Please enable JavaScript.

Coggle requires JavaScript to display documents.

Apoio - Coggle Diagram

- - - - assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização
      - garantindo a integração dos requisitos do sistema de gestão da segurança da
        informação nos processos da organização;
      - assegurando que os recursos necessários para o sistema de gestão da segurança da
        informação estejam disponíveis;
      - comunicando a importância de uma gestão eficaz da segurança da informação e da
        conformidade com os requisitos do sistema de gestão da segurança da informação;
      - assegurando que o sistema de gestão da segurança da informação alcance seus
        resultados pretendidos
      - orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão
        da segurança da informação
      - promovendo a melhoria contínua
      - apoiando outros papéis relevantes da gestão para demostrar como sua liderança
        se aplica às áreas sob sua responsabilidade
    - - A Alta Direção deve estabelecer uma política de segurança da informação
        que:
        
        a) seja apropriada ao propósito da organização
        
        b) inclua os objetivos de segurança da informação (ver 6.2) ou forneça a estrutura para estabelecer os objetivos de segurança da informação;
        
        c) inclua o comprometimento de satisfazer os requisitos aplicáveis
        relacionados com a segurança da informação;
        
        c) inclua o comprometimento de satisfazer os requisitos aplicáveis
        relacionados com a segurança da informação;
        
        deve
        
        e) estar disponível como informação documentada;
        
        f) ser comunicada dentro da organização;
        
        g) estar disponível para as partes interessadas, conforme apropriado.
    - - A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídos e comunicados dentro da organização
      - deve atribuir a
        responsabilidade e autoridade para
        
        a) assegurar que o sistema de gestão da segurança da informação esteja em conformidade com os requisitos deste documento
        
        b) relatar sobre o desempenho do sistema de gestão da segurança da informação para a Alta Direção
  - - - • Controles organizacionais (37 controles)
        
        • Controles de pessoas (8 controles)
        
        • Controles físicos (14 controles)
        
        • Controles tecnológicos (34 controles)
  - - - − partes interessadas (internas e externas) relevantes para o SGSI;
        
        − requisitos relevantes dessas partes interessadas;
        
        − quais desses requisitos serão endereçados pelo SGSI.
        
        determinar os limites e a aplicabilidade do sistema de gestão
        da segurança da informação para estabelecer o seu escopo.
  - - - a) assegurar que o sistema de gestão da segurança da informação possa alcançar seus resultados pretendidos;
      - b) prevenir ou reduzir os efeitos indesejados
      - c) alcançar a melhoria contínua.
      - d) as ações para abordar estes riscos e oportunidades
      - e) como
        
        integrar e implementar as ações dentro dos processos do seu
        sistema de gestão da segurança da informação;
        
        avaliar a eficácia destas ações.
    - - deve estabelecer e aplicar um processo de avaliação de riscos
        de segurança da informação que:
        
        a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam: 1. critérios de aceitação de riscos; e 2. critérios para realizar as avaliações de riscos de segurança da informação;
        
        b) assegure que as contínuas avaliações de riscos de segurança da informação repetidas produzam resultados comparáveis, válidos e consistentes;
        
        c) identifique os riscos de segurança da informação: 1. aplicando o processo de avaliação do risco de segurança da informação para identificar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação; e 2. identificando os proprietários dos riscos.
        
        d) analise os riscos de segurança da informação: 1. avaliando as consequências potenciais que podem resultar se os riscos identificados no tópico "C" forem materializados; 2. avaliando a probabilidade realística da ocorrência dos riscos identificados no tópico que foi "C"; e 3. determinando os níveis de risco
        
        e) avalie os riscos de segurança da informação: 1. comparando os resultados da análise de riscos com os critérios de riscos estabelecidos em 3.1.2 “a” ( a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam: 1. critérios de aceitação de riscos; e 2. critérios para realizar as avaliações de riscos de segurança da informação; ); e 2. priorizando os riscos analisados para o tratamento do risco.
    - - deve estabelecer e aplicar um processo de tratamento de
        riscos da segurança da informação para
        
        a) selecionar, de forma apropriada, as opções de tratamento dos riscos da segurança da informação, levando em consideração os resultados da avaliação de riscos;
        
        b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento de riscos da segurança da informação;
        
        c) comparar os controles determinados no tópico “b” do slide anterior com aqueles do Anexo A e verificar se nenhum controle necessário foi omitido;
        
        d) elaborar uma Declaração de Aplicabilidade que contenha: • os controles necessários (ver tópicos “b” e “c” mencionados anteriormente); • a justificativa para inclusões; • se os controles necessários são implementados ou não; e • a justificativa para a exclusão de quaisquer controles do Anexo A.
        
        e) preparar um plano para tratamento de riscos da segurança da
        informação;
    - - a) ser consistentes com a política da segurança da informação;
        
        b) ser mensuráveis (se praticável);
        
        c) levar em conta os requisitos da segurança da informação aplicáveis e os resultados da avaliação e tratamento de riscos;
        
        d) ser monitorados;
        
        e) ser comunicados;
        
        f) ser atualizados, conforme apropriado;
        
        g) ser disponibilizados como informação documentada.
        
        A organização deve reter informação documentada dos objetivos da segurança da informação.
      - Ao planejar como alcançar os seus objetivos da segurança da informação, a organização deve determinar
        
        h) o que será feito;
        
        i) quais recursos serão necessários;
        
        j) quem será responsável;
        
        k) quando estará concluído; e
        
        l) como os resultados serão avaliados
    - - Quando a organização determina necessidade para mudanças do sistema de gestão da segurança da informação, estas mudanças devem ser conduzidas de uma forma planejada.
  - - - • estabelecendo critérios para os processos;
        • implementando controles dos processos de acordo com os critérios.
      - A informação documentada deve ser disponibilizada na abrangência necessária para gerar a confiança de que os processos estão sendo realizados conforme planejado
      - A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.
      - A organização deve assegurar que os processos, produtos ou serviços providos externamente que são relevantes para o sistema de gestão da segurança da informação sejam controlados.
    - - A organização deve realizar avaliações de riscos da segurança da informação a intervalos planejados, ou quando mudanças significativas forem propostas ou ocorrerem
      - A organização deve reter informação documentada dos resultados das avaliações de riscos da segurança da informação.
    - - A organização deve implementar o plano de tratamento de riscos da segurança da informação. A organização deve reter informação documentada dos resultados do
        tratamento de riscos da segurança da informação.
  - - - a) o que precisa ser monitorado e medido, incluindo processos e
        controles da segurança da informação;
      - b) os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar resultados válidos. Convém que os métodos selecionados produzam resultados comparáveis e reproduzíveis para serem considerados válidos;
      - c) quando o monitoramento e a medição devem ser realizados;
      - d) quem deve monitorar e medir;
      - e) quando os resultados do monitoramento e da medição devem ser
        analisados e avaliados;
      - f) quem deve analisar e avaliar estes resultados
    - - A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre se o sistema de gestão da segurança da informação
      - Programa de auditoria interna
      - a) definir os critérios e o escopo da auditoria, para cada auditoria;
      - b) selecionar auditores e conduzir auditorias que assegurem objetividade imparcialidade do processo de auditoria;
      - c) assegurar que os resultados das auditorias sejam relatados para a gestão pertinente.
    - - A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização em intervalos planejados, para assegurar a sua contínua adequação, pertinência e eficácia.
    - - a) situação das ações de análises críticas anteriores pela Direção;
      - b) mudanças nas questões internas e externas que sejam relevantes
        para o sistema de gestão da segurança da informação
      - c) mudanças nas necessidades e expectativas das partes interessadas
        que sejam relevantes para o sistema de gestão da segurança da informação
      - d) feedback sobre o desempenho da segurança da informação,
        incluindo tendências para 1. não conformidades e ações corretivas; 2. resultados da medição e monitoramento; 3. resultados de auditorias; 4. cumprimento dos objetivos da segurança da informação;
      - e) feedback das partes interessadas;
      - f) resultados da avaliação dos riscos e situação do plano de tratamento
        de riscos;
      - g) oportunidades para a melhoria contínua.
    - - Os resultados da análise crítica pela Direção devem incluir decisões relativas às oportunidades para melhoria contínua e quaisquer necessidades de mudanças do sistema de gestão da segurança da informação. Informação documentada deve ser disponibilizada como evidência dos resultados das análises críticas pela Direção.
- - - - ao tamanho da organização e seu tipo de atividades, produtos e serviços;processos,
      - à complexidade dos processos e suas interações; e
      - à competência das pessoas
  - - - a) identificação e descrição (por exemplo, título, data, autor ou um número de referência);
      - b) formato (por exemplo, linguagem, versão do software, gráficos) e seu meio (por exemplo, papel, eletrônico); e
      - c) análise crítica e aprovação para pertinência e adequação.
  - - - c) distribuição, acesso, recuperação e uso;
      - d) armazenamento e preservação, incluindo a preservação da legibilidade;
      - e) controle de mudanças (por exemplo, controle de versão); e
      - f) retenção e disposição.