Please enable JavaScript.
Coggle requires JavaScript to display documents.
27001 - Coggle Diagram
27001
-
melhoria
Promovendo a melhoria contínua: os líderes devem incentivar a evolução dos processos.Apoiando outras funções: garantindo que os gestores de área tenham autonomia para melhorar a segurança em seus setores.
-
apoio
A segurança da informação não roda sozinha. A organização deve fornecer a estrutura necessária (dinheiro, softwares, servidores) e garantir que os profissionais envolvidos tenham a formação, educação ou experiência adequadas para suas funções.
Evidência de auditoria: Certificados de cursos, currículos e o orçamento anual aprovado para a área de segurança.
Toda e qualquer pessoa que trabalhe sob o controle da empresa (incluindo terceirizados) precisa conhecer a Política de Segurança da Informação. O time precisa entender de forma clara qual o impacto se eles descumprirem as regras do SGSI.
Evidência de auditoria: Listas de presença ou relatórios de plataformas de treinamentos corporativos e campanhas de phishing simulado.
operaçao
A empresa deve executar as ações necessárias para atender aos requisitos de segurança e mitigar os riscos mapeados. [1]
O que a norma exige: Critérios claros para os processos e controle de que eles estão sendo executados conforme o planejado. O controle de mudanças (sistemas novos, migração para nuvem, demissões) também deve ser documentado. [1]
Processos terceirizados: A empresa deve garantir que fornecedores e processos terceirizados (outsourcing) relevantes para a segurança estejam sob total controle e monitoramento.
O que a norma exige: Aplicar a metodologia de avaliação de risco definida na fase de planejamento de forma consistente e repetível para novos cenários.Evidência de auditoria: Relatórios de análise de risco atualizados após a entrada de um novo sistema, contratação de um novo fornecedor crítico ou mudanças na infraestrutura
Depois de avaliar os riscos na prática, a organização deve implementar o plano de tratamento desenhado (o chamado Plano de Tratamento de Riscos ou PTR). [1, 2]
O que a norma exige: Evidenciar que os controles escolhidos para mitigar as ameaças (como criptografia, firewalls ou políticas internas) foram realmente colocados em funcionamento. [1, 2]
Evidência de auditoria: O Plano de Tratamento de Riscos preenchido, ordens de serviço de implementação tecnológica, configurações ativas de ferramentas de segurança e a Declaração de Aplicabilidade (SoA) assinada.
Evidência de auditoria: Planos de projeto, atas de aprovação de mudanças (Change Advisory Board - CAB), acordos de nível de serviço (SLA) assinados com fornecedores de TI e relatórios de conformidade de terceiros.