ISO 27002 – Conceitos

Alguns conceitos que são imprescindíveis para certificação ISO 27002.

Ativo: Algo de valor para a organização.

Informação: É um ativo da organização, e um ativo muito importante, ela pode ser escrita (papel), falada em conversas ou telefone etc, pode ser armazenada, exibida em vídeos e transmitida. Outros usos e meios de distribuição, armazenamento desse ativo são criados com uma rapidez incrível.



Segurança da Informação:
  A “Arte” de proteger a informação, garantir a continuação dos negócios, diminuir os riscos, maximizar o retorno dos investimentos e aproveitar as oportunidades.

Confidencialidade: É a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização.

Disponibilidade: Propriedade da Informação de estar sempre disponível e alcançável para as pessoas autorizadas.

Integridade: Garantir a precisão das informações e dos métodos de processamento aos quais ela é submetida

Ameaça: Uma potencial causa de acidente, que pode resultar em dano ou perda a um sistema ou organização.
Ex: Vivemos sobre constante ameaça de fraude bancária através de mensagens de e-mail falso.

Vulnerabilidade: Uma fraqueza de um bem ou conjunto de bens, que podem ser explorados por uma ou mais ameaças.
Ex: Uma estação de trabalho com sistemas desatualizados, sendo operado por uma usuário não consciente  de fraudes clicar em um link do e-mail falso.

Risco: É a probabilidade de uma ameaça explorar uma ou várias vulnerabilidades causando prejuízos a organização.
Ex: Quais as chances dessa ameaça explorar essa vulnerabilidade ? Normalmente estimado em porcentagem %. (de cada 10.000 e-mails recebidos 10 são desse tipo)
Controle: Forma de gerenciar um risco ele pode ser administrativo, técnico, de gestão ou legal. e inclui recursos, pessoas, políticas e pode ser sinônimo de contra-medida.

Ex: Uma sistema de anti-spam é implementado evitando que a ameaça seja concretizada.

Diretriz: Descreve o que deve ser feito e como deve ser feito para atingir os objetivos estabelecidos nas políticas.

Política:objetivos a serem atingidos e expressa o comprometimento da direção com a segurança da informação.

Terceira Parte: fornecedores, clientes, consultores, seguradoras etc. que tem contato com a informação.
Recurso do Processamento da Informação ->qualquer equipamento que possa ser utilizado para acessar divulgar ou armazenar informações.

Evento de Segurança da Informação: Ocorrência que possa ser identificado que indica a violação de uma política ou falha de um controle. Ou qualquer coisa que possa ser significante par a SI,

Incidente de Segurança da Informação: Quando um evento pode comprometer a SI ou a operação dos negócios.

 

GlobSecure Informática

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *