ISO 27001 ISO 27002 ISO 27003

ISO 27004 ISO 27005 ISO 27009

ISO 27017 ISO 27031

As normas da Família ISO 27000

Palestras virtuais Portal GSTI

ISO 27040

16/09/2014

Por Fernando Palmafpalma@portalgsti.com.br

16/09/2014

Consultor em Governança de TI, Gestão de Serviços de TI e Gestão da Segurança da Informação, sócio diretor na PMG Solutions, mestrando em Adm. de Empresas, graduado em S. I. pela UNIFACS. Possui certificações como ITIL Expert, ITIL Manager, COBIT, OCEB, ISO 20.000 F e ISO 27.002 F. Professor de pós-graduação na UNIJORGE e Ruy Barbosa, de concursos na ITnerante e palestrante.

Fundador do Portal GSTI, onde tem publicado centenas de artigos, vídeo aulas e palestras virtuais. Treinou mais de 1 mil profissionais em ITIL, COBIT e gestão da segurança foi docente da Universidade Católica de Salvador. Atuou como coordenador de TI no HBA, como professor de graduação na UCSAL, de cursos de extensão na UNIFACS, como consultor, gerente de sistemas e coordenador de servicedesk pela Avansys Tecologia.

Fernando Palma

Facilitador: currículo resumido

16/09/2014

Agenda da palestra: normas ISO 27000

Introdução as

normas da família ISO 27000

Escopo de

algumas normas

da família ISO

27000

Parte 01

Parte 02

Normas da família ISO 27000

Parte 01

Segurança da informação

Família de normas p/ o SGSI

ISO/IEC 27000:2009, ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27003:2010,

ISO/IEC 27004:2009, ISO/IEC 27005:2011,

ISO/IEC 27006:2011, ISO/IEC 27007:2011,

ISO/IEC TR 27008:2011, ISO/IEC 27010:2012,

ISO/IEC 27011:2008, ISO/IEC FDIS 27013,

ISO/IEC FDIS 27014, ISO/IEC TR 27015, ISO/IEC 27016

Outras normas p/ Segurança

ISO/IEC 27017, ISO 27019, ISO 27033-1, ISO 27033-2

ISO 27033-4, ISO 27033-5, ISO 27033-227033-6

ISO 27035, ISO 27040, ISO 27041, ISO 27042....

Agenda da palestra: normas ISO 27000

Introdução as

normas da família ISO 27000

Escopo de

algumas normas

da família ISO

27000

Parte 01

Parte 02

16/09/2014

ISO 27000

ISO 27001

ISO 27002

ISO 27003

ISO 27004

ISO 27007

ISO 27010

ISO 27015

ISO 27015

ISO 27033

ISO 27034

ISO 27035

16/09/2014

ISO 27000 – Overview do SGSI

2. Termos e definições

3. Sobre SGSI

4. Resumo da família ISO 2700 p/ o SGSI

Controle de acesso, ativo, ativo ataque, autenticação, disponibilidade, confidencialidade, integridade, incidente de segurança, política procedimento, etc.

A razão para o SGSI, o que é, segurança da informação, abordagem por processos, etc.

01 de 12 01 de 12

16/09/2014

ISO 27000: Figure 1 ― ISMS Family

16/09/2014

ISO 27001 – requisitos para o SGSI 02 de

12

4.2.1 Estabelecimento SGSI

4.2.3. Monitorament

o e análise crítica do SGSI

4.2.4. Manutenção e Melhoria

do SGSI

4.2.2. Implementaç

ão e Operação do

SGSI

Plan

Do

Check

Act

Utilizada por empresas para obter certificação empresarial

Principal componente: requisitos do SGSI (seção 04)

02 de 12

Norma ISO

27001

0. Introdução 1. Objetivo

2. Referência normativa

3. Termos e definições

4. Sistema de gestão de segurança da informação

5. Responsabilidades da direção

6. Auditorias internas do SGSI

7. Análise crítica do SGSI pela direção

8. Melhoria do SGSI

Anexo A Objetivo

s de controle

e controle

s

Anexo B

Anexo C

ISO 27001

ISO 27002 – Código de prática para segurança da informação

03 de 12

Utilizada em apoio a ISO 27001

Objetivos de controle e controles

Diretrizes

Controles

O que são?

Como?

Política

s

Pro

cedim

en

tos/

Norm

as

Pro

cesso

s

Estru

tura

s org

aniza

cio

nais

Prá

ticas

Devem ser

ImplementadosEstabelecidos

Monitorados

Avaliados criticamente

Melhorados

ISO 27002

Norma ISO 27002

5.Política de segurança da informação

6.Organizando a segurança da informação

7.Gestão de Ativos

8.Segurança em recursos humanos9.Segurança Física e do Ambiente

10.Gerenciamento de operações e comunicações

11.Controle de Acesso

12.Aquisição, desenvolvimento e manutenção de sistemas da informação

13.Gestão de Incidentes de Segurança da informação

14. Gestão de Continuidade dos Negócios

15.Conformidade

ISO 27002

ISO 27003 – diretrizes para a implementação do SGSI

04 de 12

Detalhes sobre a implementação do SGSI

Um guia para a empresa que implementa o SGSI

Uma abordagem baseada em processos

1. Introdução2 Referências normativas 3. Termos e definições 4 Estrutura 5 Obtenção de aprovação da administração para iniciar um projeto de SGSI 6 Definição do escopo do SGSI, fronteiras e política de SGSI 7 Condução de uma avaliação do SGSI8 Realização de avaliação de risco e plano de tratamento de riscos 9 Planejando o SGSI

ISO 27003

ISO 27004 – métricas de medição para a gestão da segurança da informação

05 de 12

Como analisar e reportar dados

Responsabilidades na gerência de performance

Avaliação da eficácia do SGSI

ISO 27007 – diretrizes para guiar a auditoria do sistema de gestão da segurança da informação.

06 de 12

Deve ser usada junto com a ISO 27006

Usada por organizações que trabalham com auditoria e certificação de SGSI

ISO 27010 – comunicação em gestão da segurança da informação.

07 de 12

Auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado

Aborda um guia para a comunicação em gestão da segurança da informação tanto no escopo da organização como fora dela

ISO/IEC 27015– Gestão da segurança da informação para serviços financeiros.

08 de 12

ISO/IEC 27016: o mesmo raciocínio da 27015, só que para o setor de economia

Gestão da segurança da informação para serviços financeiros

ISO/IEC 27017: controles específicos para cloud computing..

09 de 12

Controles complementares para serviços em cloud computing.

ISO 27033: norma dividida em 06 partes para segurança em redes..

10 de 12

ISO 27033-1 trata sobre a introdução e conceitos gerais para segurança em redes.

ISO 27033-3: tem o objetivo de definir os riscos específicos, técnicas de projetos e controles relacionados a segurança em redes.

ISO 27033-2: guia para o planejamento, desenho, implementação e documentação da segurança em redes.

ISO 27034: segurança de aplicações, também dividida em 06 partes.

11 de 12

ISO 27034-1: trata sobre a introdução e conceitos gerais para segurança em aplicações.

ISO 27034-3: guia para o processo de gestão da segurança em aplicações.

ISO 27034-2: trata sobre a organização normativa para segurança em aplicações.

ISO 27035: guia detalhado para a gestão de incidentes de segurança da informação.

12 de 12

Cobre o processo de mapeamento de eventos e incidentes.

Auxilia na análise controle de vulnerabilidades.

ISO 27037: orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. 

Outras normas da família ISO 27000.

ISO 27038: especificação para redação digital. Trata sobre requisitos para a redação e compartilhamento da informação digital de forma adequada, seja ela publicada internamente na organização ou a partes externas. ISO 27799: gerenciamento de segurança da informação para a área de saúde.

ISO 27040: aspectos de segurança da informação para sistemas e infraestrutura de storage.

Brinde de hoje!

Desconto no curso virtual ISO 27002 – contato@portalgsti.com.br

Gostaria de ter sua opinião

Sobre esta palestra

O que você achou deste evento?Fim da

apresentação