Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27001 (3 – Termos e Definições (3.1 - Ativo (Qualquer coisa que tenha…
ISO 27001
3 – Termos e Definições
3.1 - Ativo
Qualquer coisa que tenha valor para a organização
3.2 - Disponibilidade
Propriedade de estar acessível e utilizável sob demanda por
uma entidade autorizada
3.3 - Confidencialidade
Propriedade de que a informação não esteja disponível ou
revelada a indivíduos, entidades ou processos não autorizados
3.4 - Segurança da Informação
Preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade,não
repúdio e confiabilidade, podem também estar envolvidas
3.5 – Evento de segurança da informação
Uma ocorrência identificada de um estado de sistema,
serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação
previamente desconhecida, que possa ser relevante para a segurança da informação
3.6 – Incidente de segurança da informação
Um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do
negócio e ameaçar a segurança da informação
3.7 – Sistema de Gestão de Segurança da Inf.
A parte do sistema de gestão global, baseado na
abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar a segurança da informação
0 - Introdução
Esta Norma foi preparada para prover um
modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar (EIOMAMM) um Sistema de Gestão de Segurança da Informação (SGSI)
0.1 - Geral
A adoção de um SGSI deve ser uma decisão estratégica para uma organização.
A especificação e a implementação do SGSI são influenciadas pelas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização.
É esperado que este e os sistemas de apoio mudem com o
passar do tempo.
É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples.
Esta Norma pode ser usada para avaliar a conformidade
pelas partes interessadas internas e externas.
0.2 - Abordagem de processo
Esta Norma promove a adoção de uma abordagem de
processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.
Qualquer atividade que faz uso de recursos e os gerencia
para habilitar a transformação de entradas em saídas pode ser considerada um processo.
Frequentemente a saída de um processo forma diretamente a entrada do processo seguinte.
Esta Norma adota o modelo conhecido como "Plan-Do-Check- Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.
0.3 – Compatibilidade c/ outros sist. de gestão
Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas.
1 - Objetivo
1.1 – Geral
Esta Norma cobre todos os tipos de organizações.
Esta Norma especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes
interessadas.
1.2 – Aplicação
Os requisitos definidos nesta Norma são genéricos e aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza.
A exclusão de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.
Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade, e/ou responsabilidade de prover segurança da informação, que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e
regulamentares aplicáveis.
2 – Referência normativa
Indispensável à aplicação desta: ABNT NBR ISO/IEC
17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação, ou seja, a 27002.