ISO 27001 - ENTENDA DE VEZ!
Summary
TLDRThis video discusses the implementation of an Information Security Management System (ISMS) based on ISO 27001. It explains key concepts such as the importance of understanding organizational context, leadership commitment, risk assessment, and establishing security policies. The speaker emphasizes the role of ISO 27002 as a best practices guide and the relevance of Annex A for control measures. The video also highlights the need for documented information, continuous improvement, and adherence to ISO standards, whether for certification or as a best practice for securing information.
Takeaways
- 🔐 The ISO 27001 standard guides organizations on establishing a system to manage information security (SGSI) effectively.
- 📜 ISO 27001 provides requirements for implementing and managing an SGSI, useful not only for certification but also as a best practice.
- 📚 There are two key related standards: ISO 27001 (for vocabularies) and ISO 27002 (for best practices and security controls).
- 📝 The system's scope must be clearly defined, identifying internal and external factors that influence information security.
- 🚀 Leadership plays a critical role, ensuring integration of SGSI requirements into organizational processes and providing necessary resources.
- 📈 Effective SGSI requires regular risk assessment, aligned with other standards like ISO 31000, to continuously address security risks.
- 🛠 All controls defined in Annex A must be implemented, and any exclusions must be clearly justified in the statement of applicability.
- 📊 Organizations must establish security objectives and ensure regular performance evaluation through audits and internal reviews.
- 🛡 Regular operational planning is necessary, including controls to manage information security risks and operational changes.
- 🔄 Continuous improvement is essential, driven by internal audits, management reviews, and corrective actions to ensure SGSI effectiveness.
Q & A
What is the main purpose of ISO 27001 in the context of information security management?
-The main purpose of ISO 27001 is to outline the requirements for implementing and maintaining an effective Information Security Management System (ISMS). It provides a framework to protect sensitive information by managing risks, ensuring the confidentiality, integrity, and availability of data.
How can ISO 27001 be used beyond certification?
-ISO 27001 can be used as a best practice framework for structuring information security management within an organization, even if the goal is not certification. It helps in systematically managing information security risks and improving processes.
What are the two related standards that should be understood alongside ISO 27001?
-The two related standards are ISO 27000 and ISO 27002. ISO 27000 provides a vocabulary to understand ISO 27001, while ISO 27002 offers a set of best practices and controls to reduce information security risks.
What is the role of Annex A in ISO 27001?
-Annex A in ISO 27001 contains a list of minimum controls required to ensure information security. Organizations must justify any control they choose not to implement in their Statement of Applicability, and they can also include additional controls if necessary.
What are the ten main clauses of ISO 27001?
-The ten main clauses of ISO 27001 are: 1) Context of the organization, 2) Leadership, 3) Planning, 4) Support, 5) Operation, 6) Performance evaluation, 7) Improvement, 8) Security control objectives, 9) Evaluation of controls, and 10) Continuous improvement.
Why is leadership important in implementing an ISMS according to ISO 27001?
-Leadership is crucial because top management must demonstrate commitment to the ISMS by defining security policies, ensuring resources are available, integrating the ISMS into business processes, and promoting continuous improvement.
What is the significance of the Statement of Applicability in ISO 27001?
-The Statement of Applicability (SoA) is a mandatory document that justifies the inclusion or exclusion of specific security controls from Annex A. It ensures that the organization's chosen controls align with the identified risks and objectives.
How does ISO 27001 address risk management?
-ISO 27001 emphasizes risk management by requiring organizations to assess risks and opportunities that could affect information security. It involves performing regular risk assessments and implementing appropriate controls to mitigate those risks.
What types of resources are necessary to support the implementation of an ISMS?
-The necessary resources include trained personnel, sufficient financial and technological resources, and ongoing communication and documentation to support the ISMS. Organizations must ensure that individuals involved in the ISMS are competent and informed about their responsibilities.
What is the role of internal audits in ISO 27001 compliance?
-Internal audits are essential for monitoring the effectiveness of the ISMS. Organizations must conduct regular audits to verify compliance with ISO 27001 requirements and ensure that the system is working as intended. The results must be reported to management for review and further action.
Outlines
🔐 Introduction to Information Security Management Systems (SGS)
This paragraph introduces the topic of Information Security Management Systems (SGS) and mentions ISO 27001 as a key framework. The speaker emphasizes that ISO 27001 is not just for certification but also a best practice for structuring management systems in organizations. Two important standards—ISO 27001 and ISO 27002—are introduced, with ISO 27001 providing vocabulary and ISO 27002 offering best practices for information security risk controls. The paragraph briefly mentions an annex and a declaration of applicability related to these standards.
📊 Understanding ISO 27001 Structure and Context
This section breaks down the structure of ISO 27001, highlighting its 10 clauses that form the basis for implementing an effective SGS. It explains the importance of understanding the organizational context, including internal governance and external factors like political, economic, and regulatory environments. The concept of stakeholders is introduced, and the need to identify their objectives related to information security is emphasized. Additionally, the paragraph outlines the necessity of defining the scope of SGS and maintaining its continuous implementation.
👥 Leadership and Commitment to Information Security
This paragraph focuses on Clause 5, which emphasizes the importance of leadership in an SGS. Senior management must demonstrate commitment through policies, resource allocation, and integrating SGS requirements into business processes. The text also stresses defining roles and responsibilities clearly within the organization to ensure compliance with ISO 27001. Leaders must communicate the importance of these requirements and foster a culture of continuous improvement.
📈 Risk Management and Planning for SGS Success
Planning and risk management are the key themes here. Once the SGS context and resources are established, organizations must take action to identify and address risks and opportunities. Techniques like SWOT analysis help achieve the desired results, prevent negative outcomes, and promote continuous improvement. A significant focus is placed on conducting information security risk assessments and aligning them with ISO 31000, ensuring risks are consistently and comparably evaluated. The paragraph also explains the importance of justifying any deviations from mandatory controls in the declaration of applicability.
🛠 Support: Resources, Competence, and Documentation
This section covers Clause 7, which deals with the necessary support systems for a successful SGS, including resources, communication, and documentation. It explains how organizations must determine the necessary competencies for employees, ensure their awareness of security policies, and define the consequences of non-compliance. The importance of documented information—creating, controlling, and updating it—is also highlighted. Processes must be documented, and access to documentation must be controlled to ensure both accessibility and security.
⚙️ Operation and Risk Control in Daily SGS Activities
The focus here is on Clause 8, which involves operational aspects of implementing SGS controls. Organizations must plan their operational activities to meet information security requirements, manage daily risks, and handle unplanned changes. Regular risk assessments are emphasized as a continuous activity, requiring organizations to plan and execute risk treatments in line with the controls outlined in Annex A of ISO 27001.
📊 Performance Evaluation and Internal Audits
Clause 9 emphasizes the importance of performance evaluation, including the monitoring and measuring of information security indicators. Organizations must conduct internal audits to ensure compliance with ISO 27001 and assess the effectiveness of the SGS. This includes planning and maintaining a regular audit schedule, using consistent methodologies, and ensuring results are communicated to senior management. The leadership must critically review the SGS at planned intervals to ensure its continued relevance and effectiveness.
🔄 Continuous Improvement and Corrective Actions
This paragraph focuses on Clause 10, which outlines the need for continuous improvement. Organizations must respond to non-conformities, implement corrective actions, and make ongoing adjustments to enhance the SGS. The leadership plays a crucial role in promoting continuous improvement and ensuring that corrective actions prevent recurrence of issues. Additionally, the annex in ISO 27001 is discussed, which provides a summary of key controls and should be used as a reference for implementing effective information security measures.
💡 Final Recommendations for Implementing ISO 27001
The conclusion offers four practical tips for implementing ISO 27001. First, define the scope and declaration of applicability for your SGS. Second, produce well-documented information to ensure clarity and compliance. Third, verify that your system conforms to ISO 27001. Finally, ensure that your controls align with Annex A, even if certification is not your goal. The speaker encourages viewers to share their experiences and tips in the comments and reminds them to like the video and subscribe for more content.
Mindmap
Keywords
💡ISO 27001
💡Information Security Management System (ISMS)
💡Annex A
💡Risk Assessment
💡Context of the Organization
💡Declaration of Applicability (DoA)
💡Leadership Commitment
💡Performance Evaluation
💡Information Security Policy
💡Internal Audit
Highlights
The ISO 27001 provides guidelines for setting up an information security management system (ISMS), which is essential for ensuring security within a company.
ISO 27001 isn't just for certification purposes; it can also be used as a best practice for structuring information security management systems.
There are two important standards related to ISO 27001: ISO 27001 itself, which outlines the vocabulary, and ISO 27002, which provides best practices and key controls for reducing information security risks.
ISO 27002 outlines essential controls for mitigating information security risks, summarized in Annex A of ISO 27001.
The main objective of ISO 27001 is to provide the requirements that must be followed for the ISMS to be effective in a company.
ISO 27001 has 10 main clauses that cover context, leadership, planning, support, operation, performance evaluation, and improvement of the ISMS.
Clause 4 focuses on the context of the organization, which involves understanding internal and external factors, as well as identifying interested parties and defining the scope of the ISMS.
Clause 5 emphasizes the importance of leadership commitment, which includes defining a security policy, integrating ISMS requirements into business processes, and ensuring resource availability.
Clause 6 is about planning actions to address risks and opportunities in the ISMS, including conducting a SWOT analysis and a risk assessment to align with the goals of the system.
Clause 7 deals with support, including providing the necessary resources, ensuring personnel competence, raising awareness about security policies, and maintaining effective communication channels.
Clause 8 covers operations and daily actions, such as implementing and managing controls to meet ISMS requirements and addressing information security risks.
Clause 9 focuses on performance evaluation, which involves monitoring, measuring, and analyzing the ISMS, as well as conducting internal audits and management reviews.
Clause 10 is about continuous improvement, responding to non-conformities, and ensuring the ISMS evolves effectively over time.
The Annex A of ISO 27001 provides a list of minimum controls that should be implemented for the ISMS to be compliant.
It is crucial to document the information related to ISMS processes and controls to ensure traceability and accountability within the organization.
Transcripts
00:02o Olá pessoal hoje eu vou falar de um
00:06sistema de gestão específico para
00:08segurança da informação ou sgs sistema
00:13de gestão se relaciona com a gestão de
00:16lixo O que é um sistema de gestão O
00:18legal é que a 27001 orienta o que deve
00:23ser feito para isso acontecer na sua
00:25empresa e não pense que serve só para se
00:27certificar você pode usá-la como melhor
00:31prática tá para estruturar um sistema de
00:34gestão na sua empresa vem comigo é
00:39E aí
00:44e a ISO 27001 orienta os requisitos para
00:49implantação e como tocar o sgc na sua
00:53empresa
00:54Existem duas normas que devem ser
00:56conhecidas para um melhor entendimento e
00:59maior arrependimento da 27001 que é
01:0227001 27002
01:0527001 ela é um conjunto de vocabulários
01:08para entendimento da 27001 e eu já vou
01:12disponibilizar aqui no link do canal
01:14esse vocabulário para vocês entender ele
01:16já 27002 ela tem um conjunto de melhor
01:20prática de principais controles para
01:23reduzir o risco de segurança da
01:25informação essa 27000/12 foi resumida no
01:29anexo à está na 27 e esses anexos deve
01:33estar numa declaração de aplicabilidade
01:35e nós vamos ver mais à frente o
01:38principal objetivo da 27001 é orientar
01:41os requisitos que devem ser cumpridos
01:43para que o SG sim seja e eficaz Então
01:46vamos Então vamos para a estrutura da
01:48ISO
01:49e a ISO ela a estrutura e os ela tem 10
01:54cláusulas e tem um anexo as causas
01:57principais da ISO são e seguinte
01:58contexto da organização
02:00liderança planejamento
02:03apoio operação avaliação desempenho e
02:07melhoria
02:09a todos esses
02:11requisitos da ISO 27001 essas cláusulas
02:14elas estão organizadas e a gente entende
02:17como um PDF Ah tá a exclusão de qualquer
02:21um dos requisitos não é aceitável não é
02:25aceitável se você busca uma conformidade
02:29com a norma vamos falar da cláusula 4
02:32contexto da organização
02:34e a gente encontrar o sgsi o primeiro
02:37passo é a gente entender o contexto da
02:39organização e nesta cláusula ela tem
02:42alguns tópicos são contextos partes
02:44interessadas e implantação do sgs o
02:48contexto são identificados as questões
02:51internas e as questões externas o CG
02:54interna da relacionado com a governança
02:56missão visão da empresa e as externas
02:59são fatores políticos econômicos
03:01regulatório financeiro e já se podia o
03:04outro pontos são as partes interessadas
03:06eu tenho que detalhar quem são as partes
03:09interessadas em seus objetivos a para a
03:12segurança na informação novamente
03:15internas e externas com isso composto eu
03:18consigo definir o chama os corpo do meu
03:23sistema de gestão de segurança da
03:25informação que é definir os limites de
03:28aplicabilidade de sistema de gestão
03:30dentro da sua empresa
03:32é uma vez organizado isso a gente deve
03:35fazer o que implantar estabelecer e
03:37manter continuamente
03:39é um sistema de gestão de segurança da
03:42informação então a gente entende o
03:45escopo para compor Esse sistema de
03:48gestão Vamos então a cláusula 5 a causa
03:52ela cinco ela foca em liderança que que
03:57significa isso significa que a
03:59governança o alta direção deve
04:01demonstrar sua liderança e
04:03comprometimento com o SG si por meio de
04:06alguns vamos dizer assim alguns
04:09instrumentos primeiro deles política de
04:12segurança tá segundo algum instrumento
04:16que demonstra a integração dos
04:18requisitos do sgsi nos processos da
04:21organização a
04:23a garantia que eu tenho também recursos
04:26disponíveis tá comunicar a importância e
04:30conformidade Com estes requisitos
04:32orientar as equipes e promover essa
04:34melhoria contínua
04:37do sistema de gestão de segurança da
04:40informação
04:41e deve também definir Quem são as
04:44autoridades
04:45responsabilidades e papéis para tocar o
04:48sistema de gestão de segurança da
04:50informação é para garantir que as
04:54responsabilidades estejam claramente
04:56definidas e que é seus responsáveis
05:00eu garanto que o sgc Segue a norma e
05:04garantam que o desempenho do sgs seja
05:08relatado para organizar a alta direção
05:11chegamos ao planejamento
05:15é uma vez que eu estabeleci o contexto
05:17os recursos para tocar o sgsi eu preciso
05:20executar ações para contemplar riscos e
05:23oportunidades no sistema de gestão como
05:25qualquer planejamento faz então eu tenho
05:28que
05:29fazer ações fazer uma análise swot like
05:33a para garantir que o sgsi alcance os
05:37resultados pretendidos tá prevenir o
05:40reduzir os efeitos de algumas algumas
05:42ações indesejadas e alcançar a melhoria
05:44contínua com isso eu consigo identificar
05:47dentro do uma variação de Justus
05:51oportunidade ações que eu devo fazer
05:53para reduzir para tratar essas esses
05:56riscos e oportunidades tem o também que
05:59fazer uma avaliação de risco da
06:00segurança da informação ou seja para
06:03identificar e riscos eu tenho no na
06:07segurança na informação que o objetivo
06:09do sgs essa avaliação de riscos deve
06:12considerar está alinhada com a ISO 30 e
06:15ele se cozinha que a gente conhece corpo
06:18contente critério processo de avaliação
06:19de riscos e tratamento agora eles têm
06:23que ser conte-nos com resultados
06:25comparáveis válidos e consistentes
06:29é um aspecto importante no tratamento de
06:31gente que segurança da informação é que
06:33uma vez você estabeleceu Quais são os
06:35controles que precisam ser implementados
06:38eles têm que ser comparados com anexo a
06:41porque é exigido na Norma que os
06:45controles do anexo à são os mínimos e
06:47necessários para garantir a segurança
06:49caso algum controle não seja aplicável
06:51hoje se algum controle adicional que
06:54você precisa colocar eles devem ser
06:57claramente justificados no que a gente
07:00chama de declaração de aplicabilidade e
07:02a declaração de aplicabilidade ao
07:04requisito forte ou seja se eu tenho
07:07algum controle que eu não preciso
07:09implementar você tem que deixar claro e
07:11justificar Por que não vai implementar
07:13então com isso tudo montado eu vou
07:16definido agora o objetivo de segurança
07:18na informação E o planejamento para
07:20alcançar Então a gente tem que
07:22estabelecer esses objetivos para
07:24diversas funções e determinar o que deve
07:27ser feito por causa e para implantar a
07:30segurança na informação chegamos então a
07:337 apoio apoio são os recursos e
07:38competências e
07:41comunicação conscientização e informação
07:43documentada para suportar o sgc Então
07:46deve ser determinado e provido recursos
07:49necessários para o estabelecimento
07:51implantação e manutenção é melhor
07:53melhoria contínua do sgs CE a primeira
07:57competência tem que determinar a
07:59competência necessária das pessoas que
08:01trabalham que atum no sistema de gestão
08:04de segurança da informação tem o também
08:07que
08:08conscientizá-las ou seja estar cientes
08:11da política de segurança da informação
08:13de entender qual a participação delas no
08:17sgsi tá Ih também informar Quais são as
08:21sanções da não conformidade com os
08:24requisitos definidos na comunicação ou
08:27tem que determinar as comunicações
08:29internas e externas para o sgsi o que a
08:32gente chama de um plano de comunicação O
08:35que é a uma definição uma tabela de o
08:38que eu vou comunicar quando comunicar
08:40para quem comunicar audiência que vai
08:43comunicar em como será comunicado
08:46e por último dos apoios a informação
08:49documentada aqui é escreve o que faz e
08:53faz o que escreve então o SG e deve
08:57incluir informação documentada e é
08:59requerida pela Norma e determinada pela
09:02empresa como necessária todos os
09:04processos que nós falamos aqui precisam
09:07ter uma informação documentada de como
09:12se deve de se deve fazer e as defendem
09:15as evidências daquilo que foi feito o
09:18processo de criação e atualização da
09:21documentação informada deve envolver o
09:25formato como deve ser feito análise
09:27crítica e aprovação para pertinência e
09:30adequação da informação documentada o
09:33controle da informação documentada a
09:35informação documentada deve ser
09:37controlada estando disponível para uso
09:40com controle de acesso adequado então
09:43deve-se controlar o acesso de quem pode
09:45apenas ler e quem pode ler e alterar
09:47oito operação a operação envolve ação do
09:52dia a dia ou seja tem que ter um
09:54planejamento operacional
09:56a gestão dos controles que devem ser
09:59implementados tão esses controles deve
10:02atender os requisitos da segurança da
10:03informação e os resultados dos riscos e
10:06oportunidades e dos riscos de segurança
10:08da informação a Então essas ações devem
10:12incluir também o controle de mudanças
10:14planejadas e analisar criticamente as
10:16consequências de mudanças não previstas
10:19a avaliação de riscos é algo que tem que
10:22ser executado de forma perene ou seja
10:24então ele também está no planejamento
10:26ele tá no mundo também então a gente tem
10:29que ter essa execução das avaliações de
10:32riscos em intervalos regulares
10:34planejados ou até quando tiver alguma
10:37mudança significativa no seu escopo
10:39como eu já falei o tratamento de risco
10:42tem que ser feito em adequação ao anexo
10:45à ou seja ela deve implementar um plano
10:48para tratar os riscos de segurança
10:50informação que seja aderente ao anexo a
10:529 avaliação de desempenho avaliação de
10:55desempenho envolve monitoramento medição
10:58e análise avaliação através de
11:00indicadores e são indicadores do de
11:03segurança da informação e do sistema de
11:05gestão tá envolve também os aspectos
11:10relacionados a auditoria interna e
11:12análise crítica da direção auditoria
11:15interna é é um requisito obrigatório
11:19a empresa devem conduzir auditorias
11:21internas para prover informações e o
11:23sistema de gestão está em conformidade
11:25com os requisitos do sgq sincronizado e
11:29com os requisitos da 27001 os está
11:33efetivamente implementado e mantido no
11:35Então a gente tem que planejar e manter
11:37um programa de vistoria com frequências
11:39métodos
11:41metodologias etc a ideia que a gente
11:44consiga também garante que os resultados
11:47da auditoria são relatados para áreas de
11:49governança para a alta direção
11:52análises críticas pela direção o sistema
11:55de gestão deve ser analisado
11:57criticamente pela alta direção
11:58intervalos planejados para que para
12:01assegurar a adequação e pertinência e
12:03eficácia melhoria a melhoria envolve o
12:06resultado de análise auditoria e
12:08melhoria contínua tão a organização deve
12:12responder a não conformidade e avaliar
12:16necessidade de ações corretivas para
12:18eliminar as suas a
12:19creditar sua repetição ou recorrência a
12:22melhoria contínua é um foco mais de
12:25promover ajustes necessários para que a
12:29o seu sistema de gestão sofra uma
12:33melhoria continuar mente e a alta Gestão
12:36responsável por fazer isso além das
12:38causas de 4 a 10 existe um anexo a que é
12:42uma referência aos controles objetivos
12:44de controle essa esse anexo à é um
12:46resumo do que tem na 27002 e deve ser
12:50considerado como referência para
12:52controle como conclusão eu recomendo
12:56fortemente adoção de um sistema de
12:59gestão de segurança da informação como
13:01base para ações e processos de segurança
13:03informação na sua empresa e o desço
13:05quatro dicas 1ª a fazer isso no seu
13:09escopo e declaração de aplicabilidade
13:13o segundo produzem informação
13:16documentada valho escreve escreve o que
13:19vale terceiro Vale desse seu sistema de
13:23gestão está em conformidade com a ISO
13:2527001
13:26último quarto verifique se seus
13:29controles estão aderentes com anexo a
13:32mesmo se você não vai se certificar
13:36escreva nos comentários se já usaram
13:39como referência a em 27001 e se tem
13:42alguma dica de aplicação para
13:44compartilhar com a comunidade eu vou
13:46deixar algumas informações extras e nem
13:48para download na descrição do vídeo já
13:51deixa seu like aqui embaixo e se
13:53inscreva se ainda não é inscrito não se
13:56esqueça de acionar o Sininho para
13:57receber as novidades e notificações do
14:00canal até a próxima tchau
14:03E aí
14:04[Música]
14:05E aí
14:11[Música]
Browse More Related Video
How to implement ISO 27001 Walkthrough - Part 1
How to implement ISO 27001 Annex A 5.1 Policies for Information Security
ISO 27001 Getting Started | Everything you need to know | ISO 27001 Basics
[BO] Khóa đào tạo An ninh thông tin ISMS
Learn How to Make an Awesome Career in GRC and Find Your Path to Success!
Security Standards - CompTIA Security+ SY0-701 - 5.1
5.0 / 5 (0 votes)