segunda-feira, 9 de fevereiro de 2015

Checklist da Norma ISO 27.001

Checklist da Norma ISO 27.001




Neste post será apresentado o checklist preparado para os 133 controles da Norma ISO 27.001, ajudando na implantação do SGSI em uma instituição.



O código ISO foi dividido em níveis, para uma melhor indexação dos controles, podendo, assim, uma instituição optar por implementar e evoluir controles que se referenciam ao mesmo assunto. Na coluna Controle foi apresentada a descrição da necessidade para a implementação do respectivo controle:



  • Aquisição, desenvolvimento e manutenção de sistemas de informação
    • Controles criptográficos
    • Gestão de vulnerabilidades técnicas
    • Processamento correto de aplicações
    • Requisitos de segurança de sistemas de informação
    • Segurança dos arquivos do sistema
    • Segurança em processos de desenvolvimento e de suporte
  • Conformidade
    • Conformidade com normas e políticas de Segurança da Informação e conformidade técnica
    • Conformidade com requisitos legais
    • Considerações quanto à auditoria de sistemas de informação
  • Controle de acessos
    • Computação móvel e trabalho remoto
    • Controle de acesso à aplicação e à informação
    • Controle de acesso à rede
    • Controle de acesso ao sistema operacional
    • Gerenciamento de acesso do usuário
    • Requisitos de negócio para controle de acesso
    • Responsabilidades dos usuários
  • Gerenciamento das operações e comunicações
    • Cópias de segurança
    • Gerenciamento da segurança em redes
    • Gerenciamento de serviços terceirizados
    • Manuseio de mídias
    • Monitoramento
    • Planejamento e aceitação dos sistemas
    • Procedimentos e responsabilidades operacionais
    • Proteção contra códigos maliciosos e códigos móveis
    • Serviços de comércio eletrônico (Sistemas transacionais On-Line)
    • Troca de informações
  • Gestão da continuidade do negócio
    • Aspectos da gestão da continuidade do negócio, relativos à Segurança da Informação
  • Gestão de ativos
    • Classificação da informação
    • Responsabilidade pelos ativos
  • Gestão de incidentes de Segurança da Informação
    • Gestão de incidentes de Segurança da Informação e melhorias
    • Notificação de fragilidades e eventos de Segurança da Informação
  • Organizando a Segurança da Informação
    • Infraestrutura da Segurança da Informação
    • Partes externas
  • Política de segurança
    • Política de Segurança da Informação
  • Segurança em recursos humanos
    • Antes da contratação
    • Durante a contratação
    • Encerramento ou mudança da contratação
  • Segurança física e do ambiente
    • Áreas seguras
    • Segurança de equipamentos



E ainda, para facilitar o agrupamento e implementação de cada controle no SGSI de sua instituição, os controles foram identificados por:
  • Sua relevância dentro do conjunto de controles
  • Seu custo/dificuldade de implementação


Assim, a implantação do SGSI poderá ser dividida em etapas, como, por exemplo, um lote com os controles mais relevantes e com menos custo/dificuldade de implementação.



Para complementar, disponibilizei uma apresentação muito interessante sobre Boas Práticas em SI... acredite, realmente vale a pena fazer sua leitura para contextualização no assunto!




Os documentos estão disponibilizados no Box... façam bom proveito!

REFERÊNCIAS



Sistema de Gestão de Segurança da Informação - 1/3



Abraços!
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)