Por que devemos dar atenção para a gestão de riscos?

A Gestão de Riscos é definida com as atividades coordenadas para direcionar e controlar uma organização no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A gestão de riscos deve ser um processo que inclui a identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e revisão do risco, onde se deve analisar todos os riscos inerentes 'as atividades de uma determinada organização, processo ou atividade.

Dentro deste enfoque temos a visão de melhoria contínua determinada pela conhecida sigla PDCA (Plan, Do, Check and Act) consistindo em um ciclo de análise e melhoria dos processos gerenciais básicos necessários para que o processo, organização ou atividade ligada a segurança da informação estejam alinhados, compatíveis e em conformidade com as normas referentes 'a gestão de riscos.

Na etapa de planejamento é iniciada as definições estratégicas e a forma como elas serão alcançadas através das políticas, controles e procedimentos para garantir a segurança das informações. É muito importante que a direção da organização esteja comprometida e alinhada com o processo de definição estratégico e seus entregáveis. De acordo com a norma ISO 27005, enquanto em fase de planejamento são dados enfoques nos processos de Definição do Contexto, Análise/Avaliação de Riscos, Definição do Plano de Tratamento do Risco e Aceitação do Risco.

Na próxima etapa, da execução, os processos que foram definidos na etapa anterior serão implementados e executados, obtendo-se assim informações que serão objeto da próxima etapa. Verificação da conformidade com a ISO 27005 e a implementação do Plano de Tratamento do Risco.

Na etapa de checagem será feita a avaliação dos processos implementados para verificar se o que foi planejado está de acordo com o que foi efetivamente executado de maneira a alcançar as metas. Segundo a ISO 27005 é nesta etapa que é realizado o Monitoramento  Contínuo e Análise Crítica do Risco.

Na etapa final - Act - serão realizadas as ações de correção e prevenção tendo-se como base a percepção e identificação dos desvios de execução e nas observações e considerações expostas pela direção da organização ou do responsável pelos processos.

Como já é sabido, os 34 processos do CobiT podem ser atendidos por outros modelos que definem boas práticas de gestão, tais como: ITIL, PMBOK, CMMI e ISO/IEC 27001 e 27002. Cada um desses modelos possui práticas definidas para a gestão de seus processos, como descrevemos anteriormente para a área de segurança da informação. A correta implantação dessas práticas garante que a entrega e qualidade dos produtos e serviços atendam as necessidades do negócio.

Recentemente foi lançado o COBIT 5, que  é um framework de negócios para governança e gestão de TI. Esta versão  incorpora as últimas novidades em governança corporativa e técnicas de gerenciamento. Fornece princípios globalmente aceitos, práticas, ferramentas e modelos analíticos para ajudar a aumentar a confiança e valor nos sistemas de informação.

O COBIT 5 foi lançado em abril de 2012, consolida e integra o CobiT 4.1, Val IT 2.0 e frameworks de risco de TI. Alinha-se com estruturas e padrões, como o Information Technology Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture Framework (TOGAF).

Em seguida a  ISACA lançou  o documento "COBIT 5 for Information Security": guia para a Segurança Corporativa de TI.

Este documento foi elaborado sobre o Framework recém lançado do CobiT 5: Guia de Governança e Gestão Corporativa de TI.

O que encontramos na pesquisa promovida pela ISACA no ano passado, é que uma em cada quatro empresas (25%) experimentou falhas de segurança, e 19% delas teve problemas de segurança especificamente com dispositivos móveis.  A pesquisa, cujo titulo no original é:  "2012 Governance of Enterprise IT (GEIT) Survey," foi direcionada para mais de 700 profissionais de TI da região Asia-Pácifico que são membros da ISACA.

A nuvem contribui com 10% das ameaças de Segurança

A pesquisa também apontou que nos próximos 12 meses, vazamentos de dados e questões relacionadas com empregados passarão a ser os principais temas que impactarão a segurança de TI das empresas. Ainda de acordo com os resultados da pesquisa, as ameaças de segurança da Informação foram classificadas na seguinte ordem:

• Vazamento de dados (perda ou falha): 22%
• Erros inadvertidos provocados por empregados: 15%
• Incidentes relacionados a dispositivos pessoais de empregados (BYOD): 15%
• Computação na nuvem: 10%
• Cyber ataques: 8%
• Hacking externo: 5%
• Empregados insatisfeitos: 5%
• Todos os acima: 15%

O Guia "COBIT 5 for Information Security," que é parte da familia de publicações do CobiT 5 está dividido em três seções principais:

1) Segurança da Informação;
2) Usando os facilitadores (enablers) para implementar segurança da informação na prática, e;
3) Adaptando o COBIT 5 for Information Security no ambiente corporativo.

De acordo com Christos Dimitriadis, CISA, CISM, CRISC Vice Presidente Internacional da ISACA, o Guia "'COBIT 5 for Information Security' pode ajudar as empresas na redução de seu perfil de riscos quando a segurança é gerenciada de forma apropriada. A Informação e toda tecnologia a ela relacionada tem se tornado cada vez mais o core business das empresas, mas a segurança da informação é uma questão da confiança que os stakeholders depositam na empresa".

O Guia "COBIT 5 for Information Security" é composto de princípios aceitos mundialmente, bem como de ferramentas e modelos analíticos desenvolvidos para suportar o negocio e a TI, maximizando o grau de confiabilidade e valor que o mercado deposita nas operações da empresa, na sua informação e nos seus ativos de tecnologia.

Por fim, Simon Chan, atual Presidente do capitulo Hong Kong da ISACA diz que "A efetiva governança corporativa de TI é a chave para gerenciar as necessidades corporativas em constantes mudanças, bem como a entrega no prazo dos projetos relacionados, especialmente sob restrição de pessoal, ponto que acomete a maioria das corporações de hoje".

Fontes: enterprisecioforum.com Myles Suer ISACA a.pitkowski

Em vendas e marketing de alta tecnologia a maneira mais comum de se comunicar em reuniões num contexto formal é o uso de slides como apoio nas apresentações. Enquanto algumas pessoas podem argumentar que existe forma ou métodos melhores, este é agora quase um padrão em mercados de produtos ou serviços de base tecnológica. Portanto é algo que as pessoas esperam que você saiba fazê-lo muito bem.

Então, como você poderá garantir que as suas apresentações vão te ajudar a alcançar as metas que foram definidas antes da reunião?

Quais são os aspectos fundamentais a considerar na criação de apresentações e o que poderia ser um processo eficiente para garantir que as excelentes apresentações se tornem base para sua comunicação de vendas como um todo?

Observam-se muitas apresentações técnicas sem impacto, devido ser seu conteúdo implicitamente complexo e frequentemente apresentando essencialmente puros eventos carregados de informação, ignorando dois aspectos igualmente importantes: construir um relacionamento com o público e promover a participação de uma forma que incentive os seus clientes interagirem de maneira efetiva e não apenas como meros expectadores. A interação é parte essencial de um processo de comunicação bem sucedida que já foi iniciado antes da reunião e que deverá crescer após a apresentação.

Toda apresentação de vendas deve conduzir para uma ação que implica em um retorno positivo ou negativo do cliente e ai vale dizer que a observação do comportamento geral e principalmente do não verbal é importantíssimo. Livros famosos como "O corpo fala" de Pierre Weil e Roland Tompakow nos explicam em detalhes todos os sinais, nossas atitudes e suas consequências em nosso corpo, portanto mostrar-se jovial, amigável, de forma descontraída e postura sempre aberta ao dialogo é condição básica para apresentações de sucesso. Outros fatores fundamentais são a música da voz- tom, volume e ritmo (velocidade), o vocabulário adequado ao assunto e ao nível da audiência e o conhecimento sobre o tema a ser apresentado. Tente variar todos os tons, volume e ritmo da voz dando ênfase em determinados pontos durante suas apresentações, pondo expressividade em sua fala. Claro que isso soa mais fácil do que é e provavelmente requer muitos anos de prática para fazer bem, mas para tentar chegar a essa ápice comece agora, se já não estiver lá.

Estando em uma reunião, normalmente temos um público mais reduzido, então nestes casos, antes de começar uma apresentação é interessante criar um clima agradável e harmônico  - rapport -falando sobre temas leves que aparentemente não tem haver com o objeto da apresentação, mas na realidade deverá levar para algum ponto que permita o início da mesma e é importante desde o primeiro contato fazer perguntas que revelem a situação do cliente ou interlocutor, pois ninguém compra o que não deseja.

Veja o vídeo a seguir e tente imaginar o que você poderia vender para o entrevistado:

Sugerimos os seguintes passos para uma apresentação de sucesso:

DEFINA OS OBJETIVOS -> CONHEÇA O PÚBLICO -> CRIE A MENSAGEM -> ESTRUTURE O DISCURSO -> VENDA BENEFÍCIOS -> FIRME ACORDOS -> DEFINA AÇÕES

Nos próximos posts iremos abordar em mais detalhes cada um deles.

Caso você desejar aprimorar suas técnicas de apresentação e oratória de uma forma geral temos dois conteúdos que poderão de ajudar:

Oratória: A arte de falar bem e fazer apresentações em público

Curso Tecnicas de Apresentação para Executivos

Especialistas da NASA Jet Propulsion Laboratory (JPL) compartilham os desafios da rover Curiosity nos finais 7 minutos da aterrissagem na superfície de Marte no dia 05 de agosto de 2012 .

A rover Curiosity foi lançada pela NASA em 26 de novembro de 2011. Atualmente a caminho do planeta, está programada para pousar na cratera Gale no dia 5 de agosto de 2012 (EUA horário do Pacífico). Os objectivos do rover incluem a procura de vida passada ou presente, estudando o clima de Marte, geologia e recolha de dados sobre uma futura missão tripulada a Marte. Ele irá explorar Marte por 2 anos.

Custo do projeto Curiosity: 2,5 bilhões dólares

NASA site oficial: http://www.nasa.gov/mission_pages/msl/index.html

Se você trabalha com qualidade ou processos, provavelmente já se deparou com algumas questões relativas à decisão sobre a real necessidade de coletar dados para amostra. Sendo assim, quais serão os critérios para a escolha: 

Utilização de dados históricos ou experimentação? 

Por outro lado, sabemos que, quando nos defrontamos com qualquer projeto de qualidade, é fundamental saber o que se está tentando resolver. Provavelmente na procura da resposta vamos nos direcionar na escolha de um Plano de Amostragem. Depois iremos focar principalmente nas propriedades do plano, facilidades de administração, proteção oferecida, total de amostra exigida e custo de inspeção. 

Em nossa formação podemos te ajudar nesta procura e, além disso, te proporcionar mais ainda:

• O principal benefício está em poder conhecer um pouco mais da experiência de nossos especialistas, autoridades neste assunto, reunindo profissionais com mais de 20 anos como Educadores e mais de 30 anos com atuação ligada às estes temas.
• O participante irá conhecer mais sobre:
• • A finalidade e os caminhos mais usados nas pesquisas por amostragem com foco na gestão, bem como avaliar a qualidade de uma pesquisa por amostragem;
  • Qual a visão mais adequada para identificar e combinar população e base amostral (sampling frame), como por exemplo, reconhecer vantagens e limitações e aplicar técnicas de amostragem aleatória;
  • Como aplicar a Norma brasileira NBR 5426 correspondente à MIL STD 105;
  • Como processar e codificar os resultados da coleta e quais são as falhas mais freqüentes na coleta de dados amostrais.

Alguns diferenciais desta Capacitação:

• Conta um pouco da história da elaboração desta Norma;
• Inclui tópico sobre avaliação do sistema de medição por atributos: todos que inspecionam um mesmo produto devem identificar defeituosos do mesmo modo;
• Mostra como usar e construir curvas características de operação (CCO);
• Esclarece os conceitos de QMR, LQMR e QL, combinando NQA com QL;
• Fornece orientações para aplicação da inspeção por amostragem salteada (Skip Lot);
• Mostra como construir plano específico de amostragem levando em conta, ao mesmo tempo, os riscos do produtor e do consumidor.

<<CLIQUE AQUI E VEJA OS DEPOIMENTOS DE NOSSOS ALUNOS>>

Enquanto o resto do mundo dos negócios debate como desenvolver competidores ao Facebook e LinkedIn, alguns empreendedores estão descobrindo que o sucesso está nos pequenos mercados. Isso porque existem várias comunidades on-line que atendem para públicos específicos, o que para muitos é melhor do que as gigantes sociais tradicionais.

A participação em comunidades altamente focadas em nichos profissionais como a Spiceworks e FohBoh.com atraem empresas B2B que sabem que o sucesso é mais sobre a qualidade do relacionamento do que quantidade. Profissionais com problemas para resolver podem procurar outros com as respostas e as redes sociais de nicho são muitas vezes o caminho mais curto para uma solução.Se você está querendo saber sobre outras vantagens, aqui estão cinco razões para participar de redes sociais de nicho:

1. Economize tempo

Tão bom quanto os grupos do LinkedIn são para responder perguntas, navegar em muitas delas pode se tornar uma tarefa dicicil pela quantidade excessiva de mensagens de spam e táticas de marketing. A maioria das comunidades de nicho são muito boas sobre como controlar esse tipo de coisa. Algumas, como o Sermo (médicos) e PoliceOne (aplicação da lei) ainda exigem que as pessoas apresentem as suas credenciais profissionais para validação antes de conceder a adesão a rede.

2. Fale a mesma lingua

Comunidades de nicho são auto-seletivas. Como resultado, os novatos geralmente não as aderem. Visite qualquer uma das redes sociais listadas acima e veja as discussões. As pessoas falam em uma lingua que só elas entendem.


3. Valorize-se

Quase todas as redes sociais de nicho usam sistemas de classificação que recompensem membros ativos por suas contribuições à comunidade. As pessoas mais ativas são geralmente as mais reconhecidas.

Existem todos os tipos de benefícios neste sentido, incluindo desenvolvimento profissional, oportunidades de falar, e exigir direitos simples. 

4. Crie referencias

Muitos profissionais da área de B2B, particularmente nas disciplinas técnicas, trabalham em áreas altamente especializadas, onde os novos desenvolvimentos são difíceis de rastrear e colegas da mesma área são difíceis de encontrar. Comunidades de nicho são o caminho mais rápido para procurar pessoas com as mesmas afinidades se encontrarem e se aprofundarem nas informações que eles estão compartilhando.

5. Credibilidade

Quando as empresas têm importantes decisões de compra, elas procuram conselhos de outras pessoas que já passaram pelo mesmo problema. Elas são mais propoensas a encontrar outras pessoas que trazem consigo esperiências na mesma área.

Nós do GrupoTreinar oferecemos uma vasta oferta de capacitações em diversas áreas de nicho onde você poderá compartilhar seus conhecimentos e buscar respostas 'as suas pesquisas, confira os cursos relacionados abaixo.

Fonte: mashable.com

Quando se pensa em Gerenciamento de forma eficaz percebemos que sempre são necessários a reunião de todos e de tudo no qual o empreendimento está inserido. Desta forma, análises top-down nos mostram que é necessário conhecer em detalhes as bases nas quais se constrói os pilares fundamentais de uma boa administração: estratégia, arquitetura, engenharia e governança.

A estratégia deve apontar o Norte indicando em que direção todos os esforços devem fluir, a arquitetura deve definir um modelo onde são respondidos os quesitos fundamentais de planejamento (WHAT - WHEN - WHO - WHY - WHERE - HOW, Em português O QUE - QUANDO - QUEM - PORQUE - ONDE - COMO), a engenharia constrói e operacionaliza todos os componentes definidos na arquitetura e a governança institui o modelo que compatibiliza a estratégia, a arquitetura e a engenharia.

Como bem identificou John Zachman, nas empresas há uma necessidade de representar de forma estruturada todos os seus sistemas e seus processos através de uma framework que reflita diversas visões estratégicas. Todavia o ponto de partida da Governança começa a partir do momento que as organizações concebem a Arquitetura Organizacional a partir da Gestão por Processos de Negócios (BPM) alinhada com a Arquitetura da Informação, Arquitetura de Sistemas Aplicativos e Projeto de Sistemas Aplicativos.

Assim a questão consiste em identificar que metodologia e que tendência de BPM a empresa deve adotar. Tendo isto em mente nos deparamos com a análise de efetuada por Clay Richardson da Forrester intitulada " The BPM Trends You Must Embrace In 2011! "

Onde destacamos os principais pontos:

• Conecte a Arquitetura de Negócios com as iniciativas de BPM para criar um roteiro realista no processo de transformação; 
• Dê "direitos iguais" nas iniciativas de BPM e a manutenção dos dados;
• Promova competências em BPM para as funções-chave nos processos que compõem a cadeia de valor da organização; 
• Procure criar condições para melhor desenvolver a participação colaborativa de todos nos processos da cadeia de valor; 
• Procure identificar as melhores práticas de programas bem-sucedidos na implementação de iniciativas BPM.

Governança de TI é responsabilidade dos executivos e do conselho de administração, e consiste em a liderança, estruturas organizacionais e processos que assegurem que a empresa de TI sustente e estenda determinadas estratégias da organização de acordo com seus objetivos.

Governança de TI tem como objetivo:

• Integrar-se e institucionalizar boas práticas para assegurar que a empresa de TI apoia os objectivos de negócio;
• Permitir que a empresa obtenha o máximo partido da sua informação, maximizando benefícios, capitalizando oportunidades e ganhando vantagem competitiva.

Governança de TI é:

• Alinhamento Estratégico
• Entrega de Valor
• Gestão de Risco
• Gestão de Recursos
• Medição de Desempenho

A organização deve satisfazer os requisitos de qualidade, fiduciários e de segurança para a sua informações.

O framework COBIT contribui para essas necessidades:

• Fazer um link para o negócio requisitos ;
• Organizar atividades de TI em um modelo de processo geralmente aceitos;
• Identificar os principais recursos de TI para ser aproveitado;
• Definição dos objectivos de controlo de gestão a serem considerados;

COBIT, portanto, suporta a governança de TI, fornecendo um quadro para garantir que:

• TI esteja alinhada com o negócio;
• TI suporte os negócios e maximize seus benefícios;
• Recursos de TI sejam usados ​​de forma responsável;
• Riscos de TI são gerenciados de forma adequada;

Áreas de Foco de Governança de TI  descrevam os tópicos que a gerência executiva precisa abordar na governança de TI, e são eles:

• Alinhamento Estratégico;
• Entrega de valor;
• Gestão de Recursos;
• Gestão de Riscos;
• Medição de Desempenho;

A estrutura fornece uma ligação clara entre os requisitos de governança de TI, processos de TI e Controles de TI.

COBIT está focado no que é necessário para alcançar uma gestão adequada e controle de TI e é de alto nível.
COBIT é o quadro de controle interno geralmente aceitos para a TI.
Os produtos do COBIT foram organizados em três níveis projetados para apoiar:

• A gerência executiva e conselhos;
• Business e gestão de TI;
• Governança, garantia, controle e segurança profissional;

Executivos devem entender por que Governança de TI é importante, quais as suas são as questões chave e qual a sua responsabilidade para gerencia-las.

Orientações de gestão são ferramentas para ajudar a mensurar responsabilidades , medir o desempenho e definir referências na capacidade.
Orientações de gestão têm:

• Entrada de processo
• Saída do processo
• RACI Gráfico
• Metas e métricas

COBIT é um framework com ferramentas de apoio que permitem que os gerentes tenham uma visão detalhada dos requisitos de controle, das questões técnicas e dos riscos de negócios.
Os benefícios da implementação de COBIT como uma estrutura de governança sobre TI incluem:

• Melhor alinhamento, baseado em um foco de negócios;
• Uma visão compreensível, à gestão, do que se faz e como deve ser feito;
• Clarificar as responsabilidades tendo como base a orientação por processo;
• Compatibilização geral com relação a terceiros e órgãos reguladores;
• Compreensão compartilhada entre todos os interessados, com base em uma linguagem comum;
• Cumprimento dos requisitos do COSO para o ambiente de controle de TI;

Nós do GrupoTreinar oferecemos uma vasta oferta de capacitacoes nas areas de Gestão de TI e Governança, confira os cursos relacionados abaixo.

Falta de planejamento é o pior inimigo do ser humano quando ele quer mudar o seu plano de vida.

Para executar um plano de vida, seja pessoal ou profissional, e construir um projeto, primeiro você deve estabelecer metas e prazos a cumprir.

Um bom truque é começar com pequenos problemas, e pouco a pouco, pequenas vitórias irão fortalecer a auto-estima para enfrentar os grandes desafios.

Uma pessoa sem capacidade para lidar com o planejamento do projeto deve procurar fazer um número menor de ações de uma só vez, incluindo um de cada vez, para alcançar seu objetivo.

Olhar para trás e analisar os erros e acertos do passado é o próximo passo. Volte no tempo e reveja a sua história, identifique os mecanismos que levaram às derrotas e vitórias. Nunca culpe os outros de responsabilidade pelo que aconteceu ou deixou de acontecer com você.

10 dicas práticas:

1. Quais são os seus sonhos? O ser humano tem que ser verdadeiro e fiel a si mesmo. Certifique-se o sonho ou plano de vida é realmente o seu.
Tenha cuidado para não abraçar os sonhos dos outros, como pais, amigos, filhos ou marido.

2. Aproveite a viagem, porque no caminho da vida é a felicidade. O objetivo é apenas um objetivo.

3. Sonhar é o combustível que nos move à ação, porém apenas as atitudes específicas criam o sucesso.

4. Não ceda ao desejo de mudar facilmente. Paciencia que é uma virtude, expectativas e desejos são sempre desafiados pela realidade.

5. Pés no chão. Estabeleça metas alcançáveis.

6. Comece com as coisas que são mais acessíveis. Cada grande realização é composto de pequenas vitórias, que é igualmente importante.

7. Não fuja das dificuldades, um problema não resolvido torna-se quase sempre pior no futuro. Fujir de seus objetivos é perder a oportunidade de aprender ao longo do caminho da vida.

8. Sempre faca um balanço e avalie os avanços, quedas e tropecos. Reavalie estratégias e decida uma mudança de tática, se necessário.

9. Reconheça seus erros todos os dias para reforçar os pontos fortes nas próximas etapas.

10. Seja uma pessoa disciplinada, sempre.

Fonte: http://www.diariofemenino.com

Dando continuidade ao primeiro artigo, esta seção resume os vários padrões que compõem a ISO 27000 e  como uma organização pode implementar um sistema de gestão da segurança informação (SGSI) .

Como outras normas ISO, a 27000 é realmente uma série de normas. As séries de números são reservados para ISO 27000-27019 de 27030 e uma 27044.

• ISO 27000:  Contêm termos e definições utilizados ao longo da série 27000. A aplicação de qualquer padrão necessita de um vocabulário claramente definida, a qual evitar diferentes interpretações de conceitos técnicos e de gestão. Este padrão é desde que é gratuito, ao contrário dos outros da série, que sao pagos.  Desde 2010, este curso pode ser comprado  em Curso ISO 27000. 

• ISO 27001: Publicado em 15 de outubro de 2005. É a regra principal da série e contém os requisitos do sistema de segurança da informação de gestão.Tem a sua origem na BS 7799-2:2002 e é o padrão para o qual eles são certificados pela Auditores SGSI das organizações. Substitui BS 7799-2, tendo estabelecido as condições de transição para as empresas certificada no segundo. No Anexo A listas em resumo formar o objetivo de controle e controles desenvolvidos pela ISO 27002:2005 (novo ISO 17799:2005 numeração de 1 de Julho de 2007), para ser selecionados pelas organizações no desenvolvimento do seu ISMS, apesar de não ser necessárias para implementar todos os controles mencionados no referido anexo, a organização será fortemente argumentar a inaplicabilidade dos controles não implementado.

• ISO 27002: A partir de 01 de julho de 2007, é o novo nome da ISO 17799:2005, manter 2005 como o ano da publicação. É um guia de boas práticas descreve os objetivos de controle e os controles recomendados para a segurança de informação. Não é certificável. Ele contém 39 objetivos de controle e 133 controles, 11 agrupados em domínios. Como referido no ponto Do mesmo modo, a norma ISO27001 contém um anexo que resume os controles ISO 27002:2005. Desde 2012, este curso pode ser comprado  em  Curso em Segurança da Informação ISO 27002  .

• ISO 27003: Consiste de um guia de implementação do SGSI e informações sobre como usar PDCA modelo e os requisitos de suas diferentes fases. Originou-se na Anexo B do BS7799-2 e da série dos documentos publicados pelo BSI para Ao longo dos anos, com recomendações e diretrizes de implementação.

• ISO 27004: Especificar métricas e técnicas de medição aplicáveis ​​para determinar A eficácia de um controle do SGSI e afins. Estas métricas são usadas principalmente para medir os componentes da fase "C" (Implementar e usar) ciclo PDCA.

• ISO 27005: Publicado em 04 de junho de 2008. Estabelece diretrizes para a gestão de riscos em segurança da informação. Suporta os conceitos gerais especificado na norma ISO / IEC 27001 e é projetado para ajudar implementação bem sucedida de segurança da informação com base em uma abordagem gestão de riscos. Conhecimento de conceitos, modelos, processos e condições descrito na norma ISO / IEC 27001 e ISO / IEC 27002 é importante para uma compreensão completa da 27005:2008 ISO / IEC, que é aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governo, organizações sem fins lucrativos) que se destinam a gerir os riscos que possam comprometer a organização de segurança da informações. Suas opiniões de papel e retire a TR ISO / IEC 13335-3:1998 e ISO / IEC TR 13335-4:2000. 

• ISO 27006: Publicado em 13 de fevereiro de 2007. Especifica os requisitos para auditoria de acreditação corpos e certificação de sistemas de gestão segurança da informação. É uma versão revista da EA-7/03 (Requisitos para credenciamento de organismos que operam certificação / registo do SGSI) que acrescenta ao ISO / IEC 17021 (Requisitos de auditoria e certificação de sistemas de gestão) Os requisitos específicos relacionados com a ISO 27001 ea ISMS. Ou seja, ajuda a interpretar os critérios para a acreditação da ISO / IEC 17021 quando aplicado a entidades de certificação ISO 27001, mas é um padrão acreditação em si.

Fonte: http://www.27000.org/

A norma ISO / IEC 27000 é um conjunto de padrões desenvolvido ou sub-desenvolvimento ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que fornecem uma estrutura para gerenciamento de segurança informação útil para qualquer organização, pública ou privada grande ou pequeno.

Desde 1901, como uma padronização primeira entidade em todo o mundo, BSI (British Standards Institution) é responsável pela publicação de normas importantes, tais como: Publicação 1979 BS 5750 - agora ISO 9001 Publicação BS 1992 7750 - agora ISO 14001 Publicação BS 1996 8800 - agora OHSAS 18001.

A BSI norma BS 7799 apareceu pela primeira vez em 1995, para fornecer a qualquer empresa britânica ou não um conjunto de melhores práticas para gerenciar a segurança de suas informações. A primeira parte da norma (BS 7799-1) é um guia de boas práticas para a não estabelecer um regime de certificação.

É a segunda parte (BS 7799-2) publicado pela primeira vez em 1998, que estabelece os requisitos para um sistema Segurança da Informação (SGSI) a ser certificada por uma entidade independente. As duas partes da norma BS 7799 foi revisto em 1999 ea primeira parte foi adotada pela ISO, sem alterações substanciais, como a ISO 17799 em 2000.

Em 2002, a BS 7799-2 foi revisto para estar de acordo com a filosofia de normas ISO sistemas de gestão.

Em 2005, com mais de 1.700 empresas certificadas em BS7799-2, este esquema publicado pela ISO como ISO 27001, enquanto revista e atualizada ISO17799. Esta regra é renomeado ISO 27002:2005 em 1 de Julho 2007, mantendo o conteúdo eo ano de publicação formal da revisão. Em março de 2006, após a publicação da ISO27001: 2005, BSI publicado a BS7799-3: 2006, com foco em sistemas de informação de gestão de risco.

No proximo Post vamos rever os vários padrões que compõem a ISO 27000 e como uma organização pode implementar um sistema de gestão da segurança informação (SGSI).