Páginas

segunda-feira, 20 de março de 2017

ISO/IEC 27002- Seção 07- Gestão de ativos- Recomendações para classificação


Postado por às Nenhum comentário:

quarta-feira, 15 de março de 2017

ISO/IEC 27002- Seção 07- Gestão de ativos- Classificação da informação

   A informação possui vários níveis de sensibilidade e criticidade. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial.
    A classificação da informação tem como objetivo assegurar que a informação receba um nível adequado de proteção.
Postado por às Nenhum comentário:

terça-feira, 14 de março de 2017

ISO/IEC 27002- Seção 07- Gestão de ativos- Uso aceitável dos ativos

  Convém que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento das informações. Todos os funcionários, fornecedores e terceiros devem seguir as mesmas regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, incluindo:  
  • Regras para o uso da internet e do correio eletrônico;
  • Diretrizes para o uso de dispositivos móveis.
    Convém que funcionários, fornecedores e terceiros que usem ou tenha acesso aos ativos da organização estejam consciente dos limites para o uso das informações e ativos associados da organização aos recursos de processamento da informação.
Postado por às Nenhum comentário:

segunda-feira, 13 de março de 2017

ISO/IEC 27002- Seção 07- Gestão de ativos- Proprietário dos ativos

Adicionar legenda
  Convém que todas as informações e ativos associados como os recursos de processamento da informação tenha um proprietário designado por uma parte definida da organização. 
Responsabilidades do proprietário:
  • Assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam classificados;
  • Definir e periodicamente analisar as classificações e restrições ao acesso, levando em conta as políticas de controle de acesso aplicáveis. 
    As tarefas de rotina podem ser delegadas, para um custodiante que cuida do ativos no dia a dia, porém a responsabilidade permanece com o proprietário.


Postado por às Nenhum comentário:

quinta-feira, 9 de março de 2017

ISO/IEC 27002- Seção 07- Gestão de ativos- Inventário dos ativos

  Convém que a organização identifique todos os ativos e documente a importância desses ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo de ativo, formato, localização, informações sobre cópia de segurança, informações sobre licenças e importância do ativo para o negócio.

Tipos de ativos:
  • Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisas, manuais de usuários, material de treinamento, procedimentos de suporte e operação, planos de continuidade do negócio, procedimentos de recuperação, informações armazenas e etc;
  • Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
  • Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
  • Serviços: serviço de computação e comunicação, utilidades gerais, por exemplo aquecimento , iluminação, refrigeração e eletricidade;
  • Pessoas e suas qualificações, habilidade e experiências;
  • Reputação e imagem da organização.
    O processo de compilação de um inventário de ativo é um pré-requisito importante no gerenciamento de riscos.


Postado por às Um comentário:

quarta-feira, 8 de março de 2017

ISO/IEC 27002- Seção 07- Gestão de ativos- Responsabilidade pelos ativos

  O objetivo da responsabilidade pelos ativos é alcançar e manter a proteção adequada dos ativos da organização, convém que seja feito um inventários de todos os ativos e que os mesmos tenham um responsável.
     Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. 
Postado por às Nenhum comentário:

quarta-feira, 15 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Identificando segurança da informação nos acordos com terceiros

   Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamentos da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes.
Termos considerados para inclusão no acordo:
  • Política de segurança da informação;
  • Procedimentos para proteger os ativos da organização;
  • Mecanismos e controles para proteção física;
  • Proteção contra software malicioso;
  • Confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante aos ativos;
  • Restrições em relação a cópias ou divulgação de informação;
  • Treinamento dos usuários e administradores, procedimentos e segurança da informação;
  • Conscientização dos usuários;
  • Responsabilidade com relação a manutenção de software e hardware;
  • Processo claro e definido de gestão de mudanças;
  • Políticas de controle de acesso;
  • Descrição do produto ou serviço que esta sendo oferecido;
  • Direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;
  • Respectivas obrigações das partes com o acordo;
  • Condições de renegociação ou encerramento de acordos
      Os acordos podem variar consideravelmente para diferentes organizações e entre os diferentes tipos de terceiros. Portanto, convém que seja tomados cuidados para incluir nos acordos todos os riscos identificados e os requisitos de segurança da informação.
Postado por às Nenhum comentário:
Assinar: Comentários (Atom)