abnt iso.pdf

ABNT/CB-21PROJETO ABNT NBR ISO/IEC 27001:2013

SET 2013

Tecnologia da Informao - Tcnicas de Segurana - Sistemas de gesto da segurana da informao - Requisitos

Information technology Security techniques Information security management systems Requirements

Prefcio Nacional

A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).

Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.

O Escopo desta Norma Brasileira em ingls o seguinte:

This Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this Standard.

Scope

NAO TEM VALOR NORMATIVO 1/32

ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001

SET 2013

0. Introduo

0.1 Geral

Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos organizacionais, funcionrios, tamanho e estrutura da organizao. So esperados que todos estes fatores de influncia mudem ao longo do tempo.

O sistema de gesto da segurana da informao preserva a confidencialidade, integridade e disonibilidade da informao por meio da aplicao de um processo de gesto de riscos e fornece confiana para as partes interessadas de que os riscos so adequadamente gerenciados.

importante que um sistema de gesto da segurana da informao seja parte e esteja integrado com os processos da organizao e com a estrutura de administrao global e que a segurana da informao seja considerada no projeto dos processos, sistemas de informao e controles. esperado que a implementao de um sistema de gesto de segurana da informao seja planejado de acordo com as necessidades da organizao.

Esta Norma pode ser usada por partes internas e externas para avaliar a capacidade da organizao em atender os seus prprios requisitos de segurana da informao.

A ordem pela qual os requisitos so apresentados nesta Norma no reflete sua importncia ou implica na ordem pela qual eles devem ser implementados. Os itens listados so numerados apenas para fins de referncia.

A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema de gesto da segurana da informao e referencia as normas da famila do sistema de gesto da segurana da informao (incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies relacionados.

0.2 Compatibilidade com outras normas de sistemas de gesto

Esta Norma aplica a estrutura de alto nvel, os ttulos de sub-clusulas idnticos, textos idnticos, termos comuns e definies bsicas, apresentadas no anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de sistemas de gesto que adotaram o anexo SL.

Esta abordagem comum definida no anexo SL ser ltil para aquelas organizaes que escolhem operar um nico sistema de gesto que atenda os requisitos de duas ou mais normas de sistemas de gesto.



SET 2013

1 Escopo

Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gesto da segurana da informao dentro do contexto da organizao. Esta Norma tambm inclui requisitos para a avaliao e tratamento de riscos de segurana da informao voltados para as necessidades da organizao. Os requisitos definidos nesta Norma so genricos e so pretendidos para serem aplicveis a todas as organizaes independentemente do tipo, tamanho ou natureza. A excluso de quaisquer dos requisitos especificados nas sees 4 a 10 no aceitvel quando a organizao busca a conformidade com esta Norma.

2 Referncias normativas

O documento relacionado a seguir indispensvel aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes do referido documento (incluindo emendas).

ISO/IEC 27000, Information technology - Securty techniques Information security management systems - OverView and vocabulary

3 Termos e definies

Para os efeitos deste documento, aplicam-se os termos e definies apresentados na ISO/IEC 27000

4 Contexto da organizao

4.1 Entendendo a organizao e seu contexto

A organizao deve determinar as questes internas e externas que so relevantes para o seu propsito e que afetam sua capacidade para alcanar os resultados pretendidos do seu sistema de gesto da segurana da informao.

NOTA A determinao destas questes refere-se ao estabelecimento do contexto interno e externo da organizao apresentado no item 5.3 da ABNT NBR ISO 31000 - Gesto de riscos - Princpios e diretrizes.

4.2 Entendendo as necessidades e as expectativas das partes interessadas

A organizao deve determinar:

a) as partes interessadas que so relevantes para o sistema de gesto da segurana da informao;

b) os requisitos dessas partes interessadas relevantes para a segurana da informao.

NOTA Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como obrigaes contratuais.

4.3 Determinando o escopo do sistema de gesto da segurana da informao

A organizao deve determinar os limites e a aplicabilidade do sistema de gesto da segurana da informao para estabelecer o seu escopo.

Quando da determinao deste escopo, a organizao deve considerar:

e



SET 2013

a) as questes internas e externas referenciadas em 4.1;

b) os requisitos referenciados em 4.2; e

c) as interfaces e dependncias entre as atividades desempenhadas pela organizao e aquelas que so desempenhadas por outra organizao.

O escopo deve estar disponvel como informao documentada.

4.4 4.4 Sistema de gesto da segurana da informao

A organizao deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestoda segurana da informao, de acordo com os requisitos desta Norma.

5 Liderana

5.1 5.1 Liderana e comprometimento

A Alta Direo deve demostrar sua liderana e comprometimento em relao ao sistema de gesto dasegurana da informao pelos seguintes meios:

a) assegurando que a poltica de segurana da informao e os objetivos de segurana da informao esto estabelecidos e so compatveis com a direo estratgica da organizao;

b) garantindo a integrao dos requisitos do sistema de gesto da segurana da informao dentro dos processos da organizao;

c) assegurando que os recursos necessrios para o sistema de gesto da segurana da informao estejam disponveis;

d) comunicando a importncia de uma gesto eficaz da segurana da informao e da conformidade com os requisitos do sistema de gesto da segurana da informao;

e) assegurando que o sistema de gesto da segurana da informao alcana seus resultados pretendidos;

f) orientando e apoiando pessoas que contribuam para eficcia do sistema de gesto da segurana da informao;

g) promovedo a melhoria contnua; e

h) apoiando outros papis relevantes da gesto para demostrar como sua liderana se aplica s reas sob sua responsabilidade.

5.2 Poltica

A Alta Direo deve estabelecer uma politca de segurana da informao que:

a) seja apropriada ao propsito da organizao;

b) inclua os objetivos de segurana da informao (ver 6.2) ou fornea a estrutura para estabelecer os objetivos de segurana da informao;



SET 2013

c) inclua um comprometimento para satisfazer os requisitos aplicveis, relacionados com segurana da informao; e

d) inclua um comprometimento para a melhoria contnua do sistema de gesto da segurana da informao.

A poltica de segurana da informao deve:

a) estar disponvel como informao documentada;

b) ser comunicada dentro da organizao; e

c) estar disponvel para as partes interessadas conforme apropriado.

5.3 Autoridades, responsabilidades e papis organizacionais

A Alta Direo deve assegurar que as responsabilidades e autoridades dos papis relevantes para a segurana da informao sejam atribudos e comunicados.

A Alta Direo deve atribuir a responsabilidade e autoridade para:

a) assegurar que o sistema de gesto da segurana da informao est em conformidade com os requisitos desta Norma;

b) relatar sobre o desempenho do sistema de gesto da segurana da informao para a Alta Direo.

NOTA A Alta Direo pode tambm atribuir responsabilidades e autoridades para relatar o desempenho do sistema de gesto da segurana da informao dentro da organizao.

6 Planejamento

6.1 Aes para contemplar riscos e oportunidades

6.1.1 Geral

Quando do planejamento do sistema de gesto da segurana da informao, a organizao deve considerar as questes referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e oportunidades que precisam ser consideradas para:

a) assegurar que o sistema de gesto da segurana da informao pode alcanar seus resultados pretendidos;

b) prevenir ou reduzir os efeitos indesejados; e

c) alcanar a melhoria contnua.

A organizao deve planejar:

a) as aes para considerar estes riscos e oportunidades; e

b) como:



SET 2013

1) integrar e implementar estas aes dentro dos processos do seu sistema de gesto da segurana da informao; e

2) avaliar a eficcia destas aes.

6.1.2 Avaliao de riscos de segurana da informao

A organizao deve definir e aplicar um processo de avaliao de riscos de segurana da informao que:

a) estabelea e mantenha critrios de riscos de segurana da informao que incluam:

1) os critrios de aceitao do risco; e

2) os critrios para o desempenho das avaliaes dos riscos de segurana da informao;

b) )assegure que as contnuas avaliaes de riscos de segurana da informao produzam resultados comparveis, vlidos e consistentes;

c) identifique os riscos de segurana da informao:

1) aplicando o processo de avaliao do risco de segurana da informao para identificar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informao dentro do escopo do sistema de gesto da segurana da informao; e

2) identifique os responsveis dos riscos.

d) analise os riscos de segurana da informao:

1) avalie as consequncias potenciais que podem resultar se os riscos identificados em6.1.2 c) 1) forem materializados

2) avalie a probabilidade realstica da ocorrncia dos riscos identificados em 6.1.2 c) 1); e

3) determine os nveis de risco;

e) avalie os riscos de segurana da informao:

4) compare os resultados da anlise dos riscos com os critrios de riscos estabelecidos em 6.1.2a); e

5) priorize os riscos analisados para o tratamento do risco.

6.1.3 Tratamento de riscos de segurana da informao.

A organizao deve definir e aplicar um processo de tratamento dos riscos de segurana da informao para:

a) selecionar, de forma apropriada, as opes de tratamento dos riscos de segurana da informao, levando em considerao os resultados da avaliao do risco;

b) determinar todos os controles que so necessrios para implementar as opes escolhidas do tratamento do risco da segurana da informao;



SET 2013

NOTA: As organizaes podem projetar os controles,conforme requerido, ou identific-los de qualquer outra fonte.

c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que nenhum controle necessrio tenha sido omitido;

NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos objetivos de controle. Os usurios desta Norma so instrudos a utilizar o Anexo A para garantir que nenhum controle necessrio foi omitido;

NOTA 2 Os objetivos de controle esto implicitamente includos nos controles escolhidos. Os objetivos de controle e os controles listados no Anexo A no so exaustivos e controles e objetivos de controles adicionais podem ser necessrios;

d) elaborar uma declarao de aplicabilidade que contenha os controles necessrios (ver 6.1.3b ) e c)), e a justificativa para incluses, sejam eles implementados ou no, bem como a justificativa para a excluso dos controles do anexo a;

e) preparar um plano para tratamento dos riscos de segurana da informao;

f) obter a aprovao dos responsveis pelos riscos do plano de tratamento dos riscos de segurana da informao, e a aceitao dos riscos residuais de segurana da informao;

A organizao deve manter a informao documentada relativa ao processo de tratamento dos riscos de segurana da informao;

NOTA O processo de tratamento e a avaliao dos riscos de segurana da informao desta norma est alinhada com os princpios e diretrizes gerais definidas na ABNT NBR ISO 31000 - Gesto de riscos - Princpios e diretrizes.

6.2 Objetivo de segurana da informao e planos para alcan-los

A organizao deve estabelecer os objetivos de segurana da informao para as funes e nveis relevantes.

Os objetivos de segurana da informao devem:

a) ser consistentes com a poltica de segurana da informao;

b) ser mensurvel (quando aplicvel);

c) levar em conta os requisitos de segurana da informao aplicveis, e os resultados da avaliao e tratamento dos riscos;

d) ser comunicados; e

e) ser atualizado, conforme apropriado.

A organizao deve reter informao documentada dos objetivos de segurana da informao.

Quando do planejamento para alcanar os seus objetivos de segurana da informao, a organizao deve determinar:

a) o que ser feito;



SET 2013

b) quais recursos sero necessrios;

c) quem ser responsvel;

d) quando estar concludo;

e) como os resultados sero avaliados

7 Apoio

7.1 Recursos

A organizao deve determinar e prover recursos necessrios para o estabelecimento, implementao, manuteno e melhoria contnua do sistema de gesto da segurana da informao.

7.2 Competncia

A organizao deve:

a) determinar a competncia necessria das pessoas que realizam trabalho sob o seu controle e que afeta o desempenho da segurana da informao;

b) assegurar que essas pessoas so competentes com base na educao, treinamento ou experincia apropriados;

c) onde aplicado, tomar aes para adquirir a competncia necessria e avaliar a eficcia das aes tomadas; e

d) reter informao documentada apropriada como evidncia da competncia.

NOTA Aes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os funcionrios atuais, ou pessoas competentes, prprias ou contratadas.

7.3 Conscientizao

Pessoas que realizam trabalho sob o controle da organizao devem estar cientes da:

a) poltica de segurana da informao;

b) suas contribuies para a eficcia do sistema de gesto da segurana da informao, incluindo os benefcios da melhoria do desempenho da segurana da informao; e

c) implicaes da no conformidade com os requisitos do sistema de gesto da segurana da informao.

7.4 Comunicao

A organizao deve determinar as comunicaes internas e externas relevantes para o sistema de gesto da segurana da informao incluindo:

a) o que comunicar;



SET 2013

b) quando comunicar;

c) quem comunicar;

d) quem ser comunicado; e

e) o processo pelo qual a comunicao ser realizada.

7.5 Informao documentada

7.5.1 Geral

O sistema de gesto da segurana da informao devem incluir:

a) informao documentada requerida por esta norma;

b) informao documentada determinada pela organizao como sendo necessria para a eficcia do sistema de gesto da segurana da informao.

NOTA A abrangncia da informao documentada para o sistema de gesto da segurana da informao pode variar de uma organizao para outra devido a:

a) tamanho da organizao e seu tipo de atividades, processos, produtos e servios;

b) a complexidade dos processos e suas interaes;

c) a competncia das pessoas.

7.5.2 Criando e atualizando

Quando da criao e atualizao da informao documentada, a organizao deve assegurar de forma apropriada:

a) identificao e descrio (por exemplo, ttulo, data, autor ou um nmero de referncia);

b) formato (por exemplo, linguagem, verso do software, grficos) e o seu meio (por exemplo, papel, eletrnico); e

c) anlise crtica e aprovao para pertinncia e adequao.

7.5.3 Controle da informao documentada

A informao documentada requerida pelo sistema de gesto da segurana da informao e por esta norma, deve ser controlada para assegurar:

a) que est disponvel e adequada para o uso, onde e quando necessrio;

b) que est adequadamente protegida (por exemplo, contra perda de confidencialidade, uso imprprio ou perda de integridade).

Para o controle da informao documentada, a organizao deve considerar as seguintes atividades, conforme aplicada:



SET 2013

a) distribuio, acesso, recuperao e uso;

b) armazenagem e preservao, incluindo a preservao da legibilidade;

c) controle de mudanas (por exemplo, controle de verso);

d) f)Reteno e disposio.

A informao documentada de origem externa, determinada pela organizao como necessria para o planejamento e operao do sistema de gesto da segurana da informao, deve ser identificada como apropriada, e controlada.

NOTA O acesso implica em uma deciso quanto permisso para apenas ler a informao documentada, ou a permisso e autoridade para ver e alterar a informao documentada.

8 Operao

8.1 Planejamento operacional e controle

A organizao deve planejar, implementar e controlar os processos necessrios para atender os requisitos de segurana da informao, e para implementar as aes determinadas em 6.1. A organizao deve tambm implementar planos para alcanar os objetivos de segurana da informao determinados em 6.2.

A organizao deve manter a informao documentada na abrangncia necessria para gerar confiana de que os processoas esto sendo realizados conforme planejado.

A organizao deve controlar as mudanas planejadas e analisar criticamente as consequncias de mudanas no previstas, tomando aes para mitigar quaisquer efeitos adversos, conforme necessrio.

A organizao deve assegurar que os processos terceirizados esto determinados e so controlados.

8.2 Avaliao de riscos de segurana da informao

A organizao deve realizar avaliaes de riscos de segurana da informao a intervalos planejados, quando mudanas significativas so propostas ou ocorrem, levando em conta os critrios estabelecidos em 6.1.2 a.

A organizao deve reter informao documentada dos resultados das avaliaes de risco de segurana da informao.

8.3 Tratamento de riscos de segurana da informao

A organizao deve implementar o plano de tratamento de riscos de segurana da informao.

A organizao deve reter informao documentada dos resultados do tratamento dos riscos de segurana da informao.



SET 2013

9 Avaliao do desempenho

9.1 Monitoramento, medio, anlise e avaliao

A organizao deve avaliar o desempenho da segurana da informao e a eficcia do sistema de gesto da segurana da informao.

A organizao deve determinar:

a) o que precisa ser monitorado e medido, incluindo controles e processos de segurana da informao;

b) os mtodos para monitoramento, medio, anlise e avaliao, conforme aplicvel, para assegurar resultados vlidos;

NOTA Os mtodos selecionados devem produzir resultados comparveis e reproduzveis para serem vlidos.

c) Quando o monitoramento e a medio devem ser realizados;

d) o que deve ser monitorado e medido;

e) quando os resultados do monitoramento e da medio devem ser analisados e avaliados;

f) quem deve analisar e avaliar estes resultados.

A organizao deve reter informao documentada apropriada como evidncia do monitoramento e dos resultados da medio.

9.2 Auditoria interna

A organizao deve conduzir auditorias internas a intervalos planejados para prover informaes sobre o quanto o sistema de gesto da segurana da informao:

a) est em conformidade com:

1) os prprios requisitos da organizao para o seu sistema de gesto da segurana da

2) os requisitos desta Norma;

b) est efetivamente implementado e mantido.

Organizao deve:

a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequncia, mtodos, responsabilidades, requisitos de planejamento e relatrios. Os programas de auditoria devem levar em conta a importncia dos processos pertinentes e os resultados de auditorias anteriores;

b) definir os critrios e o escopo da auditoria, para cada auditoria;

informao;



SET 2013

c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do processo de auditoria;

d) assegurar que os resultados das auditorias so relatados para a direo pertinente.

e) reter a informao documentada como evidncia dos programas da auditoria e dos resultados da auditoria.

9.3 Anlise crtica pela direo

A Alta Direo deve analisar criticamente o sistema de gesto da segurana da informao da organizao a intervalos planejados para assegurar a sua contnua adequao, pertinncia e eficcia.

A anlise crtica pela Direo deve incluir consideraes com relao a:

a) situao das aes de anlises crticas anteriores, realizadas pela direo;

b) mudanas nas questes internas e externas, que sejam relevantes para o sistema de gesto da segurana da informao;

c) realimentao sobre o desempenho da segurana da informao, incluindo tendncias nas:

1) no conformidades e aes corretivas;

2) monitoramento e resultados da medio;

3) resultados de auditorias; e

4) cumprimento dos objetivos de segurana da informao.

d) realimentao das partes interessadas;

e) resultados da avaliao dos riscos e situao do plano de tratamento dos riscos; e

f) oportunidades para melhoria contnua.

Os resultados da anlise crtica pela Direo devem incluir decises relativas a oportunidades para melhoria contnua e quaisquer necessidades para mudanas do sistema de gesto da segurana da informao.

A organizao deve reter informao documentada como evidncia dos resultados das anlises crticas pela direo.

10 Melhoria

10.1 No conformidade e ao corretiva

Quando uma no conformidade ocorre, a organizao deve:

a) reagir no conformidade, e conforme apropriado:

1) tomar aes para controlar e corrigi-la; e



SET 2013

2) tratar com as consequncias;

b) avaliar a necessidade de aes para eliminar as causas de no conformidade, para evitar sua repetio ou ocorrncia, por um dos seguintes meios:

1) analisando criticamente a no conformidade;

2) determinando as causas da no conformidade; e

3) determinando se no conformidades similares existem, ou podem potencialmente ocorrer.

c) implementar quaisquer aes necessrias;

d) analisar criticamente a eficcia de quaisquer aes corretivas tomadas; e

e) realizar mudanas no sistema de gesto da segurana da informao, quando necessrio.

As aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.

A organizao deve reter informao documentada como evidncia da:

a) natureza das no conformidades e quaisquer aes subsequentes tomadas; e

b) resultados de qualquer ao corretiva.

10.2 Melhoria contnua

A organizao deve continuamente melhorar a pertinncia, adequao e eficcia do sistema de gesto da segurana da informao.



SET 2013

Anexo A

(normativo)

Referncia aos controles e objetivos de controles

Os controles e objetivos de controles listados na Tabela A.1 so derivados diretamente e esto alinhados com aqueles listados na ABNT NBR ISO/IEC 27002:2013 - sees 5 a 18, e devem ser usados em alinhamento com o item 6.1.3

Tabela A.1 - Objetivos de Controle e Controles

A.5 Polticas de segurana da informao

A.5.1 Orientao da direo para segurana da informaoObjetivo: Prover orientao da direo e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes

A.5.1.1 Polticas para segurana da informao

ControleUm conjunto de polticas de segurana da informao deve ser definido, aprovado pela direo, publicado e comunicado para os funcionrios e partes externas relevantes.

A.5.1.2 Anlise crtica das polticas para segurana da informao

ControleAs polticas de segurana da informao devem ser analisadas criticamente a intervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.

A.6 Organizao da segurana da informao

A.6.1 Organizao internaObjetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementao e operao da segurana da informao dentro da organizao

A.6.1.1 Responsabilidades e papis pela segurana da informao

ControleTodas as responsabilidades pela segurana da informao devem ser definidas e atribudas.

A.6.1.2 Segregao de funes ControleFunes conflitantes e reas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificao no autorizada ou no intencional, ou uso indevido dos ativos da organizao.



SET 2013

Tabela A.1 (continuao)

A.6.1.3 Contato com autoridades ControleContatos apropriados com autoridades relevantes devem ser mantidos.

A.6.1.4 Contato com grupos especiais

ControleContatos apropriados com grupos especiais, associaes profissionais ou outros fruns especializados em segurana da informao devem ser mantidos.

A.6.1.5 Segurana da informao no gerenciamento de projetos

ControleSegurana da informao deve ser considerada no gerenciamento de projetos, independentemente do tipo do projeto.

A.6.2 Dispositivos mveis e trabalho remotoObjetivo: Garantir a segurana das informaes no trabalho remoto e no uso de dispositivos mveis.

A.6.2.1 Poltica para o uso de dispositivo mvel

ControleUma poltica e medidas que apoiam a segurana da informao devem ser adotadas para gerenciar os riscos decorrentes do uso de dispositivos mveis.

A.6.2.2 Trabalho remoto ControleUma poltica e medidas que apoiam a segurana da informao devem ser implementadas para proteger as informaes acessadas, processadas ou armazenadas em locais de trabalho remoto.

A.7 Segurana em recursos humanos

A.7.1 Antes da contrataoObjetivo: Assegurar que funcionrios e partes externas entendem as suas responsabilidades e esto em conformidade com os papis para os quais eles foram selecionados.

A.7.1.1 Seleo ControleVerificaes do histrico devem ser realizadas para todos os candidatos a emprego, de acordo com a tica, regulamentaes e leis relevantes, e deve ser proporcional aos requisitos do negcio, aos riscos percebidos e classificao das informaes a serem acessadas.

A.7.1.2 Termos e condies de contratao

ControleAs obrigaes contratuais com funcionrios e partes externas devem declarar as suas responsabilidade e a da organizao para a segurana da informao



SET 2013


A.7.2 Durante a contrataoObjetivo: Assegurar que os funcionrios e partes externas esto conscientes e cumprem as suas responsabilidades pela segurana da informao.

A.7.2.1 Responsabilidades da direo

ControleA Direo deve requerer aos funcionrios e partes externas que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao.

A.7.2.2 Conscientizao, educao e treinamento em segurana da informao

ControleTodos os funcionrios da organizao e, onde pertinente, partes externas devem receber treinamento, educao e conscientizao apropriados, e as atualizaes regulares das polticas e procedimentos organizacionais relevantes para as suas funes.

A.7.2.3 Processo disciplinar ControleDeve existir um processo disciplinar formal, implantado e comunicado, para tomar aes contra funcionrios que tenham cometido uma violao de segurana da informao.

A.7.3 Encerramento e mudana da contrataoObjetivo: Proteger os interesses da organizao como parte do processo de mudana ou encerramento da contratao.

A.7.3.1 Responsabilidades pelo encerramento ou mudana da contratao

ControleAs responsabilidades e obrigaes pela segurana da informao que permaneam vlidas aps um encerramento ou mudana da contratao devem ser definidas, comunicadas aos funcionrios ou partes externas e cumpridas.

A.8 Gesto de ativos

A.8.1. Responsabilidade pelos ativosObjetivo: Identificar os ativos da organizao e definir as devidas responsabilidades pela proteo dos ativos.

A.8.1.1 Inventrio dos ativos ControleOs ativos associados com informao e com os recursos e processamento da informao devem ser identificados e um inventrio destes ativos deve ser estruturado e mantido.

A.8.1.2 Proprietrio dos ativos ControleOs ativos mantidos no inventrio devem ter um proprietrio.



SET 2013


A.8.1.3 Uso aceitvel dos ativos ControleRegras para o uso aceitvel das informaes, dos ativos associados com informao e os recursos de processamento da informao, devem ser identificados, documentados e implementados.

A.8.1.4 Devoluo de ativos ControleTodos os funcionrios e partes externas devem devolver todos os ativos da organizao que estejam em sua posse aps o encerramento de suas atividades, do contrato ou acordo.

A.8.2 Classificao da informaoObjetivo: Assegurar que a informao receba um nvel adequado de proteo, de acordo com a sua importncia para a organizao.

A.8.2.1 Classificao da informao

ControleA informao deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificao ou divulgao no autorizada.

A.8.2.2 Rtulos e tratamento da informao

ControleUm conjunto apropriado de procedimentos para rotulare tratar a informao deve ser desenvolvido e implementado de acordo com o esquema de classificao da informao adotado pela organizao.

A.8.2.3 Tratamento dos ativos ControleProcedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema de classificao da informao adotada pela organizao.

A.8.3 Tratamento de mdiasObjetivo: Prevenir a divulgao no autorizada, modificao, remoo ou destruio da informao armazenada nas mdias.

A.8.3.1 Gerenciamento de mdias removveis

ControleProcedimentos devem ser implementados para o gerenciamento de mdias removveis, de acordo com o esquema de classificao adotado pela organizao.

A.8.3.2 Descarte de mdias ControleAs mdias devem ser descartadas de forma segura e protegida quando no forem mais necessrias, por meio de prodecimentos formais.



SET 2013


A.8.3.3 Transferncia fsica de mdias

ControleMdias contendo informaes devem ser protegidas contra acesso no autorizado, uso imprprio ou corrompida, durante o transporte.

A.9 Controle de acesso

A.9.1 Requisitos do negcio para controle de acessoObjetivo: Limitar o acesso informao e aos recursos de processamento da informao.

A.9.1.1 Poltica de controle de acesso

ControleUma poltica de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseado nos requisitos de segurana da informao e dos negcios.

A.9.1.2 Acesso s redes e aos servios de rede

ControleOs usurios devem somente receber acesso s redes e aos servios de rede que tenham sido especificamente autorizados a usar.

A.9.2 Gerenciamento de acesso do usurioObjetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas e servios.

A.9.2.1 Registro e cancelamento de usurio

ControleUm processo formal de registro e cancelamento de usurio deve ser implementado para permitir atribuio de direitos de acesso.

A.9.2.2 Provisionamento para acesso de usurio

ControleUm processo formal de provisionamento de acesso do usurio deve ser implementado para conceder ou revogar os direitos de acesso do usurio para todos os tipos de usurios em todos os tipos de sistemas e servios.

A.9.2.3 Gerenciamento de direitos de acesso privilgiados

ControleA concesso e uso de direitos e acesso privilgiado devem ser restritos e controlados.

A.9.2.4 Gerenciamento da informao de autenticao secreta de usurios

ControleA concesso de informao de autenticao secreta deve ser controlada por meio de um processo de gerenciamento formal.

A.9.2.5 Anlise crtica dos direitos de acesso de usurio

ControleOs proprietrios de ativos devem analisar criticamente os direitos de acesso dos usurios, a intervalos regulares.



SET 2013


A. 9.2.6 Retirada ou ajuste de direitos de acesso

ControleOs direitos de acesso de todos os funcionrios e partes externas s informaes e aos recursos de processamento da informao devem ser retirados aps o encerramento de suas atividades, contratos ou acordos, ou ajustado aps a mudana destas atividades.

A.9.3 Responsabilidades dos usuriosObjetivo: Tornar os usurios responsveis pela proteo das suas informaes de autenticao.

A.9.3.1 Uso da informao de autenticao secreta

ControleOs usurios devem ser orientados a seguir as prticas da organizao quanto ao uso da informao de autenticao secreta.

A.9.4 Controle de acesso ao sistema e aplicaoObjetivo: Prevenir o acesso no autorizado aos sistemas e aplicaes.

A.9.4.1 Restrio de acesso informao

Controle0 acesso informao e as funes dos sistemas de aplicaes devem ser restrito de acordo com a poltica de controle de acesso.

A.9.4.2 Procedimentos seguros de entrada no sistema (log- on)

ControleOnde aplicavl pela poltica de controle de acesso, o acesso aos sistemas e aplicaes devem ser controlados por um procedimento seguro de entrada no sistema (log-on).

A.9.4.3 Sistema de gerenciamento de senha

ControleSistemas para gerenciamento de senhas devem ser interativos e devem assegurar senhas de qualidade.

A.9.4.4 Uso de programas utilitrios privilegiados

Controle0 uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e aplicaes deve ser restrito e estritamente controlado.

A.9.4.5 Controle de acesso ao cdigo-fonte de programas

Controle0 acesso ao cdigo-fonte de programa deve ser restrito.

A.10 CriptografiaA.10.1 Controles criptogrficosObjetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informao.



SET 2013


A.10.1.1 Poltica para o uso de controles criptogrficos

ControleDeve ser desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a proteo da informao.

A.10.1.2 Gerenciamento de chaves ControleUma poltica sobre o uso, proteo e ciclo de vida das chaves criptogrficas, deve ser desenvolvida e implementada ao longo de todo o seu ciclo de vida.

A.11 Segurana fsica e do ambiente A.11.1 reas segurasObjetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de processamento das informaes e as informaes da organizao.

A.11.1.1 Permetro de segurana fsica

ControlePermetros de segurana devem ser definidos e usados para proteger tanto as reas que contenham as instalaes de processamento da informao como as informaes criticas ou sensveis.

A.11.1.2 Controles de entrada fsica ControleAs reas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido.

A.11.1.3 Segurana em escritrios, salas e instalaes

ControleDeve ser projetada e aplicada segurana fsica para escritrios, salas e instalaes.

A.11.1.4 Proteo contra ameaas externas e do meio- ambiente

ControleDevem ser projetadas e aplicadas proteo fsica contra desastres naturais, ataques maliciosos ou acidentes.

A.11.1.5 Trabalhando em reas seguras

ControleDeve ser projetada e aplicada procedimentos para o trabalho em reas seguras.

A.11.1.6 reas de entrega e de carregamento

ControlePontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas possam entrar nas instalaes, devem ser controlados e, se possvel, isolados das instalaes de processamento da informao, para evitar o acesso no autorizado.



SET 2013


A.11.2 EquipamentosObjetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo das operaes da organizao.

A.11.2.1 Escolha de local e proteo do equipamento

ControleOs equipamentos devem ser colocados no local ou protegidos para reduzir os riscos de ameaas e perigos do meio-ambiente, bem como as oportunidades de acesso no autorizado.

A. 11.2.2 Utilidades ControleOs equipamentos devem ser protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das utilidades.

A. 11.2.3 Segurana do cabeamento

Controle0 cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos servios de informaes deve ser protegido contra interceptao, interferncia ou danos.

A. 11.2.4 Manuteno dos equipamentos

ControleOs equipamentos devem ter uma manuteno correta para assegurar sua disponibilidade e integridade permanente.

A. 11.2.5 Remoo de ativos ControleEquipamentos, informaes ou software no devem ser retirados do local sem autorizao prvia.

A. 11.2.6 Segurana de equipamentos e ativos fora das dependncias da organizao

ControleDevem ser tomadas medidas de segurana para ativos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao.

A. 11.2.7 Reutilizao e alienao seguras de equipamentos

ControleTodos os equipamentos que contenham mdias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobre- gravados com segurana.



SET 2013


A.11.2.8 Equipamento de usurio sem monitorao

ControleOs usurios devem assegurar que os equipamentos no monitorados tenham proteo adequada.

A.11.2.9 Poltica de mesa limpa e tela limpa

ControleDeve ser adotada uma poltica de mesa limpa de papis e mdias de armazenamento removveis e uma poltica de tela limpa para os recursos de processamento da informao.

A.12 Segurana nas operaesA.12.1 Responsabilidades e procedimentos operacionaisObjetivo: Garantir a operao segura e correta dos recursos de processamento da informao.

A.12.1.1 Documentao dos procedimentos de operao

ControleOs procedimentos de operao devem ser documentados e disponibilizados para todos os usurios que necessitam deles.

A.12.1.2 Gesto de mudanas ControleMudanas na organizao, nos processos do negcio, nos recursos de processamento da informao e nos sistemas que afetam a segurana da informao, devem ser controladas.

A.12.1.3 Gesto de capacidade ControleA utilizao dos recursos deve ser monitorada, ajustada e as projees devem ser feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema.

A.12.1.4 Separao dos ambientes de desenvolvimento, teste e de produo

ControleAmbientes de desenvolvimento, teste e produo devem ser separados para reduzir os riscos de acessos ou modificaes no autorizadas no ambiente de produo.

A.12.2 Proteo contra malwareObjetivo: Assegurar que as informaes e os recursos de processamento da informao esto protegidos contra malware.

A.12.2.1 Controles contra malware ControleDevem ser implementados controles de deteco, preveno e recuperao para proteger contra malware, combinado com um adequado programa de conscientizao do usurio.



SET 2013


A.12.3 Cpias de seguranaObjetivo: Proteger contra a perda de dados.

A.12.3.1 Cpias de segurana das informaes

ControleCpias de segurana das informaes, softwares e das imagens do sistema, devem ser efetuadas e testadas regularmente conforme a poltica de gerao de cpias de segurana definida.

A.12.4 Registros e monitoramentoObjetivo: Registrar eventos e gerar evidncias.

A.12.4.1 Registros de eventos ControleRegistros de eventos (log) de eventos das atividades do usurio, excees, falhas e eventos de segurana da informao devem ser produzidos, mantidos e analisados criticamente, a intervalos regulares

A.12.4.2 Proteo das informaes dos registros de eventos (logs)

ControleAs informaes dos registros de eventos (log) e seus recursos devem ser protegidas contra acesso no autorizado e adulterao.

A.12.4.3 Registros de eventos (log) de Administrador e Operador.

ControleAs atividades dos administradores e operadores do sistema devem ser registradas e os registros (logs) devem serprotegidos e analisados criticamente, a intervalos regulares.

A.12.4.4 Sincronizao dos relgios ControleOs relgios de todos os sistemas de processamento de informaes relevantes, dentro da organizao ou do domnio de segurana, devem ser sincronizados com uma fonte de tempo precisa.

A.12.5 Controle de software operacionalObjetivo: Assegurar a integridade dos sistemas operacionais.

A.12.5.1 Instalao de software nos sistemas operacionais

ControleProcedimentos para controlar a instalao de software em sistemas operacionais devem ser implementados.

A.12.6 Gesto de vulnerabilidades tcnicasObjetivo: Prevenir a explorao de vulnerabilidades tcnicas.



SET 2013


A.12.6.1 Gesto de vulnerabilidades tcnicas

ControleInformaes sobre vulnerabilidades tcnicas dos sistemas de informao em uso, devem ser obtidas em tempo hbil, com a exposio da organizao a estas vulnerabilidades avaliadas e tomadas as medidas apropriadas para lidar com os riscos associados.

A.12.6.2 Restries quanto instalao de software

ControleRegras definindo critrios para a instalao de software pelos usurios devem ser estabelecidas e implementadas.

A.12.7 Consideraes quanto auditoria de sistemas de informaoObjetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.

A.12.7.1 Controles de auditoria de sistemas de informao

ControleAs atividades e requisitos de auditoria envolvendo a verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar interrupo nos processos do negcio.

A.13 Segurana nas comunicaesA.13.1 Gerenciamento da segurana em redesObjetivo: Assegurar a proteo das informaes em redes e dos recursos de processamento da informao que os apoiam.

A.13.1.1 Controles de redes ControleAs redes devem ser gerenciadas e controladas para proteger as informaes nos sistemas e aplicaes.

A.13.1.2 Segurana dos servios de rede

ControleMecanismos de segurana, nveis de servio e requisitos de gerenciamento de todos os servios de rede, devem ser identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede providos internamente como para terceirizados.

A.13.1.3 Segregao de redes ControleGrupos de servios de informao, usurios e sistemas de informao devem ser segregados em redes.

A.13.2 Transferncia de informaoObjetivo: Manter a segurana da informao transferida dentro da organizao e com quaisquer entidades externas.



SET 2013


A. 13.2.1 Polticas e procedimentos para transferncia de informaes

ControlePolticas, procedimentos e controles de transferncias formais, devem ser estabelecidos para proteger a transferncia de informaes por meio do uso de todos os tipos de recursos de comunicao.

A. 13.2.2 Acordos para transferncia de informaes

ControleDevem ser estabelecidos acordos para transferncia segura de informaes do negcio entre a organizao e partes externas.

A.13.2.3 Mensagens eletrnicas ControleAs informaes que trafegam em mensagens eletrnicas devem ser adequadamente protegidas.

A.13.2.4 Acordos de confidencialidade e no divulgao

ControleOs requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades da organizao para a proteo da informao devem ser identificados, analisados criticamente e documentados.

A.14 Aquisio, desenvolvimento e manuteno de sistemas A.14.1 Requisitos de segurana de sistemas de informaoObjetivo: Garantir que a segurana da informao parte integrante de todo o ciclo de vida dos sistemas de informao. Isto tambm inclui os requisitos para sistemas de informao que fornecem servios sobre as redes pblicas.

A. 14.1.1 Anlise e especificao dos requisitos de segurana da informao

ControleOs requisitos relacionados com segurana da informao devem ser includos nos requisitos para novos sistemas de informao ou melhorias dos sistemas de informao existentes.

A. 14.1.2 Servios de aplicao seguros sobre redes pblicas

ControleAs informaes envolvidas nos servios de aplicao que transitam sobre redes pblicas devem ser protegidas de atividades fraudulentas, disputas contratuais e divulgao e modificaes no autorizadas.



SET 2013


A.14.1.3 Protegendo as transaes nos aplicativos de servios

ControleInformaes envolvidas em transaes nos aplicativos de servios devem ser protegidas para prevenir transmisses incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada, duplicao ou reapresentao de mensagem no autorizada.

A.14.2 Segurana em processos de desenvolvimento e de suporteObjetivo: Garantir que a segurana da informao est projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informao.

A.14.2.1 Poltica de desenvolvimento seguro

ControleRegras para o desenvolvimento de sistemas e software devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organizao.

A.14.2.2 Procedimentos para controle de mudanas de sistemas

ControleMudanas em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas utilizando procedimentos formais de controle de mudanas.

A.14.2.3 Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais

ControleAplicaes crticas de negcios devem ser analisadas criticamente e testadas quando plataformas operacionais so mudadas, para garantir que no haver nenhum impacto adverso na operao da organizao ou na segurana.

A.14.2.4 Restries sobre mudanas em pacotes de Software

ControleModificaes em pacotes de software devem ser desencorajadas e devem estar limitadas s mudanas necessrias, e todas as mudanas devem ser estritamente controladas.

A.14.2.5 Princpios para projetar sistemas seguros

ControlePrincpios para projetar sistemas seguros devem ser estabelecidos, documentados, mantidos e aplicados para qualquer implementao de sistemas de informao.



SET 2013


A.14.2.6 Ambiente seguro para desenvolvimento

ControleAs organizaes devem estabelecer e proteger adequadamente os ambientes seguros de desenvolvimento, para os esforos de integrao e desenvolvimento de sistemas, que cubram todo o ciclo de vida de desenvolvimento de sistema

A. 14.2.7 Desenvolvimentoterceirizado

ControleA organizao deve supervisionar e monitorar as atividades de desenvolvimento de sistemas terceirizado.

A.14.2.8 Teste de segurana do sistema

ControleTestes de funcionalidade de segurana devem ser realizados durante o desenvolvimento de sistemas.

A.14.2.9 Teste de aceitao de sistemas

ControleProgramas de testes de aceitao e critrios relacionados devem ser estabelecidos para novos sistemas de informao, atualizaes e novas verses.

A.14.3 Dados para testeObjetivo: Assegurar a proteo dos dados usados para teste.

A.14.3.1 Proteo dos dados para teste

ControleOs dados de teste devem ser selecionados com cuidado, protegidos e controlados.

A.15 Relacionamento na cadeia de suprimentoA.15.1 Segurana da informao na cadeia de suprimento.Objetivo: Garantir a proteo dos ativos da organizao que so acessveis pelos fornecedores

A. 15.1.1 Poltica de segurana da informao no relacionamento com os fornecedores

ControleRequisitos de segurana da informao para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organizao devem ser acordados com o fornecedor e documentados.

A. 15.1.2 Identificando segurana da informao nos acordos com fornecedores

ControleTodos os requisitos de segurana da informao relevantes devem ser estabelecidos e acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar, ou prover componentes de infraestrutura de TI para as informaes da organizao.



SET 2013


A.15.1.3 Cadeia de suprimento na tecnologia da comunicao e informao

ControleAcordos com fornecedores devem incluir requisitos para comtemplar os riscos de segurana da informao associados com a cadeia de suprimento de produtos e servios de tecnologia das comunicaes e informao.

A.15.2 Gerenciamento da entrega do servio do fornecedorObjetivo: Manter um nvel acordado de segurana da informao e de entrega de servios em consonncia com os acordos com fornecedores.

A.15.2.1 Monitoramento e anlise crtica de servios com fornecedores

ControleA organizao deve monitorar, analisar criticamente e auditar a intervalos regulares, a entrega dos servios executados pelos fornecedores.

A.15.2.2 Gerenciamento de mudanas para servios com fornecedores

ControleMudanas no provisionamento dos servios pelos fornecedores, incluindo manuteno e melhoria das polticas de segurana da informao, dos procedimentos e controles existentes, devem ser gerenciadas, levando-se em conta a criticidade das informaes do negcio, dos sistemas e processos envolvidos, e a reavaliao de riscos.

A.16 Gesto de incidentes de segurana da informaoA.16.1 Gesto de incidentes de segurana da informao e melhoriasObjetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurana da informao, incluindo a comunicao sobre fragilidades e eventos de segurana da informao.

A.16.1.1 Responsabilidades e procedimentos

ControleResponsabilidades e procedimentos de gesto devem ser estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.

A.16.1.2 Notificao de eventos de segurana da informao

ControleOs eventos de segurana da informao devem ser relatados atravs dos canais apropriados da direo, o mais rapidamente possvel.

A.16.1.3 Notificando fragilidades de segurana da informao

ControleOs funcionrios e partes externas que usam os sistemas e servios de informao da organizao, devem ser instrudos a registrar e notificar quaisquer fragilidades de segurana da informao, suspeita ou observada, nos sistemas ou servios.



SET 2013


A. 16.1.4 Avaliao e deciso dos eventos de segurana da informao

ControleOs eventos de segurana da informao devem ser avaliados e deve ser decidido se eles so classificados como incidentes de segurana da informao.

A. 16.1.5 Resposta aos incidentes de segurana da informao

ControleIncidentes de segurana da informao devem ser reportados de acordo com procedimentos documentados.

A.16.1.6 Aprendendo com os incidentes de segurana da informao

ControleOs conhecimentos obtidos da anlise e resoluo dos incidentes de segurana da informao devem ser usados para reduzir a probabilidade ou o impacto de incidentes futuros.

A. 16.1.7 Coleta de evidncias ControleA organizao deve definir e aplicar procedimentos para a identificao, coleta, aquisio e preservao das informaes, as quais podem servir como evidncias.

A.17 Aspectos da segurana da informao na gesto da continuidade do negcio A.17.1 Continuidade da segurana da informaoObjetivo: A continuidade da segurana da informao deve ser comtemplada nos sistemas de gesto da continuidade do negocio da organizao.

A. 17.1.1 Planejando a continuidade da segurana da informao

ControleA organizao deve determinar seus requisitos para a segurana da informao e a continuidade da gesto da segurana da informao em situaes adversas, por exemplo, durante uma crise ou desastre.

A. 17.1.2 Implementando a continuidade da segurana da informao

ControleA organizao deve estabelecer, documentar, implementar e manter processos, procedimentos e controles para assegurar o nvel requerido de continuidade para a segurana da informao, durante uma situao adversa.

A. 17.1.3 Verificao, anlise crtica e avaliao da continuidade da segurana da informao

ControleA organizao deve verificar os controles de continuidade da segurana da informao, estabelecidos e implementados, intervalos regulares, para garantir que eles so vlidos e eficazes em situaes adversas.



SET 2013


A.17.2 RedundnciasObjetivo: Assegurar a disponibilidade dos recursos de processamento da informao.

A.17.2.1 Disponibilidade dos recursos de processamento da informao

ControleOs recursos de processamento da informao devem ser implementados com redundncia suficiente para atender aos requisitos de disponibilidade.

A.18 ConformidadeA.18.1 Conformidade com requisitos legais e contratuaisObjetivo:Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana.

A.18.1.1 Identificao da legislao aplicvel e de requisitos contratuais

ControleTodos os requisitos legislativos estatutrios, regulamentares e contratuais relevantes, e o enfoque da organizao para atender a esses requisitos, devem ser explicitamente identificados, documentados e mantidos atualizados para cada sistema de informao da organizao.

A.18.1.2 Direitos de propriedade intelectual

ControleProcedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com os direitos de propriedade intelectual, e sobre o uso de produtos de software proprietrios.

A.18.1.3 Proteo de registros ControleRegistros devem ser protegidos contra perda, destruio, falsificao, acesso no autorizado e liberao no autorizada, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio.

A.18.1.4 Proteo e privacidade de informaes de identificao de pessoal

ControleA privacidade e proteo das informaes de identificao pessoal elevem ser asseguradas conforme requerido por legislao e regulamentao pertinente, quando aplicvel.

A.18.1.5 Regulamentao de controles de criptografia

ControleControles de criptografia devem ser usados em conformidade com todas as leis, acordos, legislao e regulamentaes pertinentes.



SET 2013


A.18.2 Anlise crtica da segurana da informaoObjetivo: Garantir que a segurana da informao est implementada e operada de acordo com as polticas e procedimentos da organizao.

A.18.2.1 Anlise crtica independente da segurana da informao

Controle0 enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da informao) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas.

A.18.2.2 Conformidade com as polticas e normas de segurana da informao

ControleOs gestores devem analisar criticamente, a intervalos regulares, a conformidade dos procedimentos e do processamento da informao, dentro das suas reas de responsabilidade, com as normas e polticas de segurana e quaisquer outros requisitos de segurana da informao.

A.18.2.3 Anlise crtica da conformidade tcnica

ControleOs sistemas de informao devem ser analisados criticamente, a intervalos regulares, para verificar a conformidade com as normas e polticas de segurana da informao da organizao.



SET 2013

Bibliografia

[1] ABNT NBR ISO IEC 27002:2013, Tecnologia da Informao-Tcnicas de Segurana - Cdigo de Prtica para controles de segurana da informao

[2] ABNT NBR ISO IEC 27003:2011- Tecnologia da Informao-Tcnicas de Segurana - Diretrizes para implantao de um sistema de gesto da segurana da informao

[3] ABNT NBR ISO/IEC 27004:2010, Tecnologia da informao Tcnicas de segurana Gesto da segurana da informao Medio

[4] ABNT NBR ISO/IEC 27005:2011, Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

[5] ABNT NBR ISO 31000:2009, Gesto de riscos - Princpios e diretrizes

[6] ISO IEC Directives, Part 1 Consolidated ISO Supplement - Procedures specific to ISO :2012

Sistemas de Gesto

abnt iso.pdf

Documents

informao sgsi

sistema de gesto

the needs of the organization

organizao so influenciadas

riscos so

sistemas de gesto

so elaboradas

so esperados