| Segurança informática em auditoria |
|
|
6.4. ISO/IEC TR 13335 [31]
Foi desenvolvido pela ISO (the International Organization for Standardization) e IEC (the International Electrotechnical Commission).
É constituído por um conjunto de orientações genéricas de gestão da segurança das TI, com 5 partes produzidas nos últimos oito anos, alguns com actualizações recentes:
1997 - Parte 2: Gestão de risco na segurança de TI
1998 - Parte 3: Técnicas de gestão da segurança de TI
2000 - Parte 4: Selecção de protecção
2001 - Parte 5: Orientações de gestão na segurança de redes
A parte 1 deste standard oferece uma visão de alto nível da gestão. É adequada para gestores e para quem tem responsabilidades na segurança das TIC. Foca a atenção em conceitos e modelos de gestão, planeamento, implantação e operações da segurança das TIC e contém:
A informação fornecida pelo ISO/IEC 13335-1 pode não ser directamente aplicável a todas as organizações, especialmente as mais pequenas poderão não possuir todos os recursos necessários para executar plenamente as funções determinadas pelo standard. Nestas situações é importante que os conceitos base sejam postos em prática de forma adequada à sua dimensão.
A Parte 2 (ISO/IEC 13335-2 refere-se às técnicas de gestão de risco apropriadas na segurança das tecnologias da informação.
As partes 3, 4 e 5 são documentos técnicos.
A parte 4 refere a selecção de protecções e o modo como pode ser suportada pelo uso de controlos e como se complementa com a parte 2.
A Parte 5 refere-se a orientação de gestão da segurança de redes e comunicações para quem for responsável pela gestão da segurança. Esta orientação suporta a identificação e análise dos factores relacionados com comunicações a ter em conta no estabelecimento da segurança de redes.
|
|
|