Aul o Beneficente
NORMAS NBR ISO/IEC 27001, 27002 e 27005
@thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters
sexta-feira, 5 de novembro de 2010
As Normas
• NBR ISO/IEC 27001 - Requisitos para implantar um SGSI
• NBR ISO/IEC 27002 - Práticas para a gestão de SI
• NBR ISO/IEC 27005 - Gestão de riscos de SI
• 27004 e 27003 - Gestão de SI (Medição) e Guia de Impl. SGSI
• 27006 e 27007 - Requisitos e Diretrizes para auditoria de um SGSI
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
Estrutura
0. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)
5. Responsabilidades da direção
(Comprometimento da direção / Gestão de recursos)
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
(Geral / Entradas para a análise crítica / Saídas da Análise Crítica)
8. Melhoria do SGSI
(Melhoria contínua / Ação corretiva / Ação preventiva) sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
Estrutura
Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princípios da OECD*
Anexo C - informativo:
Correspondência c/ ISO 9001 e ISO 14001
*Organização para cooperação e desenvolvimento econômico sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
0. Introdução
Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gestão de Segurança da Informação (SGSI).
EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
0. Introdução
- A adoção de um SGSI é estratégica;
- Necessidades e objetivos, requisitos de segurança, processos empregados, tamanho e estrutura da organização direcionam a implementação; - SGSIs mudam ao longo do tempo;
- Norma pode ser usada para avaliar a conformidade pelas partes