1. ISO 27001
1.1. 1 - Geral
1.1.1. Específica os requisitos do EIOMAMM
1.1.1.1. estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI
1.1.2. Especifica requisitos para implementação de controles de segurança personalizada para uma organização ou suas partes
1.1.3. Cobre todos os tipos de organização
1.1.4. Possui 3 anexos
1.1.4.1. Anexo A: Caráter Normativo . Obejtivos de Controles e Controles (27002 de 5 a 15). Guia/ uma referência dos objetivos e controles.
1.1.4.2. Anexo B: Informativo - Princípios da OECD
1.1.4.3. Anexo C: Informativo - Correspondência com a ISO 9001 e 14001 .
1.1.5. Dividida em 8 partes
1.2. 2 - Referência Normativa
1.2.1. Baseado nas indicações da 27002
1.3. 3 -Termos e Definições
1.3.1. Ativo: Qualquer coisa que tenha valor em uma organização
1.3.2. Segurança da Informação: Preservação da confidencilidade, integridade e disponibilidade da informação.
1.3.3. Sistema de Gestao de Seg da Informação: è a parte de sistema de Gestão Global. Aborda riscos de negócio Serve para manter a segurança da informação.
1.3.4. Evento de Segurança da Informação: Alteração no estado de um ativo significativa sobre uma ativo de uma organização. Uma ocorrência identificada de um estado de sistema
1.3.5. Incidente de Segurança da Informação: Um simples ou uma série de eventos da informação, indesejaveis ou inesperado que tem grande probabilidade de comprometer as operações do negócio.
1.3.6. Integridade: Exatidão e completeza de ativos
1.3.7. Risco Residual: Risco remanescente após o tratamento de riscos.
1.3.8. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a individuo, entidades ou processos não autorizados.
1.3.9. Analise de Risco: Só analisa o risco de forma superficial.Analisa de forma preliminar.Identifica fontes e estima o risco.
1.3.10. Analise de Riscos/Avaliação: Processo completo de analise e avaliação de risco.
1.3.11. Avaliação de Risco: Comparar e determinar a importancia dos riscos.
1.3.12. Declaração de Aplicabilidade: Documento que descreve os objetivos de controle e controles refrentes a um SGSI de uma organização. Aplicaveis e não aplicaveis.
1.3.13. Tratamento de risco: Seleção e implementação de medidas para modificar um risco .
1.4. 4 - SGSI: Serve para proteger os ativos de informação e propiciar confiança entre as partes interessadas.
1.4.1. Para Estabelecer o SGSI uma organização deve definir o escopo e o limite do SGSI de acordo com as características do negócio. Deve-se definir a abordagem de analise/avaliação de riscos.Identificar riscos,ameaças, vulnerabilidade e impactos.
1.4.2. Obter aprovação da direção dos riscos residuais propostos
1.4.3. Necessário obter aprovação da direção para implementar um SGSI .
1.4.4. Necessário criar uma declaração de aplicabilidade.
2. ISO 27002
2.1. Objetivo - estabelece diretrizes e princípios para IINManMe: Iniciar,implementar,manter e melhorar.
2.2. Introdução
2.2.1. Gastos com controles devem ser balanceados de acordo com danos causados ao negócio.
2.2.2. Analise/Verificação de riscos deve ser realizada periodicamente
2.2.3. Controles podem ser selecionados a partir desta norma ou novos controles podem ser utilizados para atender a segurança da informação
2.2.4. A seleção de controle depende das decisões da organização baseadas no critério de aceitação de risco, opções para tratamento e enfoque geral da gestão. Convém serem observados requisitos de conformidade.
2.2.5. Os controles essenciais sobre os pontos de vista legal, devem ser protegidos os dados e privacidade de informações pessoais. Proteção dos registros organizacionais e de propriedade intelectual.
2.2.6. Os controles considerados práticas são política de segurança da informação, atribuições de responsabilidades, conscientização, educação e treinamento.
2.2.7. Fatores críticos para o sucesso: Deve existir politicas que reflitam a cultura do negócio. Deve ser feira a divulgação para todos da organização sobre as políticas. Deve haver provisao de recursos financeiros para SGSI. Deve haver processo eficiente de gestão de incidentes.
2.3. Termos e Definição
2.3.1. Recursos de processamento da informação: sistema, serviço ou infra-estrutura ou instalação fisica que os sabriguem
2.3.2. segurança da informação: confidencialidade, integridade e disponibilidade da informação
2.3.3. Política: Intenções e diretrizes globais formalmente expressas pela direção.
2.3.4. terceira parte: pessoa ou organismo reconhecido como independente das partes envolvidas de uma dado assunto. TERCEIROS .
2.3.5. Ameaça: Causa potencial de um incidente
2.3.6. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaçãs.