Iso 27002
Artigos Científicos: Iso 27002. Pesquise 862.000+ trabalhos acadêmicosPor: kurtocalvin • 5/6/2014 • 598 Palavras (3 Páginas) • 342 Visualizações
Código de praticas – isso 27002
Fornecer recomendações básicas e mínimas para a gestão de segurança da informação nas diversas organizações. Na medida em que várias organizações seguem esta norma, tem início a criação de uma base comum para prática da segurança.
Considerações iniciais
Quando da aplicação da norma na organização, talvez nem todos os controles e recomendações possam ser aplicados, bem como alguns controles adicionais passam ser necessários.
As obrigações legais devem sempre ser consideradas principalmente porque determinados segmentos de negócio possuem mais regulamentos legais que outros. O profissional de segurança deve ter o conhecimento desses aspectos legais, já que eles não são descritos na norma.
Fatores críticos de sucesso
Para que o processo da segurança da informação tenha sucesso é necessário que os regulamentos estejam alinhados com os objetivos de negócio, a forma de implementação seja coerente com a cultura da organização, exista o apoio verdadeira da alta administração, as ações de treinamento e educação sejam permanentes e existam recursos (financeiros, pessoas, tempo) para que o processo de segurança da informação seja efetivo, Isto é, eficiente e eficaz ao longo do tempo.
Política de segurança da informação
Deve existir uma política de segurança da informação com o objetivo de prover uma orientação e apoio para a implementação das ações de proteção. Essa política será explicitada através de um documento que deverá ser de conhecimento de todos e deve estar alinhada aos requisitos de negócio.
Gestão de Ativos.
Para possibilitar a proteção adequada da informação é necessário que se tenha a identificação dos ativos (recursos) de informação, seus resposáveis, sua forma de uso, sua classificação em termos de sigilo.
Segurança Física e do Ambiente
Os ambientes físicos onde estão os recursos (ativos) de informação devem ser protegidos contra ameaças que podem danificar esses recursos e prejudicar a utilização da informação para o negócio
Controle de acesso
Os procedimentos para um efetivo controle de acesso lógico têm por objetivo garantir que apenas os usuários cadastrados e previamente autorizados acessarão a informação de acordo com o tipo de uso permitido: leitura, alteração, gravação e/ou remoção.
Conformidade
Evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança é o objetivo desse item de conformidade. Para tanto, deve-se identificar a legislação vigente e outros regulamentos específicos a que negócio da organização está submisso.
Classificação da informação. Objetivo: Assegurar que a informação receba um nível adequado de proteção. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. A informação possui vários níveis de sensibilidade
...