ISO 27001 - ENTENDA DE VEZ!
Summary
TLDRThis video discusses the implementation of an Information Security Management System (ISMS) based on ISO 27001. It explains key concepts such as the importance of understanding organizational context, leadership commitment, risk assessment, and establishing security policies. The speaker emphasizes the role of ISO 27002 as a best practices guide and the relevance of Annex A for control measures. The video also highlights the need for documented information, continuous improvement, and adherence to ISO standards, whether for certification or as a best practice for securing information.
Takeaways
- 🔐 The ISO 27001 standard guides organizations on establishing a system to manage information security (SGSI) effectively.
- 📜 ISO 27001 provides requirements for implementing and managing an SGSI, useful not only for certification but also as a best practice.
- 📚 There are two key related standards: ISO 27001 (for vocabularies) and ISO 27002 (for best practices and security controls).
- 📝 The system's scope must be clearly defined, identifying internal and external factors that influence information security.
- 🚀 Leadership plays a critical role, ensuring integration of SGSI requirements into organizational processes and providing necessary resources.
- 📈 Effective SGSI requires regular risk assessment, aligned with other standards like ISO 31000, to continuously address security risks.
- 🛠 All controls defined in Annex A must be implemented, and any exclusions must be clearly justified in the statement of applicability.
- 📊 Organizations must establish security objectives and ensure regular performance evaluation through audits and internal reviews.
- 🛡 Regular operational planning is necessary, including controls to manage information security risks and operational changes.
- 🔄 Continuous improvement is essential, driven by internal audits, management reviews, and corrective actions to ensure SGSI effectiveness.
Q & A
What is the main purpose of ISO 27001 in the context of information security management?
-The main purpose of ISO 27001 is to outline the requirements for implementing and maintaining an effective Information Security Management System (ISMS). It provides a framework to protect sensitive information by managing risks, ensuring the confidentiality, integrity, and availability of data.
How can ISO 27001 be used beyond certification?
-ISO 27001 can be used as a best practice framework for structuring information security management within an organization, even if the goal is not certification. It helps in systematically managing information security risks and improving processes.
What are the two related standards that should be understood alongside ISO 27001?
-The two related standards are ISO 27000 and ISO 27002. ISO 27000 provides a vocabulary to understand ISO 27001, while ISO 27002 offers a set of best practices and controls to reduce information security risks.
What is the role of Annex A in ISO 27001?
-Annex A in ISO 27001 contains a list of minimum controls required to ensure information security. Organizations must justify any control they choose not to implement in their Statement of Applicability, and they can also include additional controls if necessary.
What are the ten main clauses of ISO 27001?
-The ten main clauses of ISO 27001 are: 1) Context of the organization, 2) Leadership, 3) Planning, 4) Support, 5) Operation, 6) Performance evaluation, 7) Improvement, 8) Security control objectives, 9) Evaluation of controls, and 10) Continuous improvement.
Why is leadership important in implementing an ISMS according to ISO 27001?
-Leadership is crucial because top management must demonstrate commitment to the ISMS by defining security policies, ensuring resources are available, integrating the ISMS into business processes, and promoting continuous improvement.
What is the significance of the Statement of Applicability in ISO 27001?
-The Statement of Applicability (SoA) is a mandatory document that justifies the inclusion or exclusion of specific security controls from Annex A. It ensures that the organization's chosen controls align with the identified risks and objectives.
How does ISO 27001 address risk management?
-ISO 27001 emphasizes risk management by requiring organizations to assess risks and opportunities that could affect information security. It involves performing regular risk assessments and implementing appropriate controls to mitigate those risks.
What types of resources are necessary to support the implementation of an ISMS?
-The necessary resources include trained personnel, sufficient financial and technological resources, and ongoing communication and documentation to support the ISMS. Organizations must ensure that individuals involved in the ISMS are competent and informed about their responsibilities.
What is the role of internal audits in ISO 27001 compliance?
-Internal audits are essential for monitoring the effectiveness of the ISMS. Organizations must conduct regular audits to verify compliance with ISO 27001 requirements and ensure that the system is working as intended. The results must be reported to management for review and further action.
Outlines
🔐 Introduction to Information Security Management Systems (SGS)
This paragraph introduces the topic of Information Security Management Systems (SGS) and mentions ISO 27001 as a key framework. The speaker emphasizes that ISO 27001 is not just for certification but also a best practice for structuring management systems in organizations. Two important standards—ISO 27001 and ISO 27002—are introduced, with ISO 27001 providing vocabulary and ISO 27002 offering best practices for information security risk controls. The paragraph briefly mentions an annex and a declaration of applicability related to these standards.
📊 Understanding ISO 27001 Structure and Context
This section breaks down the structure of ISO 27001, highlighting its 10 clauses that form the basis for implementing an effective SGS. It explains the importance of understanding the organizational context, including internal governance and external factors like political, economic, and regulatory environments. The concept of stakeholders is introduced, and the need to identify their objectives related to information security is emphasized. Additionally, the paragraph outlines the necessity of defining the scope of SGS and maintaining its continuous implementation.
👥 Leadership and Commitment to Information Security
This paragraph focuses on Clause 5, which emphasizes the importance of leadership in an SGS. Senior management must demonstrate commitment through policies, resource allocation, and integrating SGS requirements into business processes. The text also stresses defining roles and responsibilities clearly within the organization to ensure compliance with ISO 27001. Leaders must communicate the importance of these requirements and foster a culture of continuous improvement.
📈 Risk Management and Planning for SGS Success
Planning and risk management are the key themes here. Once the SGS context and resources are established, organizations must take action to identify and address risks and opportunities. Techniques like SWOT analysis help achieve the desired results, prevent negative outcomes, and promote continuous improvement. A significant focus is placed on conducting information security risk assessments and aligning them with ISO 31000, ensuring risks are consistently and comparably evaluated. The paragraph also explains the importance of justifying any deviations from mandatory controls in the declaration of applicability.
🛠 Support: Resources, Competence, and Documentation
This section covers Clause 7, which deals with the necessary support systems for a successful SGS, including resources, communication, and documentation. It explains how organizations must determine the necessary competencies for employees, ensure their awareness of security policies, and define the consequences of non-compliance. The importance of documented information—creating, controlling, and updating it—is also highlighted. Processes must be documented, and access to documentation must be controlled to ensure both accessibility and security.
⚙️ Operation and Risk Control in Daily SGS Activities
The focus here is on Clause 8, which involves operational aspects of implementing SGS controls. Organizations must plan their operational activities to meet information security requirements, manage daily risks, and handle unplanned changes. Regular risk assessments are emphasized as a continuous activity, requiring organizations to plan and execute risk treatments in line with the controls outlined in Annex A of ISO 27001.
📊 Performance Evaluation and Internal Audits
Clause 9 emphasizes the importance of performance evaluation, including the monitoring and measuring of information security indicators. Organizations must conduct internal audits to ensure compliance with ISO 27001 and assess the effectiveness of the SGS. This includes planning and maintaining a regular audit schedule, using consistent methodologies, and ensuring results are communicated to senior management. The leadership must critically review the SGS at planned intervals to ensure its continued relevance and effectiveness.
🔄 Continuous Improvement and Corrective Actions
This paragraph focuses on Clause 10, which outlines the need for continuous improvement. Organizations must respond to non-conformities, implement corrective actions, and make ongoing adjustments to enhance the SGS. The leadership plays a crucial role in promoting continuous improvement and ensuring that corrective actions prevent recurrence of issues. Additionally, the annex in ISO 27001 is discussed, which provides a summary of key controls and should be used as a reference for implementing effective information security measures.
💡 Final Recommendations for Implementing ISO 27001
The conclusion offers four practical tips for implementing ISO 27001. First, define the scope and declaration of applicability for your SGS. Second, produce well-documented information to ensure clarity and compliance. Third, verify that your system conforms to ISO 27001. Finally, ensure that your controls align with Annex A, even if certification is not your goal. The speaker encourages viewers to share their experiences and tips in the comments and reminds them to like the video and subscribe for more content.
Mindmap
Keywords
💡ISO 27001
💡Information Security Management System (ISMS)
💡Annex A
💡Risk Assessment
💡Context of the Organization
💡Declaration of Applicability (DoA)
💡Leadership Commitment
💡Performance Evaluation
💡Information Security Policy
💡Internal Audit
Highlights
The ISO 27001 provides guidelines for setting up an information security management system (ISMS), which is essential for ensuring security within a company.
ISO 27001 isn't just for certification purposes; it can also be used as a best practice for structuring information security management systems.
There are two important standards related to ISO 27001: ISO 27001 itself, which outlines the vocabulary, and ISO 27002, which provides best practices and key controls for reducing information security risks.
ISO 27002 outlines essential controls for mitigating information security risks, summarized in Annex A of ISO 27001.
The main objective of ISO 27001 is to provide the requirements that must be followed for the ISMS to be effective in a company.
ISO 27001 has 10 main clauses that cover context, leadership, planning, support, operation, performance evaluation, and improvement of the ISMS.
Clause 4 focuses on the context of the organization, which involves understanding internal and external factors, as well as identifying interested parties and defining the scope of the ISMS.
Clause 5 emphasizes the importance of leadership commitment, which includes defining a security policy, integrating ISMS requirements into business processes, and ensuring resource availability.
Clause 6 is about planning actions to address risks and opportunities in the ISMS, including conducting a SWOT analysis and a risk assessment to align with the goals of the system.
Clause 7 deals with support, including providing the necessary resources, ensuring personnel competence, raising awareness about security policies, and maintaining effective communication channels.
Clause 8 covers operations and daily actions, such as implementing and managing controls to meet ISMS requirements and addressing information security risks.
Clause 9 focuses on performance evaluation, which involves monitoring, measuring, and analyzing the ISMS, as well as conducting internal audits and management reviews.
Clause 10 is about continuous improvement, responding to non-conformities, and ensuring the ISMS evolves effectively over time.
The Annex A of ISO 27001 provides a list of minimum controls that should be implemented for the ISMS to be compliant.
It is crucial to document the information related to ISMS processes and controls to ensure traceability and accountability within the organization.
Transcripts
o Olá pessoal hoje eu vou falar de um
sistema de gestão específico para
segurança da informação ou sgs sistema
de gestão se relaciona com a gestão de
lixo O que é um sistema de gestão O
legal é que a 27001 orienta o que deve
ser feito para isso acontecer na sua
empresa e não pense que serve só para se
certificar você pode usá-la como melhor
prática tá para estruturar um sistema de
gestão na sua empresa vem comigo é
E aí
e a ISO 27001 orienta os requisitos para
implantação e como tocar o sgc na sua
empresa
Existem duas normas que devem ser
conhecidas para um melhor entendimento e
maior arrependimento da 27001 que é
27001 27002
27001 ela é um conjunto de vocabulários
para entendimento da 27001 e eu já vou
disponibilizar aqui no link do canal
esse vocabulário para vocês entender ele
já 27002 ela tem um conjunto de melhor
prática de principais controles para
reduzir o risco de segurança da
informação essa 27000/12 foi resumida no
anexo à está na 27 e esses anexos deve
estar numa declaração de aplicabilidade
e nós vamos ver mais à frente o
principal objetivo da 27001 é orientar
os requisitos que devem ser cumpridos
para que o SG sim seja e eficaz Então
vamos Então vamos para a estrutura da
ISO
e a ISO ela a estrutura e os ela tem 10
cláusulas e tem um anexo as causas
principais da ISO são e seguinte
contexto da organização
liderança planejamento
apoio operação avaliação desempenho e
melhoria
a todos esses
requisitos da ISO 27001 essas cláusulas
elas estão organizadas e a gente entende
como um PDF Ah tá a exclusão de qualquer
um dos requisitos não é aceitável não é
aceitável se você busca uma conformidade
com a norma vamos falar da cláusula 4
contexto da organização
e a gente encontrar o sgsi o primeiro
passo é a gente entender o contexto da
organização e nesta cláusula ela tem
alguns tópicos são contextos partes
interessadas e implantação do sgs o
contexto são identificados as questões
internas e as questões externas o CG
interna da relacionado com a governança
missão visão da empresa e as externas
são fatores políticos econômicos
regulatório financeiro e já se podia o
outro pontos são as partes interessadas
eu tenho que detalhar quem são as partes
interessadas em seus objetivos a para a
segurança na informação novamente
internas e externas com isso composto eu
consigo definir o chama os corpo do meu
sistema de gestão de segurança da
informação que é definir os limites de
aplicabilidade de sistema de gestão
dentro da sua empresa
é uma vez organizado isso a gente deve
fazer o que implantar estabelecer e
manter continuamente
é um sistema de gestão de segurança da
informação então a gente entende o
escopo para compor Esse sistema de
gestão Vamos então a cláusula 5 a causa
ela cinco ela foca em liderança que que
significa isso significa que a
governança o alta direção deve
demonstrar sua liderança e
comprometimento com o SG si por meio de
alguns vamos dizer assim alguns
instrumentos primeiro deles política de
segurança tá segundo algum instrumento
que demonstra a integração dos
requisitos do sgsi nos processos da
organização a
a garantia que eu tenho também recursos
disponíveis tá comunicar a importância e
conformidade Com estes requisitos
orientar as equipes e promover essa
melhoria contínua
do sistema de gestão de segurança da
informação
e deve também definir Quem são as
autoridades
responsabilidades e papéis para tocar o
sistema de gestão de segurança da
informação é para garantir que as
responsabilidades estejam claramente
definidas e que é seus responsáveis
eu garanto que o sgc Segue a norma e
garantam que o desempenho do sgs seja
relatado para organizar a alta direção
chegamos ao planejamento
é uma vez que eu estabeleci o contexto
os recursos para tocar o sgsi eu preciso
executar ações para contemplar riscos e
oportunidades no sistema de gestão como
qualquer planejamento faz então eu tenho
que
fazer ações fazer uma análise swot like
a para garantir que o sgsi alcance os
resultados pretendidos tá prevenir o
reduzir os efeitos de algumas algumas
ações indesejadas e alcançar a melhoria
contínua com isso eu consigo identificar
dentro do uma variação de Justus
oportunidade ações que eu devo fazer
para reduzir para tratar essas esses
riscos e oportunidades tem o também que
fazer uma avaliação de risco da
segurança da informação ou seja para
identificar e riscos eu tenho no na
segurança na informação que o objetivo
do sgs essa avaliação de riscos deve
considerar está alinhada com a ISO 30 e
ele se cozinha que a gente conhece corpo
contente critério processo de avaliação
de riscos e tratamento agora eles têm
que ser conte-nos com resultados
comparáveis válidos e consistentes
é um aspecto importante no tratamento de
gente que segurança da informação é que
uma vez você estabeleceu Quais são os
controles que precisam ser implementados
eles têm que ser comparados com anexo a
porque é exigido na Norma que os
controles do anexo à são os mínimos e
necessários para garantir a segurança
caso algum controle não seja aplicável
hoje se algum controle adicional que
você precisa colocar eles devem ser
claramente justificados no que a gente
chama de declaração de aplicabilidade e
a declaração de aplicabilidade ao
requisito forte ou seja se eu tenho
algum controle que eu não preciso
implementar você tem que deixar claro e
justificar Por que não vai implementar
então com isso tudo montado eu vou
definido agora o objetivo de segurança
na informação E o planejamento para
alcançar Então a gente tem que
estabelecer esses objetivos para
diversas funções e determinar o que deve
ser feito por causa e para implantar a
segurança na informação chegamos então a
7 apoio apoio são os recursos e
competências e
comunicação conscientização e informação
documentada para suportar o sgc Então
deve ser determinado e provido recursos
necessários para o estabelecimento
implantação e manutenção é melhor
melhoria contínua do sgs CE a primeira
competência tem que determinar a
competência necessária das pessoas que
trabalham que atum no sistema de gestão
de segurança da informação tem o também
que
conscientizá-las ou seja estar cientes
da política de segurança da informação
de entender qual a participação delas no
sgsi tá Ih também informar Quais são as
sanções da não conformidade com os
requisitos definidos na comunicação ou
tem que determinar as comunicações
internas e externas para o sgsi o que a
gente chama de um plano de comunicação O
que é a uma definição uma tabela de o
que eu vou comunicar quando comunicar
para quem comunicar audiência que vai
comunicar em como será comunicado
e por último dos apoios a informação
documentada aqui é escreve o que faz e
faz o que escreve então o SG e deve
incluir informação documentada e é
requerida pela Norma e determinada pela
empresa como necessária todos os
processos que nós falamos aqui precisam
ter uma informação documentada de como
se deve de se deve fazer e as defendem
as evidências daquilo que foi feito o
processo de criação e atualização da
documentação informada deve envolver o
formato como deve ser feito análise
crítica e aprovação para pertinência e
adequação da informação documentada o
controle da informação documentada a
informação documentada deve ser
controlada estando disponível para uso
com controle de acesso adequado então
deve-se controlar o acesso de quem pode
apenas ler e quem pode ler e alterar
oito operação a operação envolve ação do
dia a dia ou seja tem que ter um
planejamento operacional
a gestão dos controles que devem ser
implementados tão esses controles deve
atender os requisitos da segurança da
informação e os resultados dos riscos e
oportunidades e dos riscos de segurança
da informação a Então essas ações devem
incluir também o controle de mudanças
planejadas e analisar criticamente as
consequências de mudanças não previstas
a avaliação de riscos é algo que tem que
ser executado de forma perene ou seja
então ele também está no planejamento
ele tá no mundo também então a gente tem
que ter essa execução das avaliações de
riscos em intervalos regulares
planejados ou até quando tiver alguma
mudança significativa no seu escopo
como eu já falei o tratamento de risco
tem que ser feito em adequação ao anexo
à ou seja ela deve implementar um plano
para tratar os riscos de segurança
informação que seja aderente ao anexo a
9 avaliação de desempenho avaliação de
desempenho envolve monitoramento medição
e análise avaliação através de
indicadores e são indicadores do de
segurança da informação e do sistema de
gestão tá envolve também os aspectos
relacionados a auditoria interna e
análise crítica da direção auditoria
interna é é um requisito obrigatório
a empresa devem conduzir auditorias
internas para prover informações e o
sistema de gestão está em conformidade
com os requisitos do sgq sincronizado e
com os requisitos da 27001 os está
efetivamente implementado e mantido no
Então a gente tem que planejar e manter
um programa de vistoria com frequências
métodos
metodologias etc a ideia que a gente
consiga também garante que os resultados
da auditoria são relatados para áreas de
governança para a alta direção
análises críticas pela direção o sistema
de gestão deve ser analisado
criticamente pela alta direção
intervalos planejados para que para
assegurar a adequação e pertinência e
eficácia melhoria a melhoria envolve o
resultado de análise auditoria e
melhoria contínua tão a organização deve
responder a não conformidade e avaliar
necessidade de ações corretivas para
eliminar as suas a
creditar sua repetição ou recorrência a
melhoria contínua é um foco mais de
promover ajustes necessários para que a
o seu sistema de gestão sofra uma
melhoria continuar mente e a alta Gestão
responsável por fazer isso além das
causas de 4 a 10 existe um anexo a que é
uma referência aos controles objetivos
de controle essa esse anexo à é um
resumo do que tem na 27002 e deve ser
considerado como referência para
controle como conclusão eu recomendo
fortemente adoção de um sistema de
gestão de segurança da informação como
base para ações e processos de segurança
informação na sua empresa e o desço
quatro dicas 1ª a fazer isso no seu
escopo e declaração de aplicabilidade
o segundo produzem informação
documentada valho escreve escreve o que
vale terceiro Vale desse seu sistema de
gestão está em conformidade com a ISO
27001
último quarto verifique se seus
controles estão aderentes com anexo a
mesmo se você não vai se certificar
escreva nos comentários se já usaram
como referência a em 27001 e se tem
alguma dica de aplicação para
compartilhar com a comunidade eu vou
deixar algumas informações extras e nem
para download na descrição do vídeo já
deixa seu like aqui embaixo e se
inscreva se ainda não é inscrito não se
esqueça de acionar o Sininho para
receber as novidades e notificações do
canal até a próxima tchau
E aí
[Música]
E aí
[Música]
浏览更多相关视频
How to implement ISO 27001 Walkthrough - Part 1
How to implement ISO 27001 Annex A 5.1 Policies for Information Security
ISO 27001 Getting Started | Everything you need to know | ISO 27001 Basics
[BO] Khóa đào tạo An ninh thông tin ISMS
Learn How to Make an Awesome Career in GRC and Find Your Path to Success!
Security Standards - CompTIA Security+ SY0-701 - 5.1
5.0 / 5 (0 votes)