Seminrio Anual 2013

A NP ISO/IEC 27001:2013 e a certificao de

Sistemas de Gesto da Segurana de Informao

Sub-ttulo da Apresentao
Data

Seminrio Anual 2013

A NP ISO/IEC 27001:2013 e a certificao de
Sistemas de Gesto da Segurana de Informao

NP ISO/IEC 27001:2013
Norma Portuguesa de
Segurana de
Informao

Paulo Coelho

Secretrio
Comisso Tcnica 163
4 de dezembro de 2013

 Primeira norma portuguesa de segurana de informao

Primeira norma nacional alinhada com a nova edio da ISO/IEC 27001
Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Porque publicar a ISO/IEC 27001 como NP?

Promover a implementao da ISO/IEC 27001 em
Portugal
o Alguns pases com uma forte implementao da ISO/IEC
27001 possuem tradues nacionais (e.g. Japo, Espanha,
Brasil)

Disponibilizar uma norma portuguesa que possa ser

referenciada em iniciativas de conformidade

Padronizar a terminologia portuguesa de segurana de

informao
Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Instituies certificadas ISO/IEC 27001 em PT

40
35
30
25
20
15

10
5
0

2006

2007

2008

2009

2011

2010

2012

Fonte: ISO Survey of Management System (2012)

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Critrios de traduo
Na traduo foi empregue, sempre que aplicvel, os termos
das seguintes Normas Portuguesas:

NP ISO 31000:2012 - Gesto do risco - Princpios e linhas de

orientao

NP EN ISO 9001:2008 - Sistema de Gesto da Qualidade

NP 3003-8:2003 - Vocabulrio - Parte 8: Segurana

Em caso de dvida foi consultado:

Glossrio da Sociedade da Informao, APDSI

Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Correspondncia entre termos

A norma possui um anexo com a correspondncia entre os
termos em ingls e em portugus
Termo em Ingls

Termo em Portugus

Authorities

Autoridades competentes

Backup

Salvaguarda

Clear desk

Secretria limpa

Contractor

Prestador de servio

Fonte

NP 3003-8:2003

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Publicada em 14 de
Outubro de 2013

Disponvel no site
do IPQ

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Quais as principais novidades da nova

edio?

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

(NP) ISO/IEC 27001

Hhhhh
Alinhamento com Anexo SL do ISO/IEC
Directives

Clusulas
Objetivo e campo de aplicao

Contexto da organizao
Liderana
Planeamento
Suporte
Operao

Alinhamento com a (NP) ISO 31000

Avaliao de desempenho
Melhoria

Controlos
Simplificao nos controlos

Novos domnios
Criptografia
Segurana de operaes
Segurana de comunicaes
Relaes com fornecedores
Novos controlos

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

Alterao nas clusulas

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

10

4. Contexto da organizao
Variaveis externas
Ambiente regulamentar

Requisitos de
segurana
Partes
interessadas
(e.g. Clientes,
Reguladores)

Contexto da
organizao

Capacidade de
atingir objectivos
de segurana

Variaveis internas
Postura face ao risco
Processos

Identificar todas as partes interessadas e os seus requisitos de segurana

Analisar os condicionalismos que influenciam a capacidade de proteco

da organizao
Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

11

4. Contexto da organizao
Entidades Terceiras
Organizao

Para delimitar o mbito do sistema de

gesto necessrio atender a:

Requisitos das partes interessadas

mbito SGSI

Caractersticas da organizao e o
seu contexto

Interfaces e dependncias entre as

atividades desempenhadas pela
organizao, e aquelas que so
desempenhadas por outras
organizaes
Adicionalmente necessrio identificar
os processos subcontratados
Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

12

5. Liderana
Papel da gesto de topo
Verso 2005

Aprovar politca do SGSI

Aprovar riscos residuais
Authorizar implementar e operar o
SGSI

Determinar se as actividades de
segurana esto a ser realizadas
conforme definido

Verso 2013

A gesto de topo deve:

demonstrar liderana e
comprometimento para com o sistema
de gesto de segurana

apoiando outras funes de gesto

relevantes

A gesto de topo passa a ter um maior papel de governana, de criar

condies para a gesto de segurana

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

13

5. Liderana
Poltica de segurana de informao:

Poltica de segurana
da informao

Substitui a Politica do SGSI

Deixa de ser necessrio incluir o alinhamento
com a gesto de risco

Objetivos de segurana devem ser compatveis

com o propsito de negcio da organizao

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

14

6.1.2 Avaliao do risco de segurana da

informao
Verso 2005

Verso 2013

Ameaas

Riscos
Vulnerabilidade

Ativos

Impacto na
Confidencialidade,
Integridade e
Disponibilidade

Impacto na
Confidencialidade,
Integridade e
Disponibilidade

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

15

6.1.2 Avaliao do risco de segurana da

informao
Fase

Alterao

Identificao de riscos

Eliminao de referncia ameaas,

vulnerabilidades e ativos
Basta identificar riscos relacionados com perdas de
confidencialidade, integridade e disponibilidade

Ownership do risco

O asset owner deixa de intervir na gesto do risco.

o responsvel pelos riscos que aprova o plano de
tratamento do risco e aceita os riscos residuais

Tratamento do risco

No se enuncia as vrias opes de tratamento (e.g.

mitigao, transferncia)

Seleco de controlos

Pode-se usar qualquer referencial, interno ou

externo, desde que se mapeia os controlos com o
Anexo A da norma

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

16

6.2 Objetivos de segurana da informao e

planeamento para os alcanar
A organizao deve elaborar planos para concretizar os objetivos de
segurana que definiu
Objetivos de segurana devem ser:

Mensurveis (se exequvel)

Considerar requisitos de segurana e resultados da avaliao do risco
Serem atualizados (regularmente)
Possui o seguinte detalhe:
Atividades

Recursos

Responsvel

Datas

Como os resultados sero avaliados

Planos de aco para concretizar objectivos

Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

17

9. Avaliao de desempenho
Avaliao de desempenho

Monitorizao, medio,
anlise e avaliao

Auditoria interna

Reviso pela gesto

A monitorizao deve incluir:

Objecto

Recolha

Anlise

Processos de segurana
Controlos de segurana

Mtodos e frequncia de
recolha de dados

Frequncia e quem analisa

os dados recolhidos

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

18

10. Melhoria
Verso 2005

Aces
corretivas

Aces
preventivas

Verso 2013

Aces
corretivas

Na nova edio, as medidas preventivas so eliminadas, sendo o seu papel

desempenhado pelas oportunidades para melhoria contnua que so
identificadas aquando do planeamento do sistema de gesto de segurana
da informao
Seminrio Anual 04.12.2013
A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

19

Alterao nos controlos

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

20

Alteraes nos controlos

ISO/IEC 27001:2005

11 domnios

133 controlos

ISO/IEC 27001:2013

14 domnios

114 controlos

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

21

Novos domnios
Verso 2013

Verso 2005

A5. Polticas de segurana da informao

A5. Security policy

A6. Organizao de segurana da informao

A6. Organization of information security

A7. Segurana na gesto de recursos humanos

A8. Human resources security

A8. Gesto de ativos

A7. Asset management

A9. Controlo de acesso

A.11 Access control

A10. Criptografia
A11. Segurana fsica e ambiental

A.9 Physical and environmental security

A12. Segurana de operaes

A.10 Communications and operations managements

A.13 Segurana de comunicaes

A.10 Communications and operations management

A14. Aquisio, desenvolvimento e manuteno de

sistemas

A.12 Information systems acquisition, development and

maintenance

A15. Relaes com fornecedores

A16. Gesto de incidentes de segurana da
informao
A17. Aspetos de segurana da informao na gesto
da continuidade do negcio
A18. Conformidade

A.13 Information security incident management

A.14 Business continuity management
A.15 Compliance

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

22

Novos controlos
6.1.5
Segurana da
informao na gesto
de projeto

9.2.4
Utilizao da informao
secreta para
autenticao

14.2.1
Poltica de
desenvolvimento seguro

14.2.3
Reviso tcnica de
aplicaes aps
alteraes na
plataforma de produo

14.2.5
Princpios de
engenharia de sistemas
seguros

14.2.6
Ambiente de
desenvolvimento seguro

14.2.7
Desenvolvimento
subcontratado

15.1.1
Poltica de segurana
da informao
para as relaes com
fornecedores

15.1.3
Cadeia de fornecimento
de tecnologias
de informao e
comunicao

16.1.5
Resposta a incidentes
de segurana da
informao

17.1.2
Implementao da
continuidade de
segurana da
informao

17.2.1
Disponibilidade dos
recursos de
processamento da
informao

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

23

Concluses
A NP ISO/IEC 27001 assegura:

Maior alinhamento com outras normas de sistemas de gesto

(e.g. ISO 9001)

Maior flexibilidade na gesto do risco

Uma lista de controlos mais concisa, mais ajustada aos desafios
atuais

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

24

Seminrio Anual 04.12.2013

A NP ISO/IEC 27001:2013 e a certificao de Sistemas de Gesto da Segurana de Informao

25