Definição

Documento

Contém conjunto de

Normas

Métodos

Procedimentos

Deve ser

Comunicado a todos os funcionários

Revisado

Periodicamente

Quando houver necessidade

Deve ser feita uma análise crítica

Define

Quem pode usar os ativos

Quem é autorizado a usar

NBR ISO/IEC 27001:2005

Informação

É um

Processado

Com valor a empresa

Dado

Representa

Um ponto de vista

Conhecimento

Ativo da entidade

Uma dos recursos mais importantes da empresa

Contribui para

Diferenciação da empresa

Competitividade

Poder

Ativo

Conjunto de

Bens

Todos os direitos de quem, quando, onde e como usar as informações da empresa

Classificação

ISO 27001

Confidencial

Restrita/Privada

Publica

Uso interno

Norma ISO que define sobre a classificação

Qualquer pessoa/entidade pode ter acesso

O mais alto nível de confidencialidade

Pessoas de dentro da empresa podem acessar

Não tão confidencial

Pessoas diferentes da empresa podem classificar a mesma informação de forma diferente

Quanto maior o valor da informação maior é sua classificação

Direitos

Em uma entidade

Tudo aquilo que possui valor

Principal ativo #

Ameaça

É um

Agente externo

Aproveita as vulnerabilidades

Quebra os princípios de

Disponibilidade

Integridade

Confidencialidade

Pode ser

Natural

Involuntárias

Intencionais

Vulnerabilidade

É uma fragilidade/fraqueza

Ativo

Grupo de Ativos

Pode ser explorada #

por uma ou mais Ameaças

Intencionamente

Não intencionalmente

Resulta

Quebra dos princípios da segurança

É possível

Identificar os riscos

Definir medidas de segurança apropriadas

Risco

Risco = ameaça X vulnerabilidade X Risco

Backup

Recomendado

Fora das instalações da Empresa

O mais longe possível

Prédios diferentes

Um dos procedimentos mais efetivos para segurança da informação

Assegura a continuidade

Em sinistros

Incêndios

Desastres

Segurança Física

Acesso a

Quem for autorizado

Criar perímetro de segurança

Tipos

Biometria

Chaves

Portas com cartão

Portões elétricos

Vigias

Restrição para materiais

A sala deve ser protegida de

Fogo

Água

Manifestações

Poeira

Vazamentos

Insetos

Redes elétricas mal formadas

Elaboração da Política

Formar um comitê

Tornar um gerente responsável

Profissionais de diversos segmentos

Advogado

TI

Administrador

Engenharia

Deve

Divulgar a toda a empresa

Estabelecer as melhores práticas

Reunir periodicamente

Deve validar as decisões tomadas pelo comitê

Avisar os funcionarios

Avisos

Palestras

Elaboração de Guias Rápidos

Deve ser

Clara

Simples

Objetiva

Para não gerar dúvidas

Todos os funcionários

Ser treinados

Conhecer as vulnerabilidades/ameaças/riscos

Estar preparados para ajudar quando um problema acontecer

Equipados com o necessário para ajduar

Precisa do apoio da alta direção

Todos devem saber priorizar