Rhand Leal
novembro 10, 2015
Produtos para implementação, manutenção, treinamento, e conhecimento para Sistemas de Gestão de Segurança da Informação (SGSI) de acordo com a norma ISO 27001.
Automatize a implementação e manutenção do seu SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSI de acordo com a ISO 27001.
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um SGSI bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de conformidade e treinamento para organizações de infraestrutura crítica para a diretiva de cibersegurança de Rede e Sistemas de Informação da União Europeia.
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com a diretiva de cibersegurança NIS 2.
Programa corporativo de treinamento para empregados e gestão sênior para conformidade com o Artigo 20 da diretiva de cibersegurança NIS 2.
Produtos de conformidade e treinamento para proteção de dados pessoais de acordo com o Regulamento Geral de Proteção de Dados da União Europeia (EU GDPR).
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com o regulamento de privacidade EU GDPR.
Cursos acreditados para indivíduos e profissionais de privacidade que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão da Qualidade (SGQ) de acordo com a norma ISO 9001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ de acordo com a ISO 9001.
Cursos acreditados para indivíduos e profissionais de qualidade que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e ao SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão Ambiental (SGA) de acordo com a norma ISO 14001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGA de acordo com a ISO 14001.
Cursos acreditados para indivíduos e profissionais ambientais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 14001 e ao SGA usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação e treinamento para Sistemas de Gestão de Saúde e Segurança Ocupacional (SGSSO) de acordo com a norma ISO 45001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSSO de acordo com a ISO 45001.
Cursos acreditados para indivíduos e profissionais de saúde & segurança que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação e treinamento para Sistemas de Gestão da Qualidade (SGQ) de dispositivos médicos de acordo com a norma ISO 13485.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ para dispositivos médicos de cordo com a norma ISO 13485.
Cursos acreditados para indivíduos e profissionais de dispositivos médicos que querem treinamento e certificação da mais alta qualidade.
Produtos de compliance para o Regulamento de Dispositivos Médicos da União Europeia (EU MDR).
Todas a políticas, procedimentos e formulários para estar em conformidade com a EU MDR.
Produtos para implementação de Sistemas de Gestão de Serviços de Tecnologia da Informação (SGSTI) de acordo com a norma ISO 20000.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSTI de acordo com a ISO 20000.
Produtos para implementação de Sistemas de Gestão de Continuidade de Negócio (SGCN) de acordo com a norma ISO 22301.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGCN de acordo com a ISO 22301.
Produtos para implementação para laboratórios de teste e calibração de acordo com a norma ISO 17025.
Todas as políticas, procedimentos e formulários requeridos para implementar a ISO 17025 em um laboratório.
Produtos para implementação de Sistemas de Gestão da Qualidade automotiva (QMS) de acordo com a norma IATF 16949.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ automotivo de acordo com a IATF 16949.
Produtos para implementação de Sistemas de Gestão da Qualidade (SGQ) aeroespacial de acordo com a norma AS9100.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ aeroespacial de acordo com a AS9100.
Produtos para implementação, manutenção, treinamento, e conhecimento para consultores.
Lide com múltiplos projetos ISO 27001 automatizando tarefas repetitivas durante a implementação do SGSI.
Todas as políticas, procedimentos e formulários requeridos para implementar várias normas e regulamentos para seus clientes.
Organize um programa corporativo de cibersegurança para os empregados do seu cliente, e apoie um programa de cibersegurança bem-sucedido.
Cursos acreditados ISO 27001, 9001, 14001, 45001, e 13485 para profissionais que querem treinamento e certificação reconhecidas da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (QMS), e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Encontre novos clientes, parceiros potenciais, e colaboradores e encontre uma comunidade de profissionais com ideias semelhantes local e globalmente.
Produtos para implementação, manutenção, treinamento, e conhecimento para a indústria de TI.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de compliance, treinamento, e conhecimento para organizações essenciais e importantes.
Documentação para estar em conformidade com a NIS 2 (cibersegurança), GDPR (privacidade), ISO 27001 (cibersegurança), e ISO 22301 (continuidade de negócio).
Programa de treinamento corporativo para empregados e gestão sênior para estar em conformidade com o Artigo 20 da diretriz de segurança NIS 2.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de manufatura.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de transporte & distribuição.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para escolas, universidades e outras organizações educacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), e GDPR (privacidade).
Programa corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes e apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para empresas de telecomunicações.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para bancos, seguradoras, e outras organizações financeiras.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersecurança), ISO 22301 (continuidade de negócio), GDPR (privacidade), e NIS 2 (ciberseurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para entidades governamentais locais, regionais e nacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para hospitais e outras organizações de saúde.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor de dispositivos médicos.
Documentação para estar em conformidade com a MDR e ISO 13485 (dispositivos médicos), ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor aeroespacial.
Documentação para estar em conformidade com a AS9100 (aeroespacial), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para a indústria automotiva.
Documentação para estar em conformidade com a IATF 16949 (automotiva), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para laboratórios.
Documentação para estar em conformidade com a ISO 17025 (laboratórios de teste e calibração) e ISO 9001 (qualidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e o SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
A gestão de incidente é um dos processos chave para assegurar a eficácia de qualquer operação de negócio. Com maior ou menor sofisticação e maturidade, praticamente qualquer organização possui práticas implementadas para lidar com eventos indesejados, e algumas destas práticas são tão lugar comum que se tornaram boas práticas de mercado e base para normas mundiais.
Sendo uma prática mais antiga, a gestão de incidentes do ITIL tem ajudado muitas organizações a bastante tempo a lidar com incidentes de Tide modo a rapidamente restaurar as operações do negócio. Contudo, com a crescente preocupação com a segurança da informação, e a adoção de SGSI certificados pela ISO 27001, profissionais estão enfrentando um novo desafio: preservar a eficácia do processo de gestão de incidentes do ITIL e ao mesmo tempo obter conformidade com os requisitos da ISO 27001.
Neste artigo, apresentarei o que uma organização deveria considerar para assegurar que o processo de gestão de incidentes do ITIL esteja em conformidade com os requisitos da ISO 27001 para a certificação de um SGSI, considerando similaridades, lacunas e orientações para atingir o alinhamento.
Como parte da operação de serviços, a gestão de incidente visa gerenciar o ciclo de vida de todos os incidentes. Seu objetivo primário é o retorno do serviço de TI para os usuários tão rapidamente quanto possível. Os sub-processos da gestão de incidente e seus objetivos são:
Suporte a Gestão de Incidente: visa prover e manter os recursos (ex.: ferramentas, processos, habilidades e regras) para uma tratativa eficaz e eficiente de incidentes.
Categorização e Registro de Incidente: visa registrar e priorizar incidentes com a diligência apropriada, facilitando a resolução rápida e eficaz.
Resolução de Incidente: visa resolver incidentes dentro de prazos definidos acordados, considerando soluções de contorno, níveis de suporte e incidentes maiores. Ele pode iniciar o processo de gestão de problemas.
Monitoramento e Escalada de Incidente: visa continuamente monitorar a situação do processamento de incidentes, assegurando a implementação de contramedidas apropriadas em tempo hábil se os níveis de serviço têm a possibilidade de serem afetados.
Fechamento e Avaliação de Incidente: visa assegurar que o incidente está realmente resolvido e que todas as informações relevantes foram fornecidas para uso futuro (ex.: melhoria do processo, ação legal, etc.).
Informação Proativa do Usuário: visa informar aos usuários de falhas e alertas de serviço, de forma que eles estejam em posição de se ajustar a interrupções e eventos, reduzindo o número de chamadas feitas por usuários.
Reporte da Gestão de Incidente: visa fornecer informação relacionada a incidente para outros processos de gestão de serviço, e para assegurar que melhorias potenciais são desenvolvidas a partir de incidentes.
Para lidar com a gestão de incidentes, a ISO 27001 possui cláusulas e toda uma categoria no anexo (A.16 – Gestão de incidentes de segurança da informação).
Estas cláusulas cobrem os sete sub-processos do ITIL mencionados na seção anterior, e precisam de pouco a nenhum ajuste para assegurar conformidade:
Cláusulas da ISO 27001 | Sub-processos da Gestão de Incidente do ITIL |
5.1 — Liderança e comprometimento | O Suporte a Gestão de Incidente claramente declara a necessidade por recursos, habilidade e conhecimento. |
7.2 — Competência | |
5.3 — Autoridades, responsabilidades e papéis organizacionais | Para todos os sub-processos, responsabilidades são definidas apenas com relação ao processo de gestão de incidente (ex.: gerente de incidente, equipe de suporte à incidente, etc.). Uma organização deveria definir quais papéis de negócio específicos (ex.: gerente de produção, gerente de relacionamento com o cliente, etc.) estão incluídos no processo de gestão de incidente. Para procedimentos, a necessidade está clara (por meio de soluções de contorno e critérios de escalada). |
A.16.1.1 — Responsabilidades e procedimentos | |
A.16.1.4 — Avaliação e decisão dos eventos de segurança da informação | O Registro de Incidente e como lidar com o incidente devem ser definidos. |
A.16.1.5 — Resposta aos incidentes de segurança da informação | A Resolução de Incidente claramente cobre o objetivo deste controle. |
A.16.1.6 — Aprendendo com os incidentes de segurança da informação | O Reporte da Gestão de Incidente é uma fonte clara para prover melhoria contínua para o SGSI. |
Existem algumas lacunas no processo de Gestão de Incidente do ITIL que podem ser resolvidos pela aplicação de controles da ISO 27001:
Sub-processo da Gestão de Incidente do ITIL | Lacuna | Controle do Anexo A da ISO 27001 |
Informação Proativa do Usuário | O fluxo de comunicação é claro apenas do processo para os usuários. O processo deveria prover formas claras para os usuários comunicarem evento e fragilidades de segurança (ex.: em formulários na Intranet da organização, uma linha telefônica, etc.). | A.16.1.2 – Notificação de eventos de segurança da informação |
A.16.1.3 – Notificando fragilidades de segurança da informação | ||
Resolução de Incidente | Não é claro como informação e evidência material deveriam ser tratadas, para assegurar sua aceitação legal. Um procedimento forense deveria ser considerado. | A.16.1.7 – Coleta de evidências |
Embora não sejam críticos para os processos, os seguintes controles do Anexo A da ISO 27001 podem melhorar a gestão de Incidente do ITIL, e ao mesmo tempo assegurar a conformidade de outros processos do ITIL com os requisitos da ISO 27001:
Sub-processo da Gestão de Incidente do ITIL | Controle do Anexo A da ISO 27001 | Melhoria potencial |
Nenhum processo específico da gestão de incidente | A.11.2.4 – Manutenção dos equipamentos | Manutenção adequada assegura a disponibilidade e integridade continua dos ativos, reduzindo a probabilidade de ocorrência de incidentes. |
Suporte a Gestão de Incidente | A.12.1.3 – Gestão de capacidade | Assegura a conformidade do processo de gestão de capacidade do ITIL com a ISO 27001.
Um melhor entendimento da capacidade atual e demandas futuras pode melhorar a alocação de recursos para lidar melhor lidar com incidente com redução de custos. |
Monitoramento e Escalada de Incidente | A.12.4.1 – Registros de eventos | Pode ajudar a aumentar / organizar informação disponível, reduzindo a probabilidade de ocorrência de incidentes e o tempo de resposta. |
Como dito anteriormente, a gestão de incidente do ITIL há muito tempo vem ajudando organizações ao redor do mundo a tratar de forma eficaz eventos de TI não desejados, mas como a gestão da segurança da informação está se tornando uma preocupação da alta direção, gestores de TI deveriam estar preparados para incluir novas fontes de requisitos sem perda de desempenho.
Meu conselho nesta situação é: conheça bem estes novos requisitos, e melhor ainda, seus processos. Uma vez que o ITIL e a ISO 27001 são baseadas em melhores práticas mundiais, elas terão muito em comum, e sabendo disso, e tirando vantagem do que já existe e pode ser integrado, isso se provará muito útil para sua equipe e os recursos da organização.
Este ITSM Incident Management Toolkit lhe dá muita ajuda para cumprir os requisitos de gerenciamento de incidentes da ISO 27001.
Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.
Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.
Você pode cancelar sua inscrção a qualquer momento. Para mais informações por favor veja nosso aviso de privacidade.