Upload
marcos-murilo-lisboa-faria
View
114
Download
2
Embed Size (px)
Citation preview
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 1/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 1
Normas de Segurança da Informação – Parte 1
Curso On-LineSegurança da Informação
Prof. M.Sc. Gleyson Azevedo
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 2/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 2
NBR ISO/IEC 27001 – SGSI – Requisitos
NBR ISO/IEC 27002 – Código de Prática para a
Gestão da SI NBR ISO/IEC 27005 – Gestão de Riscos de SI
NBR ISO/IEC 15999-1 – GCN – Código de Prática
NBR ISO/IEC 15999-2 – GCN – Requisitos
Visão Geral – Normas de SI
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 3/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 3
ISO (International Organization for Standardization ) – federação internacional formada por organismos denormalização nacionais de diversos países do mundo.
Trabalho da ISO – elaboração de normas (acordosinternacionais) não limitadas a nenhum segmento emparticular.
Cobrem todo campo de normalização, exceto engenharia
eletrônica e eletrotécnica, de responsabilidade da IEC(International Eletrotechnical Commission ).
Introdução
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 4/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 4
O grupo internacional JTC1/SC27, formado pelasorganizações ISO e IEC, tem como objetivo criar egerenciar normas internacionais de segurança da
informação.
Introdução
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 5/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 5
A ABNT NBR ISO/IEC 27001:2006 é a norma usada para fins de certificação e substitui a norma britânica BS 7799-2:2002.
Uma organização que deseja implantar um Sistema deGestão de Segurança da Informação (SGSI) deve adotaressa norma como base.
A rigor, a norma é uma especificação (documento que é
utilizado para a realização de auditorias e consequentecertificação) de um SGSI.
NBR ISO/IEC 27001:2006 – VisãoGeral
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 6/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 6
0. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.3 Requisitos de documentação
NBR ISO/IEC 27001:2006 – Seções (Estrutura)
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 7/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 7
(Cont.):
5. Responsabilidades da direção
5.1 Comprometimento da direção
5.2 Gestão de recursos
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
7.1 Geral7.2 Entradas para a análise crítica
7.3 Saídas da Análise Crítica
NBR ISO/IEC 27001:2006 – Seções (Estrutura)
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 8/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 8
(Cont.):
8. Melhoria do SGSI
8.1 Melhoria contínua
8.2 Ação corretiva
8.3 Ação preventiva
Anexo A (normativo) – Objetivos de Controles e Controles
Anexo B (informativo) – Princípios da OECD Anexo C (informativo) – Correspondência com a ISO 9001 e a
ISO 14001.
NBR ISO/IEC 27001:2006 – Seções (Estrutura)
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 9/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 9
Exercícios
1. (Tecnologista Pleno – Segurança de Sistemas de Informação – MCT/2008 – CESPE) Com base nas normas ABNT NBR ISO/IEC 27001:2006 e27002:2005, julgue os itens que se seguem.
1. [119] Uma organização que deseje implantar um sistema de gestão de
segurança da informação (SGSI) deve adotar como base a norma ABNT NBRISO/IEC 27001:2006.
2. [120] A seção 5 da norma ISO/IEC 27001 trata de como a informação deve serclassificada, de acordo com a sua necessidade de segurança e controle deacesso.
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 10/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 10
A norma adota o modelo conhecido como PDCA, aplicadopara estruturar todos os processos do SGSI, como descrito:
Plan (Planejar): estabelecer a política de segurança dainformação, os objetivos, processos e os procedimentos
do SGSI. Do (Fazer): implementar e operar a política, os
procedimentos, controles e processos do SGSI.
Check (checar): monitorar, analisar criticamente,
realizar auditorias e medir o desempenho dos processos. Act (agir): manter e melhorar, por meio de ações
corretivas e preventivas, o SGSI visando ao seu contínuoaperfeiçoamento.
NBR ISO/IEC 27001 – 0. Introdução
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 11/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 11
NBR ISO/IEC 27001 – 0. Introdução
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 12/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 12
Objetivo Geral
Especifica requisitos para EIOMAMM um SGSI.
O SGSI é projetado para assegurar a seleção decontroles de segurança adequados para proteger osativos de informação e proporcionar confiança às partesinteressadas.
NBR ISO/IEC 270011. Objetivo
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 13/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 13
Aplicação
Os requisitos são genéricos – se adequam a qualquerorganização.
A exclusão de quaisquer dos requisitos especificadosnas seções 4 a 8 não é aceitável quando umaorganização reivindica conformidade com a norma.
A exclusão de controles considerada necessária parasatisfazer os critérios de aceitação de risco precisa ser justificada e as evidências precisam ser providas paraa associação dos riscos aceitos às pessoas responsáveis.
NBR ISO/IEC 270011. Objetivo
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 14/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 14
Exercícios
2. (Tecnologista Jr – MCT/2008 – CESPE) Acerca das normas nacionais einternacionais relativas à segurança da informação, bem como da gestãode riscos de sistemas de informação, julgue os itens seguintes.
1. [119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que é
aplicado para estruturar todos os processos dos sistemas de gestão desegurança da informação— information security management system (ISMS).
2. [120] Dependendo de seu tamanho ou natureza, uma organização podeconsiderar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e,ainda assim, continuar em conformidade com essa norma internacional.
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 15/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 15
A ABNT ISO/IEC 17799:2005 (27002) éindispensável para a aplicação da ABNT ISO/IEC27001:2006.
NBR ISO/IEC 270012. Referência normativa
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 16/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 16
Sistema de Gestão da Segurança da Informação(SGSI) – a parte do sistema de gestão global, baseado naabordagem de riscos do negócio, para EIOMAMM a SI.
Inclui: estrutura organizacional, políticas, planejamento deatividades, responsabilidades, práticas, procedimentos,processos e recursos.
NBR ISO/IEC 270013. Termos e Definições
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 17/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 17
Evento de segurança da informação - ocorrênciaidentificada de um sistema, serviço ou rede que indica umapossível violação da política de segurança da informação oufalha de controles, ou uma situação previamentedesconhecida, que possa ser relevante para a segurança dainformação.
Incidente de segurança da informação - um simples
ou uma série de eventos de segurança da informaçãoindesejados ou inesperados, que tenham uma grandeprobabilidade de comprometer as operações do negócio eameaçar a segurança da informação.
NBR ISO/IEC 270013. Termos e Definições
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 18/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 18
Declaração de aplicabilidade - declaração documentadaque descreve os objetivos de controle e controles que sãopertinentes e aplicáveis ao SGSI da organização.
Os objetivos de controle e controles estão baseados nosresultados e conclusões do processo de avaliação de risco etratamento de risco, requisitos legais ou regulatórios,obrigações contratuais e os requisitos de negócio da
organização para a segurança da informação.
NBR ISO/IEC 270013. Termos e Definições
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 19/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 19
“A organização deve” EIOMAMM um SGSIdocumentado dentro do contexto das atividades denegócio globais da organização e os riscos que
elas enfrentam.
NBR ISO/IEC 270014. SGSI – Requisitos Gerais
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 20/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 20
A organização deve:
definir o escopo e os limites do SGSI;
definir uma política de segurança da informação;
definir a sistemática de análise/avaliação de riscos desegurança da informação;
identificar os riscos;
analisar e avaliar os riscos; identificar e avaliar as opções para o tratamento de
riscos;
NBR ISO/IEC 270014. SGSI – Estabelecer o SGSI (Plan )
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 21/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 21
(Cont.):
selecionar objetivos de controle e controles para otratamento de riscos;
obter aprovação da direção dos riscos residuaispropostos;
obter autorização da direção para implementar e operaro SGSI;
preparar uma declaração de aplicabilidade.
NBR ISO/IEC 270014. SGSI – Estabelecer o SGSI (Plan )
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 22/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 22
Exercícios
3. (Analista Administrativo –
Tecnologia da Informação –
Análise de Negócios – ANATEL – CESPE – 2009) A figura a seguir, obtida na norma ABNT NBRISO/IEC 27001:2006, apresenta um modelo de gestão da segurança daInformação. Julgue os itens subsequentes acerca das informaçõesapresentadas e dos conceitos de segurança da informação.
1. [83] Considere as diferentes fases do ciclo de gestão no modelo da figura—
plan , do , check e act . A definição de critérios para a avaliação e para aaceitação dos riscos de segurança da informação que ocorrem no escopo parao qual o modelo da figura está sendo estabelecido, implementado, operado,monitorado, analisado criticamente, mantido e melhorado ocorre,primariamente, durante a fase do .
2. [85] A classificação da informação é um objetivo de controle explicitamenteenunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega doiscontroles, sendo um deles relacionado a recomendações para classificação e ooutro, ao uso de rótulos.
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 23/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 23
Exercícios
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 24/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 24
A organização deve:
formular um plano de tratamento de risco;
implementar o plano de tratamento de risco;
implementar os controles selecionados;
definir como medir a eficácia dos controles;
implementar programas de conscientização etreinamento;
gerenciar as operações do SGSI;
NBR ISO/IEC 27001 - 4. SGSI – Implementar e Operar o SGSI (Do )
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 25/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 25
(Cont.):
gerenciar os recursos para o SGSI;
implementar procedimentos e outros controles capazes
de permitir a rápida detecção e resposta a incidentes desegurança.
NBR ISO/IEC 27001 - 4. SGSI – Implementar e Operar o SGSI (Do )
NBR ISO/IEC 27001 4 SGSI
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 26/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 26
A organização deve:
executar procedimentos de monitoração e análise crítica;
realizar análises críticas regulares da eficácia do SGSI;
medir a eficácia dos controles;
analisar criticamente as análises/avaliações de riscos aintervalos planejados e os riscos residuais;
conduzir auditorias internas no SGSI a intervalosplanejados;
NBR ISO/IEC 27001 - 4. SGSI – Monitorar e Analisar Criticamente o SGSI
(Check )
NBR ISO/IEC 27001 4 SGSI
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 27/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 27
(Cont.):
realizar uma análise crítica do SGSI pela direção;
atualizar os planos de segurança da informação;
registrar as ações e eventos que poderiam ter umimpacto na efetividade ou desempenho do SGSI.
NBR ISO/IEC 27001 - 4. SGSI – Monitorar e Analisar Criticamente o SGSI
(Check )
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 28/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 28
NBR ISO/IEC 27001 – 4. SGSI – Manter e Melhorar o SGSI ( Act ) A organização deve regularmente:
implementar as melhorias identificadas no SGSI;
executar as ações preventivas e corretivas apropriadas;
comunicar as ações e melhorias a todas as partesinteressadas;
assegurar-se de que as melhorias alcancem os objetivos
propostos.
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 29/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 29
NBR ISO/IEC 27001 – 4. SGSI – Requisitos de Documentação A documentação do SGSI deve incluir:
declarações documentadas da política e objetivos doSGSI;
o escopo do SGSI;
procedimentos e controles que apoiam o SGSI;
uma descrição da metodologia de análise/avaliação de
riscos; o relatório de análise/avaliação de riscos;
o plano de tratamento de riscos;
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 30/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 30
(Cont.):
procedimentos documentados requeridos pelaorganização;
registros requeridos pela norma e a Declaração de Aplicabilidade.
Registros devem ser estabelecidos e mantidos para proverevidência de conformidade aos requisitos e efetividade da
operação do SGSI. Exemplos de registros: livros de visitantes, relatórios de
auditoria e formulários de autorização de acesso completo.
NBR ISO/IEC 27001 – 4. SGSI – Requisitos de Documentação
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 31/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 31
NBR ISO/IEC 270015. Responsabilidades da Direção A direção deve fornecer evidências do seu
comprometimento com o EIOMAMM do SGSI.
A responsabilidade da direção é complementada por umaadequada gestão de recursos, que se evidencia por:
uma apropriada provisão de recursos financeiros;
assegurar o devido treinamento, conscientização ecapacitação para todos os que possuemresponsabilidades atribuídas e definidas no SGSI.
A organização também deve assegurar que todo o pessoalpertinente esteja consciente da relevância e importânciadas suas atividades para o SGSI.
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 32/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 32
NBR ISO/IEC 270016. Auditorias Internas do SGSI A organização deve conduzir auditorias internas no SGSI a
intervalos planejados.
A gerência responsável pela área a ser auditada deveassegurar que as ações sejam executadas, sem demoraindevida, para eliminar as não-conformidades detectadas esuas causas.
Atividades de acompanhamento devem incluir a verificaçãodas ações tomadas e a comunicação de resultados de
verificação.
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 33/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 33
NBR ISO/IEC 27001 – 7. AnáliseCrítica do SGSI pela Direção Entradas para a análise crítica:
resultados das auditorias do SGSI e análises críticas;
realimentações das partes interessadas;
técnicas, produtos ou procedimentos que poderiam serusados na organização para melhorar o desempenho e aeficácia do SGSI;
situação das ações preventivas e corretivas;
vulnerabilidades ou ameaças não contempladasadequadamente nas análises/avaliações de riscoanteriores;
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 34/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 34
(Cont.):
resultados das medições de eficácia;
acompanhamento das ações oriundas de análises
críticas anteriores; qualquer mudança que poderia afetar o SGSI;
recomendações para melhoria.
NBR ISO/IEC 27001 – 7. AnáliseCrítica do SGSI pela Direção
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 35/42
Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 35
As saídas devem incluir quaisquer decisões e açõesrelacionadas a:
melhoria da eficácia do SGSI;
atualização da análise/avaliação de riscos e do plano detratamento de riscos;
modificação de procedimentos e controles que afetem asegurança da informação,
necessidade de recursos; melhoria de como a eficácia dos controles está sendo
medida.
NBR ISO/IEC 27001 – 7. AnáliseCrítica do SGSI pela Direção
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 36/42
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 36
NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Corretiva A organização deve executar ações para eliminar as causas
de não-conformidades com os requisitos do SGSI, de formaa evitar sua repetição.
O procedimento documentado para ação corretiva devedefinir requisitos para:
identificar não-conformidades;
determinar as causas de não-conformidades;
avaliar a necessidade por ações para assegurar que asnão-conformidades não ocorram novamente;
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 37/42
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 37
(Cont.):
determinar e implementar as ações corretivasnecessárias;
registrar os resultados das ações executadas; analisar criticamente as ações corretivas executadas.
NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Corretiva
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 38/42
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 38
A organização deve determinar ações para eliminar ascausas de não-conformidades potenciais com os requisitosdo SGSI, de forma a evitar a sua ocorrência.
O procedimento documentado para ação preventiva devedefinir requisitos para:
identificar não-conformidades potenciais e suas causas;
avaliar a necessidade de ações para evitar a ocorrênciade não-conformidades;
determinar e implementar as ações preventivasnecessárias;
NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Preventiva
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 39/42
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 39
(Cont.):
registrar os resultados de ações executadas;
analisar criticamente as ações preventivas executadas.
A norma define que ações para prevenir não-conformidadesfrequentemente têm melhor custo-benefício que as açõescorretivas.
NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Preventiva
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 40/42
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 40
Exercícios
4. (Analista – Redes – SERPRO/2008 – CESPE) Atualmente, a informação é umimportante ativo para praticamente todo o tipo de organização. Asegurança desse ativo faz-se necessária, seja por questão deconformidade com leis e contratos, seja para assegurar a continuidade donegócio. Acerca da segurança da informação, bem como das normas e
políticas a ela aplicáveis, julgue os itens a seguir.
1. [86] A declaração de aplicabilidade é um documento que deve detalhar osobjetivos de controle e os controles a serem implementados para a segurançada informação. Os demais controles e objetivos de controle, não inclusos nadeclaração de aplicabilidade, devem fazer parte do documento de análise de
GAP.2. [87] A definição de critérios para aceitação de riscos é uma das
responsabilidades da alta administração, segundo a norma NBR ISO/IEC27001.
í
5/14/2018 Seguranca Aula 1 27001 - slidepdf.com
http://slidepdf.com/reader/full/seguranca-aula-1-27001 41/42
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 41
Exercícios3. [88] O estabelecimento da política do sistema de gestão de segurança da
informação (SGSI) é de responsabilidade da equipe de segurança dainformação.
4. [89] Para assegurar que os controles, objetivos de controle e processos sejamexecutados e implementados de forma eficaz, a norma NBR ISO/IEC 27001recomenda a realização de auditorias externas em intervalos regulares de, no
máximo, seis meses.5. [90] A identificação de não-conformidades potenciais e suas causas é
caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC27001.
6. [91] Entre as atividades contempladas na fase agir (act ) está a necessidade de
identificar não-conformidades potenciais e suas causas, objetivando alcançar amelhoria contínua do sistema de gestão de segurança da informação.
7. [92] A norma NBR ISO/IEC 27001 recomenda a adoção de abordagemqualitativa para a realização da análise de risco.