Como avaliar consequências e probabilidade na análise de risco da ISO 27001

Se você está avaliando riscos de segurança da informação em sua organização, então a identificação de ativos, ameaças e vulnerabilidades é apenas a primeira metade do trabalho. (Veja também Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades.) A segunda parte do trabalho, não menos importante e …

Leia mais ...

Como fazer a transição da ISO 27001 versão 2005 para a versão 2013

Caso você já tenha implementado a versão 2005 da ISO 27001 você provavelmente deve estar se perguntando: “Oh não, agora que a versão 2013 foi publicada, nós teremos que fazer tudo de novo.” Bem, isto não é bem verdade – embora a versão 2013 tenha trazido algumas mudanças, estas mudanças …

Leia mais ...

A segurança da informação deve se concentrar na proteção de ativos, conformidade ou governança corporativa?

Tradicionalmente, a segurança da informação tem sido percebida como uma atividade que foi construída em torno da proteção de ativos de informações sensíveis – afinal, era isso que a primeira revisão (2005) da ISO 27001, e sua predecessora BS 7799-2, também enfatizavam. Essas normas exigiam que as empresas identificassem todos …

Leia mais ...

Alinhando a segurança da informação com o direcionamento estratégico de uma organização de acordo com a ISO 27001

Há um requisito da ISO 27001 que é muito raramente mencionado, ainda que seja provavelmente crucial para a “sobrevivência” de longo prazo de um Sistema de Gestão de Segurança da Informação SGSI) em uma organização: este é o requisito da cláusula 5.1 que diz que a alta direção precisa assegurar que …

Leia mais ...

Onde a segurança da informação se encaixa em uma organização?

Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc. Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade …

Leia mais ...

4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001

Não espere que sua gerência entenda por conta própria por que a ISO 27001 é boa para a organização deles – você tem que trabalhar duro para convence-los. Essencialmente, você precisa ter dois elementos para ser bem-sucedido neste processo: (1) preparar uma lista de benefício de negócio que são realmente aplicáveis …

Leia mais ...

Como se prepara para uma auditoria interna da ISO 27001

Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário. Assim, vejamos o que você …

Leia mais ...

Como documentar papéis e responsabilidades de acordo com a ISO 27001

Profissionais de segurança da informação que são novos na ISO 27001 frequentemente tendem a pensar que esta norma requer uma definição muito centralizada e muito detalhada de papéis e responsabilidades. Na verdade, isto não é verdade. Por favor não me entenda errado: definir e comunicar papéis e responsabilidades é importante, porque é …

Leia mais ...

O que você deveria escrever em sua Política de Segurança da informação de acordo com a ISO 27001?

O conteúdo da Política de Segurança da Informação é certamente um dos maiores mitos relacionados a ISO 27001 – muito frequentemente o propósito deste documento é mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua segurança neste documento. Bem, isto não …

Leia mais ...

O que é um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO 27001?

Se você iniciou uma implementação da ISO 27001, você certamente encontrou o termo Sistema de Gestão de Segurança da Informação ou SGSI. Termo muito vago, não é? E ainda, o SGSI é o principal “produto” da implementação da ISO 27001. Assim, o que exatamente é um SGSI? A ISO 27001 basicamente …

Leia mais ...

4 opções de mitigação no tratamento de riscos de acordo com a ISO 27001

Muitas pessoas pensam que a avaliação de riscos é a parte mais difícil da implementação da ISO 27001 – verdade, a avaliação de riscos é provavelmente a mais complexa, mas o tratamento de riscos é definitivamente a mais estratégica e mais onerosa. O propósito do tratamento de riscos parece bastante simples: …

Leia mais ...

3 estratégias para implementar qualquer norma ISO

Se você está considerando a implementação da ISO 27001, ISO 9001, ISO 14001, ISO 20000, ou qualquer outra norma de gestão ISO, você provavelmente está sobrecarregado com várias abordagens sobre como iniciar e terminar tal projeto com sucesso. Na minha opinião, existem três opções básicas para se implementar estar normas: …

Leia mais ...

Acreditação vs. certificação vs. registro no mundo ISO

Coisa com as normas ISO podem se tornar realmente complicadas: existem muitas normas de gestão ISO – as mais populares são ISO 9001, ISO 14001, ISO 27001, ISO 22301, ISO 20000, etc. – e há uma infinidade de maneiras de se tornar acreditado / certificado / registrado com relação a …

Leia mais ...

Avaliação de Riscos vs. Análise de impacto no negócio

Se você está implementando a ISO 27001, ou especialmente a ISO 22301 pela primeira vez, você provavelmente está intrigado com a avaliação de riscos e a análise de impacto no negócio. Qual é o propósito delas? Como elas são diferentes? Elas podem ser realizadas ao mesmo tempo? De forma resumida, …

Leia mais ...

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.