Neste post será apresentado o checklist preparado para os 133 controles da Norma ISO 27.001, ajudando na implantação do SGSI em uma instituição.

O código ISO foi dividido em níveis, para uma melhor indexação dos controles, podendo, assim, uma instituição optar por implementar e evoluir controles que se referenciam ao mesmo assunto. Na coluna Controle foi apresentada a descrição da necessidade para a implementação do respectivo controle:

 

  • Aquisição, desenvolvimento e manutenção de sistemas de informação
    • Controles criptográficos
    • Gestão de vulnerabilidades técnicas
    • Processamento correto de aplicações
    • Requisitos de segurança de sistemas de informação
    • Segurança dos arquivos do sistema
    • Segurança em processos de desenvolvimento e de suporte

 

  • Conformidade
    • Conformidade com normas e políticas de Segurança da Informação e conformidade técnica
    • Conformidade com requisitos legais
    • Considerações quanto à auditoria de sistemas de informação

 

  • Controle de acessos
    • Computação móvel e trabalho remoto
    • Controle de acesso à aplicação e à informação
    • Controle de acesso à rede
    • Controle de acesso ao sistema operacional
    • Gerenciamento de acesso do usuário
    • Requisitos de negócio para controle de acesso
    • Responsabilidades dos usuários

 

  • Gerenciamento das operações e comunicações
    • Cópias de segurança
    • Gerenciamento da segurança em redes
    • Gerenciamento de serviços terceirizados
    • Manuseio de mídias
    • Monitoramento
    • Planejamento e aceitação dos sistemas
    • Procedimentos e responsabilidades operacionais
    • Proteção contra códigos maliciosos e códigos móveis
    • Serviços de comércio eletrônico (Sistemas transacionais On-Line)
    • Troca de informações

 

  • Gestão da continuidade do negócio
    • Aspectos da gestão da continuidade do negócio, relativos à Segurança da Informação

 

  • Gestão de ativos
    • Classificação da informação
    • Responsabilidade pelos ativos

 

  • Gestão de incidentes de Segurança da Informação
    • Gestão de incidentes de Segurança da Informação e melhorias
    • Notificação de fragilidades e eventos de Segurança da Informação

 

  • Organizando a Segurança da Informação
    • Infraestrutura da Segurança da Informação
    • Partes externas

 

  • Política de segurança
    • Política de Segurança da Informação

 

  • Segurança em recursos humanos
    • Antes da contratação
    • Durante a contratação
    • Encerramento ou mudança da contratação

 

  • Segurança física e do ambiente
    • Áreas seguras
    • Segurança de equipamentos

 

E ainda, para facilitar o agrupamento e implementação de cada controle no SGSI de sua Instituição, os controles foram identificados por:

  • Sua relevância dentro do conjunto de controles
  • Seu custo/dificuldade de implementação

 

 

Assim, a implantação do SGSI poderá ser dividida em etapas, como, por exemplo, uma fase inicial com os controles mais relevantes e com menos custo/dificuldade de implementação e outras fases posteriores…

 

Para complementar, disponibilizei uma apresentação muito interessante sobre Boas Práticas em SI… acredite, realmente vale a pena fazer sua leitura para contextualização no assunto!

 

 

Os documentos estão disponibilizados no Box… façam bom proveito e abraços!

 

 

REFERÊNCIAS

 

Sistema de Gestão de Segurança da Informação

Checklist – Controles da ISO 27.001

SEFAZ – Boas Práticas em Segurança da Informação

Deixe uma Resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar tags e atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>