o que mudou com a revisão da norma iso 27002:2005 para a versão 2013
DESCRIPTION
Estando alinhada mais ainda com a cultura do ciclo do PDCA, as mudanças na norma ISO27002:2013 vão desde o aumento do número de seções e eliminação no número de controles à mudança de terminologias e estruturas de seções refletindo a evolução de práticas de gestão e governança de segurança da informação nos últimos oito anos.Nesta palestra serão demonstradas as principais mudanças da norma 2005 para a 2013 e as diferenças relevantes.TRANSCRIPT
Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:
NOSSO TEMA DE HOJE: ISO 27002
Tópico:
O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013
Descrição: Estando alinhada mais ainda com a cultura do ciclo do PDCA, as mudanças na norma ISO27002:2013 vão desde o aumento do número de seções e eliminação no número de controles à mudança de terminologias e estruturas de seções refletindo a evolução de práticas de gestão e governança de segurança da informação nos últimos oito anos.
Nesta palestra serão demonstradas as principais mudanças da norma 2005 para a 2013 e as diferenças relevantes.
AGENDA
• Apresentação da PMG eDucation
• Palestra do Dia: O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013
– História da Norma– Certificação– Mudanças Gerais– Remoção– Simplicidade– Novidades e Inclusões– A nova Estrutura– Mudanças nas Seções
• Brindes, Fechamento e Dúvidas
• Práticas herdadas do Grupo, a PMG Solutions• Construído com excelência pela Editora PMG• Atua no Brasil e Exterior• Líder no Brasil em Cursos Oficiais Online• Programa de Certificação: eBooks, Audiobooks, Simulados, Cursos Online e
Presenciais, Certificação Online e muito mais.• Conteúdos exclusivos no Brasil e no Mundo com:
Sobre Nós O Futuro
• Comunidade de TI com conteúdos grátis para Preparação para Certificação
• Fórum e Discussões entre profissionais, para estimular o Hands-on e How to?
• Centralização de Conteúdo disperso• Preparação do Profissional e do Instrutor• Licenciamento de Materiais• Novos Conteúdos Exclusivos (Cursos v. 2.0)
Sobre Nós O Futuro
O que mudou com a revisão da norma
ISO 27002:2005 para a ISO 27002:2013
A História Remoção Simples Novidades
Com: Adriano Martins Antonio
Certificação Mudanças Estrutura Seções
A História Remoção Simples Novidades
Com: Adriano Martins Antonio
Foi criada a norma britânica BS 7799 e foi...
“internacionalizada” para ISO/IEC 17799em meados de2000
Uma norma de Segurança da Informação.....
Harmonizada na família ISO/IEC 27000
E o foco hoje é na ISO/IEC 27002Atualmente temos 45
normas da família ISO/IEC 27000
Certificação Mudanças Estrutura Seções
A História Remoção Simples Novidades
Com: Adriano Martins Antonio
Norma ISO/iEC 27002
... é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação.
Certificação Pessoal ISO/IEC 27002
• Melhores Práticas• Recomendações
Certificação Mudanças Estrutura Seções
A História Remoção Simples Novidades
Com: Adriano Martins Antonio
Norma ISO/IEC 270022005
2013
Certificação Mudanças Estrutura
... Mas, para a empresa, até 1 ano depois do lançamento pode se certificar na Versão 2005.Quem já é certificado na Versão 2005, tem até 2 anos para migrar para a 2013.
Seções
A História Certificação Remoção Simples Novidades
Com: Adriano Martins Antonio
ISO/IEC 27002:2005, é uma norma amplamente respeitada e consultada e fornece uma estrutura para a organização e o gerenciamento de um programa de segurança das informações.
Uma compreensão categórica desta norma é importante para o desenvolvimento pessoal de todos os profissionais de segurança das informações.
Norma ISO/IEC 27002
A Certificação Profissional da EXIN continua na ISO 27002:2005E terá as atualizações incorporadas neste primeiro semestre/2014
Mudanças Estrutura Seções
Re-certificação?
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
2005
Apesar da versão 2013 ter sido publicada em:25 de Setembro de 2013
Estrutura Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
•Remoção de Itens• Simplificação•Novos Aspectos• Estruturação
Em linhas gerais
Estrutura Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Remoção de Itens
1 • Medidas de Segurança (documentação de segurança de sistemas, vazamento de informações, etc.)
2 • Remoção de algumas terminologias, porém readequadas com novas definições.
3 • Alguns controles foram removidos ou combinados
Estrutura Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Detalhes da Remoção de Itens
Estrutura
2005: Haviam 133 controles
Foram removidos 25
2013: Ficaram 114 controles (ou 108?)
A conta deu errada!!! Faltam 6 !!!!
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Simplificação
1 • A norma está mais simplificada (+ 3 seções, - 19 controles)
2• Reestruturação de alguns capítulos (como: aquisição de sistema,
desenvolvimento e manutenção foram divididos em 2 partes (criptografia e, desenvolvimento e manutenção) .
3 • Objetivos reescritos a fim de melhorar o entendimento
4 • Uma melhor abordagem na segurança da informação no gerenciamento de projetos
Estrutura Seções
Com: Adriano Martins Antonio
Simplificação
• A norma foi revisada e restruturada em alto nível, permitindo uma fácil integração com outros sistemas de gestão
• Mudanças de terminologia e algumas definições foram removidas ou realocadas• Compromisso da gestão tem um foco na "liderança"• A ação preventiva foi substituída por "ações para enfrentar, riscos e
oportunidades"• Controles no anexo A foram modificados para refletir tais mudanças,
consequentemente mantendo um agrupamento mais lógico.• Controles específicos também foram adicionados sobre criptografia e segurança
no relacionamento com fornecedores.
A História Certificação Mudanças Remoção Simples Novidades Estrutura Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Novos Aspectos
1 • Aspectos da gestão de continuidade de negócios de segurança da informação
2• Objetivo: garantir que a segurança da informação seja projetada e
implementada no escopo do ciclo de desenvolvimento de sistemas de informação
3 • Controle de acesso: para garantir o acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços
4 • Segurança na Nuvem
Estrutura Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Novidades - Ênfase
• Segurança da Informação inclusa no Business Continuity Management• Partes externas e partes terceiras
2013• Continuidade de Segurança da Informação• Fornecedores
Estrutura
2005 • Serviço de Comércio Eletrônico
• Serviços Aplicações
• Código Malicioso
• Malware
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Novos Controles
Estrutura
A conta deu certa agora!!! Com estes 6, totalizam 114 Controles
14.2.1. A política de desenvolvimento seguro
14.2.5. Princípios de engenharia de sistema seguro
14.2.6. Ambiente de desenvolvimento seguro
14.2.8. Testes de segurança de sistema
16.1.4. Avaliação e decisão sobre os eventos de segurança da informação
17.2.1 Disponibilidade de instalações de processamento de informação
1
2
3
4
5
6
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
A Estrutura da Versão 2013
Estrutura
AlinhamentoOUTRASNorma
s9000, 14000, 20000, 22301
Novas
PARTESInteressad
asacionistas, autoridades, clientes, parceiros
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
A Estrutura da Versão 2013
Estrutura
Conceitos
MESCLADOSDocumento e
RegistroInformações documentadas Avaliação
DE RISCOSMaior
liberdadeAlinhamento com a 31000
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
A Estrutura da Versão 2013
Estrutura
DesenvolvimentoPLANOS
Para MonitoramentoQuem faz e o que e
quando. Para analisar e avaliar os resultados
Novas
AÇÕESPreventiva
salinhadas na avaliação de risco
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
A Estrutura da Versão 2013
Estrutura
Diferença entreCORREÇÃO DA
Não-conformidadeE uma correção que
elimina a causa da não-conformidade Comunicação
dosREQUISITOSEvitando
Que SI não seja apenas “coisa” de TI e sim, do negócio
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Seções
Estrutura
Seção ISO/IEC 27002: 2005
5 Política de Segurança da Informação
6 Organizando a Segurança da Informação
7 Gerenciamento de Ativos
8 Segurança em Recursos Humanos
9 Segurança Física e do Ambiente
10 Gestão de Operações e Comunicações
11 Controle de Acesso
12 Aquisição, Desenvolvimento e Manutenção de SI
13 Gerenciamento de Incidentes de SI
14 Gerenciamento da Continuidade do Negócio
15 Conformidade
Seção ISO/IEC 27002: 2013
5 Política de Segurança da Informação
6 Organizando a Segurança da Informação
7 Gerenciamento de Ativos
8 Segurança em Recursos Humanos
9 Controle de Acesso
10 Criptografia
11 Segurança Física e do Ambiente
12 Segurança das Operações
13 Comunicação de Segurança
14 Aquisição, Desenvolvimento e Manutenção de SI
15 Relacionamento com Fornecedor
16 Gerenciamento de Incidentes de SI
17 Aspectos da segurança da informação no BCM
18 Conformidade
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Seção 10 - Criptografia
Estrutura
10.1
CONTROLES CRIPTOGRÁFICOSDescrição:
Deve haver uma política sobre o uso de criptografia, além de controles de autenticação e integridade de criptografia, como assinatura digital e códigos de autenticação de mensagens e gerenciamento de chave de criptografia.
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Seção 12 – Segurança das Operações
Estrutura
12.6.2
GERENCIAMENTO TÉCNICODAS VULNERABILIDADESDescrição:
Vulnerabilidades técnicas devem ser corrigidas, e devem haver regras que regulem a instalação do software pelos usuários.
Seções
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Seção 13 – Comunicações
Estrutura
13.1
GERENCIAMENTO DE SEGURANÇA DE REDEDescrição:
Redes e serviços de rede devem ser protegidos, por exemplo, a segregação.
Seções
13.2
TRANSFERÊNCIA DE INFORMAÇÃODescrição:
Deve haver políticas, procedimentos e acordos ( por exemplo, acordos de não divulgação) sobre a transferência de informações de / para terceiros, incluindo mensagens electrónicas..
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Seção 15 – Relacionamento com Fornecedor
Estrutura
15.1
A S.I. NO RELACIONAMENTO COM FORNECEDORES
Descrição:Deve haver políticas, procedimentos, consciência etc. para proteger as informações da organização que é acessível a empresas de TI terceiras e outros fornecedores externos em toda a cadeia logística, acordados no escopo dos contratos ou acordos.
Seções
A História Certificação Mudanças Remoção Simples Novidades
Seção 15 – Relacionamento com Fornecedor
Estrutura Seções
15.2
GERENCIAMENTO DA PRESTAÇÃO DE SERVIÇO PELO FORNECEDOR
Descrição:A prestação de serviços por fornecedores externos devem ser monitoradas e revisadas / auditadas em relação aos contratos / acordos. Alterações de serviços devem ser controladas.
Com: Adriano Martins Antonio
A História Certificação Mudanças Remoção Simples Novidades
Com: Adriano Martins Antonio
Seção 17 – Aspectos da Segurança da Informação no BCM
Estrutura
17.1CONTINUIDADE DA SEGURANÇA DA INFORMAÇÃO
Descrição:A continuidade da segurança da informação deve ser planejadas, implementada e revista, como parte integrante dos sistemas de gestão de continuidade de negócios da organização.
Seções
17.2
REDUNDÂNCIASDescrição:
Instalações de TI deve ter redundância suficiente para satisfazer os requisitos de disponibilidade.
Brindes!
• Cupom de desconto de 50% em qualquer produto na loja, exceto exames. Válido até o dia 26/02.
• 6% de desconto para Exames do nível Foundation, Intermediário e de Curta Duração Válido até 31/12/2014.
• Curso Oficial Online da ISO 27002 Foundation: Grátis por 2 dias. (De 27/02/2014 a 28/02/2014 nos horários de 09:00 às 18:00).
VOUCHER: 50WEBISO27002
Com: Adriano Martins Antonio
Os três brindes são válidos apenas para os participantes deste Webex. (Enviar contatos)
Desconto de 6% nos Exames: Foundation: F329.2D2F.9165
Intermediate: 52A1.5E6B.1CC7Curta Duração: E4C3.A08C.25CD
Dúvidas?
Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante.
Com: Adriano Martins Antonio
ACESSO AO MATERIAL
• Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação).
• Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013.
• Mais Informações?
Adriano Martins AntonioCEO
[email protected] | ww.pmgacademy.com
Milena AndradeRegional Manager