Processo de controle de acessos com iso 27001

Disponível somente no TrabalhosFeitos
  • Páginas : 6 (1476 palavras )
  • Download(s) : 0
  • Publicado : 26 de julho de 2012
Ler documento completo
Amostra do texto
PROCESSO DE CONTROLE
DE ACESSOS COM ISO 27001

OBJETIVO DO PROCESSO


Monitorar e controlar o tráfego de dados na rede



Controlar acessos a sites impróprios



Invasões à rede local



Manter a confidencialidade, integridade, disponibilidade e
autenticidade das informações

ABRANGÊNCIA
• O controle se aplica a todos os usuários de informações

ou recursos deTecnologia da Informação
disponibilizados.

QUEM SÃO OS USUÁRIOS
• Qualquer colaborador, seja ele servidor, estagiário,

cliente, parceiro, fornecedor, prestador de serviço ou
terceiro em geral que acessa informações ou utiliza
recursos de Tecnologia da Informação disponibilizados
em local ou jornada de trabalho.

CONTROLE E CONCESSÃO DE
USO/ACESSO NA PRÁTICA
• A licença para a utilizaçãodos recursos de Tecnologia da Informação é uma

concessão aos usuários que necessitem deles para desempenhar suas funções.
• Observação: A utilização poderá ser monitorada em tempo real e a licença pode

ser suspensa a qualquer momento por decisão do Gestor da Área do usuário ou
da Área de TI, de acordo com os exclusivos critérios destes, visando evitar perda
de produtividade e riscos desegurança.
• O acesso à consulta ou utilização dos recursos de TI é permitido após a

identificação do usuário, somente por meio de suas próprias credenciais de
acesso.
• As credencias de acesso aos recursos de TI são pessoais, intransferíveis e de

responsabilidade exclusiva do usuário, exceto para aqueles recursos que não
suportarem a criação de credenciais individuais.

CONTROLE ECONCESSÃO DE
USO/ACESSO NA PRÁTICA
• Toda solicitação, alteração, bloqueio e desbloqueio de acesso aos

recursos de TI ou aos sistemas deve ser documentada.
• O Gestor da Área do usuário deve informar à Área de TI ou ao

administrador do recurso de TI todos os direitos de acesso que o usuário
deve possuir.
• Todos os direitos de acesso aos recursos de TI devem ter prazo de

vigênciadefinido.
• É expressamente proibida qualquer tentativa de acesso não autorizado

aos recursos de TI.
• A utilização de contas genéricas deve ser limitada ao estritamente

necessário.

COMPETÊNCIA DOS ATORES
Área de TI
• Administrar os acessos à rede e aos sistemas;
• Elaborar procedimento de gerenciamento de senhas em consonância com a criticidade das
informações e as necessidades dosprocessos de negócio envolvidos.
Gestor da Área do Usuário
• Comunicar à área de TI todas as movimentações de pessoal que impliquem em concessão,
mudança ou revogação de acessos;
• Comunicar à área de TI sempre que tomar ciência de direitos de acesso desnecessários à
execução das atividades por parte de seus subordinados ou de terceiros.
Usuário
• Manter sigilo da senha de acesso à rede e aossistemas, sendo de sua total e exclusiva
responsabilidade qualquer operação realizada sob suas credenciais de acesso;
• Não compartilhar com terceiros seu acesso à rede ou aos sistemas;
• Informar ao seu Gestor quando forem identificados direitos de acesso desnecessários à execução
das suas atividades profissionais;
• Bloquear sua estação de trabalho ou efetuar logoff da rede sempre que seausentar de sua área de
trabalho;
• Comunicar imediatamente à área de tecnologia da informação do órgão ou entidade quando da
perda ou avaria de dispositivos adicionais de autenticação, tais como: Tokens e Smartcards, entre
outros.

OBJETIVOS DE CONTROLE E
CONTROLES DO PROCESSO
– ISO 27001

A.11 CONTROLE DE ACESSOS
A.11.1 Requisitos de negócio para controle de acesso
Objetivo: Controlaro acesso à informação.

A.11.1.1 Política de controle de
acesso

Controle
A política de controle de acesso deve ser
estabelecida, documentada e revisada,
tomando-se como base os requisitos de
acesso dos negócios e segurança.

Não
Conforme

A.11.2 Gerenciamento de acesso do usuário
Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de...
tracking img