ISO/IEC 27002: diferenças entre revisões
Conteúdo apagado Conteúdo adicionado
Linha 72:
'''6.1.5 Acordos de confidencialidade.'''
Convém que acordos de não divulgação que assegurem a proteção da organização sejam identificados e analisados criticamente.
Tais acordos de confidencialidade e de não divulgação devem
Requisitos para esses acordos de confidencialidade e de não divulgação devem ser analisados criticamente e periodicamente.
Existem possibilidades de uma organização usar diferentes formas de acordos de confidencialidade irá depender das circunstâncias.
Linha 78:
'''6.1.6 Contato com autoridades.'''
Controle – Contactar com as autoridades
Diretrizes para implementação – Saber quando e quais autoridades devem
Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de telecomunicações).
Informações adicionais - Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação.
Convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contínua seja aplicado às respostas,monitoramento, avaliação e gestão total
'''6.1.7 Contato com grupos especiais.'''
Controle - Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros
Informações adicionais - Acordos de compartilhamento de informações podem ser estabelecidos para melhorar a cooperação e coordenação de assuntos de segurança da informação. Convém que tais acordos identifiquem requisitos para a proteção de informações sensíveis.
'''6.1.8 Análise crítica independente de segurança da informação.'''
Controle - Convém que o enfoque da organização para gerenciar a segurança da informação e a sua
Diretrizes para implementação - Convém que a análise crítica independente seja iniciada pela direção. E que a análise crítica seja executada por pessoas independentes da área avaliada. Os resultados tem que ser registrados e relatados para a direção que iniciou a análise e que esses registros fiquem mantidos. Tomar ações corretivas, se a análise crítica entender que sim.
Informações adicionais - Convém que as áreas onde os gerentes regularmente fazem a análise
'''6.2 Partes externas.'''
Linha 96:
'''6.2.1 Identificação dos riscos relacionados com partes externas.'''
Controle - Convém que os riscos para os recursos de processamento da informação e da informação da organização oriundos de processos do negócio que envolva as partes externas sejam identificados e controles
Diretrizes para implementação -Análise e avaliação de riscos sejam feitas para identificar quaisquer requisitos de controles específicos.
Linha 104:
'''6.2.3 Identificando segurança da informação nos acordos com terceiros.'''
Controle - Cobertura de todos os requisitos de segurança da informação relevantes.
Diretrizes para implementação - Convém que o acordo assegure que não existe mal-entendido entre a organização e o terceiro. Convém que as
Entretanto, é importante que a organização planeje e gerencie a transição para um terceirizado e tenha processos adequados implantados para gerenciar as mudanças e renegociar ou encerrar os acordos.
Acordos com terceiros podem também envolver outras partes.De um modo geral os acordos são geralmente elaborados pela organização. A organização precisa assegurar que a sua própria segurança da informação não é afetada desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.
| |||