados das análises de

risco, revisões, acompanhamento de resultados e nos relatórios de incidentes relevantes.