Gestão em Segurança da
Informação
Segurança da Informação
Semestre VI

Normas de Segurança:
ISO/IEC NBR 27002;

Inspirado em materiais de:
Prof. Paulo Renato Pizollato – Ufscar / São Carlos
Prof. Renato Guimarães – Unicamp / Campinas

NBR ISO/IEC 27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos

Norma ISO
27002

9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
13.Gestão de Incidentes de Segurança da informação
15.Conformidade

14. Gestão de Continuidade dos Negócios

NBR ISO/IEC 27002
É essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:

NBR ISO/IEC 27002
• Análise de Risco:
A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades.
É realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.

NBR ISO/IEC 27002
• Requisito de Negócio:
Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.

NBR ISO/IEC 27002
• Requisito Legais:
Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender (SLA - Service Layer
Agreement).

Política de Segurança
A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação: A direção da organização deve estabelecer a orientação da política alinhada com os objetivos do negócio.

Política de Segurança
A direção deve demonstrar seu apoio e comprometimento com a segurança da informação por meio da publicação e