a implementação de sistemas de gestão iso27001 e · pdf filegestão...
TRANSCRIPT
A implementação de Sistemas de Gestão
ISO27001 e ISO20000
Principais Etapas
Paulo Faroleiro
ISO 20000 CC/LA, ISO 27001 CC/LA, CISA, CISM
Certified Processes Auditor (BSI)
Certified Project Manager C-Level (IPMA)
Director
Risk & Information Security BU
IT Management Practice
Novabase IMS
www.novabase.pt
Agenda
• Objectivos de uma Certificação ISO
• Objectivos partilhados entre SG ISO 20000 e SG ISO 27001
• Objectivos distintos entre SG ISO 20000 e SG ISO 27001
• As Principais etapas de Implementação de uma Certificação ISO 20000
• As Principais etapas de Implementação de uma Certificação ISO 20000
• Calendário de Certificação
• Enquadramento GRC
24 Outubro 2008
Objectivos de uma Certificação ISO
24 Outubro 2008
Objectivos de um SG de Gestão de Serviço de IT ou de Segurança de Informação – Componentes Conjuntas
• Orientação a Processos
• Sistemas de Gestão Integráveis
• Não há exclusões de Processos (a ISO 27001 permite exclusão de controlos
justificado pela Análise de Risco)
• Aplicáveis a qualquer tipo de organização (a ISO 20000 aplica-se a DSI/DTI
de qualquer tipo de organização)
• Certificações tri-anuais com auditorias de acompanhamento anuais
Partes interessadas
Requisitos e expectativas de
Segurança da Informação
Partes interessadas
Segurança da Informação gerida
Planear
Executar
Verificar
Actuar
Estabelecer o SGSI
Implementar e operar o SGSI
Monitorizar e rever o SGSI
Manter e melhorar o SGSI
24 Outubro 2008
SGSIT
• Orientação ao Serviço
• Garantir a Entrega de Serviço de
Acordo com os Requisitos e os
Níveis de Serviço Acordados
– Disponibilidade
– Performance
• Contida no IT
SGSI
• Orientação ao Risco
• Garantir a Segurança da
Informação relativamente aos
seus Requisitos de
– Confidencialidade
– Integridade
– Disponibilidade
• Transversal à Organização
Partes interessadas
Requisitos e expectativas de
Segurança da Informação
Partes interessadas
Segurança da Informação gerida
Planear
Executar
Verificar
Actuar
Estabelecer o SGSI
Implementar e operar o SGSI
Monitorizar e rever o SGSI
Manter e melhorar o SGSI
Objectivos de um SG de Gestão de Serviço de IT ou de Segurança de Informação – Diferenças
24 Outubro 2008
Principais Etapas – ISO 20000
24 Outubro 2008
Partesinteressadas
Requisitos e expectativas da
Prestaçãode Serviço de IT
Partesinteressadas
Entrega deServiço de ITcom Nível de Serviço
Planear
Executar
Verificar
Actuar
Estabelecer o SGSIT
Implementar e operar o SGSIT
Monitorizar e rever o SGSIT
Manter e melhorar o SGSIT
Processo de Implementação ISO 20000Definição do Âmbito
24 Outubro 2008
ISO 20000-2•Catálogo
Processo de Implementação ISO 20000Definição dos Serviços e dos Processos de Suporte aos Serviços
•Catálogoactualizado
24 Outubro 2008
Plano de Remediação ISO 19011
Processo de Implementação ISO 20000Implementação do Plano de Remediação
24 Outubro 2008
ISO 19011Inputs da RpG
Processo de Implementação ISO 20000Auditoria e Certificação
24 Outubro 2008
O envolvimento dos Stakeholders na ISO 20000
• Os Stakeholders têm um papel essencial no enquadramento da iniciativa,
cabe-lhes a responsabilidade de estabelecer o contexto, no qual a
Organização se insere e os princípios que pretendem ver aplicados na
Gestão da Prestação do Serviço
24 Outubro 2008
Visão sobre a orientação ao serviço na OrganizaçãoRegulações aplicáveis e nível de conformidade exigidoObjectivos futuros de maturidade (datas) Optimização dos Processos com Ferramentas de SuporteTipo de métricas
Principais Etapas – ISO 27001
24 Outubro 2008
Planear
Executar
Verificar
Actuar
Estabelecer o SGSI
Implementar e operar o SGSI
Monitorizar e rever o SGSI
Manter e melhorar o SGSI
Partes interessadas
Requisitos e expectativas de
Segurança da Informação
Partes interessadas
Segurança da Informação gerida
Planear
Executar
Verificar
Actuar
Estabelecer o SGSI
Implementar e operar o SGSI
Monitorizar e rever o SGSI
Manter e melhorar o SGSI
Processo de Implementação ISO 27001Definição do Âmbito
24 Outubro 2008
ISO 27005ISO 31000 ISO 27002•Inventário
Processo de Implementação ISO 27001Avaliação e Tratamento do Risco
•Inventárioactualizado
24 Outubro 2008
Plano de Remediação ISO 19011
Processo de Implementação ISO 27001Implementação do Plano de Remediação
24 Outubro 2008
ISO 19011Inputs da RpG
ISO 19011
Processo de Implementação ISO 27001Auditoria de Certificação
24 Outubro 2008
O envolvimento dos Stakeholders na ISO 27001
• Os Stakeholders têm um papel essencial no enquadramento da iniciativa,
cabe-lhes a responsabilidade de estabelecer o contexto, no qual a
Organização se insere e os princípios que pretendem ver aplicados na
Gestão da Segurança de Informação
24 Outubro 2008
Visão sobre a gestão de risco na OrganizaçãoRegulações aplicáveis e nível de conformidade exigidoObjectivos futuros de maturidade (datas) Percepção sobre as vulnerabilidades e as ameaçasNível de risco aceitávelTipo de métricas
24 Outubro 2008
1.Avaliação
de Conformidade
3 meses >= 6 meses
DD
Calendário de Certificação
Avaliação
2.Remediação
ISO/IEC 20000Remediação de GAP
D+3mD+3m
1.Avaliação
de Risco
D+9mD+9m
2.Remediação
ISO/IEC 27001
3 meses
AuditoriaPreliminar
Plano
Draft
Plano
Final
AuditoriaInterna
D+1aD+1a
AuditoriaCertificação
Inventário
Activos
Análise
De Risco
Plano deRemediação
SOA
3 meses
Acções Correctivas
D+15mD+15m
Auditoria
Certificação
Acções Correctivas
Remediação de GAP
AuditoriaInterna
Acerca do enquadramento
24 Outubro 2008
Gestãode Risco
Risk
GovernaçãoGovernance
ConformidadeCompliance
Enterprise RiskManagement (ERM)
Acerca da Novabase IMSInfrastructures & Managed Services
IT Management Practice
Interlocutores diferentesUma equipa com 40 profissionais
24 Outubro 2008
IT SERVICE
MANAGEMENT
RISK & INFORMATION
SECURITY
IT Management – Enquadramento da Oferta
▶ Service Strategy▶ Service Design▶ Service Transition ▶ Service Operation▶ Service Improvement
GESTÃO E CONTROLO DA FUNÇÃO IT OFERTA IT MANAGEMENT
FORMAÇÃO E CERTIFICAÇÃO
COACHING
CONSULTORIA
AUDITORIA
▶ Business Security▶ Information Assurance▶ Operational Security
▶ Risco Operacional e Conformidade
▶ Alinhamento Estratégico
▶ Segurança da Informação
▶ Continuidade do Negócio
▶ Responsabilidade Social
▶ Racionalização dos Recursos
▶ Qualidade do Serviço
▶ Gestão do IT
OBJECTIVOS DE NEGÓCIO
▶ ISO9001 (Sistemas de
Gestão da Qualidade)
▶ ISO27001 (Segurança da
Informação)
▶ BS25999 (Continuidade
do Negócio)
▶ ISO31000 (Gestão do Risco)
▶ SOX (Conformidade Financeira)
▶ BASII (Risco Operacional e de Crédito)
▶ ISO20000 (Gestão de Serviços de IT)
▶ ITIL (Gestão de Serviços de IT)
▶ ISO26000 (Responsabilidade
Social)
▶ COBIT (Controlo Interno de IT)
▶ PMI e PRINCE2 (Gestão de
Projectos)
▶ CMMI (Desenvolvimento
de Software)
▶ HIPAA (Health Insurance
Portability & Account. Act)
▶ eTOM, (Telecom Operating
Model)
NORMAS E BOAS PRÁTICAS
SOLUÇÕES DE GESTÃO DE IT
IT SERVICE
MANAGEMENT
RISK &
INFORMATION
SECURITY
24 Outubro 2008
IT MANAGEMENT
IT Management – Resumo da Oferta
24 Outubro 2008
RISK &
INFORMATION SECURITY
IT SERVICE
MANAGEMENT
Auditoria e
Controlo Interno
Consultoria e Reengenharia
de Processos
Coaching e AconselhamentoEstratégico
Sensibilização, Formação eCertificação de Profissionais
Soluções de Gestão de TI
Auditoria Técnica: qualidade de serviço,
gestão de ITAuditoria às Normas (ISO 20000, CMMI, BS 25999,
ISO9001)
Auditoria Técnica: Testes de intrusão,
análise de vulnerabilidadesAuditoria de Conformidade (SOX, BASII, …)
Auditoria às Normas (ISOs 27001, BS25999)
Normas (ISO 20000, CMMI, BS 25999, ISO9001)
Assessments
Implementação de processos
Normas (ISO27001, BS25999, SA8000)
Conformidade: (SOX, BASII, MIFID, SOLV2)
Governance (CobiT)
Acompanhamento, Workshops, Desenvolvimento de Documentação,
Apresentações, Preparação de Reuniões, PMO
Acompanhamento, Workshops, Desenvolvimento de Documentação,
Apresentações, Preparação de Reuniões, PMO
Workshops e Sessões de Awareness
Formação e Certificação (ITIL, …)
Workshops e Sessões de Awareness
Formação e Certificação
Integração de Soluções de Gestão de TI
Soluções de Parceiros (Compuware, HP, MS)
Soluções Próprias (Dashboards, Portais de TI)
Automação de processos e controlos
Soluções de Parceiros (HP, IBM, MS)
Soluções Próprias (Dashboards, Auditoria)
Questões
24 Outubro 2008
A Gestão do Risco
24 Outubro 2008
Processo de Implementação ISO 27001Definição de Âmbito
Identificação Dos Processos
Identificação da Informação e Recursos
Classificação da Informação/Recursos
• Identificação dos processos da
organização dentro do âmbito
• Classificação os processos de
acordo com a sua importância
para o negócio
• Identificação dos sistemas de
informação, respectivas funções e
interligações que operacionalizam
os processos identificados.
• Identificação de como é que os
processos são suportados /
automatizados nos sistemas.
• Identificação/nomeação dos
responsáveis pelos processos.
• Identificar as fontes de
informação necessárias para o
funcionamento dos processos
(inputs e outputs)
• Identificar os mecanismos de
suporte da informação
•Identificar os responsáveis pela
informação.
• Identificar/nomear os
responsáveis pelos suportes da
informação.
• Tipificação da informação.
• Classificação da informação de
acordo com o seu valor para o
negócio.
• Classificação dos recursos de
acordo com a classificação da
informação que suportam.
Act
ivid
ades
24 Outubro 2008
24 Outubro 2008
24 Outubro 2008
24 Outubro 2008
Todas as normas têm o seu próprio Sistema de Gestão, mas os seguintes temas estão presentes em todos eles e podem ser integrados:
• Política
• Planeamento;
• Implementação e Operação;
• Análise de Performance;
• Melhoria;
• Revisão pela Gestão.
Dos benefícios desta abordagem, destacam-se:
• Maior foco no negócio;
• Uma aproximação mais holística para gerir os riscos de negócio;
• Menos conflitos entre Sistemas;
• Menos duplicação e burocracia;
• Auditorias internas mais eficazes e eficientes.
7. Sistemas Integrados de GestãoSistemas de Gestão Integrados – Visão Geral
27-10-2008 .: 30 :.
Enquadramento Normativo ISO/IEC 9001
7. Integração dos Sistemas de Gestão
Plan
Planear Gestão de Serviço
(5.4)
P
QMS9001
Do
Implementar Gestão de Serviço e fornecer Serviços
(7)
D
CheckMonitorização, Medição e
Revisão
(8.2)
C
Act
Melhoria Continua
(8.5)
A
Auditoria Interna
(8.2.2)
Revisão pela Gestão
(5.6)
Responsabilidade
da Gestão
(5)
Requisitos de Documentação
(4)
Competência, Sensibilização e Formação
(6.2.2)
24 Outubro 2008
Plan
Planear Gestão de Serviço(4.1)
P
ITSMS20000
Do
Implementar Gestão de
Serviço e fornecer Serviços
(4.2)
D
Check
Monitorização, Medição e Revisão
(4.3)
C
ActMelhoria Continua
(4.4)
A
Auditoria InternaRevisão pela Gestão
Responsabilidadeda Gestão
(3.1)
Requisitos de Documentação
(3.2)
Competência, Sensibilização e Formação
(3.3)
27-10-2008 .: 31 :.
Enquadramento Normativo ISO/IEC 20000
7. Integração dos Sistemas de Gestão
24 Outubro 2008
Plan
Planear Gestão de Serviço(4.2.1)
P
ISMS27001
Do
Implementar Gestão de
Serviço e fornecer Serviços
(4.2.2)
D
CheckMonitorização, Medição e
Revisão
(4.2.3)
C
ActMelhoria Continua
(4.2.4)
A
Auditoria Interna
(6)
Revisão pela Gestão
(7)
Responsabilidadeda Gestão
(5.1 e 5.2.1)
Requisitos de Documentação
(4.3)
Competência, Sensibilização e Formação
(5.2.2)Melhoria Continua
(8)
27-10-2008 .: 32 :.
Enquadramento Normativo ISO/IEC 27001
7. Integração dos Sistemas de Gestão
24 Outubro 2008
27-10-2008 .: 33 :.
Sistema Integrado ISO/IEC 9001, ISO/IEC 20000 e ISO/IEC 27001
7. Integração dos Sistemas de Gestão
Plan
Planear Gestão de
Serviço
(4.2.1)
P
IS
M
S27
00
1
Do
Implementar
Gestão de Serviço
e fornecer
Serviços
(4.2.2)
D
Check
Monitorização,
Medição e Revisão
(4.2.3)
C
Act
Melhoria Continua
(4.2.4)
A
Auditoria Interna
(6)
Revisão pela
Gestão
(7)
Responsabilidade
da Gestão
(5.1 e 5.2.1)
Requisitos de
Documentação
(4.3)
Competência, Sensibilização
e Formação
(5.2.2)
Melhoria Continua
(8)
Plan
Planear Gestão de
Serviço
(4.1)
P
ITS
MS2000
0
Do
Implementar Gestão
de Serviço e fornecer
Serviços
(4.2)
D
Check
Monitorização,
Medição e Revisão
(4.3)
C
Act
Melhoria Continua
(4.4)A
Auditoria InternaRevisão pela Gestão
Responsabilidade
da Gestão
(3.1)
Requisitos de
Documentação
(3.2)
Competência, Sensibilização e
Formação
(3.3)
Plan
Planear Gestão de
Serviço
(5.4)
P
Q
MS900
1
Do
Implementar Gestão
de Serviço e
fornecer Serviços
(7)
D
Check
Monitorização,
Medição e Revisão
(8.2)
C
Act
Melhoria Continua
(8.5)
A
Auditoria Interna
(8.2.2)
Revisão pela Gestão
(5.6)
Responsabilidade
da Gestão
(5)
Requisitos de
Documentação
(4)
Competência, Sensibilização e
Formação
(6.2.2)
Plan
Planeamento de
Gestão (4.3)
P
ISMPAS 99
Do
DoImplementação e
Operação (4.4)
D
Check
Monitorização,
Medição e Revisão
(4.5)
C
Act
Melhoria Continua
(4.6)
A
Auditoria Interna
(4.5.3)
Revisão pela Gestão
(4.7)
Responsabilidade
da Gestão(4.2)
Requisitos de
Documentação
Competência, Sensibilização
e FormaçãoMelhoria Contínua
24 Outubro 2008
Processo de Implementação ISO 27001
PlanPlanear Gestão de Serviço(4.1)
P
ITSMS
DoImplementar Gestão de Serviço e fo rnecer Serviços(4.2)
D
CheckMonitorização, Medição e Revisão(4.3)
C
ActMelhoria Continua(4.4)
A
Auditoria InternaRevisão pela Gestão
Responsabilidadeda Gestão(3.1)
Requisitos de D ocumentação(3.2)
Competência, Sensibilização e Formação(3.3)
Planeamento e implementação de Serviços(5)
Processos deEntrega de Serviço (6)
Processosde Relação(7)
ProcessosDe Resolução(8)
Processos deControlo (9)
Gestão de Entrega(10)
Gestão de Configuração
Gestão de Alterações
Gestão de Incidentes
Gestão de Problemas
24 Outubro 2008