Normas de segurança da informação: a iso 27001

ISO 27001 é um padrão internacional altamente respeitada para a gestão de segurança da informação que você precisa saber para trabalhar no campo. ISO 27001 utiliza o termo sistema de gestão de segurança da informação (ISMS)

para descrever os processos e registros necessários para a gestão de segurança eficaz em organizações de qualquer tamanho.

O nome completo da norma é A tecnologia da informação - segurança da informação Segurança técnicas- mamãensistemas agement - Requisitos. Esse nome complicado está relacionada com as duas principais seções do padrão.

requisitos

A seção requisitos da norma descreve as características necessárias para uma organização para gerir adequadamente seu SGSI. A secção exigências consiste no seguinte:

  • Contexto da organização: O âmbito do padrão em uma organização

  • Liderança: O compromisso da gestão executiva para manter uma política ISMS e de segurança eficaz, e formalmente estabelecendo papéis e responsabilidades relacionadas com a segurança

  • Planejamento: Atividades como avaliações de risco e tratamento de riscos

  • Apoio, suporte: Fornecendo os recursos necessários, treinamento e comunicações em matéria de segurança

  • informações documentadas: práticas consistentes relacionadas com documentos e registros relacionados à segurança

  • Operação: Realizar avaliações de riscos e tratamento de riscos

  • Avaliação de desempenho: monitoramento de segurança, auditoria interna e análise crítica pela administração

  • Melhoria: Observando e aproveitar as oportunidades para tornar os processos e controles de segurança melhor ao longo do tempo.

    Video: Normas de Segurança da Informação - Prof. Gleyson Azevedo

controles

A seção controles da ISO 27001 contém um conjunto de controles padrão da indústria, organizado nas seguintes categorias:

políticas de segurança da informação

  • Organização da segurança da informação

  • segurança de recursos humanos

  • Gestão de ativos



  • Controle de acesso

  • Cryptography

  • segurança física e ambiental

  • segurança das operações

  • segurança das comunicações

    Video: SGS-Segurança da Informação ISO 27001

  • aquisição de sistemas, desenvolvimento e manutenção

  • relacionamento com fornecedores

  • gestão de incidentes de segurança da informação

  • aspectos da gestão de continuidade de negócios de segurança da informação

  • Conformidade

    • Tornando-se ISO 27001 compatível

    Uma organização que quer melhorar seu sistema de gestão de segurança usando ISO 27001 como seu padrão sofreria as seguintes atividades:

    • Análise de lacunas: O primeiro passo no cumprimento, uma análise de lacunas é realizada tanto pela organização ou por um perito externo. A análise de lacunas ajuda a organização a entender que os requisitos e controlos que faz e não cumprir.

    • remediação: Para todas as exigências e controles com os quais a organização não for compatível, ele pode fazer alterações ao seu pessoal (tais como treinamento), processos e tecnologias para tornar-se complacente.

    • Auditoria externa: Uma organização que precisa para demonstrar a conformidade através de uma auditoria externa pode contratar uma empresa de avaliação de segurança competente para realizar uma auditoria com um relatório de auditoria detalhada e parecer de conformidade.

    • Certificação e registo: Uma organização pode escolher se submeter a uma auditoria externa de maior qualidade, empregando uma das organizações autorizadas para certificar e registar uma organização como ISO 27001 compatível. A vantagem é que a empresa de auditoria é mantida a um nível elevado na ISO 27001 auditorias. certificação ISO 27001 é geralmente mais caro do que auditoria anexternal mas pode ser necessário em algumas circunstâncias.

    Indivíduos em uma organização pode receber treinamento e ganhar uma ISO 27001 Auditor Interno certificação. Organizações comprometidas com a ISO 27001 conformidade, muitas vezes, obter esta certificação para um ou mais dos seus funcionários, que por esse treinamento vai entender melhor o significado da ISO 27001 exigências e controles, bem como as técnicas apropriadas para determinar a conformidade.

    Uma cópia de usuário único dos ISO 27001 custos padrão quase US $ 300. Este custo é a única barreira que impede uma adopção mais ampla deste padrão de alta qualidade.


    Publicações relacionadas
    Trabalhos de segurança da informação: legal, regulamentos, investigações e cumprimento
    Trabalhos de segurança da informação: governança e gestão de risco
    Trabalhos de segurança da informação: conselho padrão de segurança pci
    Opções de trabalho de segurança da informação
    Conformidade regulamentar a segurança da informação e privacidade: fisma
    A conformidade de segurança da informação reguladora e privacidade: hipaa, hitech, e sarbanes-oxley
    Normas de segurança da informação: cobit e nist 800-53
    Papéis de trabalho de topo na gestão de segurança da informação
    Como obter a certificação iso para demonstrar padrões de controle de qualidade
    Linux: 2 partes de auditorias de segurança de computador
    Linux: auditorias de segurança de computador
    Classificar as informações e ativos de suporte para segurança patrimonial
    Desenvolver e implementar documentados de segurança políticas, normas, procedimentos e diretrizes
    Integrar considerações de risco de segurança na estratégia e prática de aquisição
    Sobre o (isc) 2 e da certificação cissp
    (Isc) 2 certificações além cissp
    Certificações de segurança não técnicas / não-vendor
    Frameworks de controle de segurança
    Como atacantes maliciosos gerar hackers éticos
    Os cinco melhores proteções de segurança de dispositivos móveis