-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC 27001:2013
SET 2013
Tecnologia da Informao - Tcnicas de Segurana - Sistemas de gesto
da segurana da informao - Requisitos
Information technology Security techniques Information security
management systems Requirements
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional
de Normalizao. As Normas Brasileiras, cujo contedo de
responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo
Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE),
formadas por representantes dos setores envolvidos, delas fazendo
parte: produtores, consumidores e neutros (universidades,
laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras da
Diretiva ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
This Standard specifies the requirements for establishing,
implementing, maintaining and continually improving an information
security management system within the context of the organization.
This Standard also includes requirements for the assessment and
treatment of information security risks tailored to the needs of
the organization. The requirements set out in this Standard are
generic and are intended to be applicable to all organizations,
regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an
organization claims conformity to this Standard.
Scope
NAO TEM VALOR NORMATIVO 1/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
0. Introduo
0.1 Geral
Esta Norma foi preparada para prover requisitos para
estabelecer, implementar, manter e melhorar continuamente um
Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
uma deciso estratgica para uma organizao. A especificao e a
implementao do SGSI de uma organizao so influenciadas pelas suas
necessidades e objetivos, requisitos de segurana, processos
organizacionais, funcionrios, tamanho e estrutura da organizao. So
esperados que todos estes fatores de influncia mudem ao longo do
tempo.
O sistema de gesto da segurana da informao preserva a
confidencialidade, integridade e disonibilidade da informao por
meio da aplicao de um processo de gesto de riscos e fornece
confiana para as partes interessadas de que os riscos so
adequadamente gerenciados.
importante que um sistema de gesto da segurana da informao seja
parte e esteja integrado com os processos da organizao e com a
estrutura de administrao global e que a segurana da informao seja
considerada no projeto dos processos, sistemas de informao e
controles. esperado que a implementao de um sistema de gesto de
segurana da informao seja planejado de acordo com as necessidades
da organizao.
Esta Norma pode ser usada por partes internas e externas para
avaliar a capacidade da organizao em atender os seus prprios
requisitos de segurana da informao.
A ordem pela qual os requisitos so apresentados nesta Norma no
reflete sua importncia ou implica na ordem pela qual eles devem ser
implementados. Os itens listados so numerados apenas para fins de
referncia.
A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema
de gesto da segurana da informao e referencia as normas da famila
do sistema de gesto da segurana da informao (incluindo a ISO/IEC
27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies
relacionados.
0.2 Compatibilidade com outras normas de sistemas de gesto
Esta Norma aplica a estrutura de alto nvel, os ttulos de
sub-clusulas idnticos, textos idnticos, termos comuns e definies
bsicas, apresentadas no anexo SL da ISO/IEC Directives, Part 1,
Consolidated ISO Supplement, mantendo desta forma a compatibilidade
com outras normas de sistemas de gesto que adotaram o anexo SL.
Esta abordagem comum definida no anexo SL ser ltil para aquelas
organizaes que escolhem operar um nico sistema de gesto que atenda
os requisitos de duas ou mais normas de sistemas de gesto.
NAO TEM VALOR NORMATIVO 2/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
1 Escopo
Esta Norma especifica os requisitos para estabelecer,
implementar, manter e melhorar continuamente um sistema de gesto da
segurana da informao dentro do contexto da organizao. Esta Norma
tambm inclui requisitos para a avaliao e tratamento de riscos de
segurana da informao voltados para as necessidades da organizao. Os
requisitos definidos nesta Norma so genricos e so pretendidos para
serem aplicveis a todas as organizaes independentemente do tipo,
tamanho ou natureza. A excluso de quaisquer dos requisitos
especificados nas sees 4 a 10 no aceitvel quando a organizao busca
a conformidade com esta Norma.
2 Referncias normativas
O documento relacionado a seguir indispensvel aplicao deste
documento. Para referncias datadas, aplicam-se somente as edies
citadas. Para referncias no datadas, aplicam-se as edies mais
recentes do referido documento (incluindo emendas).
ISO/IEC 27000, Information technology - Securty techniques
Information security management systems - OverView and
vocabulary
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies
apresentados na ISO/IEC 27000
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que
so relevantes para o seu propsito e que afetam sua capacidade para
alcanar os resultados pretendidos do seu sistema de gesto da
segurana da informao.
NOTA A determinao destas questes refere-se ao estabelecimento do
contexto interno e externo da organizao apresentado no item 5.3 da
ABNT NBR ISO 31000 - Gesto de riscos - Princpios e diretrizes.
4.2 Entendendo as necessidades e as expectativas das partes
interessadas
A organizao deve determinar:
a) as partes interessadas que so relevantes para o sistema de
gesto da segurana da informao;
b) os requisitos dessas partes interessadas relevantes para a
segurana da informao.
NOTA Os requisitos das partes interessadas podem incluir
requisitos legais e regulamentares, bem como obrigaes
contratuais.
4.3 Determinando o escopo do sistema de gesto da segurana da
informao
A organizao deve determinar os limites e a aplicabilidade do
sistema de gesto da segurana da informao para estabelecer o seu
escopo.
Quando da determinao deste escopo, a organizao deve
considerar:
e
NAO TEM VALOR NORMATIVO 3/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
a) as questes internas e externas referenciadas em 4.1;
b) os requisitos referenciados em 4.2; e
c) as interfaces e dependncias entre as atividades desempenhadas
pela organizao e aquelas que so desempenhadas por outra
organizao.
O escopo deve estar disponvel como informao documentada.
4.4 4.4 Sistema de gesto da segurana da informao
A organizao deve estabelecer, implementar, manter e
continuamente melhorar um sistema de gestoda segurana da informao,
de acordo com os requisitos desta Norma.
5 Liderana
5.1 5.1 Liderana e comprometimento
A Alta Direo deve demostrar sua liderana e comprometimento em
relao ao sistema de gesto dasegurana da informao pelos seguintes
meios:
a) assegurando que a poltica de segurana da informao e os
objetivos de segurana da informao esto estabelecidos e so
compatveis com a direo estratgica da organizao;
b) garantindo a integrao dos requisitos do sistema de gesto da
segurana da informao dentro dos processos da organizao;
c) assegurando que os recursos necessrios para o sistema de
gesto da segurana da informao estejam disponveis;
d) comunicando a importncia de uma gesto eficaz da segurana da
informao e da conformidade com os requisitos do sistema de gesto da
segurana da informao;
e) assegurando que o sistema de gesto da segurana da informao
alcana seus resultados pretendidos;
f) orientando e apoiando pessoas que contribuam para eficcia do
sistema de gesto da segurana da informao;
g) promovedo a melhoria contnua; e
h) apoiando outros papis relevantes da gesto para demostrar como
sua liderana se aplica s reas sob sua responsabilidade.
5.2 Poltica
A Alta Direo deve estabelecer uma politca de segurana da
informao que:
a) seja apropriada ao propsito da organizao;
b) inclua os objetivos de segurana da informao (ver 6.2) ou
fornea a estrutura para estabelecer os objetivos de segurana da
informao;
NAO TEM VALOR NORMATIVO 4/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
c) inclua um comprometimento para satisfazer os requisitos
aplicveis, relacionados com segurana da informao; e
d) inclua um comprometimento para a melhoria contnua do sistema
de gesto da segurana da informao.
A poltica de segurana da informao deve:
a) estar disponvel como informao documentada;
b) ser comunicada dentro da organizao; e
c) estar disponvel para as partes interessadas conforme
apropriado.
5.3 Autoridades, responsabilidades e papis organizacionais
A Alta Direo deve assegurar que as responsabilidades e
autoridades dos papis relevantes para a segurana da informao sejam
atribudos e comunicados.
A Alta Direo deve atribuir a responsabilidade e autoridade
para:
a) assegurar que o sistema de gesto da segurana da informao est
em conformidade com os requisitos desta Norma;
b) relatar sobre o desempenho do sistema de gesto da segurana da
informao para a Alta Direo.
NOTA A Alta Direo pode tambm atribuir responsabilidades e
autoridades para relatar o desempenho do sistema de gesto da
segurana da informao dentro da organizao.
6 Planejamento
6.1 Aes para contemplar riscos e oportunidades
6.1.1 Geral
Quando do planejamento do sistema de gesto da segurana da
informao, a organizao deve considerar as questes referenciadas em
4.1 e os requisitos descritos em 4.2, e determinar os riscos e
oportunidades que precisam ser consideradas para:
a) assegurar que o sistema de gesto da segurana da informao pode
alcanar seus resultados pretendidos;
b) prevenir ou reduzir os efeitos indesejados; e
c) alcanar a melhoria contnua.
A organizao deve planejar:
a) as aes para considerar estes riscos e oportunidades; e
b) como:
NAO TEM VALOR NORMATIVO 5/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
1) integrar e implementar estas aes dentro dos processos do seu
sistema de gesto da segurana da informao; e
2) avaliar a eficcia destas aes.
6.1.2 Avaliao de riscos de segurana da informao
A organizao deve definir e aplicar um processo de avaliao de
riscos de segurana da informao que:
a) estabelea e mantenha critrios de riscos de segurana da
informao que incluam:
1) os critrios de aceitao do risco; e
2) os critrios para o desempenho das avaliaes dos riscos de
segurana da informao;
b) )assegure que as contnuas avaliaes de riscos de segurana da
informao produzam resultados comparveis, vlidos e consistentes;
c) identifique os riscos de segurana da informao:
1) aplicando o processo de avaliao do risco de segurana da
informao para identificar os riscos associados com a perda de
confidencialidade, integridade e disponibilidade da informao dentro
do escopo do sistema de gesto da segurana da informao; e
2) identifique os responsveis dos riscos.
d) analise os riscos de segurana da informao:
1) avalie as consequncias potenciais que podem resultar se os
riscos identificados em6.1.2 c) 1) forem materializados
2) avalie a probabilidade realstica da ocorrncia dos riscos
identificados em 6.1.2 c) 1); e
3) determine os nveis de risco;
e) avalie os riscos de segurana da informao:
4) compare os resultados da anlise dos riscos com os critrios de
riscos estabelecidos em 6.1.2a); e
5) priorize os riscos analisados para o tratamento do risco.
6.1.3 Tratamento de riscos de segurana da informao.
A organizao deve definir e aplicar um processo de tratamento dos
riscos de segurana da informao para:
a) selecionar, de forma apropriada, as opes de tratamento dos
riscos de segurana da informao, levando em considerao os resultados
da avaliao do risco;
b) determinar todos os controles que so necessrios para
implementar as opes escolhidas do tratamento do risco da segurana
da informao;
NAO TEM VALOR NORMATIVO 6/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
NOTA: As organizaes podem projetar os controles,conforme
requerido, ou identific-los de qualquer outra fonte.
c) comparar os controles determinados em 6.1.3 b) acima com
aqueles do Anexo A a e verificar que nenhum controle necessrio
tenha sido omitido;
NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos
objetivos de controle. Os usurios desta Norma so instrudos a
utilizar o Anexo A para garantir que nenhum controle necessrio foi
omitido;
NOTA 2 Os objetivos de controle esto implicitamente includos nos
controles escolhidos. Os objetivos de controle e os controles
listados no Anexo A no so exaustivos e controles e objetivos de
controles adicionais podem ser necessrios;
d) elaborar uma declarao de aplicabilidade que contenha os
controles necessrios (ver 6.1.3b ) e c)), e a justificativa para
incluses, sejam eles implementados ou no, bem como a justificativa
para a excluso dos controles do anexo a;
e) preparar um plano para tratamento dos riscos de segurana da
informao;
f) obter a aprovao dos responsveis pelos riscos do plano de
tratamento dos riscos de segurana da informao, e a aceitao dos
riscos residuais de segurana da informao;
A organizao deve manter a informao documentada relativa ao
processo de tratamento dos riscos de segurana da informao;
NOTA O processo de tratamento e a avaliao dos riscos de segurana
da informao desta norma est alinhada com os princpios e diretrizes
gerais definidas na ABNT NBR ISO 31000 - Gesto de riscos -
Princpios e diretrizes.
6.2 Objetivo de segurana da informao e planos para alcan-los
A organizao deve estabelecer os objetivos de segurana da
informao para as funes e nveis relevantes.
Os objetivos de segurana da informao devem:
a) ser consistentes com a poltica de segurana da informao;
b) ser mensurvel (quando aplicvel);
c) levar em conta os requisitos de segurana da informao
aplicveis, e os resultados da avaliao e tratamento dos riscos;
d) ser comunicados; e
e) ser atualizado, conforme apropriado.
A organizao deve reter informao documentada dos objetivos de
segurana da informao.
Quando do planejamento para alcanar os seus objetivos de
segurana da informao, a organizao deve determinar:
a) o que ser feito;
NAO TEM VALOR NORMATIVO 7/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
b) quais recursos sero necessrios;
c) quem ser responsvel;
d) quando estar concludo;
e) como os resultados sero avaliados
7 Apoio
7.1 Recursos
A organizao deve determinar e prover recursos necessrios para o
estabelecimento, implementao, manuteno e melhoria contnua do
sistema de gesto da segurana da informao.
7.2 Competncia
A organizao deve:
a) determinar a competncia necessria das pessoas que realizam
trabalho sob o seu controle e que afeta o desempenho da segurana da
informao;
b) assegurar que essas pessoas so competentes com base na
educao, treinamento ou experincia apropriados;
c) onde aplicado, tomar aes para adquirir a competncia necessria
e avaliar a eficcia das aes tomadas; e
d) reter informao documentada apropriada como evidncia da
competncia.
NOTA Aes apropriadas podem incluir, por exemplo: fornecimento de
treinamento para os facilitadores, os funcionrios atuais, ou
pessoas competentes, prprias ou contratadas.
7.3 Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem
estar cientes da:
a) poltica de segurana da informao;
b) suas contribuies para a eficcia do sistema de gesto da
segurana da informao, incluindo os benefcios da melhoria do
desempenho da segurana da informao; e
c) implicaes da no conformidade com os requisitos do sistema de
gesto da segurana da informao.
7.4 Comunicao
A organizao deve determinar as comunicaes internas e externas
relevantes para o sistema de gesto da segurana da informao
incluindo:
a) o que comunicar;
NAO TEM VALOR NORMATIVO 8/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
b) quando comunicar;
c) quem comunicar;
d) quem ser comunicado; e
e) o processo pelo qual a comunicao ser realizada.
7.5 Informao documentada
7.5.1 Geral
O sistema de gesto da segurana da informao devem incluir:
a) informao documentada requerida por esta norma;
b) informao documentada determinada pela organizao como sendo
necessria para a eficcia do sistema de gesto da segurana da
informao.
NOTA A abrangncia da informao documentada para o sistema de
gesto da segurana da informao pode variar de uma organizao para
outra devido a:
a) tamanho da organizao e seu tipo de atividades, processos,
produtos e servios;
b) a complexidade dos processos e suas interaes;
c) a competncia das pessoas.
7.5.2 Criando e atualizando
Quando da criao e atualizao da informao documentada, a organizao
deve assegurar de forma apropriada:
a) identificao e descrio (por exemplo, ttulo, data, autor ou um
nmero de referncia);
b) formato (por exemplo, linguagem, verso do software, grficos)
e o seu meio (por exemplo, papel, eletrnico); e
c) anlise crtica e aprovao para pertinncia e adequao.
7.5.3 Controle da informao documentada
A informao documentada requerida pelo sistema de gesto da
segurana da informao e por esta norma, deve ser controlada para
assegurar:
a) que est disponvel e adequada para o uso, onde e quando
necessrio;
b) que est adequadamente protegida (por exemplo, contra perda de
confidencialidade, uso imprprio ou perda de integridade).
Para o controle da informao documentada, a organizao deve
considerar as seguintes atividades, conforme aplicada:
NAO TEM VALOR NORMATIVO 9/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
a) distribuio, acesso, recuperao e uso;
b) armazenagem e preservao, incluindo a preservao da
legibilidade;
c) controle de mudanas (por exemplo, controle de verso);
d) f)Reteno e disposio.
A informao documentada de origem externa, determinada pela
organizao como necessria para o planejamento e operao do sistema de
gesto da segurana da informao, deve ser identificada como
apropriada, e controlada.
NOTA O acesso implica em uma deciso quanto permisso para apenas
ler a informao documentada, ou a permisso e autoridade para ver e
alterar a informao documentada.
8 Operao
8.1 Planejamento operacional e controle
A organizao deve planejar, implementar e controlar os processos
necessrios para atender os requisitos de segurana da informao, e
para implementar as aes determinadas em 6.1. A organizao deve tambm
implementar planos para alcanar os objetivos de segurana da
informao determinados em 6.2.
A organizao deve manter a informao documentada na abrangncia
necessria para gerar confiana de que os processoas esto sendo
realizados conforme planejado.
A organizao deve controlar as mudanas planejadas e analisar
criticamente as consequncias de mudanas no previstas, tomando aes
para mitigar quaisquer efeitos adversos, conforme necessrio.
A organizao deve assegurar que os processos terceirizados esto
determinados e so controlados.
8.2 Avaliao de riscos de segurana da informao
A organizao deve realizar avaliaes de riscos de segurana da
informao a intervalos planejados, quando mudanas significativas so
propostas ou ocorrem, levando em conta os critrios estabelecidos em
6.1.2 a.
A organizao deve reter informao documentada dos resultados das
avaliaes de risco de segurana da informao.
8.3 Tratamento de riscos de segurana da informao
A organizao deve implementar o plano de tratamento de riscos de
segurana da informao.
A organizao deve reter informao documentada dos resultados do
tratamento dos riscos de segurana da informao.
NAO TEM VALOR NORMATIVO 10/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
9 Avaliao do desempenho
9.1 Monitoramento, medio, anlise e avaliao
A organizao deve avaliar o desempenho da segurana da informao e
a eficcia do sistema de gesto da segurana da informao.
A organizao deve determinar:
a) o que precisa ser monitorado e medido, incluindo controles e
processos de segurana da informao;
b) os mtodos para monitoramento, medio, anlise e avaliao,
conforme aplicvel, para assegurar resultados vlidos;
NOTA Os mtodos selecionados devem produzir resultados comparveis
e reproduzveis para serem vlidos.
c) Quando o monitoramento e a medio devem ser realizados;
d) o que deve ser monitorado e medido;
e) quando os resultados do monitoramento e da medio devem ser
analisados e avaliados;
f) quem deve analisar e avaliar estes resultados.
A organizao deve reter informao documentada apropriada como
evidncia do monitoramento e dos resultados da medio.
9.2 Auditoria interna
A organizao deve conduzir auditorias internas a intervalos
planejados para prover informaes sobre o quanto o sistema de gesto
da segurana da informao:
a) est em conformidade com:
1) os prprios requisitos da organizao para o seu sistema de
gesto da segurana da
2) os requisitos desta Norma;
b) est efetivamente implementado e mantido.
Organizao deve:
a) planejar, estabelecer, implementar e manter um programa de
auditoria, incluindo a frequncia, mtodos, responsabilidades,
requisitos de planejamento e relatrios. Os programas de auditoria
devem levar em conta a importncia dos processos pertinentes e os
resultados de auditorias anteriores;
b) definir os critrios e o escopo da auditoria, para cada
auditoria;
informao;
NAO TEM VALOR NORMATIVO 11/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
c) selecionar auditores e conduzir auditorias que assegurem
objetividade e imparcialidade do processo de auditoria;
d) assegurar que os resultados das auditorias so relatados para
a direo pertinente.
e) reter a informao documentada como evidncia dos programas da
auditoria e dos resultados da auditoria.
9.3 Anlise crtica pela direo
A Alta Direo deve analisar criticamente o sistema de gesto da
segurana da informao da organizao a intervalos planejados para
assegurar a sua contnua adequao, pertinncia e eficcia.
A anlise crtica pela Direo deve incluir consideraes com relao
a:
a) situao das aes de anlises crticas anteriores, realizadas pela
direo;
b) mudanas nas questes internas e externas, que sejam relevantes
para o sistema de gesto da segurana da informao;
c) realimentao sobre o desempenho da segurana da informao,
incluindo tendncias nas:
1) no conformidades e aes corretivas;
2) monitoramento e resultados da medio;
3) resultados de auditorias; e
4) cumprimento dos objetivos de segurana da informao.
d) realimentao das partes interessadas;
e) resultados da avaliao dos riscos e situao do plano de
tratamento dos riscos; e
f) oportunidades para melhoria contnua.
Os resultados da anlise crtica pela Direo devem incluir decises
relativas a oportunidades para melhoria contnua e quaisquer
necessidades para mudanas do sistema de gesto da segurana da
informao.
A organizao deve reter informao documentada como evidncia dos
resultados das anlises crticas pela direo.
10 Melhoria
10.1 No conformidade e ao corretiva
Quando uma no conformidade ocorre, a organizao deve:
a) reagir no conformidade, e conforme apropriado:
1) tomar aes para controlar e corrigi-la; e
NAO TEM VALOR NORMATIVO 12/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
2) tratar com as consequncias;
b) avaliar a necessidade de aes para eliminar as causas de no
conformidade, para evitar sua repetio ou ocorrncia, por um dos
seguintes meios:
1) analisando criticamente a no conformidade;
2) determinando as causas da no conformidade; e
3) determinando se no conformidades similares existem, ou podem
potencialmente ocorrer.
c) implementar quaisquer aes necessrias;
d) analisar criticamente a eficcia de quaisquer aes corretivas
tomadas; e
e) realizar mudanas no sistema de gesto da segurana da informao,
quando necessrio.
As aes corretivas devem ser apropriadas aos efeitos das no
conformidades encontradas.
A organizao deve reter informao documentada como evidncia
da:
a) natureza das no conformidades e quaisquer aes subsequentes
tomadas; e
b) resultados de qualquer ao corretiva.
10.2 Melhoria contnua
A organizao deve continuamente melhorar a pertinncia, adequao e
eficcia do sistema de gesto da segurana da informao.
NAO TEM VALOR NORMATIVO 13/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Anexo A
(normativo)
Referncia aos controles e objetivos de controles
Os controles e objetivos de controles listados na Tabela A.1 so
derivados diretamente e esto alinhados com aqueles listados na ABNT
NBR ISO/IEC 27002:2013 - sees 5 a 18, e devem ser usados em
alinhamento com o item 6.1.3
Tabela A.1 - Objetivos de Controle e Controles
A.5 Polticas de segurana da informao
A.5.1 Orientao da direo para segurana da informaoObjetivo:
Prover orientao da direo e apoio para a segurana da informao de
acordo com os requisitos do negcio e com as leis e regulamentaes
relevantes
A.5.1.1 Polticas para segurana da informao
ControleUm conjunto de polticas de segurana da informao deve ser
definido, aprovado pela direo, publicado e comunicado para os
funcionrios e partes externas relevantes.
A.5.1.2 Anlise crtica das polticas para segurana da informao
ControleAs polticas de segurana da informao devem ser analisadas
criticamente a intervalos planejados ou quando mudanas
significativas ocorrerem, para assegurar a sua contnua pertinncia,
adequao e eficcia.
A.6 Organizao da segurana da informao
A.6.1 Organizao internaObjetivo: Estabelecer uma estrutura de
gerenciamento, para iniciar e controlar a implementao e operao da
segurana da informao dentro da organizao
A.6.1.1 Responsabilidades e papis pela segurana da informao
ControleTodas as responsabilidades pela segurana da informao
devem ser definidas e atribudas.
A.6.1.2 Segregao de funes ControleFunes conflitantes e reas de
responsabilidade devem ser segregadas para reduzir as oportunidades
de modificao no autorizada ou no intencional, ou uso indevido dos
ativos da organizao.
NAO TEM VALOR NORMATIVO 14/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.6.1.3 Contato com autoridades ControleContatos apropriados com
autoridades relevantes devem ser mantidos.
A.6.1.4 Contato com grupos especiais
ControleContatos apropriados com grupos especiais, associaes
profissionais ou outros fruns especializados em segurana da
informao devem ser mantidos.
A.6.1.5 Segurana da informao no gerenciamento de projetos
ControleSegurana da informao deve ser considerada no
gerenciamento de projetos, independentemente do tipo do
projeto.
A.6.2 Dispositivos mveis e trabalho remotoObjetivo: Garantir a
segurana das informaes no trabalho remoto e no uso de dispositivos
mveis.
A.6.2.1 Poltica para o uso de dispositivo mvel
ControleUma poltica e medidas que apoiam a segurana da informao
devem ser adotadas para gerenciar os riscos decorrentes do uso de
dispositivos mveis.
A.6.2.2 Trabalho remoto ControleUma poltica e medidas que apoiam
a segurana da informao devem ser implementadas para proteger as
informaes acessadas, processadas ou armazenadas em locais de
trabalho remoto.
A.7 Segurana em recursos humanos
A.7.1 Antes da contrataoObjetivo: Assegurar que funcionrios e
partes externas entendem as suas responsabilidades e esto em
conformidade com os papis para os quais eles foram
selecionados.
A.7.1.1 Seleo ControleVerificaes do histrico devem ser
realizadas para todos os candidatos a emprego, de acordo com a
tica, regulamentaes e leis relevantes, e deve ser proporcional aos
requisitos do negcio, aos riscos percebidos e classificao das
informaes a serem acessadas.
A.7.1.2 Termos e condies de contratao
ControleAs obrigaes contratuais com funcionrios e partes
externas devem declarar as suas responsabilidade e a da organizao
para a segurana da informao
NAO TEM VALOR NORMATIVO 15/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.7.2 Durante a contrataoObjetivo: Assegurar que os funcionrios
e partes externas esto conscientes e cumprem as suas
responsabilidades pela segurana da informao.
A.7.2.1 Responsabilidades da direo
ControleA Direo deve requerer aos funcionrios e partes externas
que pratiquem a segurana da informao de acordo com o estabelecido
nas polticas e procedimentos da organizao.
A.7.2.2 Conscientizao, educao e treinamento em segurana da
informao
ControleTodos os funcionrios da organizao e, onde pertinente,
partes externas devem receber treinamento, educao e conscientizao
apropriados, e as atualizaes regulares das polticas e procedimentos
organizacionais relevantes para as suas funes.
A.7.2.3 Processo disciplinar ControleDeve existir um processo
disciplinar formal, implantado e comunicado, para tomar aes contra
funcionrios que tenham cometido uma violao de segurana da
informao.
A.7.3 Encerramento e mudana da contrataoObjetivo: Proteger os
interesses da organizao como parte do processo de mudana ou
encerramento da contratao.
A.7.3.1 Responsabilidades pelo encerramento ou mudana da
contratao
ControleAs responsabilidades e obrigaes pela segurana da
informao que permaneam vlidas aps um encerramento ou mudana da
contratao devem ser definidas, comunicadas aos funcionrios ou
partes externas e cumpridas.
A.8 Gesto de ativos
A.8.1. Responsabilidade pelos ativosObjetivo: Identificar os
ativos da organizao e definir as devidas responsabilidades pela
proteo dos ativos.
A.8.1.1 Inventrio dos ativos ControleOs ativos associados com
informao e com os recursos e processamento da informao devem ser
identificados e um inventrio destes ativos deve ser estruturado e
mantido.
A.8.1.2 Proprietrio dos ativos ControleOs ativos mantidos no
inventrio devem ter um proprietrio.
NAO TEM VALOR NORMATIVO 16/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.8.1.3 Uso aceitvel dos ativos ControleRegras para o uso
aceitvel das informaes, dos ativos associados com informao e os
recursos de processamento da informao, devem ser identificados,
documentados e implementados.
A.8.1.4 Devoluo de ativos ControleTodos os funcionrios e partes
externas devem devolver todos os ativos da organizao que estejam em
sua posse aps o encerramento de suas atividades, do contrato ou
acordo.
A.8.2 Classificao da informaoObjetivo: Assegurar que a informao
receba um nvel adequado de proteo, de acordo com a sua importncia
para a organizao.
A.8.2.1 Classificao da informao
ControleA informao deve ser classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para evitar
modificao ou divulgao no autorizada.
A.8.2.2 Rtulos e tratamento da informao
ControleUm conjunto apropriado de procedimentos para rotulare
tratar a informao deve ser desenvolvido e implementado de acordo
com o esquema de classificao da informao adotado pela
organizao.
A.8.2.3 Tratamento dos ativos ControleProcedimentos para o
tratamento dos ativos devem ser desenvolvidos e implementados de
acordo com o esquema de classificao da informao adotada pela
organizao.
A.8.3 Tratamento de mdiasObjetivo: Prevenir a divulgao no
autorizada, modificao, remoo ou destruio da informao armazenada nas
mdias.
A.8.3.1 Gerenciamento de mdias removveis
ControleProcedimentos devem ser implementados para o
gerenciamento de mdias removveis, de acordo com o esquema de
classificao adotado pela organizao.
A.8.3.2 Descarte de mdias ControleAs mdias devem ser descartadas
de forma segura e protegida quando no forem mais necessrias, por
meio de prodecimentos formais.
NAO TEM VALOR NORMATIVO 17/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.8.3.3 Transferncia fsica de mdias
ControleMdias contendo informaes devem ser protegidas contra
acesso no autorizado, uso imprprio ou corrompida, durante o
transporte.
A.9 Controle de acesso
A.9.1 Requisitos do negcio para controle de acessoObjetivo:
Limitar o acesso informao e aos recursos de processamento da
informao.
A.9.1.1 Poltica de controle de acesso
ControleUma poltica de controle de acesso deve ser estabelecida,
documentada e analisada criticamente, baseado nos requisitos de
segurana da informao e dos negcios.
A.9.1.2 Acesso s redes e aos servios de rede
ControleOs usurios devem somente receber acesso s redes e aos
servios de rede que tenham sido especificamente autorizados a
usar.
A.9.2 Gerenciamento de acesso do usurioObjetivo: Assegurar
acesso de usurio autorizado e prevenir acesso no autorizado a
sistemas e servios.
A.9.2.1 Registro e cancelamento de usurio
ControleUm processo formal de registro e cancelamento de usurio
deve ser implementado para permitir atribuio de direitos de
acesso.
A.9.2.2 Provisionamento para acesso de usurio
ControleUm processo formal de provisionamento de acesso do
usurio deve ser implementado para conceder ou revogar os direitos
de acesso do usurio para todos os tipos de usurios em todos os
tipos de sistemas e servios.
A.9.2.3 Gerenciamento de direitos de acesso privilgiados
ControleA concesso e uso de direitos e acesso privilgiado devem
ser restritos e controlados.
A.9.2.4 Gerenciamento da informao de autenticao secreta de
usurios
ControleA concesso de informao de autenticao secreta deve ser
controlada por meio de um processo de gerenciamento formal.
A.9.2.5 Anlise crtica dos direitos de acesso de usurio
ControleOs proprietrios de ativos devem analisar criticamente os
direitos de acesso dos usurios, a intervalos regulares.
NAO TEM VALOR NORMATIVO 18/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A. 9.2.6 Retirada ou ajuste de direitos de acesso
ControleOs direitos de acesso de todos os funcionrios e partes
externas s informaes e aos recursos de processamento da informao
devem ser retirados aps o encerramento de suas atividades,
contratos ou acordos, ou ajustado aps a mudana destas
atividades.
A.9.3 Responsabilidades dos usuriosObjetivo: Tornar os usurios
responsveis pela proteo das suas informaes de autenticao.
A.9.3.1 Uso da informao de autenticao secreta
ControleOs usurios devem ser orientados a seguir as prticas da
organizao quanto ao uso da informao de autenticao secreta.
A.9.4 Controle de acesso ao sistema e aplicaoObjetivo: Prevenir
o acesso no autorizado aos sistemas e aplicaes.
A.9.4.1 Restrio de acesso informao
Controle0 acesso informao e as funes dos sistemas de aplicaes
devem ser restrito de acordo com a poltica de controle de
acesso.
A.9.4.2 Procedimentos seguros de entrada no sistema (log-
on)
ControleOnde aplicavl pela poltica de controle de acesso, o
acesso aos sistemas e aplicaes devem ser controlados por um
procedimento seguro de entrada no sistema (log-on).
A.9.4.3 Sistema de gerenciamento de senha
ControleSistemas para gerenciamento de senhas devem ser
interativos e devem assegurar senhas de qualidade.
A.9.4.4 Uso de programas utilitrios privilegiados
Controle0 uso de programas utilitrios que podem ser capazes de
sobrepor os controles dos sistemas e aplicaes deve ser restrito e
estritamente controlado.
A.9.4.5 Controle de acesso ao cdigo-fonte de programas
Controle0 acesso ao cdigo-fonte de programa deve ser
restrito.
A.10 CriptografiaA.10.1 Controles criptogrficosObjetivo:
Assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade da
informao.
NAO TEM VALOR NORMATIVO 19/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.10.1.1 Poltica para o uso de controles criptogrficos
ControleDeve ser desenvolvida e implementada uma poltica para o
uso de controles criptogrficos para a proteo da informao.
A.10.1.2 Gerenciamento de chaves ControleUma poltica sobre o
uso, proteo e ciclo de vida das chaves criptogrficas, deve ser
desenvolvida e implementada ao longo de todo o seu ciclo de
vida.
A.11 Segurana fsica e do ambiente A.11.1 reas segurasObjetivo:
Prevenir o acesso fsico no autorizado, danos e interferncias com os
recursos de processamento das informaes e as informaes da
organizao.
A.11.1.1 Permetro de segurana fsica
ControlePermetros de segurana devem ser definidos e usados para
proteger tanto as reas que contenham as instalaes de processamento
da informao como as informaes criticas ou sensveis.
A.11.1.2 Controles de entrada fsica ControleAs reas seguras
devem ser protegidas por controles apropriados de entrada para
assegurar que somente pessoas autorizadas tenham acesso
permitido.
A.11.1.3 Segurana em escritrios, salas e instalaes
ControleDeve ser projetada e aplicada segurana fsica para
escritrios, salas e instalaes.
A.11.1.4 Proteo contra ameaas externas e do meio- ambiente
ControleDevem ser projetadas e aplicadas proteo fsica contra
desastres naturais, ataques maliciosos ou acidentes.
A.11.1.5 Trabalhando em reas seguras
ControleDeve ser projetada e aplicada procedimentos para o
trabalho em reas seguras.
A.11.1.6 reas de entrega e de carregamento
ControlePontos de acesso, tais como reas de entrega e de
carregamento e outros pontos em que pessoas no autorizadas possam
entrar nas instalaes, devem ser controlados e, se possvel, isolados
das instalaes de processamento da informao, para evitar o acesso no
autorizado.
NAO TEM VALOR NORMATIVO 20/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.11.2 EquipamentosObjetivo: Impedir perdas, danos, furto ou
roubo, ou comprometimento de ativos e interrupo das operaes da
organizao.
A.11.2.1 Escolha de local e proteo do equipamento
ControleOs equipamentos devem ser colocados no local ou
protegidos para reduzir os riscos de ameaas e perigos do
meio-ambiente, bem como as oportunidades de acesso no
autorizado.
A. 11.2.2 Utilidades ControleOs equipamentos devem ser
protegidos contra falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.
A. 11.2.3 Segurana do cabeamento
Controle0 cabeamento de energia e de telecomunicaes que
transporta dados ou d suporte aos servios de informaes deve ser
protegido contra interceptao, interferncia ou danos.
A. 11.2.4 Manuteno dos equipamentos
ControleOs equipamentos devem ter uma manuteno correta para
assegurar sua disponibilidade e integridade permanente.
A. 11.2.5 Remoo de ativos ControleEquipamentos, informaes ou
software no devem ser retirados do local sem autorizao prvia.
A. 11.2.6 Segurana de equipamentos e ativos fora das dependncias
da organizao
ControleDevem ser tomadas medidas de segurana para ativos que
operem fora do local, levando em conta os diferentes riscos
decorrentes do fato de se trabalhar fora das dependncias da
organizao.
A. 11.2.7 Reutilizao e alienao seguras de equipamentos
ControleTodos os equipamentos que contenham mdias de
armazenamento de dados devem ser examinados antes do descarte, para
assegurar que todos os dados sensveis e softwares licenciados
tenham sido removidos ou sobre- gravados com segurana.
NAO TEM VALOR NORMATIVO 21/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.11.2.8 Equipamento de usurio sem monitorao
ControleOs usurios devem assegurar que os equipamentos no
monitorados tenham proteo adequada.
A.11.2.9 Poltica de mesa limpa e tela limpa
ControleDeve ser adotada uma poltica de mesa limpa de papis e
mdias de armazenamento removveis e uma poltica de tela limpa para
os recursos de processamento da informao.
A.12 Segurana nas operaesA.12.1 Responsabilidades e
procedimentos operacionaisObjetivo: Garantir a operao segura e
correta dos recursos de processamento da informao.
A.12.1.1 Documentao dos procedimentos de operao
ControleOs procedimentos de operao devem ser documentados e
disponibilizados para todos os usurios que necessitam deles.
A.12.1.2 Gesto de mudanas ControleMudanas na organizao, nos
processos do negcio, nos recursos de processamento da informao e
nos sistemas que afetam a segurana da informao, devem ser
controladas.
A.12.1.3 Gesto de capacidade ControleA utilizao dos recursos
deve ser monitorada, ajustada e as projees devem ser feitas para
necessidades de capacidade futura para garantir o desempenho
requerido do sistema.
A.12.1.4 Separao dos ambientes de desenvolvimento, teste e de
produo
ControleAmbientes de desenvolvimento, teste e produo devem ser
separados para reduzir os riscos de acessos ou modificaes no
autorizadas no ambiente de produo.
A.12.2 Proteo contra malwareObjetivo: Assegurar que as informaes
e os recursos de processamento da informao esto protegidos contra
malware.
A.12.2.1 Controles contra malware ControleDevem ser
implementados controles de deteco, preveno e recuperao para
proteger contra malware, combinado com um adequado programa de
conscientizao do usurio.
NAO TEM VALOR NORMATIVO 22/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.12.3 Cpias de seguranaObjetivo: Proteger contra a perda de
dados.
A.12.3.1 Cpias de segurana das informaes
ControleCpias de segurana das informaes, softwares e das imagens
do sistema, devem ser efetuadas e testadas regularmente conforme a
poltica de gerao de cpias de segurana definida.
A.12.4 Registros e monitoramentoObjetivo: Registrar eventos e
gerar evidncias.
A.12.4.1 Registros de eventos ControleRegistros de eventos (log)
de eventos das atividades do usurio, excees, falhas e eventos de
segurana da informao devem ser produzidos, mantidos e analisados
criticamente, a intervalos regulares
A.12.4.2 Proteo das informaes dos registros de eventos
(logs)
ControleAs informaes dos registros de eventos (log) e seus
recursos devem ser protegidas contra acesso no autorizado e
adulterao.
A.12.4.3 Registros de eventos (log) de Administrador e
Operador.
ControleAs atividades dos administradores e operadores do
sistema devem ser registradas e os registros (logs) devem
serprotegidos e analisados criticamente, a intervalos
regulares.
A.12.4.4 Sincronizao dos relgios ControleOs relgios de todos os
sistemas de processamento de informaes relevantes, dentro da
organizao ou do domnio de segurana, devem ser sincronizados com uma
fonte de tempo precisa.
A.12.5 Controle de software operacionalObjetivo: Assegurar a
integridade dos sistemas operacionais.
A.12.5.1 Instalao de software nos sistemas operacionais
ControleProcedimentos para controlar a instalao de software em
sistemas operacionais devem ser implementados.
A.12.6 Gesto de vulnerabilidades tcnicasObjetivo: Prevenir a
explorao de vulnerabilidades tcnicas.
NAO TEM VALOR NORMATIVO 23/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.12.6.1 Gesto de vulnerabilidades tcnicas
ControleInformaes sobre vulnerabilidades tcnicas dos sistemas de
informao em uso, devem ser obtidas em tempo hbil, com a exposio da
organizao a estas vulnerabilidades avaliadas e tomadas as medidas
apropriadas para lidar com os riscos associados.
A.12.6.2 Restries quanto instalao de software
ControleRegras definindo critrios para a instalao de software
pelos usurios devem ser estabelecidas e implementadas.
A.12.7 Consideraes quanto auditoria de sistemas de
informaoObjetivo: Minimizar o impacto das atividades de auditoria
nos sistemas operacionais.
A.12.7.1 Controles de auditoria de sistemas de informao
ControleAs atividades e requisitos de auditoria envolvendo a
verificao nos sistemas operacionais devem ser cuidadosamente
planejados e acordados para minimizar interrupo nos processos do
negcio.
A.13 Segurana nas comunicaesA.13.1 Gerenciamento da segurana em
redesObjetivo: Assegurar a proteo das informaes em redes e dos
recursos de processamento da informao que os apoiam.
A.13.1.1 Controles de redes ControleAs redes devem ser
gerenciadas e controladas para proteger as informaes nos sistemas e
aplicaes.
A.13.1.2 Segurana dos servios de rede
ControleMecanismos de segurana, nveis de servio e requisitos de
gerenciamento de todos os servios de rede, devem ser identificados
e includos em qualquer acordo de servios de rede, tanto para
servios de rede providos internamente como para terceirizados.
A.13.1.3 Segregao de redes ControleGrupos de servios de
informao, usurios e sistemas de informao devem ser segregados em
redes.
A.13.2 Transferncia de informaoObjetivo: Manter a segurana da
informao transferida dentro da organizao e com quaisquer entidades
externas.
NAO TEM VALOR NORMATIVO 24/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A. 13.2.1 Polticas e procedimentos para transferncia de
informaes
ControlePolticas, procedimentos e controles de transferncias
formais, devem ser estabelecidos para proteger a transferncia de
informaes por meio do uso de todos os tipos de recursos de
comunicao.
A. 13.2.2 Acordos para transferncia de informaes
ControleDevem ser estabelecidos acordos para transferncia segura
de informaes do negcio entre a organizao e partes externas.
A.13.2.3 Mensagens eletrnicas ControleAs informaes que trafegam
em mensagens eletrnicas devem ser adequadamente protegidas.
A.13.2.4 Acordos de confidencialidade e no divulgao
ControleOs requisitos para confidencialidade ou acordos de no
divulgao que reflitam as necessidades da organizao para a proteo da
informao devem ser identificados, analisados criticamente e
documentados.
A.14 Aquisio, desenvolvimento e manuteno de sistemas A.14.1
Requisitos de segurana de sistemas de informaoObjetivo: Garantir
que a segurana da informao parte integrante de todo o ciclo de vida
dos sistemas de informao. Isto tambm inclui os requisitos para
sistemas de informao que fornecem servios sobre as redes
pblicas.
A. 14.1.1 Anlise e especificao dos requisitos de segurana da
informao
ControleOs requisitos relacionados com segurana da informao
devem ser includos nos requisitos para novos sistemas de informao
ou melhorias dos sistemas de informao existentes.
A. 14.1.2 Servios de aplicao seguros sobre redes pblicas
ControleAs informaes envolvidas nos servios de aplicao que
transitam sobre redes pblicas devem ser protegidas de atividades
fraudulentas, disputas contratuais e divulgao e modificaes no
autorizadas.
NAO TEM VALOR NORMATIVO 25/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.14.1.3 Protegendo as transaes nos aplicativos de servios
ControleInformaes envolvidas em transaes nos aplicativos de
servios devem ser protegidas para prevenir transmisses incompletas,
erros de roteamento, alteraes no autorizadas de mensagens, divulgao
no autorizada, duplicao ou reapresentao de mensagem no
autorizada.
A.14.2 Segurana em processos de desenvolvimento e de
suporteObjetivo: Garantir que a segurana da informao est projetada
e implementada no ciclo de vida de desenvolvimento dos sistemas de
informao.
A.14.2.1 Poltica de desenvolvimento seguro
ControleRegras para o desenvolvimento de sistemas e software
devem ser estabelecidas e aplicadas aos desenvolvimentos realizados
dentro da organizao.
A.14.2.2 Procedimentos para controle de mudanas de sistemas
ControleMudanas em sistemas dentro do ciclo de vida de
desenvolvimento devem ser controladas utilizando procedimentos
formais de controle de mudanas.
A.14.2.3 Anlise crtica tcnica das aplicaes aps mudanas nas
plataformas operacionais
ControleAplicaes crticas de negcios devem ser analisadas
criticamente e testadas quando plataformas operacionais so mudadas,
para garantir que no haver nenhum impacto adverso na operao da
organizao ou na segurana.
A.14.2.4 Restries sobre mudanas em pacotes de Software
ControleModificaes em pacotes de software devem ser
desencorajadas e devem estar limitadas s mudanas necessrias, e
todas as mudanas devem ser estritamente controladas.
A.14.2.5 Princpios para projetar sistemas seguros
ControlePrincpios para projetar sistemas seguros devem ser
estabelecidos, documentados, mantidos e aplicados para qualquer
implementao de sistemas de informao.
NAO TEM VALOR NORMATIVO 26/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.14.2.6 Ambiente seguro para desenvolvimento
ControleAs organizaes devem estabelecer e proteger adequadamente
os ambientes seguros de desenvolvimento, para os esforos de
integrao e desenvolvimento de sistemas, que cubram todo o ciclo de
vida de desenvolvimento de sistema
A. 14.2.7 Desenvolvimentoterceirizado
ControleA organizao deve supervisionar e monitorar as atividades
de desenvolvimento de sistemas terceirizado.
A.14.2.8 Teste de segurana do sistema
ControleTestes de funcionalidade de segurana devem ser
realizados durante o desenvolvimento de sistemas.
A.14.2.9 Teste de aceitao de sistemas
ControleProgramas de testes de aceitao e critrios relacionados
devem ser estabelecidos para novos sistemas de informao, atualizaes
e novas verses.
A.14.3 Dados para testeObjetivo: Assegurar a proteo dos dados
usados para teste.
A.14.3.1 Proteo dos dados para teste
ControleOs dados de teste devem ser selecionados com cuidado,
protegidos e controlados.
A.15 Relacionamento na cadeia de suprimentoA.15.1 Segurana da
informao na cadeia de suprimento.Objetivo: Garantir a proteo dos
ativos da organizao que so acessveis pelos fornecedores
A. 15.1.1 Poltica de segurana da informao no relacionamento com
os fornecedores
ControleRequisitos de segurana da informao para mitigar os
riscos associados com o acesso dos fornecedores aos ativos da
organizao devem ser acordados com o fornecedor e documentados.
A. 15.1.2 Identificando segurana da informao nos acordos com
fornecedores
ControleTodos os requisitos de segurana da informao relevantes
devem ser estabelecidos e acordados com cada fornecedor que possa
acessar, processar, armazenar, comunicar, ou prover componentes de
infraestrutura de TI para as informaes da organizao.
NAO TEM VALOR NORMATIVO 27/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.15.1.3 Cadeia de suprimento na tecnologia da comunicao e
informao
ControleAcordos com fornecedores devem incluir requisitos para
comtemplar os riscos de segurana da informao associados com a
cadeia de suprimento de produtos e servios de tecnologia das
comunicaes e informao.
A.15.2 Gerenciamento da entrega do servio do fornecedorObjetivo:
Manter um nvel acordado de segurana da informao e de entrega de
servios em consonncia com os acordos com fornecedores.
A.15.2.1 Monitoramento e anlise crtica de servios com
fornecedores
ControleA organizao deve monitorar, analisar criticamente e
auditar a intervalos regulares, a entrega dos servios executados
pelos fornecedores.
A.15.2.2 Gerenciamento de mudanas para servios com
fornecedores
ControleMudanas no provisionamento dos servios pelos
fornecedores, incluindo manuteno e melhoria das polticas de
segurana da informao, dos procedimentos e controles existentes,
devem ser gerenciadas, levando-se em conta a criticidade das
informaes do negcio, dos sistemas e processos envolvidos, e a
reavaliao de riscos.
A.16 Gesto de incidentes de segurana da informaoA.16.1 Gesto de
incidentes de segurana da informao e melhoriasObjetivo: Assegurar
um enfoque consistente e efetivo para gerenciar os incidentes de
segurana da informao, incluindo a comunicao sobre fragilidades e
eventos de segurana da informao.
A.16.1.1 Responsabilidades e procedimentos
ControleResponsabilidades e procedimentos de gesto devem ser
estabelecidos para assegurar respostas rpidas, efetivas e ordenadas
a incidentes de segurana da informao.
A.16.1.2 Notificao de eventos de segurana da informao
ControleOs eventos de segurana da informao devem ser relatados
atravs dos canais apropriados da direo, o mais rapidamente
possvel.
A.16.1.3 Notificando fragilidades de segurana da informao
ControleOs funcionrios e partes externas que usam os sistemas e
servios de informao da organizao, devem ser instrudos a registrar e
notificar quaisquer fragilidades de segurana da informao, suspeita
ou observada, nos sistemas ou servios.
NAO TEM VALOR NORMATIVO 28/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A. 16.1.4 Avaliao e deciso dos eventos de segurana da
informao
ControleOs eventos de segurana da informao devem ser avaliados e
deve ser decidido se eles so classificados como incidentes de
segurana da informao.
A. 16.1.5 Resposta aos incidentes de segurana da informao
ControleIncidentes de segurana da informao devem ser reportados
de acordo com procedimentos documentados.
A.16.1.6 Aprendendo com os incidentes de segurana da
informao
ControleOs conhecimentos obtidos da anlise e resoluo dos
incidentes de segurana da informao devem ser usados para reduzir a
probabilidade ou o impacto de incidentes futuros.
A. 16.1.7 Coleta de evidncias ControleA organizao deve definir e
aplicar procedimentos para a identificao, coleta, aquisio e
preservao das informaes, as quais podem servir como evidncias.
A.17 Aspectos da segurana da informao na gesto da continuidade
do negcio A.17.1 Continuidade da segurana da informaoObjetivo: A
continuidade da segurana da informao deve ser comtemplada nos
sistemas de gesto da continuidade do negocio da organizao.
A. 17.1.1 Planejando a continuidade da segurana da informao
ControleA organizao deve determinar seus requisitos para a
segurana da informao e a continuidade da gesto da segurana da
informao em situaes adversas, por exemplo, durante uma crise ou
desastre.
A. 17.1.2 Implementando a continuidade da segurana da
informao
ControleA organizao deve estabelecer, documentar, implementar e
manter processos, procedimentos e controles para assegurar o nvel
requerido de continuidade para a segurana da informao, durante uma
situao adversa.
A. 17.1.3 Verificao, anlise crtica e avaliao da continuidade da
segurana da informao
ControleA organizao deve verificar os controles de continuidade
da segurana da informao, estabelecidos e implementados, intervalos
regulares, para garantir que eles so vlidos e eficazes em situaes
adversas.
NAO TEM VALOR NORMATIVO 29/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.17.2 RedundnciasObjetivo: Assegurar a disponibilidade dos
recursos de processamento da informao.
A.17.2.1 Disponibilidade dos recursos de processamento da
informao
ControleOs recursos de processamento da informao devem ser
implementados com redundncia suficiente para atender aos requisitos
de disponibilidade.
A.18 ConformidadeA.18.1 Conformidade com requisitos legais e
contratuaisObjetivo:Evitar violao de quaisquer obrigaes legais,
estatutrias, regulamentares ou contratuais relacionadas segurana da
informao e de quaisquer requisitos de segurana.
A.18.1.1 Identificao da legislao aplicvel e de requisitos
contratuais
ControleTodos os requisitos legislativos estatutrios,
regulamentares e contratuais relevantes, e o enfoque da organizao
para atender a esses requisitos, devem ser explicitamente
identificados, documentados e mantidos atualizados para cada
sistema de informao da organizao.
A.18.1.2 Direitos de propriedade intelectual
ControleProcedimentos apropriados devem ser implementados para
garantir a conformidade com os requisitos legislativos,
regulamentares e contratuais relacionados com os direitos de
propriedade intelectual, e sobre o uso de produtos de software
proprietrios.
A.18.1.3 Proteo de registros ControleRegistros devem ser
protegidos contra perda, destruio, falsificao, acesso no autorizado
e liberao no autorizada, de acordo com os requisitos
regulamentares, estatutrios, contratuais e do negcio.
A.18.1.4 Proteo e privacidade de informaes de identificao de
pessoal
ControleA privacidade e proteo das informaes de identificao
pessoal elevem ser asseguradas conforme requerido por legislao e
regulamentao pertinente, quando aplicvel.
A.18.1.5 Regulamentao de controles de criptografia
ControleControles de criptografia devem ser usados em
conformidade com todas as leis, acordos, legislao e regulamentaes
pertinentes.
NAO TEM VALOR NORMATIVO 30/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tabela A.1 (continuao)
A.18.2 Anlise crtica da segurana da informaoObjetivo: Garantir
que a segurana da informao est implementada e operada de acordo com
as polticas e procedimentos da organizao.
A.18.2.1 Anlise crtica independente da segurana da informao
Controle0 enfoque da organizao para gerenciar a segurana da
informao e a sua implementao (por exemplo, controles, objetivo dos
controles, polticas, processos e procedimentos para a segurana da
informao) deve ser analisado criticamente, de forma independente, a
intervalos planejados, ou quando ocorrerem mudanas
significativas.
A.18.2.2 Conformidade com as polticas e normas de segurana da
informao
ControleOs gestores devem analisar criticamente, a intervalos
regulares, a conformidade dos procedimentos e do processamento da
informao, dentro das suas reas de responsabilidade, com as normas e
polticas de segurana e quaisquer outros requisitos de segurana da
informao.
A.18.2.3 Anlise crtica da conformidade tcnica
ControleOs sistemas de informao devem ser analisados
criticamente, a intervalos regulares, para verificar a conformidade
com as normas e polticas de segurana da informao da organizao.
NAO TEM VALOR NORMATIVO 31/32
-
ABNT/CB-21PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Bibliografia
[1] ABNT NBR ISO IEC 27002:2013, Tecnologia da Informao-Tcnicas
de Segurana - Cdigo de Prtica para controles de segurana da
informao
[2] ABNT NBR ISO IEC 27003:2011- Tecnologia da Informao-Tcnicas
de Segurana - Diretrizes para implantao de um sistema de gesto da
segurana da informao
[3] ABNT NBR ISO/IEC 27004:2010, Tecnologia da informao Tcnicas
de segurana Gesto da segurana da informao Medio
[4] ABNT NBR ISO/IEC 27005:2011, Tecnologia da informao Tcnicas
de segurana Gesto de riscos de segurana da informao
[5] ABNT NBR ISO 31000:2009, Gesto de riscos - Princpios e
diretrizes
[6] ISO IEC Directives, Part 1 Consolidated ISO Supplement -
Procedures specific to ISO :2012
Sistemas de Gesto