Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27000 - 3 Information security management systems (Estabelecendo,…
ISO 27000 - 3 Information security management systems
Estabelecer, Implementar, Operar, Monitorar, Revisar, Manter e Melhorar
Segurança da Informação
Proteção dos ativos da informação
Papel
Transmissão
Eletrônica
Verbal
Correio
Meio Digital\Eletrônico
Reduzir Incidentes
Aplicação e gerenciamento de controles
ISMS Gerencia os controles
Gestão da Segurança da Informação
Processos
Procedimentos
Politicas
Estrutura Organizacional
Software
Hardware
Garantia do CID
Principios da implementação do ISMS
Formação de Comitês e interesse das partes interessadas
Avaliação de riscos, controles apropriados, apetite de risco
Responsabilidade da Segurança da Informação
Segurança é elemento essencial das redes e sistemas
Conscientização da necessidade da Segurança da Informação
Detecção e Prevenção de incidentes
Continuar revisando e fazendo melhorias
Estabelecendo, monitorando, mantendo e melhorando o ISMS
Avaliando os riscos de segurança da informação
Identificar, quantificar e priorizar os riscos
Critérios para aceitar o risco
Alinhado com os objetivos da organização
Deve ser realizada periodicamente
Mudança dos requisitos de segurança e dos riscos
Ameaças
Vulnerabilidades
Ativos
Impactos
Método reproduzivel e comparavel
Tratamentos dos riscos
Primeiro definir critérios para aceite de riscos ou não
Baixo Risco
Custo de tratamento não compensa
Implementação de controles
Politica clara e objetiva com os critérios para aceitação dos riscos
Evitar riscos. Não praticar ações que podem causar riscos
Compartilhar riscos com terceiros envolvidos no negócio
Identificando requisitos de segurança da informação
Ativos da Informação e seu valor
Requisitos regulatório, legais e contratuais
Necessidades do negócio para processar, armazenar e comunicar a informação
Selecionar e implementar controles considerando:
Objetivos da organização
Requisitos operacionais
Requisitos legais e regulamentares
Nacional
Internacional
Custo da implementação e operação do controle comparando com o nível do risco
Comparar o custo da implementação dos controles com as perdas resultantes de um incidente de segurança
ISO 27002 ou outros conjuntos de controles (depende do negócio)
Somente controles não garantem segurança completa. Precisa de ações de gestão para monitorar, avaliar e melhorar os controles.(ISMS)
Melhoria continua do ISMS
Estabelecer objetivos para melhorar
Procurar por soluções para os objetivos
Analise e avaliação da situação atual identificando areas para melhorar
Avaliar estas soluções e tomar decisões
Implementar a solução
Medir, Verificar, analisar e avaliar resultados da implementação para verificar se os objetivos foram atingidos
Comunicar das mudanças
Fatores de sucesso do ISMS
Uma abordagem estruturada para desenhar, implementar, monitorar, manter e melhorar a segurança consistente com a cultura
Entendimento dos requisitos para proteção dos ativos da informação com auxilio da ISO 27005 (Gestão de Risco)
Politicas, Objetivos e atividades alinhadas com os objetivos
Programa de conscientização, treinamento e educação para todos os envolvidos com o negócio a fim de que cumpram com as politicas e padrões de segurança da informação
Processo efetivo para gerenciamento de incidentes
Uma abordagem efetiva para gestão da continuidade do negócio
Sistema de medição para avaliar performance da gestão da segurança da informação e aberto a feedback para melhorias.
Beneficios da familia de padrões ISMS
Promoção de boas praticas de segurança da informação aprovadas por todos
Promover uma linguagem comum e conceitos base para a segurança da informação garantindo a conformidade dos parceiros no seguimento do ISMS
Auxilia na gestão educando e treinamento o negócio junto aos donos de sistemas para uma gestão holística da segurança.
Aumentar a confiança das partes interessadas na organização
Estrutura formal para suportar o processo de especificar, implementar, operar e manter um ISMS compreensivo, custo-efetivo e integrado que atenda as necessidades da organização
Satisfazer as necessidade sociais e expectativas
Gestão mais efetiva e econômica