Juliana Jenny Kolb
Home > Segurança da Informação
Materiais Complementares
| Versão 2005 – Documento em PDF |  |
|
NBR ISO/IEC 27002:2013
Tópicos mais abordados em concursos.
Introdução
Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de
controles, levando em consideração os ambientes de risco da segurança da informação da organização.
Esta Norma é projetada para ser usada por organizações que pretendam:
a) selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na ABNT NBR ISO/IEC 27001[6];
b) implementar controles de segurança da informação comumente aceitos;
c) desenvolver seus próprios princípios de gestão da segurança da informação.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. … Convém que isto seja feito em conjunto com outros processos de gestão do negócio.
5. Políticas de segurança da informação
5.1 Orientação da direção para segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
5.1.1 Políticas para segurança da informação (+)
7. Segurança em recursos humanos
7.2.2 Conscientização, educação e treinamento em segurança da informação (+)
8. Gestão de ativos
8.2 Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua
importância para a organização.
8.2.1 Classificação da informação (+)
8.2.2 Rótulos e tratamento da informação
8.2.3 Tratamento dos ativos
9. Gerenciamento da informação de autenticação secreta de usuários
9.1 Requisitos do negócio para controle de acesso
Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação.
9.1.1 Política de controle de acesso (+)
9.2.4 Gerenciamento da informação de autenticação secreta de usuários (+)
13. Segurança nas comunicações
13.2 Transferência de informação
Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
13.2.1 Políticas e procedimentos para transferência de informações (+)
17. Aspectos da segurança da informação na gestão da continuidade do negócio
Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.
Na ausência de um planejamento formal de continuidade do negócio e de recuperação de desastre, convém que a gestão da segurança da informação assuma que os requisitos de segurança da informação permanecem os mesmos, em situações adversas, comparadas com as condições de operação normal. Alternativamente, uma organização pode realizar uma análise de impacto do negócio relativa aos aspectos de segurança da informação, para determinar os requisitos de segurança da informação que são aplicáveis nas situações adversas.
…
17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação (+)