Gestão de Segurança da Informação
NORMAS NBR ISO/IEC 27001, 27002 e 27005

@thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters

sexta-feira, 5 de novembro de 2010

As Normas
• NBR ISO/IEC 27001 - Requisitos para implantar um SGSI

• NBR ISO/IEC 27002 - Práticas para a gestão de SI

• NBR ISO/IEC 27005 - Gestão de riscos de SI

• 27004 e 27003 - Gestão de SI (Medição) e Guia de Impl. SGSI

• 27006 e 27007 - Requisitos e Diretrizes para auditoria de um SGSI

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

Estrutura

0. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições

4. Sistema de gestão de segurança da informação
(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)

5. Responsabilidades da direção
(Comprometimento da direção / Gestão de recursos)

6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
(Geral / Entradas para a análise crítica / Saídas da Análise Crítica)

8. Melhoria do SGSI

(Melhoria contínua / Ação corretiva / Ação preventiva) sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

Estrutura

Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princípios da OECD*
Anexo C - informativo:
Correspondência c/ ISO 9001 e ISO 14001
*Organização para cooperação e desenvolvimento econômico sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introdução

Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gestão de Segurança da Informação (SGSI).
EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

0. Introdução

- A adoção de um SGSI é estratégica;
- Necessidades e objetivos, requisitos de segurança, processos empregados, tamanho e estrutura da organização direcionam a implementação; - SGSIs mudam ao longo do tempo;
- Norma pode ser usada para avaliar a conformidade pelas partes