Frameworks de controle de segurança

Organizações muitas vezes adotam um quadro de controlo de segurança para ajudar em seus esforços de conformidade legais e regulamentares. Alguns exemplos de estruturas de segurança relevantes incluem o seguinte:

  • COBIT. Desenvolvido pela Auditoria e Controle Associação de Sistemas de Informação (ISACA) e do IT Governance Institute (ITGI), COBIT consiste em vários componentes, incluindo
  • Estrutura. Organiza objetivos de governança e melhores práticas.
  • descrições de processos. Fornece um modelo de referência e de linguagem comum.
  • objetivos de controle. Documentos requisitos de gestão de alto nível para controle de processos de TI individuais.
  • diretrizes de gestão. Ferramentas de atribuição de responsabilidades, medição de desempenho, e ilustrando as relações entre processos.
  • modelos de maturidade. Avaliar organizacionais maturidade / capacidade e colmatar as lacunas.

Video: Observe and Report (2009) Trailer



O framework COBIT é popular em organizações que estão sujeitos à Lei Sarbanes-Oxley.

  • NIST (Instituto Nacional de Padrões e Tecnologia) Publicação Especial 800-53: Controles de segurança e privacidade para sistemas e organizações federais de informação. Conhecido como NIST SP800-53, esta é uma estrutura de controles muito populares e abrangentes exigido por todas as agências do governo dos EUA. É também amplamente utilizado na indústria privada.
  • COSO (COSO). Desenvolvido pelo Institute of Management Accountants (IMA), a Associação Americana de Contabilidade (AAA), o Instituto Americano de Contadores Públicos Certificados (AICPA), The Institute of Internal Auditors (IIA) e Financial Executives International (FEI), o quadro COSO consiste de cinco componentes:

Video: CONTROLE DE ESTOQUE EM C# #15 - segurança da aplicação ASP.NET MVC #4 - csrf

  • Ambiente de controle. Fornece a base para todos os outros componentes de controlo interno.
  • Avaliação de risco. Estabelece objetivos através da identificação e análise dos riscos relevantes e determina se alguma coisa vai impedir que a organização atingir seus objetivos.
  • As atividades de controle. Políticas e procedimentos que são criados para garantir a conformidade com as directivas de gestão. Várias atividades de controle são discutidas em outros capítulos deste livro.
  • Informação e comunicação. Garante que os sistemas de informação adequados e processos de comunicação eficazes estão no lugar em toda a organização.
  • Monitoring. Atividades que avaliam o desempenho ao longo do tempo e identificar deficiências e ações corretivas.
  • ISO / IEC 27002 (International Organization for Standardization / International Electrotechnical Commission). Formalmente intitulado “Tecnologia da Informação - Técnicas de segurança - Código de Boas Práticas para a Gestão da Segurança da Informação”, ISO / IEC 27002 documentos de segurança melhores práticas em 14 domínios, como segue:
  • políticas de segurança da informação
  • Organização da segurança da informação
  • segurança de recursos humanos
  • Gestão de ativos
  • controle de acesso e acesso do usuário gestão
  • tecnologia criptográfica
  • segurança física dos locais e equipamentos da organização
  • segurança operacional
  • comunicações seguras e transferência de dados
  • aquisição de sistemas, desenvolvimento e suporte de sistemas de informação
  • Segurança para fornecedores e terceiros
  • gestão de incidentes de segurança da informação
  • aspectos da gestão de continuidade de negócios de segurança da informação
  • Conformidade
  • ITIL (Information Technology Infrastructure Library). Um conjunto de melhores práticas para o gerenciamento de serviços de TI composta de cinco volumes, como segue:
  • Estratégia de Serviço. Endereços de serviços de TI de gestão da estratégia, gerenciamento de portfólio de serviços, serviços de TI gestão financeira, gestão da demanda e gestão de relacionamento comercial.
  • Desenho de Serviço. Endereços de coordenação design, gerenciamento de catálogo de serviços, gerenciamento de nível de serviço, gerenciamento de disponibilidade, gerenciamento de capacidade, gerenciamento de continuidade de serviço, sistema de gestão de segurança da informação e gestão de fornecedores.
  • Transição de Serviço. Endereços de planejamento de transição e de suporte, gerenciamento de mudanças, de ativos de serviços e gerenciamento de configuração, de libertação e de gerenciamento de implantação, validação de serviços e de testes, avaliação mudança e gestão do conhecimento.
  • Operação de Serviço. Endereços de gestão de eventos, gestão de incidentes, serviço de solicitação de atendimento, gerenciamento de problemas e gerenciamento de acesso.
  • Melhoramento Contínuo de Serviço. Define um processo de sete passos para iniciativas de melhoria, incluindo a identificação da estratégia, definir o que será medido, reunindo os dados, o processamento dos dados, analisando as informações e dados, apresentação e utilizando a informação, e implementar a melhoria.


    • Publicações relacionadas
    Os 5 componentes de controlos internos
    Trabalhos de segurança da informação: legal, regulamentos, investigações e cumprimento
    Trabalhos de segurança da informação: governança e gestão de risco
    Conformidade regulamentar a segurança da informação e privacidade: fisma
    A conformidade de segurança da informação reguladora e privacidade: hipaa, hitech, e sarbanes-oxley
    Normas de segurança da informação: cobit e nist 800-53
    Normas de segurança da informação: a iso 27001
    Regulamentos, investigações e questões de conformidade que você deve saber sobre começar um trabalho em rede
    O que você precisa saber sobre a cloud security alliance (csa) para um trabalho em segurança da informação
    Sobre o (isc) 2 e da certificação cissp
    Certificações de segurança não técnicas / não-vendor
    Como criar uma estratégia de segurança de computação em nuvem
    Como fazer sua nuvem trabalho estratégia de governança de computação
    Construir o seu plano de gestão de serviços de nuvem híbrida
    Riscos de segurança específicos no ambiente de nuvem híbrida
    Gestão de recursos de computação em nuvem
    Compreender que permitem e ferramentas de gestão da computação em nuvem
    Garantir a segurança no gerenciamento de desktops na computação em nuvem
    Áreas de gestão de segurança de rede da cisco
    Como criar um plano de segurança de computação em nuvem