Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 3

Continuando a apresentação dos requisitos da norma, iniciada no post Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2, serão abordados os demais requisitos, tais como documentação, responsabilidades da direção, entre outros.

Requisitos de Documentação

Devem estar incluídos na documentação do SGSI as declarações documentadas da política, os objetivos e o escopo do SGSI; os procedimentos documentados e controles, incluindo aqueles relacionados ao planejamento, à operação e ao controle dos processos de segurança da informação;  a metodologia descrita para análise e avaliação de riscos e o relatório dessa avaliação; o plano de tratamento de riscos; os registros descritos na norma no item Controle de Registros (descrito mais adiante) e a Declaração de Aplicabilidade. As decisões da Direção também devem ser registradas e os registros dos resultados devem ser reproduzíveis. Também é importante que os controles selecionados sejam relacionados com os resultados da análise e avaliação dos riscos.

Controle de Documentos

Um procedimento documentado deve ser estabelecido definindo ações para aprovar e atualizar documentos; assegurar que as alterações e as versões dos documentos sejam identificadas e estejam disponíveis quando necessárias; garantir a legibilidade, a identificação, o armazenamento, o controle da distribuição e o descarte dos documentos; identificar documentos de origem externa e prevenir o uso não intencional de documentos obsoletos.

Controle de Registros

Os registros são elementos utilizados para evidenciar a conformidade aos requisitos e a eficácia da operação de um SGSI. Eles devem ser controlados, sendo identificados, armazenados, protegidos, recuperáveis prontamente e com tempo de retenção definido. Registros do desempenho do processo e de todas as ocorrências de incidentes devem ser mantidos.

 

Seção 5 - Responsabilidades da Direção

O  comprometimento da Direção com o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação deve ser evidenciado através do estabelecimento da política do SGSI; da garantia de que os planos e os objetivos do SGSI são estabelecidos; de que papéis e responsabilidades pela segurança da informação foram estabelecidos; da comunicação com a organização informando a importância do atendimento dos objetivos de segurança da informação; da provisão suficiente de recursos para o SGSI; da definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; da garantia da execução das auditorias internas e da realização de análises críticas pela Direção.

Gestão de Recursos

A organização deve determinar e prover recursos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

Ela também deve assegurar que as pessoas têm as competências necessárias para executar atividades relacionadas à segurança da informação, contratando pessoal capacitado ou fornecendo treinamentos, quando necessário. Deve ainda registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal.

 

Seção 6 – Auditorias Internas do SGSI

As auditorias internas devem ser planejadas para determinar se objetivos de controle, os controles, os processos e procedimentos do SGSI atendem à norma, à legislação pertinente, aos requisitos de segurança da informação identificados, se são mantidos e implementados de modo eficaz e, sobretudo, se são executados conforme definidos.

Devem ser definidos ainda os critérios de auditoria, escopo, frequência e métodos a serem utilizados, bem como devem ser selecionados auditores que assegurem objetividade e imparcialidade à auditoria. Ressalta-se que as responsabilidades e os requisitos para planejar e executar auditorias, relatar resultados e manter registros devem estar definidos em procedimento documentado.

Seção 7 – Análise Crítica do SGSI pela Direção

O SGSI deve ser analisado criticamente pela Direção em intervalos planejados (ao menos uma vez por ano), incluindo a avaliação de oportunidades para melhoria e necessidades de mudança do SGSI. Os resultados dessas análises devem ser documentados e os registros mantidos. A tabela abaixo exibe as entradas que devem ser incluídas para realizar a análise crítica, bem como as decisões e ações advindas dessa análise (saídas).

Tabela 1 – Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2.

Seção 8 – Melhoria do SGSI

A organização deve continuamente melhorar o SGSI através da política de segurança da informação, dos resultados das auditorias, das análises de eventos monitorados, da análise crítica pela Direção e das ações corretivas e preventivas. Devem existir procedimentos documentados para essas ações, conforme mostrado na tabela abaixo:

Tabela 2 – Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte: ABNT, 2006, p. 12-3.

 

Conclusão

Como visto, a norma ABNT NBR ISO/IEC 27001 contempla requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

Ela foi concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001 (ainda que seja relacionada à versão 2000) e à ABNT NBR ISO 14001:2004 (vide Anexo C da norma: Correspondência entre a ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 e esta Norma). 

Portanto, organizações que tiverem seus sistemas de gestão certificados nessas normas poderão alinhar e integrar um SGSI com os requisitos desses sistemas de gestão de forma consistente.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2

Continuando a apresentação da norma, iniciada no post Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1, serão apresentados agora os requisitos propriamente ditos.

Seção 4 – Sistema de Gestão de Segurança da Informação

Conforme visto anteriormente, a norma adota o ciclo PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um Sistema de Gestão de Segurança da Informação (SGSI). Cada uma dessas fases será apresentada a seguir.

 

Figura 2 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

 

Estabelecer SGSI (Plan)

Esta fase compreende toda a preparação necessária para a implementação do SGSI na organização, a qual deve:

Definir o escopo (abrangência) do SGSI considerando-se características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver;

Definir uma Política de SGSI aprovada pela direção, que contenha princípios para ações relacionadas à Segurança da Informação;

Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos que seja adequada ao SGSI e aos requisitos identificados para o negócio, contendo identificação de ativos, ameaças, vulnerabilidades e impactos desses riscos aos ativos, critérios e níveis para aceitação de riscos, considerando-se os impactos para o negócio, a avaliação da probabilidade real da ocorrência, a estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los.

Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Esta norma sugere como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002, que são apresentados no Anexo A da norma 27001;

Obter aprovação da direção dos riscos residuais propostos, bem como da autorização para implementar e operar o SGSI;

Preparar a Declaração de Aplicabilidade, que fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado).

Implementar e Operar SGSI (Do)

Esta fase compreende o funcionamento do SGSI na organização, a qual deve:

Elaborar e implementar um plano de tratamento de riscos, identificando ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;

Implementar controles selecionados anteriormente para atender aos objetivos de controle;

Definir a medição da eficácia dos controles, bem como como as medidas que devem ser utilizadas para avaliação da eficácia;

Implementar programas de conscientização e treinamento;

Gerenciar operações e recursos para o SGSI;

Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação.

Monitorar e Analisar Criticamente SGSI (Check)

É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização, a qual deve:

Executar procedimentos de monitoração e análise crítica para detectar erros, tentativas, violações de segurança e incidentes prontamente; possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado e verificar se as ações tomadas para solucionar violações foram eficazes;

Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.;

Medir a eficácia dos controles;

Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo;

Realizar auditorias internas periódicas do SGSI;

Realizar periodicamente a análise crítica do SGSI pela direção;

Atualizar  planos de segurança conforme resultados obtidos na monitoração e análise crítica;

Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI.

Manter e melhorar SGSI (Act)

Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização, a qual deve:

Implementar melhorias identificadas no SGSI;

Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional;

Comunicar ações e melhorias para as partes interessadas;

Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.

No próximo artigo, serão abordados mais requisitos, tais como documentação, responsabilidades da direção, entre outros.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1

A ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação - Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). E o que é um SGSI? É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio.

O documento da norma é estruturado em oito seções. As seções 0 a 3 referem-se à Introdução, Objetivo, Referência Normativa e Termos e Definições. Já os requisitos propriamente ditos se localizam nas seções 4 a 8. Para facilitar o entendimento, serão apresentadas primeiramente as seções 0 a 2. A seção 3 referente aos Termos e Definições não será abordada. Apenas quando se fizer necessário, um ou outro termo será aqui esclarecido.

Seção 0 – Introdução

A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.

Figura 1 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

Na fase Plan, devem ser estabelecidos a política, os objetivos, os processos e os procedimentos de um Sistema de Gestão de Segurança da Informação. Na etapa Do, a política, os controles, os processos e os procedimentos do sistema são implementados e entram em operação. Na fase Check, o SGSI é monitorado e avaliado (com medição de desempenho, quando aplicável) e seus resultados são apresentados para a direção para que sejam analisados criticamente. Por fim, na fase Act, as ações corretivas e preventivas identificadas em auditorias, em análise crítica da direção ou por qualquer outra forma pertinente, são implementadas.

Ressalta-se que a ABNT NBR ISO/IEC 27001 está alinhada às normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatível com outros sistemas de gestão.

Seção 1 – Objetivo

A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza.

É importante salientar que não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que:

“Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2).”

Seção 2 – Referência Normativa

A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC 27002. Você pode saber um pouco mais sobre essa norma em Conheça a NBR ISO/IEC 27002 – Parte 1

No próximo artigo, serão abordados os requisitos da norma ABNT NBR ISO/IEC 27001.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

Conheça a NBR ISO/IEC 27002 – Parte 2

Foto: Regis Capibaribe

A norma NBR ISO/IEC 27002 está organizada em 11 seções que correspondem a controles de segurança da informação. Na primeira parte do artigo Conheça a norma NBR ISO/IEC 27002,  foram abordadas as seções 5. Política de Segurança da Informação, 6. Organizando a Segurança da Informação, 7. Gestão de Ativos, 8. Segurança em Recursos Humanos e 9. Segurança Física e do Ambiente.  A seguir, serão abordadas as seções restantes (10 a 15).

Seção 10 - Gestão das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.

Para o gerenciamento de serviços terceirizados, deve-se implementar e manter o nível apropriado de segurança da informação e em conformidade com acordos de entrega de serviços terceirizados.

É fundamental planejar e preparar a disponibilidade e os recursos do sistemas para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de  forma a reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos maliciosos e os usuários devem estar conscientes sobre isso.

Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos.

Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem até mesmo ser necessários para proteger informações confidenciais que trafegam em redes públicas.

As trocas de informações entre organizações devem ser baseadas em uma política formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislação pertinente.

Deve-se ainda implementar mecanismos de monitoração  de atividades não autorizadas de processamento da informação. Os eventos de segurança da informação devem ser registrados, lembrando que  as organizações devem estar aderentes aos requisitos legais aplicáveis para suas atividades de registro e monitoramento.

Seção 11 - Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação.  Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços.

Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se ainda a adoção da “política de mesa e tela limpa”, para reduzir o risco de acessos não autorizados ou danos a documentos, papéis, mídias e recursos de processamento da informação que estejam ao alcance de qualquer um.

Seção 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Segundo a norma, “Sistemas de informação incluem sistemas operacionais, infra-estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário”. Por essa razão, os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação.
As informações devem ser protegidas visando a manutenção de sua confidencialidade, autenticidade ou  integridade por meios criptográficos.

Seção 13 - Gestão de Incidentes de Segurança da Informação
Deve-se assegurar que eventos de segurança da informação sejam o mais rápido possível comunicados, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos.

Seção 14 - Gestão da Continuidade do Negócio
Deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil.

Para isso, planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas.

Seção 15 – Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

Para isso, é conveniente contratar, caso necessário, consultoria especializada, bem como analisar criticamente a segurança dos sistemas de informação a intervalos regulares, verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares.

Em resumo, nota-se claramente ao longo de toda a norma, que a característica predominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráter reativo. Mesmo as que forem reativas, como por exemplo a execução de um plano de continuidade de negócios, são previamente planejadas para que, no momento oportuno e se necessárias, sejam devidamente implementadas.

Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.

Você pode fazer o download completo deste artigo em:http://www.box.net/shared/65x3oa0n0p

Conheça a NBR ISO/IEC 27002 – Parte 1

Dando continuidade ao assunto Segurança da Informação, hoje será abordada a norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Mas, o que é Segurança da Informação (SI)? Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização.

É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002.

A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir. A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma).

Seção 5 - Política de Segurança da Informação
Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.

Seção 6 - Organizando a Segurança da Informação
Para implementar a SI em uma organização é necessário que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.

Seção 7 - Gestão de Ativos
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos significa proteger e manter os ativos da organização. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.

Seção 8 - Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações de segurança da informação.

No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam concluídas.

Seção 9 - Segurança Física e do Ambiente
As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados.

Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local.

No próximo artigo, será dada continuidade às demais seções da norma.

Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/65x3oa0n0p