Curso GSI Novo 27002

Curso Terico
Gesto de Segurana da Informao

Prticas de um Sistema de Gesto de
Segurana da Informao:
Norma ABNT NBR ISO/IEC 2!!2

"rof# T$iago %agur&
Mais materiais: www.provasdeti.com.br
Rede social dos concurseiros de TI: www.itnerante.com.br

O Professor
T$iago %agur&
Ana'ista de Inf# do (") *+o 'ugar 2!,!-.
(BA em Gesto /e'a %G01R2.
Certificado em Iti' 02 e Scrum (aster.
A/ro3ado em di3ersos concursos4 entre e'es5

A6EGO4 ("GO4 Ser/ro4 7ata/re34
(EC/INE"4 TR%,4 A/e84 AGAN"4 TC(/GO4 etc#
9t$iagofagur& *t:itter-
:::#fagur&#com#;r *;'og-
t$iago9fagur&#com#;r *mai'/gta'<-

As normas
NBR ISO/IEC 2!!, 1 Re=uisitos /ara im/'antar

um SGSI *antiga BS>>52-
NBR ISO/IEC 2!!2 *,>>- 1 "r?ticas /ara a

gesto de SI *antiga BS>>5,-
NBR ISO/IEC 2!!@ 1 Gesto de riscos de SI
2!!+ e 2!!A 1 Gesto de SI *(edio- e Guia

de Im/'# SGSI
2!!B e 2!! 1 Re=uisitos e 7iretriCes /ara

auditoria de um SGSI
,@>>>5, e ,@>>>52 1 Gesto de Continuidade de

Negcios *Cdigo de "r?tica e Re=uisitos-

ABNT NBR ISO/IEC 2!!2
Prticas para um SGSI:
O;Deti3os de contro'e e contro'es

!# INTRO7)EFO
,# OB2ETI0O
2# TER(OS E 7E%INIEGES
A# ESTR)T)RA 7A NOR(A
+# ANH6ISE/A0A6IAEFO E TRATA(ENTO 7E RISCOS
@# "O6ITICA 7E SEG)RANEA 7A IN%OR(AEFO
B# ORGANIJAN7O A SEG)RANEA 7A IN%OR(AEFO
# GESTFO 7E ATI0OS
K# SEG)RANEA E( REC)RSOS L)(ANOS
># SEG)RANEA %ISICA E 7O A(BIENTE
,!# GERENCIA(ENTO 7AS O"ERAEGES E CO()NICAEGES
,,# CONTRO6E 7E ACESSOS
,2# AM)ISIEFO4 7ESEN0O60I(ENTO E (AN)TENEFO 7E SISTE(AS
,A# GESTFO 7E INCI7ENTES 7E SEG)RANEA 7A IN%OR(AEFO
,+# GESTFO 7A CONTIN)I7A7E 7O NEGNCIO
,@# CON%OR(I7A7E
27002 - Estrutura

0 Introduo
1 A informao O um ati3o =ue4 como =ua'=uer outro
ati3o im/ortante4 O essencia' /ara os negcios de
uma organiCao e conse=Pentemente necessita
ser ade=uadamente /rotegida#
1 A informao /ode ser im/ressa ou escrita em
/a/e'4 armaCenada e'etronicamente4 transmitida
/e'o correio ou /or meios e'etrQnicos4 a/resentada
em fi'mes ou fa'ada em con3ersas#
1 Segurana da informao O a /roteo da
informao de 3?rios ti/os de ameaas /ara
garantir a continuidade do negcio4 minimiCar o
risco ao negcio4 ma8imiCar o retorno so;re os
in3estimentos e as o/ortunidades de negcio#

1 A segurana da informao O o;tida a /artir da
im/'ementao de um conDunto de contro'es
ade=uados4 inc'uindo /o'Rticas4 /rocessos4
/rocedimentos4 estruturas organiCacionais e
funSes de soft:are e $ard:are#
1 Estes contro'es /recisam ser EIO(A((#
1 %ontes de re=uisitos de SI5
T An?'ise/A3a'iao de Riscos.
T 6egis'ao e normas 3igentes.
T "rincR/ios e o;Deti3os de negcio#
0 Introduo

0 Introduo
1 Os re=uisitos de segurana da informao so
identificados /or meio de uma an?'ise/a3a'iao
sistem?tica dos riscos de segurana da informao#
1 Os gastos com os contro'es /recisam ser
;a'anceados de acordo com os danos causados
aos negcios gerados /e'as /otenciais fa'$as na
segurana da informao#
1 Con3Om =ue a an?'ise/a3a'iao de riscos seDa
re/etida /eriodicamente /ara contem/'ar =uais=uer
mudanas =ue /ossam inf'uenciar os resu'tados
desta an?'ise/a3a'iao#

Se!eo de contro!es:
1 Os contro'es /odem ser se'ecionados a /artir desta
Norma ou de um outro conDunto de contro'es ou no3os
contro'es /odem ser desen3o'3idos /ara atender Us
necessidades es/ecRficas4 conforme a/ro/riado.
1 A se'eo de contro'es de segurana da informao
de/ende das decisSes da organiCao4 ;aseadas nos
critOrios /ara aceitao de risco4 nas o/Ses /ara
tratamento do risco e no enfo=ue gera' da gesto de risco
a/'icado U organiCao.
1 Con3Om serem o;ser3ados re=uisitos de conformidade#
0 Introduo

0 Introduo
Ponto de partida para a SI:
Os contro'es considerados essenciais /ara uma
organiCao4 so; o /onto de 3ista 'ega'4 inc'uem4
de/endendo da 'egis'ao a/'ic?3e'5
a- /roteo de dados e /ri3acidade de informaSes
/essoais.
;- /roteo de registros organiCacionais.
c- direitos de /ro/riedade inte'ectua'#
Os contro'es considerados /r?ticas /ara a SI inc'uem5
a- documento da /o'Rtica de segurana da informao.
;- atri;uio de res/onsa;i'idades /ara a SI.
c- conscientiCao4 educao e treinamento em SI.

0 Introduo
d- /rocessamento correto nas a/'icaSes.
e- gesto de 3u'nera;i'idades tOcnicas.
f- gesto da continuidade do negcio.
g- gesto de incidentes de SI e me'$orias#
1 Esses contro'es se a/'icam /ara a maioria das
organiCaSes e na maioria dos am;ientes#
1 A/esar deste ser um /onto de /artida4 O
recomend?3e' a se'eo de contro'es com ;ase na
an?'ise/a3a'iao de riscos#

"atores cr#ticos de sucesso:
a- /o'Rtica de segurana da informao4 o;Deti3os e
ati3idades4 =ue ref'itam os o;Deti3os do negcio.
;- uma a;ordagem e uma estrutura /ara a im/'ementao4
manuteno4 monitoramento e me'$oria da segurana da
informao =ue seDa consistente com a cu'tura
organiCaciona'.
c- com/rometimento e a/oio 3isR3e' dos nR3eis gerenciais.
d- um ;om entendimento dos re=uisitos de segurana da
informao4 da an?'ise/a3a'iao de riscos e da gesto de
risco.
0 Introduo

0 Introduo
e- di3u'gao eficiente da segurana da informao
/ara todos os gerentes4 funcion?rios e outras /artes
en3o'3idas /ara se a'canar a conscientiCao.
f- distri;uio de diretriCes e normas so;re a /o'Rtica
de segurana da informao /ara todos os gerentes4
funcion?rios e outras /artes en3o'3idas.
g- /ro3iso de recursos financeiros /ara as
ati3idades da gesto de segurana da informao.

0 Introduo
$- /ro3iso de conscientiCao4 treinamento e
educao ade=uados.
i- esta;e'ecimento de um eficiente /rocesso de
gesto de incidentes de segurana da informao.
D- im/'ementao de um sistema de medio4 =ue
seDa usado /ara a3a'iar o desem/en$o da gesto
da segurana da informao e o;teno de
sugestSes /ara a me'$oria#

$ O%&eti'o
Esta Norma esta;e'ece diretriCes e /rincR/ios
gerais /ara II(an(e a gesto de segurana da
informao em uma organiCao# Os o;Deti3os
definidos nesta Norma /ro3Vem diretriCes gerais
so;re as metas gera'mente aceitas /ara a gesto
da segurana da informao#
II(an(e5 iniciar4 im/'ementar4 manter e
me'$orar

2 (ermos e defini)es
2*$ ati'o
=ua'=uer coisa =ue ten$a 3a'or /ara a organiCao
2*2 contro!e
forma de gerenciar o risco4 inc'uindo /o'Rticas4
/rocedimentos4 diretriCes4 /r?ticas ou estruturas
organiCacionais4 =ue /odem ser de natureCa administrati3a4
tOcnica4 de gesto ou 'ega'
NOTA5 Contro'e O tam;Om usado como um sinQmino /ara /roteo
ou contramedida#
2*+ diretri,
descrio =ue orienta o =ue de3e ser feito e como4 /ara se
a'canarem os o;Deti3os esta;e'ecidos nas /o'Rticas

2*- recursos de processamento da
informao
=ua'=uer sistema de /rocessamento da
informao4 ser3io ou infra1estrutura4 ou as
insta'aSes fRsicas =ue os a;riguem
2*. segurana da informao
/reser3ao da confidencia'idade4 da integridade
e da dis/oni;i'idade da informao.
adiciona'mente4 outras /ro/riedades4 tais como
autenticidade4 res/onsa;i'idade4 no re/Wdio e
confia;i'idade4 /odem tam;Om estar en3o'3idas

2*/ e'ento de segurana da informao
ocorrVncia identificada de um sistema4 ser3io ou rede4 =ue
indica uma /ossR3e' 3io'ao da /o'Rtica de segurana da
informao ou fa'$a de contro'es4 ou uma situao
/re3iamente descon$ecida4 =ue /ossa ser re'e3ante /ara a
segurana da informao
2*7 incidente de segurana da informao
um incidente de segurana da informao O indicado /or um
sim/'es ou /or uma sOrie de e3entos de segurana da
informao indeseDados ou ines/erados4 =ue ten$am uma
grande /ro;a;i'idade de com/rometer as o/eraSes do
negcio e ameaar a segurana da informao
2*0 po!#tica
intenSes e diretriCes g'o;ais forma'mente e8/ressas /e'a
direo

2*1 risco
com;inao da /ro;a;i'idade de um e3ento e de suas
conse=PVncias
2*$0 an!ise de riscos
uso sistem?tico de informaSes /ara identificar fontes e
estimar o risco
2*$$ an!ise2a'a!iao de riscos
/rocesso com/'eto de an?'ise e a3a'iao de riscos
2*$2 a'a!iao de riscos
/rocesso de com/arar o risco estimado com critOrios de
risco /rO1definidos /ara determinar a im/ortXncia do risco

2*$+ gesto de riscos
ati3idades coordenadas /ara direcionar e contro'ar uma
organiCao no =ue se refere a riscos
NOTA5 A gesto de riscos gera'mente inc'ui a an?'ise/a3a'iao de
riscos4 o tratamento de riscos4 a aceitao de riscos e a comunicao
de riscos#
2*$- tratamento do risco
/rocesso de se'eo e im/'ementao de medidas /ara
modificar um risco
2*$. terceira parte
/essoa ou organismo recon$ecido como inde/endente
das /artes en3o'3idas4 no =ue se refere a um dado
assunto

2*$/ ameaa
causa /otencia' de um incidente indeseDado4
=ue /ode resu'tar em dano /ara um sistema
ou organiCao
2*$7 'u!nera%i!dade
fragi'idade de um ati3o ou gru/o de ati3os
=ue /ode ser e8/'orada /or uma ou mais
ameaas

+ Estrutura
1 ,, seSes de contro'es de segurana 4 tota'iCando
A> categorias /rinci/ais de segurana e seo
/re'iminar =ue trata a an?'ise/a3a'iao e o tratamento
de riscos#
1 A norma a/resenta A> o;Deti3os de contro'e
*categorias- e ,AA contro'es de segurana#
1 A ordem das seSes no segue grau de im/ortXncia 4
ficando a cargo de cada organiCao identificar as
seSes a/'ic?3eis e a re'e3Xncia de cada uma#
1 Cada categoria /rinci/a' de segurana da informao
contOm um o;Deti3o de contro'e =ue define o =ue de3e
ser a'canado. e um ou mais contro'es =ue /odem ser
a/'icados /ara se a'canar o o;Deti3o do contro'e#

Estrutura das Se)es
1 O;Deti3o do contro'e5 o =ue de3e ser a'canado.
1 Contro'e5 contro'e a ser im/'ementado /ara
atender o o;Deti3o do contro'e.
1 7iretriCes5 informaSes mais deta'$adas /ara
a/oiar a im/'ementao do contro'e.
1 InformaSes adicionais5 informaSes =ue /odem
ser consideradas na im/'ementao do contro'e4
tais como as/ectos 'egais e referVncias a outras
normas#
+ Estrutura

- An!*2A'a!* E (ratamento de 3iscos
1 Con3Om =ue as an?'ises/a3a'iaSes de riscos
identifi=uem4 =uantifi=uem e /rioriCem os riscos com ;ase
em critOrios /ara aceitao dos riscos e dos o;Deti3os
re'e3antes /ara a organiCao#
1 Con3Om =ue a an?'ise/a3a'iao de riscos inc'ua um
enfo=ue sistem?tico de estimar a magnitude do risco
*an?'ise de riscos- e o /rocesso de com/arar os riscos
estimados contra os critOrios de risco /ara determinar a
significXncia do risco *a3a'iao do risco-#
1 Con3Om =ue as an?'ises/a3a'iaSes de riscos tam;Om
seDam rea'iCadas /eriodicamente4 /ara contem/'ar as
mudanas nos re=uisitos de segurana da informao e na
situao de risco4 ou seDa4 nos ati3os4 ameaas4
3u'nera;i'idades4 im/actos4 a3a'iao do risco e =uando
uma mudana significati3a ocorrer#

- An!*2A'a!* E (ratamento de 3iscos
1 Antes de considerar o tratamento de um risco4 a
organiCao de3e definir os critOrios /ara a3a'iar
se os riscos /odem ser ou no aceitos.
1 "ara cada risco identificado4 uma deciso de
tratamento de3e ser tomada.
1 O/Ses de tratamento5
TA/'icar contro'es /ara a reduo do risco.
TCon$ecer o;Deti3amente e aceitar o risco.
TE3itar os riscos4 /roi;indo aSes =ue /ossam
causar o risco.
TTransferir /ara outras /artes *E85 Seguradoras-#

. Po!#tica de Segurana da Informao
.*$ Po!#tica de segurana da informao
O%&eti'o5 "ro3er uma orientao e a/oio da direo /ara a
segurana da informao de acordo com os re=uisitos do
negcio e com as 'eis e regu'amentaSes re'e3antes#
@#,#, 7ocumento da /o'Rtica de segurana da informao
4ontro!e: Con3Om =ue um documento da /o'Rtica de
segurana da informao seDa a/ro3ado /e'a direo4
/u;'icado e comunicado /ara todos os funcion?rios e /artes
e8ternas re'e3antes#
@#,#2 An?'ise crRtica da /o'Rtica de segurana da informao
4ontro!e: Con3Om =ue a /o'Rtica de segurana da
informao seDa ana'isada criticamente a inter3a'os
/'aneDados ou =uando mudanas significati3as ocorrerem4
/ara assegurar a sua contRnua /ertinVncia4 ade=uao e
efic?cia#

/ - Organi,ando a segurana da informao
/*$ Infra-estrutura da segurana da informao
O%&eti'o5 Gerenciar a segurana da informao dentro da
organiCao#
B#,#, Com/rometimento da direo com a segurana da
informao
4ontro!e: Con3Om =ue a direo a/ie ati3amente a
segurana da informao dentro da organiCao4 /or
meio de um c'aro direcionamento4 demonstrando o seu
com/rometimento4 definindo atri;uiSes de forma
e8/'Rcita e con$ecendo as res/onsa;i'idades /e'a


B#,#2 Coordenao da segurana da informao
4ontro!e5 Con3Om =ue as ati3idades de segurana da
informao seDam coordenadas /or re/resentantes de
diferentes /artes da organiCao4 com funSes e /a/Ois
re'e3antes#
B#,#A Atri;uio de res/onsa;i'idades /ara a segurana da
informao
4ontro!e5 Con3Om =ue todas as res/onsa;i'idades /e'a
segurana da informao esteDam c'aramente definidas#
B#,#+ "rocesso de autoriCao /ara os recursos de
/rocessamento da informao
4ontro!e: Con3Om =ue seDa definido e im/'ementado um
/rocesso de gesto de autoriCao /ara no3os recursos de
/rocessamento da informao#


B#,#@ Acordos de confidencia'idade
4ontro!e: 4on'5m 6ue os re6uisitos para
confidencia!idade ou acordos de no di'u!gao 6ue
ref!itam as necessidades da organi,ao para a
proteo da informao se&am identificados e
ana!isados criticamente7 de forma regu!ar*
B#,#B Contato com autoridades
4ontro!e5 Con3Om =ue contatos a/ro/riados com
autoridades re'e3antes seDam mantidos#
B#,# Contato com gru/os es/eciais
4ontro!e5 Con3Om =ue seDam mantidos contatos
a/ro/riados com gru/os de interesses es/eciais ou outros
fruns es/ecia'iCados de segurana da informao e
associaSes /rofissionais#

/*2 Partes e8ternas
O%&eti'o5 (anter a segurana dos recursos de
/rocessamento da informao e da informao da
organiCao4 =ue so acessados4 /rocessados4
comunicados ou gerenciados /or /artes e8ternas#

B#2#, Identificao dos riscos re'acionados com /artes e8ternas
4ontro!e: Con3Om =ue os riscos /ara os recursos de
/rocessamento da informao e da informao da organiCao
oriundos de /rocessos do negcio =ue en3o'3a as /artes
e8ternas seDam identificados e contro'es a/ro/riados
im/'ementados antes de se conceder o acesso#


B#2#2 Identificando a segurana da informao4 =uando
tratando com os c'ientes
4ontro!e: Con3Om =ue todos os re=uisitos de segurana da
informao identificados seDam considerados antes de
conceder aos c'ientes o acesso aos ati3os ou Us
informaSes da organiCao#
B#2#A Identificando segurana da informao nos acordos
com terceiros
4ontro!e: Con3Om =ue os acordos com terceiros
en3o'3endo o acesso4 /rocessamento4 comunicao ou
gerenciamento dos recursos de /rocessamento da
informao ou da informao da organiCao4 ou o
acrOscimo de /rodutos ou ser3ios aos recursos de
/rocessamento da informao cu;ram todos os re=uisitos de
segurana da informao re'e3antes#

7 Gesto de ati'os
7*$ 3esponsa%i!idade pe!os ati'os

O%&eti'o5 A'canar e manter a /roteo ade=uada dos ati3os da
organiCao#
#,#, In3ent?rio dos ati3os
4ontro!e: Con3Om =ue todos os ati3os seDam c'aramente
identificados e um in3ent?rio de todos os ati3os im/ortantes seDa
estruturado e mantido#
#,#2 "ro/riet?rio dos ati3os
4ontro!e5 Con3Om =ue todas as informaSes e ati3os associados
com os recursos de /rocessamento da informao ten$am um
/ro/riet?rio

designado /or uma /arte definida da organiCao#
#,#A )so aceit?3e' dos ati3os
4ontro!e5 Con3Om =ue seDam identificadas4 documentadas e
im/'ementadas regras /ara =ue seDam /ermitidos o uso de
informaSes e de ati3os associados aos recursos de

7 Gesto de ati'os
7*2 4!assificao da informao
O%&eti'o5 Assegurar =ue a informao rece;a um nR3e'
ade=uado de /roteo#
#2#, RecomendaSes /ara c'assificao
4ontro!e: Con3Om =ue a informao seDa c'assificada em
termos do seu 3a'or4 re=uisitos 'egais4 sensi;i'idade e
criticidade /ara a organiCao#
#2#2 Rtu'os e tratamento da informao
4ontro!e: Con3Om =ue um conDunto a/ro/riado de
/rocedimentos /ara rotu'ao e tratamento da informao
seDa definido e im/'ementado de acordo com o es=uema de
c'assificao adotado /e'a organiCao#

InformaSes adicionais5
E8istem 3?rios ti/os de ati3os4 inc'uindo5
a- ati'os de informao5 ;ase de dados e ar=ui3os4 contratos e
acordos4 documentao de sistema4 informaSes so;re /es=uisa4
manuais de usu?rio4 dados armaCenados4 /'anos e /rocedimentos4
etc.
;- ati'os de soft9are5 a/'icati3os4 sistemas4 ferramentas de
desen3o'3imento e uti'it?rios.
c- ati'os f#sicos5 e=ui/amentos com/utacionais4 e=ui/amentos de
comunicao4 mRdias remo3R3eis e outros e=ui/amentos.
d- ser'ios5 ser3ios de com/utao e comunicaSes4 uti'idades
gerais4 /or e8em/'o a=uecimento4 i'uminao4 e'etricidade e
refrigerao.
e- pessoas e suas 6ua!ifica)es4 $a;i'idades e e8/eriVncias.
f- intang#'eis4 tais como a re/utao e a imagem da organiCao
7 Gesto de ati'os

0 - Segurana em recursos :umanos
0*$ Antes da contratao
O%&eti'o5 Assegurar =ue os funcion?rios4 fornecedores e
terceiros entendam suas res/onsa;i'idades e esteDam de
acordo com os seus /a/Ois4 e reduCir o risco de rou;o4
fraude ou mau uso de recursos#
K#,#, "a/Ois e res/onsa;i'idades
4ontro!e5 Con3Om =ue /a/Ois e res/onsa;i'idades /e'a
segurana da informao de funcion?rios4 fornecedores e
terceiros seDam definidos e documentados de acordo com
a /o'Rtica de segurana da informao da organiCao#

K#,#2 Se'eo
4ontro!e: Con3Om =ue 3erificaSes de contro'e de todos os
candidatos a em/rego4 fornecedores e terceiros seDam
rea'iCadas de acordo com as 'eis re'e3antes4 regu'amentaSes
e Oticas4 e /ro/orciona' aos re=uisitos do negcio4 U
c'assificao das informaSes a serem acessadas e aos
riscos /erce;idos#
K#,#A Termos e condiSes de contratao
4ontro!e5 Como /arte das suas o;rigaSes contratuais4
con3Om =ue os funcion?rios4 fornecedores e terceiros
concordem e assinem os termos e condiSes de sua
contratao /ara o tra;a'$o4 os =uais de3em dec'arar as suas
res/onsa;i'idades e a da organiCao /ara a segurana da
informao

0*2 ;urante a contratao
O%&eti'o5 Assegurar =ue os funcion?rios4 fornecedores e
terceiros esto conscientes das ameaas e /reocu/aSes
re'ati3as U segurana da informao4 suas res/onsa;i'idades
e o;rigaSes4 e esto /re/arados /ara a/oiar a /o'Rtica de
segurana da informao da organiCao durante os seus
tra;a'$os normais4 e /ara reduCir o risco de erro $umano#
K#2#, Res/onsa;i'idades da direo
4ontro!e: Con3Om =ue a direo so'icite aos funcion?rios4
fornecedores e terceiros =ue /rati=uem a segurana da
informao de acordo com o esta;e'ecido nas /o'Rticas e
/rocedimentos da organiCao#

K#2#2 ConscientiCao4 educao e treinamento em
4ontro!e: Con3Om =ue todos os funcion?rios da
organiCao e4 onde /ertinente4 fornecedores e terceiros
rece;am treinamento a/ro/riados em conscientiCao4 e
atua'iCaSes regu'ares nas /o'Rticas e /rocedimentos
organiCacionais4 re'e3antes /ara as suas funSes#
K#2#A "rocesso disci/'inar
4ontro!e5 Con3Om =ue e8ista um /rocesso disci/'inar forma'
/ara os funcion?rios =ue ten$am cometido uma 3io'ao da

0*+ Encerramento ou mudana da contratao
O%&eti'o5 Assegurar =ue funcion?rios4 fornecedores e
terceiros dei8em a organiCao ou mudem de tra;a'$o de
forma ordenada#
K#A#, Encerramento de ati3idades
4ontro!e: Con3Om =ue res/onsa;i'idades /ara rea'iCar o
encerramento ou a mudana de um tra;a'$o seDam
c'aramente definidas e atri;uRdas#
K#A#2 7e3o'uo de ati3os
4ontro!e5 Con3Om =ue todos os funcion?rios4
fornecedores e terceiros de3o'3am todos os ati3os da
organiCao =ue esteDam em sua /osse4 a/s o
encerramento de suas ati3idades4 do contrato ou acordo#

0*+ Encerramento ou mudana da contratao
K#A#A Retirada de direitos de acesso
4ontro!e: Con3Om =ue os direitos de acesso de todos
os funcion?rios4 fornecedores e terceiros Us informaSes
e aos recursos de /rocessamento da informao seDam
retirados a/s o encerramento de suas ati3idades4
contratos ou acordos4 ou aDustado a/s a mudana
destas ati3idades#

1 - Segurana f#sica e do am%iente
1*$ <reas seguras
O%&eti'o5 "re3enir o acesso fRsico no autoriCado4 danos e
interferVncias com as insta'aSes e informaSes da
organiCao#
>#,#, "erRmetro de segurana fRsica
4ontro!e: Con3Om =ue seDam uti'iCados /erRmetros de
segurana *;arreiras tais como /aredes4 /ortSes de entrada
contro'ados /or carto ou ;a'cSes de rece/o com
rece/cionistas- /ara /roteger as ?reas =ue conten$am
informaSes e insta'aSes de /rocessamento da
informao#

>#,#2 Contro'es de entrada fRsica
4ontro!e: Con3Om =ue as ?reas seguras seDam /rotegidas
/or contro'es a/ro/riados de entrada /ara assegurar =ue
somente /essoas autoriCadas ten$am acesso#
>#,#A Segurana em escritrios4 sa'as e insta'aSes
4ontro!e5 Con3Om =ue seDa /roDetada e a/'icada segurana
fRsica /ara escritrios4 sa'as e insta'aSes#
>#,#+ "roteo contra ameaas e8ternas e do meio
am;iente
4ontro!e5 Con3Om =ue seDam /roDetadas e a/'icadas
/roteo fRsica contra incVndios4 enc$entes4 terremotos4
e8/'osSes4 /ertur;aSes da ordem /W;'ica e outras formas
de desastres naturais ou causados /e'o $omem#

>#,#@ Tra;a'$ando em ?reas seguras
4ontro!e5 Con3Om =ue seDa /roDetada e a/'icada /roteo
fRsica4 ;em como diretriCes /ara o tra;a'$o em ?reas
seguras#
>#,#B Acesso do /W;'ico4 ?reas de entrega e de
carregamento
4ontro!e: Con3Om =ue os /ontos de acesso4 tais como
?reas de entrega e de carregamento e outros /ontos em
=ue /essoas no autoriCadas /ossam entrar nas
insta'aSes4 seDam contro'ados e4 se /ossR3e'4 iso'ados das
insta'aSes de /rocessamento da informao4 /ara e3itar o
acesso no autoriCado#

1*2 Segurana de E6uipamentos
O%&eti'o5 Im/edir /erdas4 danos4 furto ou com/rometimento
de ati3os e interru/o das ati3idades da organiCao#
>#2#, Insta'ao e /roteo do e=ui/amento
4ontro!e5 Con3Om =ue os e=ui/amentos seDam co'ocados
no 'oca' ou /rotegidos /ara reduCir os riscos de ameaas e
/erigos do meio am;iente4 ;em como as o/ortunidades de
acesso no autoriCado#
>#2#2 )ti'idades
4ontro!e: Con3Om =ue os e=ui/amentos seDam /rotegidos
contra fa'ta de energia e'Otrica e outras interru/Ses
causadas /or fa'$as das uti'idades#

>#2#A Segurana do ca;eamento
4ontro!e: Con3Om =ue o ca;eamento de energia e de
te'ecomunicaSes =ue trans/orta dados ou d? su/orte aos
ser3ios de informaSes seDa /rotegido contra interce/tao
ou danos#
>#2#+ (anuteno dos e=ui/amentos
4ontro!e: Con3Om =ue os e=ui/amentos ten$am uma
manuteno correta /ara assegurar sua dis/oni;i'idade e
integridade /ermanentes#
>#2#@ Segurana de e=ui/amentos fora das de/endVncias
da organiCao
4ontro!e: Con3Om =ue seDam tomadas medidas de
segurana /ara e=ui/amentos =ue o/erem fora do 'oca'4
'e3ando em conta os diferentes riscos decorrentes do fato
de se tra;a'$ar fora das de/endVncias da organiCao#

>#2#B Reuti'iCao e a'ienao segura de e=ui/amentos
4ontro!e5 Con3Om =ue todos os e=ui/amentos =ue
conten$am mRdias de armaCenamento de dados seDam
e8aminados antes do descarte4 /ara assegurar =ue todos
os dados sensR3eis e soft:ares 'icenciados ten$am sido
remo3idos ou so;regra3ados com segurana
>#2# Remoo de /ro/riedade
4ontro!e5 Con3Om =ue e=ui/amentos4 informaSes ou
software no seDam retirados do 'oca' sem autoriCao
/rO3ia#

$0 Gerenciamento das opera)es e comunica)es
$0*$ Procedimentos e responsa%i!idades operacionais
O%&eti'o5 Garantir a o/erao segura e correta dos
recursos de /rocessamento da informao#
,!#,#, 7ocumentao dos /rocedimentos de o/erao
4ontro!e5 Con3Om =ue os /rocedimentos de o/erao
seDam documentados4 mantidos atua'iCados e dis/onR3eis a
todos os usu?rios =ue de'es necessitem#
,!#,#2 Gesto de mudanas
4ontro!e5 Con3Om =ue modificaSes nos recursos de
/rocessamento da informao e sistemas seDam
contro'adas#

,!#,#A Segregao de funSes
4ontro!e: Con3Om =ue funSes e ?reas de res/onsa;i'idade
seDam segregadas /ara reduCir as o/ortunidades de
modificao ou uso inde3ido no autoriCado ou no
intenciona' dos ati3os da organiCao#
,!#,#+ Se/arao dos recursos de desen3o'3imento4 teste e
de /roduo
4ontro!e5 Con3Om =ue recursos de desen3o'3imento4 teste e
/roduo seDam se/arados /ara reduCir o risco de acessos
ou modificaSes no autoriCadas aos sistemas o/eracionais#

$0*2 Gerenciamento de ser'ios terceiri,ados
O%&eti'o5 Im/'ementar e manter o nR3e' a/ro/riado de
segurana da informao e de entrega de ser3ios em
consonXncia com acordos de entrega de ser3ios terceiriCados#
,!#2#, Entrega de ser3ios
4ontro!e5 Con3Om =ue seDa garantido =ue os contro'es de
segurana4 as definiSes de ser3io e os nR3eis de entrega
inc'uRdos no acordo de entrega de ser3ios terceiriCados seDam
im/'ementados4 e8ecutados e mantidos /e'o terceiro#
,!#2#2 (onitoramento e an?'ise crRtica de ser3ios terceiriCados
4ontro!e5 Con3Om =ue os ser3ios4 re'atrios e registros
fornecidos /or terceiro seDam regu'armente monitorados e
ana'isados criticamente4 e =ue auditorias seDam e8ecutadas
regu'armente#

,!#2#A Gerenciamento de mudanas /ara ser3ios
terceiriCados
4ontro!e: Con3Om =ue mudanas no /ro3isionamento dos
ser3ios4 inc'uindo manuteno e me'$oria da /o'Rtica de
segurana da informao4 /rocedimentos e contro'es
e8istentes4 seDam gerenciadas 'e3ando1se em conta a
criticidade dos sistemas e /rocessos de negcio en3o'3idos
e a rean?'ise/rea3a'iao de riscos#

$0*+ P!ane&amento e aceitao de sistemas
O%&eti'o5 (inimiCar o risco de fa'$as nos sistemas#
,!#A#, Gesto de ca/acidade
4ontro!e5 Con3Om =ue uti'iCao dos recursos seDa
monitorada e sincroniCada e as /roDeSes feitas /ara
necessidades de ca/acidade futura4 /ara garantir o
desem/en$o re=uerido do sistema#
,!#A#2 Aceitao de sistemas
4ontro!e5 Con3Om =ue seDam esta;e'ecidos critOrios de
aceitao /ara no3os sistemas4 atua'iCaSes e no3as
3ersSes4 e =ue seDam efetuados testes a/ro/riados do*s-
sistema*s- durante seu desen3o'3imento e antes da sua
aceitao#

$0*- Proteo contra c=digos ma!iciosos e c=digos m='eis
O%&eti'o5 "roteger a integridade do soft:are e da informao#
,!#+#, Contro'es contra cdigos ma'iciosos
4ontro!e5 Con3Om =ue seDam im/'antados contro'es de
deteco4 /re3eno e recu/erao /ara /roteger contra
cdigos ma'iciosos4 assim como /rocedimentos /ara a de3ida
conscientiCao dos usu?rios#
,!#+#2 Contro'es contra cdigos m3eis
4ontro!e5 Onde o uso de cdigos m3eis O autoriCado4
con3Om =ue a configurao garanta =ue o cdigo m3e'
autoriCado o/ere de acordo com uma /o'Rtica de segurana da
informao c'aramente definida e cdigos m3eis no
autoriCados ten$am sua e8ecuo im/edida#

$0*. 4=pias de segurana
O%&eti'o5 (anter a integridade e dis/oni;i'idade da
informao e dos recursos de /rocessamento de
informao#
,!#@#, C/ias de segurana das informaSes
4ontro!e5 Con3Om =ue as c/ias de segurana das
informaSes e dos softwares seDam efetuadas e testadas
regu'armente conforme a /o'Rtica de gerao de c/ias de
segurana definida#

$0*/ Gerenciamento da segurana em redes
O%&eti'o5 Garantir a /roteo das informaSes em redes e
a /roteo da infra1estrutura de su/orte#
,!#B#, Contro'es de redes
4ontro!e5 Con3Om =ue as redes seDam ade=uadamente
gerenciadas e contro'adas4 de forma a /rotegV1'as contra
ameaas e manter a segurana de sistemas e a/'icaSes
=ue uti'iCam estas redes4 inc'uindo a informao em
trXnsito#
,!#B#2 Segurana dos ser3ios de rede
4ontro!e5 Con3Om =ue as caracterRsticas de segurana4
nR3eis de ser3io e re=uisitos de gerenciamento dos
ser3ios de rede seDam identificados e inc'uRdos em
=ua'=uer acordo de ser3ios de rede4 tanto /ara ser3ios
de rede /ro3idos internamente ou terceiriCados#

$0*7 >anuseio de m#dias
O%&eti'o5 "re3enir contra di3u'gao no autoriCada4
modificao4 remoo ou destruio aos ati3os4 e
interru/Ses das ati3idades do negcio#
,!##, Gerenciamento de mRdias remo3R3eis
4ontro!e5 Con3Om =ue e8istam /rocedimentos
im/'ementados /ara o gerenciamento de mRdias remo3R3eis#
,!##2 7escarte de mRdias
4ontro!e5 Con3Om =ue as mRdias seDam descartadas de
forma segura e /rotegida =uando no forem mais
necess?rias4 /or meio de /rocedimentos formais#

,!##A "rocedimentos /ara tratamento de informao
4ontro!e5 Con3Om =ue seDam esta;e'ecidos /rocedimentos
/ara o tratamento e o armaCenamento de informaSes4 /ara
/roteger tais informaSes contra a di3u'gao no autoriCada
ou uso inde3ido#
,!##+ Segurana da documentao dos sistemas
4ontro!e: Con3Om =ue a documentao dos sistemas seDa
/rotegida contra acessos no autoriCados#

$0*0 (roca de Informa)es
O%&eti'o5 (anter a segurana na troca de informaSes e
soft:ares internamente U organiCao e com =uais=uer
entidades e8ternas#
,!#K#, "o'Rticas e /rocedimentos /ara troca de informaSes
4ontro!e5 Con3Om =ue /o'Rticas4 /rocedimentos e contro'es
seDam esta;e'ecidos e forma'iCados /ara /roteger a troca de
informaSes em todos os ti/os de recursos de comunicao#
,!#K#2 Acordos /ara a troca de informaSes
4ontro!e5 Con3Om =ue seDam esta;e'ecidos acordos /ara a
troca de informaSes e softwares entre a organiCao e
entidades e8ternas#

,!#K#A (Rdias em trXnsito
4ontro!e: Con3Om =ue mRdias contendo informaSes seDam
/rotegidas contra acesso no autoriCado4 uso im/r/rio ou
a'terao inde3ida durante o trans/orte e8terno aos 'imites
fRsicos da organiCao#
,!#K#+ (ensagens e'etrQnicas
4ontro!e5 Con3Om =ue as informaSes =ue trafegam em
mensagens e'etrQnicas seDam ade=uadamente /rotegidas#
,!#K#@ Sistemas de informaSes do negcio
4ontro!e5 Con3Om =ue /o'Rticas e /rocedimentos seDam
desen3o'3idos e im/'ementados /ara /roteger as
informaSes associadas com a intercone8o de sistemas de
informaSes do negcio#

$0*1 Ser'ios de com5rcio e!etr?nico
O%&eti'o5 Garantir a segurana de ser3ios de comOrcio
e'etrQnico e sua uti'iCao segura#
,!#>#, ComOrcio e'etrQnico
4ontro!e5 Con3Om =ue as informaSes en3o'3idas em
comOrcio e'etrQnico transitando so;re redes /W;'icas seDam
/rotegidas de ati3idades fraudu'entas4 dis/utas contratuais e
di3u'gao e modificaSes no autoriCadas#
,!#>#2 TransaSes on-line
4ontro!e5 Con3Om =ue informaSes en3o'3idas em transaSes
on-line seDam /rotegidas /ara /re3enir transmissSes
incom/'etas4 erros de roteamento4 a'teraSes no autoriCadas
de mensagens4 di3u'gao no autoriCada4 du/'icao ou
rea/resentao de mensagem no autoriCada#

,!#>#A InformaSes /u;'icamente dis/onR3eis
4ontro!e: Con3Om =ue a integridade das informaSes
dis/oni;i'iCadas em sistemas /u;'icamente acessR3eis seDa
/rotegida /ara /re3enir modificaSes no autoriCadas#
$0*$0 >onitoramento
O%&eti'o5 7etectar ati3idades no autoriCadas de
,!#,!#, Registros de auditoria
4ontro!e5 Con3Om =ue registros (log) de auditoria contendo
ati3idades dos usu?rios4 e8ceSes e outros e3entos de
segurana da informao seDam /roduCidos e mantidos /or um
/erRodo de tem/o acordado /ara au8i'iar em futuras
in3estigaSes e monitoramento de contro'e de acesso#

,!#,!#2 (onitoramento do uso do sistema
4ontro!e: Con3Om =ue seDam esta;e'ecidos /rocedimentos
/ara o monitoramento do uso dos recursos de
/rocessamento da informao e os resu'tados das ati3idades
de monitoramento seDam ana'isados criticamente4 de forma
regu'ar#
,!#,!#A "roteo das informaSes dos registros *log)
4ontro!e: Con3Om =ue os recursos e informaSes de
registros *log- seDam /rotegidos contra fa'sificao e acesso
no autoriCado#

,!#,!#+ Registros *'og- de administrador e o/erador
4ontro!e5 Con3Om =ue as ati3idades dos administradores e
o/eradores do sistema seDam registradas#
,!#,!#@ Registros *log- de fa'$as
4ontro!e5 Con3Om =ue as fa'$as ocorridas seDam
registradas e ana'isadas4 e =ue seDam adotadas aSes
a/ro/riadas#
,!#,!#B SincroniCao dos re'gios
4ontro!e5 Con3Om =ue os re'gios de todos os sistemas de
/rocessamento da informao re'e3antes4 dentro da
organiCao ou do domRnio de segurana4 seDam
sincroniCados de acordo com uma $ora oficia'#
$$ - 4ontro!e de acessos
$$*$ 3e6uisitos de neg=cio para contro!e de acesso
O%&eti'o5 Contro'ar acesso U informao#
,,#,#, "o'Rtica de contro'e de acesso
4ontro!e5 Con3Om =ue a /o'Rtica de contro'e de acesso
seDa esta;e'ecida documentada e ana'isada
criticamente4 tomando1se como ;ase os re=uisitos de
acesso dos negcios e segurana da informao#
$$*2 Gerenciamento de acesso do usurio
O%&eti'o5 Assegurar acesso de usu?rio autoriCado e
/re3enir acesso no autoriCado a sistemas de
informao#
,,#2#, Registro de usu?rio
4ontro!e5 Con3Om =ue e8ista um /rocedimento forma'
de registro e cance'amento de usu?rio /ara garantir e
re3ogar acessos em todos os sistemas de informao e
ser3ios#
,,#2#2 Gerenciamento de /ri3i'Ogios
4ontro!e5 Con3Om =ue a concesso e o uso de
/ri3i'Ogios seDam restritos e contro'ados#
,,#2#A Gerenciamento de sen$a do usu?rio
4ontro!e5 Con3Om =ue a concesso de sen$as seDa
contro'ada atra3Os de um /rocesso de gerenciamento
forma'#
,,#2#+ An?'ise crRtica dos direitos de acesso de usu?rio
4ontro!e5 Con3Om =ue o gestor conduCa a inter3a'os
regu'ares a an?'ise crRtica dos direitos de acesso dos
usu?rios4 /or meio de um /rocesso forma'#
$$*+ 3esponsa%i!idades dos usurios
O%&eti'o5 "re3enir o acesso no autoriCado dos
usu?rios e e3itar o com/rometimento ou rou;o da
informao e dos recursos de /rocessamento da
informao
,,#A#, )so de sen$as
4ontro!e5 Con3Om =ue os usu?rios seDam so'icitados a
seguir as ;oas /r?ticas de segurana da informao na
se'eo e uso de sen$as#
,,#A#2 E=ui/amento de usu?rio sem monitorao
4ontro!e5 Con3Om =ue os usu?rios assegurem =ue os
e=ui/amentos no monitorados ten$am /roteo
ade=uada#
,,#A#A "o'Rtica de mesa 'im/a e te'a 'im/a
4ontro!e5 Con3Om =ue seDa adotada uma /o'Rtica de
mesa 'im/a de /a/Ois e mRdias de armaCenamento
remo3R3e' e /o'Rtica de te'a 'im/a /ara os recursos de
$$*- 4ontro!e de acesso @ rede
O%&eti'o5 "re3enir acesso no autoriCado aos ser3ios
de rede#
,,#+#, "o'Rtica de uso dos ser3ios de rede
4ontro!e5 Con3Om =ue usu?rios somente rece;am
acesso /ara os ser3ios =ue ten$am sido
es/ecificamente autoriCados a usar#
$$*+ 3esponsa%i!idades dos usurios
,,#+#2 Autenticao /ara cone8o e8terna do usu?rio
4ontro!e: Con3Om =ue mOtodos a/ro/riados de
autenticaSes seDam usados /ara contro'ar acesso de
usu?rios remotos#
,,#+#A Identificao de e=ui/amento em redes
4ontro!e5 Con3Om =ue seDam consideradas as
identificaSes autom?ticas de e=ui/amentos como um
meio de autenticar cone8Ses 3indas de 'oca'iCaSes e
e=ui/amentos es/ecRficos#
,,#+#+ "roteo e configurao de /ortas de
diagnstico remotas
4ontro!e5 Con3Om =ue seDa contro'ado o acesso fRsico
e 'gico das /ortas de diagnstico e configurao#
,,#+#@ Segregao de redes
4ontro!e5 Con3Om =ue gru/os de ser3ios de
informao4 usu?rios e sistemas de informao seDam
segredados em redes#
,,#+#B Contro'e de cone8o de rede
4ontro!e5 "ara redes com/arti'$adas4 es/ecia'mente
essas =ue se estendem /e'os 'imites da organiCao4
con3Om =ue a ca/acidade dos usu?rios /ara conectar1
se U rede seDa restrita4 a'in$ada com a /o'Rtica de
contro'e de acesso e os re=uisitos das a/'icaSes do
negcio *3er ,,#,-#
,,#+# Contro'e de roteamento de redes
4ontro!e5 Con3Om =ue seDa im/'ementado contro'e de
roteamento na rede4 /ara assegurar =ue as cone8Ses
de com/utador e f'u8os de informao no 3io'em a
/o'Rtica de contro'e de acesso das a/'icaSes do
negcio#
$$*. 4ontro!e de acesso ao sistema operaciona!
O%&eti'o5 "re3enir acesso no autoriCado aos sistemas
o/eracionais#
,,#@#, "rocedimentos seguros de entrada no sistema
*log-on-
4ontro!e5 Con3Om =ue o acesso aos sistemas
o/eracionais seDa contro'ado /or um /rocedimento
seguro de entrada no sistema *log-on-#
,,#@#2 Identificao e autenticao de usu?rio
4ontro!e5 Con3Om =ue todos os usu?rios ten$am um
identificador Wnico *I7 de usu?rio- /ara uso /essoa' e
e8c'usi3o4 e con3Om =ue uma tOcnica ade=uada de
autenticao seDa esco'$ida /ara 3a'idar a identidade
a'egada /or um usu?rio#
,,#@#A Sistema de gerenciamento de sen$a
4ontro!e5 Con3Om =ue sistemas /ara gerenciamento de
sen$as seDam interati3os e assegurem sen$as de
=ua'idade#
,,#@#+ )so de uti'it?rios de sistema
4ontro!e5 Con3Om =ue o uso de /rogramas uti'it?rios =ue
/odem ser ca/aCes de so;re/or os contro'es dos
sistemas e a/'icaSes seDa restrito e estritamente
contro'ado#
,,#@#@ 7escone8o de termina' /or inati3idade
4ontro!e5 Con3Om =ue terminais inati3os seDam
desconectados a/s um /erRodo definido de
inati3idade#
,,#@#B 6imitao de $or?rio de cone8o
4ontro!e5 Con3Om =ue restriSes nos $or?rios de
cone8o seDam uti'iCadas /ara /ro/orcionar segurana
adiciona' /ara a/'icaSes de a'to risco#
$$*/ 4ontro!e de acesso @ ap!icao e @ informao
O%&eti'o5 "re3enir acesso no autoriCado U informao
contida nos sistemas de a/'icao#
,,#B#, Restrio de acesso U informao
4ontro!e5 Con3Om =ue o acesso U informao e Us
funSes dos sistemas de a/'icaSes /or usu?rios e
/essoa' de su/orte seDa restrito de acordo com o definido
na /o'Rtica de contro'e de acesso#
,,#B#2 Iso'amento de sistemas sensR3eis
4ontro!e5 Con3Om =ue sistemas sensR3eis ten$am um
am;iente com/utaciona' dedicado *iso'ado-#
$$*7 4omputao m='e! e tra%a!:o remoto
O%&eti'o5 Garantir a segurana da informao =uando
se uti'iCam a com/utao m3e' e recursos de tra;a'$o
remoto#
,,##, Com/utao e comunicao m3e'
4ontro!e5 Con3Om =ue uma /o'Rtica forma' seDa
esta;e'ecida e =ue medidas de segurana a/ro/riadas
seDam adotadas /ara a /roteo contra os riscos do uso
de recursos de com/utao e comunicao m3eis#
,,##2 Tra;a'$o remoto
4ontro!e5 Con3Om =ue uma /o'Rtica4 /'anos
o/eracionais e /rocedimentos seDam desen3o'3idos e
im/'ementados /ara ati3idades de tra;a'$o remoto#
$2 - A6uisio7 desen'* e manut* de sistemas de
informao
$2*$ 3e6uisitos de segurana de sistemas de inf*
O%&eti'o5 Garantir =ue segurana O /arte integrante de
sistemas de informao#
,2#,#, An?'ise e es/ecificao dos re=uisitos de segurana
4ontro!e5 Con3Om =ue seDam es/ecificados os re=uisitos /ara
contro'es de segurana nas es/ecificaSes de re=uisitos
de negcios4 /ara no3os sistemas de informao ou me'$orias
em sistemas e8istentes#
informao
$2*2 Processamento correto nas ap!ica)es
O%&eti'o5 "re3enir a ocorrVncia de erros4 /erdas4
modificao no autoriCada ou mau uso de informaSes em
a/'icaSes#
,2#2#, 0a'idao dos dados de entrada
4ontro!e5 Con3Om =ue os dados de entrada de a/'icaSes
seDam 3a'idados /ara garantir =ue so corretos e
a/ro/riados#
,2#2#2 Contro'e do /rocessamento interno
4ontro!e5 Con3Om =ue seDam incor/oradas4 nas a/'icaSes4
c$ecagens de 3a'idao com o o;Deti3o de detectar =ua'=uer
corru/o de informaSes4 /or erros ou /or aSes
de'i;eradas#
informao
,2#2#A Integridade de mensagens
4ontro!e5 Con3Om =ue re=uisitos /ara garantir a
autenticidade e /roteger a integridade das mensagens em
a/'icaSes seDam identificados e os contro'es a/ro/riados
seDam identificados e im/'ementados#
,2#2#+ 0a'idao de dados de saRda
4ontro!e5 Con3Om =ue os dados de saRda das a/'icaSes
seDam 3a'idados /ara assegurar =ue o /rocessamento das
informaSes armaCenadas est? correto e O a/ro/riado Us
circunstXncias#
O%&eti'o5 "roteger a confidencia'idade4 a autenticidade ou a
integridade das informaSes /or meios cri/togr?ficos#
,2#A#, "o'Rtica /ara o uso de contro'es cri/togr?ficos
4ontro!e: Con3Om =ue seDa desen3o'3ida e im/'ementada
uma /o'Rtica /ara o uso de contro'es cri/togr?ficos /ara a
/roteo da informao#
,2#A#2 Gerenciamento de c$a3es
4ontro!e5 Con3Om =ue um /rocesso de gerenciamento de
c$a3es seDa im/'antado /ara a/oiar o uso de tOcnicas
cri/togr?ficas /e'a organiCao#
informao
$2*+ 4ontro!es criptogrficos
informao
$2*- Segurana dos ar6ui'os de sistema
O%&eti'o5 Garantir a segurana de ar=ui3os de sistema#
,2#+#, Contro'e de software o/eraciona'
4ontro!e5 Con3Om =ue /rocedimentos /ara contro'ar a
insta'ao de software em sistemas o/eracionais seDam
Im/'ementados#
,2#+#2 "roteo dos dados /ara teste de sistema
4ontro!e5 Con3Om =ue os dados de teste seDam
se'ecionados com cuidado4 /rotegidos e contro'ados#
,2#+#A Contro'e de acesso ao cdigo1fonte de /rograma
4ontro!e5 Con3Om =ue o acesso ao cdigo1fonte de
/rograma seDa restrito#
informao
$2*. Segurana nos processos de desen'o!'imento e
suporte
O%&eti'o5 (anter a segurana de sistemas a/'icati3os e da
informao#
,2#@#, "rocedimentos /ara contro'e de mudanas
4ontro!e5 Con3Om =ue a im/'ementao de mudanas seDa
contro'ada uti'iCando /rocedimentos formais de contro'e de
(udanas#
,2#@#2 An?'ise crRtica tOcnica das a/'icaSes a/s mudanas
no sistema o/eraciona'
4ontro!e5 Con3Om =ue a/'icaSes crRticas de negcios seDam
ana'isadas criticamente e testadas =uando sistemas
o/eracionais so mudados4 /ara garantir =ue no $a3er?
nen$um im/acto ad3erso na o/erao da
organiCao ou na segurana
informao
,2#@#A RestriSes so;re mudanas em /acotes de software
4ontro!e5 Con3Om =ue modificaSes em /acotes de software
no seDam incenti3adas e 'imitadas Us mudanas
necess?rias e =ue todas as mudanas seDam estritamente
contro'adas#
,2#@#+ 0aCamento de informaSes
4ontro!e5 Con3Om =ue o/ortunidades /ara 3aCamento de
informaSes seDam /re3enidas#
,2#@#@ 7esen3o'3imento terceiriCado de software
4ontro!e5 Con3Om =ue a organiCao su/er3isione e monitore
o desen3o'3imento terceiriCado de software#
informao
$2*/ Gesto de 'u!nera%i!idades t5cnicas
O%&eti'o5 ReduCir riscos resu'tantes da e8/'orao de
3u'nera;i'idades tOcnicas con$ecidas#
,2#B#, Contro'e de 3u'nera;i'idades tOcnicas
4ontro!e5 Con3Om =ue seDa o;tida informao em tem/o
$?;i' so;re 3u'nera;i'idades tOcnicas dos sistemas de
informao em uso4 a3a'iada a e8/osio da organiCao a
estas 3u'nera;i'idades e tomadas as medidas
a/ro/riadas /ara 'idar com os riscos associados#
$+ Gesto de incidentes de segurana da
informao
$+*$ Aotificao de fragi!idades e e'entos de segurana
da informao
O%&eti'o5 Assegurar =ue fragi'idades e e3entos de segurana
da informao associados com sistemas de informao
seDam comunicados4 /ermitindo a tomada de ao correti3a
em tem/o $?;i'#
,A#,#, Notificao de e3entos de segurana da informao
4ontro!e5 Con3Om =ue os e3entos de segurana da
informao seDam re'atados atra3Os dos canais a/ro/riados
da direo4 o mais ra/idamente /ossR3e'#
informao
,A#,#2 Notificando fragi'idades de segurana da informao
4ontro!e5 Con3Om =ue os funcion?rios4 fornecedores e
terceiros de sistemas e ser3ios de informao seDam
instruRdos a registrar e notificar =ua'=uer o;ser3ao ou
sus/eita de fragi'idade em sistemas ou ser3ios#
$+*2 Gesto de incidentes de segurana da informao e
me!:orias
O%&eti'o5 Assegurar =ue um enfo=ue consistente e efeti3o
seDa a/'icado U gesto de incidentes de segurana
da informao#
informao
,A#2#, Res/onsa;i'idades e /rocedimentos
4ontro!e5 Con3Om =ue res/onsa;i'idades e /rocedimentos
de gesto seDam esta;e'ecidos /ara assegurar res/ostas
r?/idas4 efeti3as e ordenadas a incidentes de segurana da
informao#
,A#2#2 A/rendendo com os incidentes de segurana da
informao
4ontro!e5 Con3Om =ue seDam esta;e'ecidos mecanismos
/ara /ermitir =ue ti/os4 =uantidades e custos dos
incidentes de segurana da informao seDam
=uantificados e monitorados#
informao
,A#2#A Co'eta de e3idVncias
4ontro!e5 Nos casos em =ue uma ao de
acom/an$amento contra uma /essoa ou organiCao4 a/s
um incidente de segurana da informao4 en3o'3er uma
ao 'ega' *ci3i' ou crimina'-4 con3Om =ue e3idVncias seDam
co'etadas4 armaCenadas e a/resentadas em conformidade
com as normas de armaCenamento de e3idVncias da
Durisdio*Ses- /ertinente*s-#
$- Gesto da continuidade do neg=cio
$-*$ Aspectos da gesto da continuidade do
neg=cio7 re!ati'os @ segurana da informao
O%&eti'o5 No /ermitir a interru/o das ati3idades do
negcio e /roteger os /rocessos crRticos contra efeitos de
fa'$as ou desastres significati3os4 e assegurar a sua
retomada em tem/o $?;i'4 se for o caso#
,+#,#, Inc'uindo segurana da informao no /rocesso de
gesto da continuidade de negcio
4ontro!e5 Con3Om =ue um /rocesso de gesto seDa
desen3o'3ido e mantido /ara assegurar a continuidade do
negcio /or toda a organiCao e =ue contem/'e os
re=uisitos de segurana da informao necess?rios /ara a
continuidade do negcio da organiCao#
,+#,#2 Continuidade de negcios e an?'ise/a3a'iao de
riscos
4ontro!e5 Con3Om identificar os e3entos =ue /odem causar
interru/Ses aos /rocessos de negcio4 Dunto a
/ro;a;i'idade e im/acto de tais interru/Ses e as
conse=PVncias /ara a segurana de informao#
,+#,#A 7esen3o'3imento e im/'ementao de /'anos de
continuidade re'ati3os U segurana da informao
4ontro!e: Con3Om =ue os /'anos seDam desen3o'3idos e
im/'ementados /ara a manuteno ou recu/erao das
o/eraSes e /ara assegurar a dis/oni;i'idade da informao
no nR3e' re=uerido e na esca'a de tem/o re=uerida4 a/s a
ocorrVncia de interru/Ses ou fa'$as dos /rocessos crRticos
do negcio#
,+#,#+ Estrutura do /'ano de continuidade do negcio
4ontro!e5 Con3Om =ue uma estrutura ;?sica dos /'anos de
continuidade do negcio seDa mantida /ara assegurar =ue
todos os /'anos so consistentes4 /ara contem/'ar os
re=uisitos de segurana da informao e /ara identificar
/rioridades /ara testes e manuteno#
,+#,#@ Testes4 manuteno e rea3a'iao dos /'anos de
continuidade do negcio
4ontro!e5 Con3Om =ue os /'anos de continuidade do
negcio seDam testados e atua'iCados regu'armente4 de
forma a assegurar sua /ermanente atua'iCao e
efeti3idade#
$. 4onformidade
$.*$ 4onformidade com re6uisitos !egais
O%&eti'o5 E3itar 3io'ao de =ua'=uer 'ei crimina' ou ci3i'4
estatutos4 regu'amentaSes ou o;rigaSes contratuais e
de =uais=uer re=uisitos de segurana da informao#
,@#,#, Identificao da 'egis'ao 3igente
4ontro!e: Con3Om =ue todos os re=uisitos estatut?rios4
regu'amentares e contratuais re'e3antes4 e o enfo=ue da
organiCao /ara atender a esses re=uisitos4 seDam
e8/'icitamente definidos4 documentados e mantidos
atua'iCados /ara cada sistema de informao da
organiCao
$. 4onformidade
$.*$ 4onformidade com re6uisitos !egais
,@#,#2 7ireitos de /ro/riedade inte'ectua'
4ontro!e5 Con3Om =ue /rocedimentos a/ro/riados
seDam im/'ementados /ara garantir a conformidade com
os re=uisitos 'egis'ati3os4 regu'amentares e contratuais
no uso de materia'4 em re'ao aos =uais /ode $a3er
direitos de /ro/riedade inte'ectua' e so;re o uso de
/rodutos de software /ro/riet?rios#
,@#,#A "roteo de registros organiCacionais
4ontro!e5 Con3Om =ue registros im/ortantes seDam
/rotegidos contra /erda4 destruio e fa'sificao4 de
acordo com os re=uisitos regu'amentares4 estatut?rios4
contratuais e do negcio#
$. 4onformidade
,@#,#+ "roteo de dados e /ri3acidade de informaSes
/essoais
4ontro!e5 Con3Om =ue a /ri3acidade e /roteo de
dados seDam asseguradas conforme e8igido nas
'egis'aSes re'e3antes4 regu'amentaSes e4 se a/'ic?3e'4
nas c'?usu'as contratuais#
,@#,#@ "re3eno de mau uso de recursos de
/rocessamento da informao
4ontro!e5 Con3Om =ue os usu?rios seDam dissuadidos
de usar os recursos de /rocessamento da informao
/ara /ro/sitos no autoriCados
,@#,#B Regu'amentao de contro'es de cri/tografia
4ontro!e5 Con3Om =ue contro'es de cri/tografia seDam
usados em conformidade com todas as 'eis4 acordos e
regu'amentaSes re'e3antes#
$. 4onformidade
$.*2 4onformidade com normas e po!#ticas de
segurana da informao e conformidade
t5cnica
O%&eti'o5 Garantir conformidade dos sistemas com as
/o'Rticas e normas organiCacionais de segurana da
informao#
,@#2#, Conformidade com as /o'Rticas e normas de
4ontro!e5 Con3Om =ue gestores garantam =ue todos os
/rocedimentos de segurana da informao dentro da
sua ?rea de res/onsa;i'idade esto sendo e8ecutados
corretamente /ara atender U conformidade com as
normas e /o'Rticas de segurana da informao#
$. 4onformidade
,@#2#2 0erificao da conformidade tOcnica
4ontro!e5 Con3Om =ue sistemas de informao seDam
/eriodicamente 3erificados em sua conformidade com as
normas de segurana da informao im/'ementadas#
$.*+ 4onsidera)es 6uanto @ auditoria de sistemas
de informao
O%&eti'o5 (a8imiCar a efic?cia e minimiCar a interferVncia
no /rocesso de auditoria dos sistemas de informao#
,@#A#, Contro'es de auditoria de sistemas de informao
4ontro!e5 Con3Om =ue re=uisitos e ati3idades de auditoria
en3o'3endo 3erificao nos sistemas o/eracionais seDam
cuidadosamente /'aneDados e acordados /ara minimiCar os
riscos de interru/o dos /rocessos do negcio#
,@#A#2 "roteo de ferramentas de auditoria de sistemas
de informao
4ontro!e5 Con3Om =ue o acesso Us ferramentas de
auditoria de sistema de informao seDa /rotegido4 /ara
/re3enir =ua'=uer /ossi;i'idade de uso im/r/rio ou
com/rometimento#
$. 4onformidade

"im da 27002B
Recomendao5
%aCer todos os e8ercRcios em 'ista referentes U esta norma#

Curso GSI Novo 27002

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso GSI Novo 27002

Enviado por

Direitos autorais:

Formatos disponíveis

Curso Terico

Gesto de Segurana da Informao

Ana'ista de Inf# do (") *+o 'ugar 2!,!-.

(BA em Gesto /e'a %G01R2.

Certificado em Iti' 02 e Scrum (aster.

A/ro3ado em di3ersos concursos4 entre e'es5

NBR ISO/IEC 2!!, 1 Re=uisitos /ara im/'antar

NBR ISO/IEC 2!!2 *,>>- 1 "r?ticas /ara a

NBR ISO/IEC 2!!@ 1 Gesto de riscos de SI

2!!+ e 2!!A 1 Gesto de SI *(edio- e Guia

2!!B e 2!! 1 Re=uisitos e 7iretriCes /ara

,@>>>5, e ,@>>>52 1 Gesto de Continuidade de

Você também pode gostar