![\"Resumo](\"https:\/\/dhg1h5j42swfq.cloudfront.net\/2021\/07\/03125918\/image-39.png\")
Vamos conhecer os principais pontos.<\/p>\n\n\n\n
Introdu\u00e7\u00e3o<\/h2>\n\n\n\n
Para iniciar o Resumo da ISO 27001:2013, vejamos sobre o objetivo da norma e os requisitos. <\/p>\n\n\n\n
- \n
- Objetivo<\/span>:<\/strong> prover requisitos<\/strong> para<\/strong> estabelecer, implementar, manter e melhorar continuamente (EIMM<\/span><\/strong>) um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI<\/span><\/strong>).<\/li>\n<\/ul>\n\n\n\n
O SGSI<\/strong> <\/span>busca preservar a confidencialidade, integridade e disponibilidade<\/strong> da informa\u00e7\u00e3o por meio da aplica\u00e7\u00e3o de um processo de gest\u00e3o de riscos e fornece confian\u00e7a para as partes interessadas<\/strong> (partes internas e externas).<\/p>\n\n\n\n
- \n
- Requisitos<\/span><\/strong>: A ordem dos requisitos<\/strong> na norma n\u00e3o reflete sua import\u00e2ncia<\/strong> ou implica na ordem pela qual eles devem ser implementados, pois os requisitos s\u00e3o gen\u00e9ricos e podem ser aplicados a todas as organiza\u00e7\u00f5es<\/span>.<\/li>\n<\/ul>\n\n\n\n
Defini\u00e7\u00f5es<\/h2>\n\n\n\n
A norma apresenta diversas defini\u00e7\u00f5es<\/span><\/strong>, foquemos nas que podem causar algum tipo de confus\u00e3o.<\/p>\n\n\n\n
A\u00e7\u00e3o corretiva<\/span>:<\/strong> A\u00e7\u00e3o para eliminar a causa<\/strong> de uma n\u00e3o conformidade e para prevenir a recorr\u00eancia.<\/strong><\/p>\n\n\n\n
Amea\u00e7a<\/span>:<\/strong> Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organiza\u00e7\u00e3o.<\/p>\n\n\n\n
Evento de seguran\u00e7a da informa\u00e7\u00e3o:<\/span><\/strong> Identifica<\/strong> uma poss\u00edvel viola\u00e7\u00e3o<\/strong> da pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o<\/p>\n\n\n\n
Incidente de seguran\u00e7a da informa\u00e7\u00e3o:<\/span><\/strong> Eventos de seguran\u00e7a<\/strong> da informa\u00e7\u00e3o indesejados<\/strong> ou inesperados que t\u00eam uma probabilidade significativa de comprometer as opera\u00e7\u00f5es.<\/p>\n\n\n\n
Sobre riscos:<\/span><\/strong><\/p>\n\n\n\n
Risco<\/span>:<\/strong> Efeito da incerteza<\/strong> sobre os objetivos.
Risco residual:<\/span><\/strong> Risco remanescente ap\u00f3s o tratamento<\/strong> de risco.
Aceita\u00e7\u00e3o do risco<\/span>:<\/strong> Decis\u00e3o informada de assumir um risco espec\u00edfico
An\u00e1lise de risco:<\/span><\/strong> Processo para compreender a natureza do risco<\/strong> e para determinar o n\u00edvel de risco<\/strong>
Avalia\u00e7\u00e3o (assessment) de risco:<\/span><\/strong> Processo geral de identifica\u00e7\u00e3o de risco<\/strong>, an\u00e1lise de risco <\/strong>e avalia\u00e7\u00e3o de risco<\/strong>.
Avalia\u00e7\u00e3o (evaluation) de risco:<\/span><\/strong> Processo de compara\u00e7\u00e3o <\/span>dos resultados da an\u00e1lise de risco<\/strong> com os crit\u00e9rios<\/strong><\/p>\n\n\n\nRequisito<\/span><\/strong>: Necessidade<\/strong> ou expectativa declarada, geralmente impl\u00edcita ou obrigat\u00f3ria.<\/p>\n\n\n\n
Requisitos<\/h2>\n\n\n\n
Os requisitos do SGSI conforme a ISO 27001:2013 est\u00e3o separados em 7 se\u00e7\u00f5es, vamos conhec\u00ea-las.<\/p>\n\n\n\n
- \n
- Contexto da organiza\u00e7\u00e3o<\/strong>:<\/mark> entendimento da organiza\u00e7\u00e3o <\/strong>e \u00a0das necessidades<\/strong> das<\/strong> partes interessadas<\/strong>, al\u00e9m da determina\u00e7\u00e3o do escopo do SGSI<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- \n
- Lideran\u00e7a<\/strong>:<\/mark> demonstrar lideran\u00e7a e comprometimento e da pol\u00edtica, al\u00e9m da autoridade, responsabilidade e pap\u00e9is organizacionais<\/strong>. \u00a0A Alta Dire\u00e7\u00e3o deve estabelecer uma pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o<\/strong> (PSI).<\/li>\n<\/ul>\n\n\n\n
- \n
- Planejamento<\/strong>: <\/mark>planejamento de a\u00e7\u00f5es para abordar<\/strong> riscos e oportunidades<\/strong>, objetivos de seguran\u00e7a da informa\u00e7\u00e3o<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- \n
- Apoio<\/strong>:<\/mark> fornecer recursos<\/strong>, determinar compet\u00eancia<\/strong>, determinar a comunica\u00e7\u00e3o<\/strong> e incluir e assegurar a informa\u00e7\u00e3o documentada<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- \n
- Opera\u00e7\u00e3o<\/strong>: <\/mark>planejamento e controle operacionais<\/strong>, a avalia\u00e7\u00e3o de riscos<\/strong> e o tratamento dos riscos<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- \n
- Avalia\u00e7\u00e3o de desempenho<\/strong>: <\/mark>monitoramento<\/strong>, medi\u00e7\u00e3o, an\u00e1lise<\/strong> e avalia\u00e7\u00e3o<\/strong>, da auditoria interna e da an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o.<\/li>\n<\/ul>\n\n\n\n
- \n
- Melhoria<\/strong>: <\/mark>n\u00e3o conformidade<\/strong> e a\u00e7\u00f5es corretivas<\/strong>.<\/li>\n<\/ul>\n\n\n\n
Controles<\/h2>\n\n\n\n
Dando continuidade ao Resumo da ISO 27001:2013, vejamos sobre os Controles e objetivos de controles.<\/strong><\/span><\/p>\n\n\n\n
Basicamente, o anexo A<\/strong> apresenta os controles e objetivos de controles<\/strong> em se\u00e7\u00f5es 5 a 18<\/strong>, assim vamos conhec\u00ea-los de forma esquematizada.<\/p>\n\n\n\n
Obs.:<\/span><\/strong> O custo-benef\u00edcio de tentar decorar todos os itens \u00e9 p\u00e9ssimo, busque entender a estrutura geral, nesse sentido teceremos apenas coment\u00e1rios em alguns itens.<\/p>\n\n\n\n
A.5 – Pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o<\/h3>\n\n\n\n
A.5 Pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o<\/span><\/strong><\/p>\n\n\n\n
A.5.1 Orienta\u00e7\u00e3o da dire\u00e7\u00e3o<\/u> para seguran\u00e7a da informa\u00e7\u00e3o<\/span><\/strong>
A.5.1.1 Pol\u00edticas para seguran\u00e7a da informa\u00e7\u00e3o
A.5.1.2 An\u00e1lise cr\u00edtica das pol\u00edticas para seguran\u00e7a da informa\u00e7\u00e3o<\/p>\n\n\n\nA.6 Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o<\/h3>\n\n\n\n
A.6 Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o<\/span><\/strong><\/p>\n\n\n\n
A.6.1 Organiza\u00e7\u00e3o interna<\/span><\/strong>
A.6.1.1 Responsabilidades e pap\u00e9is pela seguran\u00e7a da informa\u00e7\u00e3o
A.6.1.2 Segrega\u00e7\u00e3o de fun\u00e7\u00f5es
A.6.1.3 Contato com autoridades
A.6.1.4 Contato com grupos especiais<\/strong><\/span> Ex. associa\u00e7\u00f5es profissionais ou outros f\u00f3runs especializados em seguran\u00e7a da informa\u00e7\u00e3o devem ser mantidos.
A.6.1.5 Seguran\u00e7a da informa\u00e7\u00e3o no gerenciamento de projetos<\/p>\n\n\n\nA.6.2 Dispositivos m\u00f3veis e trabalho remoto<\/span><\/strong>
A.6.2.1 Pol\u00edtica para o uso de dispositivo m\u00f3vel
A.6.2.2 Trabalho remoto<\/p>\n\n\n\nA.7 Seguran\u00e7a em recursos humanos<\/h3>\n\n\n\n
A.7 Seguran\u00e7a em recursos humanos<\/span><\/strong><\/p>\n\n\n\n
A.7.1 Antes da contrata\u00e7\u00e3o<\/strong><\/span>: Assegurar que funcion\u00e1rios e partes externas entendem<\/strong> as suas responsabilidades e est\u00e3o em conformidade com os pap\u00e9is para os quais eles foram selecionados.
A.7.1.1 Sele\u00e7\u00e3o
A.7.1.2 Termos e condi\u00e7\u00f5es de contrata\u00e7\u00e3o<\/p>\n\n\n\nA.7.2 Durante a contrata\u00e7\u00e3o<\/strong><\/span>: <\/strong>Assegurar que os funcion\u00e1rios e partes externas est\u00e3o conscientes e cumprem<\/strong> as suas responsabilidades pela seguran\u00e7a da informa\u00e7\u00e3o.
A.7.2.1 Responsabilidades da dire\u00e7\u00e3o
A.7.2.2 Conscientiza\u00e7\u00e3o, educa\u00e7\u00e3o e treinamento em seguran\u00e7a da informa\u00e7\u00e3o
A.7.2.3 Processo disciplinar<\/p>\n\n\n\nA.7.3 Encerramento e mudan\u00e7a da contrata\u00e7\u00e3o:<\/span> Proteger os interesses da organiza\u00e7\u00e3o<\/strong> como parte do processo de mudan\u00e7a ou encerramento da contrata\u00e7\u00e3o
A.7.3.1 Responsabilidades pelo encerramento ou mudan\u00e7a da contrata\u00e7\u00e3o<\/p>\n\n\n\nA.8 Gest\u00e3o de ativos<\/h3>\n\n\n\n
A.8 Gest\u00e3o de ativos<\/span><\/strong><\/p>\n\n\n\n
A.8.1. Responsabilidade pelos ativos<\/u><\/span><\/strong>
A.8.1.1 Invent\u00e1rio dos ativos<\/span>
A.8.1.2 Propriet\u00e1rio dos ativos<\/span>
A.8.1.3 Uso aceit\u00e1vel dos ativos<\/span>
A.8.1.4 Devolu\u00e7\u00e3o de ativos<\/span><\/p>\n\n\n\nA.8.2 Classifica\u00e7\u00e3o<\/u> da informa\u00e7\u00e3o<\/span>: Assegurar<\/strong> que a informa\u00e7\u00e3o receba um n\u00edvel adequado de prote\u00e7\u00e3o<\/strong>, de acordo com a sua import\u00e2ncia para a organiza\u00e7\u00e3o.
A.8.2.1 Classifica\u00e7\u00e3o<\/span> da informa\u00e7\u00e3o
A.8.2.2 R\u00f3tulos <\/span>e tratamento da informa\u00e7\u00e3o
A.8.2.3 Tratamento dos ativos<\/span><\/strong>: Procedimentos para o tratamento dos ativos<\/strong> devem ser desenvolvidos e implementados de acordo<\/strong> com o esquema de classifica\u00e7\u00e3o da informa\u00e7\u00e3o<\/strong> adotada pela organiza\u00e7\u00e3o.<\/p>\n\n\n\nA.8.3 Tratamento de m\u00eddias<\/span>:<\/span> <\/strong>Prevenir a divulga\u00e7\u00e3o n\u00e3o autorizada, modifica\u00e7\u00e3o, remo\u00e7\u00e3o ou destrui\u00e7\u00e3o da informa\u00e7\u00e3o armazenada nas m\u00eddias<\/span>.
A.8.3.1 Gerenciamento de m\u00eddias <\/span>remov\u00edveis
A.8.3.2 Descarte de m\u00eddias<\/span>
A.8.3.3 Transfer\u00eancia f\u00edsica de m\u00eddias<\/span><\/p>\n\n\n\nA.9 Controle de acesso<\/h3>\n\n\n\n
A.9 Controle de acesso<\/span><\/strong><\/p>\n\n\n\n
A.9.1 Requisitos do neg\u00f3cio para controle de acesso<\/u>:<\/span> Limitar o acesso<\/strong> \u00e0 informa\u00e7\u00e3o e aos recursos de processamento da informa\u00e7\u00e3o.
A.9.1.1 Pol\u00edtica de controle de acesso<\/span>
A.9.1.2 Acesso <\/span>\u00e0s redes e aos servi\u00e7os de rede<\/p>\n\n\n\nA.9.2 Gerenciamento de acesso do usu\u00e1rio<\/u>: <\/span><\/strong>Assegurar acesso de usu\u00e1rio autorizado e prevenir acesso n\u00e3o autorizado a sistemas e servi\u00e7os.
A.9.2.1 Registro e cancelamento de usu\u00e1rio<\/span>
A.9.2.2 Provisionamento para acesso de usu\u00e1rio<\/span>
A.9.2.3 Gerenciamento de direitos de acesso privilegiados:
A.9.2.4 Gerenciamento da informa\u00e7\u00e3o de autentica\u00e7\u00e3o secreta de usu\u00e1rios<\/span>
A.9.2.5 An\u00e1lise cr\u00edtica dos direitos de acesso de usu\u00e1rio<\/span>
A.9.2.6 Retirada ou ajuste de direitos de acesso:<\/p>\n\n\n\nA.9.3 Responsabilidades dos usu\u00e1rios<\/span>: <\/strong>Tornar os usu\u00e1rios respons\u00e1veis pela prote\u00e7\u00e3o das suas informa\u00e7\u00f5es<\/strong> de autentica\u00e7\u00e3o.
A.9.3.1 Uso da informa\u00e7\u00e3o de autentica\u00e7\u00e3o secreta<\/p>\n\n\n\nA.9.4 Controle de acesso<\/u> ao sistema e \u00e0 aplica\u00e7\u00e3o<\/span><\/strong>
A.9.4.1 Restri\u00e7\u00e3o de acesso<\/strong> \u00e0 informa\u00e7\u00e3o
A.9.4.2 Procedimentos seguros de entrada<\/strong> no sistema (logon)
A.9.4.3 Sistema de gerenciamento de senha<\/strong>
A.9.4.4 Uso de programas utilit\u00e1rios privilegiados:<\/span> <\/strong>O uso de programas utilit\u00e1rios que podem ser capazes de sobrepor os controles dos sistemas e aplica\u00e7\u00f5es deve ser restrito e estritamente controlado.
A.9.4.5 Controle de acesso<\/strong> ao c\u00f3digo-fonte de programas<\/p>\n\n\n\nA.10 Criptografia<\/h3>\n\n\n\n
A.10 Criptografia<\/span><\/strong><\/p>\n\n\n\n
A.10.1 Controles criptogr\u00e1ficos<\/span><\/strong>
A.10.1.1 Pol\u00edtica para o uso de controles criptogr\u00e1ficos<\/strong>
A.10.1.2 Gerenciamento de chaves<\/strong><\/p>\n\n\n\nA.11 Seguran\u00e7a f\u00edsica e do ambiente<\/h3>\n\n\n\n
A.11 Seguran\u00e7a f\u00edsica e do ambiente<\/u><\/span><\/strong><\/p>\n\n\n\n
A.11.1 \u00c1reas <\/span>seguras<\/span><\/strong>
A.11.1.1 Per\u00edmetro <\/span>de seguran\u00e7a f\u00edsica
A.11.1.2 Controles de entrada f\u00edsica<\/span>
A.11.1.3 Seguran\u00e7a em escrit\u00f3rios, salas e instala\u00e7\u00f5es<\/span>
A.11.1.4 Prote\u00e7\u00e3o contra amea\u00e7as externas e do meio ambiente<\/span>
A.11.1.5 Trabalhando em \u00e1reas <\/span>seguras
A.11.1.6 \u00c1reas <\/span>de entrega e de carregamento<\/p>\n\n\n\nA.11.2 Equipamentos<\/span>: <\/strong>Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrup\u00e7\u00e3o das opera\u00e7\u00f5es da organiza\u00e7\u00e3o.
- Melhoria<\/strong>: <\/mark>n\u00e3o conformidade<\/strong> e a\u00e7\u00f5es corretivas<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- Avalia\u00e7\u00e3o de desempenho<\/strong>: <\/mark>monitoramento<\/strong>, medi\u00e7\u00e3o, an\u00e1lise<\/strong> e avalia\u00e7\u00e3o<\/strong>, da auditoria interna e da an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o.<\/li>\n<\/ul>\n\n\n\n
- Opera\u00e7\u00e3o<\/strong>: <\/mark>planejamento e controle operacionais<\/strong>, a avalia\u00e7\u00e3o de riscos<\/strong> e o tratamento dos riscos<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- Apoio<\/strong>:<\/mark> fornecer recursos<\/strong>, determinar compet\u00eancia<\/strong>, determinar a comunica\u00e7\u00e3o<\/strong> e incluir e assegurar a informa\u00e7\u00e3o documentada<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- Planejamento<\/strong>: <\/mark>planejamento de a\u00e7\u00f5es para abordar<\/strong> riscos e oportunidades<\/strong>, objetivos de seguran\u00e7a da informa\u00e7\u00e3o<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- Lideran\u00e7a<\/strong>:<\/mark> demonstrar lideran\u00e7a e comprometimento e da pol\u00edtica, al\u00e9m da autoridade, responsabilidade e pap\u00e9is organizacionais<\/strong>. \u00a0A Alta Dire\u00e7\u00e3o deve estabelecer uma pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o<\/strong> (PSI).<\/li>\n<\/ul>\n\n\n\n
- Contexto da organiza\u00e7\u00e3o<\/strong>:<\/mark> entendimento da organiza\u00e7\u00e3o <\/strong>e \u00a0das necessidades<\/strong> das<\/strong> partes interessadas<\/strong>, al\u00e9m da determina\u00e7\u00e3o do escopo do SGSI<\/strong>.<\/li>\n<\/ul>\n\n\n\n
- Requisitos<\/span><\/strong>: A ordem dos requisitos<\/strong> na norma n\u00e3o reflete sua import\u00e2ncia<\/strong> ou implica na ordem pela qual eles devem ser implementados, pois os requisitos s\u00e3o gen\u00e9ricos e podem ser aplicados a todas as organiza\u00e7\u00f5es<\/span>.<\/li>\n<\/ul>\n\n\n\n