
setembro 7, 2016
Produtos para implementação, manutenção, treinamento, e conhecimento para Sistemas de Gestão de Segurança da Informação (SGSI) de acordo com a norma ISO 27001.
Automatize a implementação e manutenção do seu SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSI de acordo com a ISO 27001.
Treine seu pessoal-chave sobre os requisitos da ISO 27001 e forneça treinamento de conscientização sobre cibersegurança a todos os seus funcionários.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de conformidade e treinamento para organizações de infraestrutura crítica para a diretiva de cibersegurança de Rede e Sistemas de Informação da União Europeia.
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com a diretiva de cibersegurança NIS 2.
Programa corporativo de treinamento para empregados e gestão sênior para conformidade com o Artigo 20 da diretiva de cibersegurança NIS 2.
Produtos de conformidade e treinamento para entidades financeiras para a regulamentação DORA da União Europeia.
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com a regulamentação do DORA.
Programa de treinamento em cibersegurança e resiliência em toda a empresa para todos os funcionários, para treiná-los e aumentar a conscientização sobre o gerenciamento de riscos de TIC.
Cursos acreditados para indivíduos e profissionais da DORA que desejam treinamento e certificação da mais alta qualidade.
Produtos de conformidade e treinamento para proteção de dados pessoais de acordo com o Regulamento Geral de Proteção de Dados da União Europeia (EU GDPR).
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com o regulamento de privacidade EU GDPR.
Treine seu pessoal-chave sobre os requisitos do GDPR para garantir a conscientização sobre os princípios de proteção de dados, os direitos de privacidade e a conformidade regulamentar.
Cursos acreditados para indivíduos e profissionais de privacidade que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão da Qualidade (SGQ) de acordo com a norma ISO 9001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ de acordo com a ISO 9001.
Cursos acreditados para indivíduos e profissionais de qualidade que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e ao SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão Ambiental (SGA) de acordo com a norma ISO 14001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGA de acordo com a ISO 14001.
Cursos acreditados para indivíduos e profissionais ambientais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 14001 e ao SGA usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação e treinamento para Sistemas de Gestão de Saúde e Segurança Ocupacional (SGSSO) de acordo com a norma ISO 45001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSSO de acordo com a ISO 45001.
Cursos acreditados para indivíduos e profissionais de saúde & segurança que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação e treinamento para Sistemas de Gestão da Qualidade (SGQ) de dispositivos médicos de acordo com a norma ISO 13485.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ para dispositivos médicos de cordo com a norma ISO 13485.
Cursos acreditados para indivíduos e profissionais de dispositivos médicos que querem treinamento e certificação da mais alta qualidade.
Produtos de compliance para o Regulamento de Dispositivos Médicos da União Europeia (EU MDR).
Todas a políticas, procedimentos e formulários para estar em conformidade com a EU MDR.
Produtos para implementação de Sistemas de Gestão de Serviços de Tecnologia da Informação (SGSTI) de acordo com a norma ISO 20000.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSTI de acordo com a ISO 20000.
Produtos para implementação de Sistemas de Gestão de Continuidade de Negócio (SGCN) de acordo com a norma ISO 22301.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGCN de acordo com a ISO 22301.
Produtos para implementação para laboratórios de teste e calibração de acordo com a norma ISO 17025.
Todas as políticas, procedimentos e formulários requeridos para implementar a ISO 17025 em um laboratório.
Produtos para implementação de Sistemas de Gestão da Qualidade automotiva (QMS) de acordo com a norma IATF 16949.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ automotivo de acordo com a IATF 16949.
Produtos para implementação de Sistemas de Gestão da Qualidade (SGQ) aeroespacial de acordo com a norma AS9100.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ aeroespacial de acordo com a AS9100.
Produtos para implementação, manutenção, treinamento, e conhecimento para consultores.
Lide com múltiplos projetos ISO 27001 automatizando tarefas repetitivas durante a implementação do SGSI.
Todas as políticas, procedimentos e formulários requeridos para implementar várias normas e regulamentos para seus clientes.
Expanda seus negócios organizando treinamentos sobre cibersegurança e conformidade para seus clientes com sua própria marca usando a plataforma do sistema de gerenciamento de aprendizagem da Advisera.
Cursos acreditados de Lead Auditor e Lead Implementer para as normas ISO e o DORA, além de um curso avançado para ajudar consultores a desenvolver seus negócios.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (QMS), e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Encontre novos clientes, parceiros potenciais, e colaboradores e encontre uma comunidade de profissionais com ideias semelhantes local e globalmente.
Produtos para implementação, manutenção, treinamento, e conhecimento para a indústria de TI.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), NIS 2 (cibersegurança de infraestrutura crítica) e DORA (cibersegurança para o setor financeiro).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de compliance, treinamento, e conhecimento para organizações essenciais e importantes.
Documentação para estar em conformidade com a NIS 2 (cibersegurança), GDPR (privacidade), ISO 27001 (cibersegurança), e ISO 22301 (continuidade de negócio).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de manufatura.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de transporte & distribuição.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para escolas, universidades e outras organizações educacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), e GDPR (privacidade).
Programa corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes e apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para empresas de telecomunicações.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para bancos, seguradoras, e outras organizações financeiras.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a DORA (cibersegurança para o setor financeiro), ISO 27001 (cibersecurança), ISO 22301 (continuidade de negócio) e GDPR (privacidade).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para entidades governamentais locais, regionais e nacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para hospitais e outras organizações de saúde.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor de dispositivos médicos.
Documentação para estar em conformidade com a MDR e ISO 13485 (dispositivos médicos), ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor aeroespacial.
Documentação para estar em conformidade com a AS9100 (aeroespacial), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para a indústria automotiva.
Documentação para estar em conformidade com a IATF 16949 (automotiva), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para laboratórios.
Documentação para estar em conformidade com a ISO 17025 (laboratórios de teste e calibração) e ISO 9001 (qualidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e o SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Normas de Sistema de gestão, especialmente aquelas que lidam com segurança e interrupções de processos de negócio, usam o termo “gestão de incidente”. Como estas normas de sistemas de gestão lidam com diferentes aspectos da gestão de processos de negócio (Gestão de Serviços de TI, Segurança da Informação, Continuidade de Negócio, Segurança da Cadeia de Suprimento, e possivelmente outras), o termo é largamente usado mas possui um diferente significado dependendo do contexto. Sobre isso, muitas das normas também usam o termo “evento”.
De forma a simplificar as coisas, vamos tentar explicar a relação entre “evento” e “incidente”. O ISO/IEC Guide 73 (um vocabulário de gestão de riscos da ISO) define um evento como uma “ocorrência que mudaria um conjunto particular de circunstâncias”. Como isto não é claro, a ISO 22301:2012 usa ao menos quarto notas de forma a melhor explicar a definição de um evento. Os autores desta definição provavelmente pensaram em eventos como sendo um tipo de mudança (súbita) sem um resultado negativo. Por exemplo, um evento pode não ter nenhuma implicação negativa – algo apenas mudou (ex.: um de três conjuntos de ar condicionado é desligado para manutenção).
Como tal, o termo “evento” pode ser usado como uma expressão neutra. “Incidentes”, ao contrário, pode possuir um significado negativo, de acordo com a definição deles em diferentes normas ISO. Por exemplo, se o desligamento do terceiro conjunto de ar condicionado imediatamente sobrecarrega e desliga os dois conjuntos restantes, o evento evoluiu para um incidente.
Encontre mais explicações de terminologias das normas no artigo Explanação da terminologia básica das normas ISO.
A Norma ISO/IEC em Gestão de Serviços de TI (ISO/IEC 20000-1:2011), em sua definição 3.10, sublinha as duas faces dos incidentes. Enquanto existem certos incidentes que são conectados a uma interrupção não planejada de um serviço (impacto negative para um ou mais usuários), uma indicação que um dos discos rígidos de um conjunto de discos espelhados desenvolveu uma falha pode ser um tipo de incidente sem um impacto negativo imediato, de acordo com a definição acima: “… uma redução na qualidade do serviço … que ainda não impactou o serviço para o cliente”. Contudo, na gestão de serviços de TI, incidentes estão sendo conectados a interrupções ou uma redução na qualidade dos serviços aos usuários. Estes incidentes precisam ser cuidados por uma estrutura de gestão de incidentes apropriada.
Da mesma forma, a ISO 20000 considera, em adição aos incidentes “normais”, os chamados incidentes de segurança da informação. Como mencionado na definição 3.12: “… eventos de segurança não esperados … probabilidade significativa … ameaçando a segurança da informação”. Estes são incidentes que são diretamente relacionados a assuntos de segurança, em contraste a incidentes que, por exemplo, estão relacionados a interrupções de sistema.
Precisamos lembrar que nem todos os incidentes em gestão de serviços de estão relacionados à segurança. Por exemplo, a perda de capacidade de impressão é um incidente, mas pode não estar relacionado a assuntos de segurança.
A ISO/IEC 27000:2016, em sua definição 2.36 (incidente de segurança da informação), sublinha o impacto nas operações do negócio com respeito à segurança da informação. Como tal, todas as três dimensões da segurança da informação: confidencialidade, integridade, e disponibilidade – podem ser afetadas. Por exemplo, documentação confidencial pode ter sido exposta, malware pode ter corrompido dados, ou sistemas podem ter sido colocados fora de operação devido a um ciber-ataque.
De forma a lidar com estes tipos de incidentes, uma estrutura de gestão de incidentes de segurança da informação precisar estar implementada. O Anexo A da ISO/IEC 27001:2013 chama por tal estrutura na seção A.16. Ela também lista um número de controles que precisam estar implementados.
Veja também o artigo How to handle incidents according to ISO 27001 A.16 para aprender mais sobre incidentes de segurança.
Na família de normas para gestão da segurança na cadeia de suprimento, a gestão de incidentes também é de importância. Por exempla, a ISO 28003:2007 (governando a certificação de sistemas de gestão da segurança da cadeia de suprimento) até mesmo pede aos auditores para saber como responder a incidentes de segurança.
A ISO 22301:2012, em sua definição 3.19, que é baseada na ISO 22300:2012, claramente coloca uma interpretação negativa na definição de um incidente. Os autores usam a expressão “incidente disruptivo” em muitas partes da norma. Isto é para sublinhar que em continuidade de negócio, consequência sérias podem resultar de interrupções de negócios. As consequências podem ser muito mais graves quando comparadas a incidentes tipicamente menores na gestão de serviços de TI.
Consequências típicas destes tipos de incidentes – de acordo com esta definição – são interrupções de processo, perdas de vidas humanas e de ativos, emergências ou crises. Interrupções podem ter uma grande variedade de causas e podem impactar não apenas ativos de tecnologia da informação, mas quaisquer ativos da organização. Essencialmente, a continuidade de negócio prepara para tais incidentes (que podem evoluir para emergências totais) e para reagir apropriadamente a interrupções. Tal como um SGSI, organizações podem se tornar certificadas com relação aos requisitos da ISO 22301:2012.
Na maioria das vezes, “incidentes” carregam um significado negativo, mas este não é sempre o caso. Da mesma forma, cada definição é um comprometimento e pode não descrever exatamente o termo a ser definido. Como tal, precisamos estar ativamente cientes do contexto onde estamos operando.
Por exemplo, considere as três normas ISO 22301, ISO 27001 e ISO 20000. Se você iniciou com uma destas três estruturas e aprendeu a interpretar a definição de um “incidente” no contexto específico de uma estrutura, você precisa entender que a definição de um “incidente” em outra norma ISO pode ser algo diferente. Talvez você precise especificar mais precisamente os tipos de incidente pela introdução e uso de termos tais como “incidente disruptivo”, “incidente de segurança da informação”, e “incidente de gestão de serviço de TI” para evitar ambiguidades.
Temos que viver com aproximações, e precisamos nos engajar em um diálogo. Este post do blog serve para iniciar tal diálogo.
Use este ISO 27001 Foundations Online Course gratuito para aprender mais sobre incidentes de segurança.
Nós agradecemos a Rhand Leal pela tradução para o português.
Você pode cancelar sua inscrção a qualquer momento. Para mais informações por favor veja nosso aviso de privacidade.