NORMA ABNT NBR BRASILEIRA ISO/IEC 27002 Primeira edigao 31.08.2005 Valida a partir de ‘30.09.2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao Information technology - Security technical - Code of pratice for information security management Palevras-chave: Tecnologia dainformacdo. Seguranga Dosertors Information fochnology. Security ICS 35.040 ISBN 978-85-07-00648-0 @ associat Namero de referéncia BENOHIAS ABNT NBR ISOIIEC 27002:7005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 27002:2005 © ABNT 2005 Todos 06 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagéo pode ser reproduzida ‘ou por qualquer meio, eletrénico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tol: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.aont.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditelios reservadosABNT NBR ISO/IEC 27002:2005 Prefacio Nacional ‘A Associagto Brasileira de Normas Técnicas (ABNT) & 0 Foro Nacional de Normalizagso. As Normas Brasileiras, cujo contetido @ de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) © das Comissées de Estudo Especiais Temporarias (ABNT/CEET), sao elaboradas por Comissées de Estudo (CE), formadas por representantes dos selores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratérios e outros). (Os Documentos Técnicos ABNT sao elaborados conforme as regras da Diretivas ABNT, Parte 2. ‘A Associacao Brasileira de Normas Técnicas (ABNT) chama atencao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsavel pela identificagdo de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27002 foi elaborada no Comité Brasileiro de Computadores @ Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalag5es de Informatica (CE-21:027.00). Esta Norma 6 uma adogao idéntica, em contetido técnico, estrutura e redacéo, & ISO 27002:2008, que foi elaborada pelo Comité Técnico Information technology (ISO/IEC JTC 1), Subcomité SC 27, Security techniques, conforme ISO/IEC Guide 21-1:2005, Esta primeira edigio da ABNT NBR ISO/IEC 27002 compreende a ABNT NBR ISO/IEC 17799:2005 (Verséo Corrigida de 02.07.2007) @ a Errata 2 de 10.09.2007. Seu contetido técnico é idéntico ao da ABNT NBR ISO/IEC 17799:2005 (Verso Corrigida de 02.07.2007). A Errata 2:2007 altera 0 numero de referéncia da norma de 17799 para 27002. A ABNT NBR ISO/IEC 17799:2005 e a Errata 2:2007 sero provisoriamente mantidas até a publicagao da segunda edigdo da ABNT NBR ISO/IEC 27002, GABNT 2005 - Todos 08 alitvilos reservados tiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 ERRATA 2 Publicada em 10.09.2007 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao ERRATA 2 Esta Errata 2 da ABNT NBR ISO/IEC 17799:2005, elaborada pela Comissdo de Estudo de Seguranga Fisica fem Instalagdes de Informatica (CE-21:027.00), tem por objetivo adotar 0 Technical Corrigendum 1 da ISOMEC 17799:2005. Em todo 0 documento: ‘Substituir “17799" por “27002" Ics 35.040 Ref.: ABNT NBR ISO/IEC 17799:2005/Err.2:2007 ‘© ABNT 2007 — Todos 08 direitos reservados 4NORMA ABNT NBR BRASILEIRA ISO/IEC 17799 ‘Segunda edigao 31.08.2005 Valida a partir de ‘30.09.2005 Verso corrigida 02.07.2007 Tecnologia da informagao — Técnicas de seguranga — Codigo de pratica para a gestao da seguranga da informagao Information technology — Security technical - Code of pratice for information security management Palavras-chave: Tecnologia da informago. Seguranga. Descriptors: Information technology. Security. Ics 35.040 ISBN 978-85-07-00519-3, assoccio Numero de referéneia DENORMAS ABNT NBR ISO/IEC 17799:2005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 17799:2005 © ABNT 2005 Todos 08 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida ‘04 por qualquer meio, eletrdnico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. ‘Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tel: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.abnt.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditetos reservadosABNT NBR ISO/IEC 17799:2005 Sumario Pagina Prefacio Nacional. o oO 02 03 04 05 Introdugao. . © que é seguranca da informagao?..... Por que a seguranga da informagao é necessaria?. Como estabelecer requisitos de seguranca da informagao Analisandolavaliando os riscos de seguranga da informacao.. ‘Selegao de controles. Ponto de partida para a seguranga da informagio..... Fatores criticos de sucesso ... Desenvolvendo suas préprias diretrizes Objetivo Termos e defini¢des Estrutura desta Norma.. Segces : Principais categorias de seguranga da Informagao ... Anilise/avaliagao e tratamento de riscos Analisandolavaliando os riscos de seguranga da informagao.. Tratando 08 riscos de seguranga da informacao Politica de seguranga da informagao... Politica de seguranca da informagao. Documento da politica de seguranga da informagao. Analise critica da politica de seguranca da informagao Organizando a seguranga da informaga Organizagao interna ‘Comprometimento da direcdo com a seguranga da Informacao ... Coordenagao da seguranca da informagao.. Atribuigao de responsabilidades para a seguranga da informagao Processo de autorizacao para os recursos de processamento da informacao ... Acordos de confidencialidade Contato com autoridades Contato com grupos especials Andlise critica independente de seguranga da informagao. Partes externas. Identificacdo dos riscos relacionados com partes externas. Identificando a seguranca da informagao, quando tratando com os clientes. Identificando seguranca da informagdo nos acordos com terceiros. Gestao de ativos... Responsabilidade pelos ativos. Inventério dos ativos. Proprietario dos ativos.... Uso aceitavel dos ativos. Classificagao da informagao Recomendagées para classificagao.... Rétulos e tratamento da informagao... ‘Seguranga em recursos humanos.. Antes da contratagao .... Papéls e responsabilidades ... Selegao . Termos e condigées de contratagao L©ABNT 2005 - Todos oe alto tos reservados iABNT NBR ISO/IEC 17799:2005 82 824 822 823 83 83.4 Durante a contratacao. Responsabilidades da direcao. Conscientizagao, educagao e treinamento em seguranga da informagao. Processo disciplinar.. Encerramento ou mudanca da contratacao.. Encerramento de atividades.. Devolugao de ativos. Retirada de direitos de acesso... Seguranga fisica o do ambiente. Areas seguras.. Perimetro de seguranca fisica ... Controles de entrada fisica ‘Seguranca em escritérios, salas e instalacoes Protecao contra ameacas externas e do meio ambiente ... Trabalhando em areas seguras.. Acesso do pubblico, areas de entrega e de carregamento.. Seguranca de equipamentos. Instalagao e protege do equipamento... Utilidades. ‘Seguranca do cabeamento.. Manutengao dos equipamentos. Seguranga de equipamentos fora das dependéncias da organizagao Reutilizagao e alienacao segura de equipamentos... Remosao de propriedade.... Gerenclamento das operagées e comunicagées. Procedimentos e responsabilidades operacionais... Documentagao dos procedimentos de operacao Gestao de mudancas. Segregacdo de funcoes ‘Separagdo dos recursos de desenvolvimento, teste e de produgao.. Gerenciamento de servicos terceirizados Entrega de servicos. Monitoramento e andlise critica de servigos terceirizados... Gerenciamento de mudangas para servicos terceirizados. Planejamento e aceitagao dos sistemas. Gestdo de capacidade... Aceitacao de sistemas Protecdo contra cédigos maliciosos e cédigos moveis .. Controles contra cédigos maliciosos Controles contra cédigos méveis. Cépias de seguranga. Cépias de seguranca das informacées.. Gerenciamento da seguranga em redes Controles de redes Seguranca dos servicos de rede Manuseio de midias. Gerenciamento de midias removiveis. Descarte de midias. Procedimentos para tratamento de informaga Seguranga da documentacao dos sistemas. Troca de informagées ... Politicas e procedimentos para troca de informagées. Acordos para a troca de informacées. Midias em transito Mensagens eletrénicas Sistemas de informagées do negécio. Servigos de comércio eletrénico .. Comércio eletrénico... Transagées on-line. Informagées publicamente disponiveis. (GABNT 2005 - Todos 08 dvotos reservados