Olá pessoal! Depois de um longo tempo de inatividade, estou de volta para postar a quinta e última parte deste resumo. Desejo a todos um bom estudo e um ótimo exame de certificação. 5 – Legislação e Regulamentação 5.1 - ISO 27002:2005 ·Não é lei ·É um código de boas práticas para segurança da informação ·Há práticas que ajudam a atender leis e regulamentos 5.2 – Conformidades ·Refere-se a tratabilidade, obrigatoriedade, tolerância e dedicação ·Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da empresa. ·A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos ·As medidas de segurança para atender leis e regulamentos são obrigatórias, não é opcional. ·Procedimentos precisam ser desenvolvidos para os usuários apliquem estes regulamentos na prática 5.3 – Propriedade Intelectual ·Precisam ser considerados quando a empresa usa sofware ou material sujeito a tal ·Deve haver orientações internas para proteger estes direitos 5.4 – Proteção de Dados Pessoais ·A empresa precisa observar legislação local para isto ·Independente de obrigação regulatória, as empresas precisam se preocupar. 5.5 - Prevenção de abuso das facilidades de TI ·Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados ·Isto deve ser tratado também na política de segurança ·Estabelecer código de conduta 5.6 - Lei Sarbanes Oxley ·Aplica-se a todas empresas que negociam ações nas bolsas de valores americanas ·Há controles específicos para garantir a confiabilidade dos relatórios financeiros fornecidos 5.7 – Responsabilidade ·A alta gerência é a responsável final pelo cumprimento de leis e regulamentos ·Cada gerente deve observar leis e regulamentos na sua área ·Pode ser eleito alguém que seja responsável por observar leis em determinadas áreas
Postagens
