Iso 27001 2013

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27001

SET 2013
Tecnologia da Informao Tcnicas de Segurana Sistemas de gesto

da segurana da informao - Requisitos
APRESENTAO
1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de
Segurana (CE-21:027.00) do Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), nas reunies de:
02.07.2013
28.08.2013
2) Este Projeto de Reviso previsto para cancelar e substituir a edio anterior

(ABNT NBR ISO/IEC 27001:2006), quando aprovado, sendo que nesse nterim a referida
norma continua em vigor;
3) Previsto para ser equivalente ISO/IEC 27001:2013;
4) No tem valor normativo;
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;
6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT
quando de sua publicao como Norma Brasileira.
7) Tomaram parte na elaborao deste Projeto:
Participante
Representante
CQSI
ARIOSTO FARIAS JR
SERASA EXPERIAN
NILTON MOREIRA
TV GLOBO
VINCIUS BRASILEIRO
BATORI
Ricardo Kiyoshi Batori
CEMIG
Giovani Davi Silva
CORREIOS
Otvio Quadros
DGITRO
Andreia S. G. da Silva
IPEA-SEG
Carlos Augusto Valim
IPEA-SEG
Vera P. Harger
MICROSOFT
Fernando Gebara
PROXIS
Olympio Neto
NO TEM VALOR NORMATIVO
ABNT/
PROJETO
RIOSOFT
Gisele Villas Bas
RSA
Anchises de Paula
SABESP
Claudio Barbosa
SABESP
Marcelo Rezende
SEC4YOU
Luciano M. Kadoya
TIVIT
Luiz Gustavo Ribeiro
INDIVIDUAL
Lilian Pricola
2/2
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Tecnologia da Informao Tcnicas de Segurana Sistemas de gesto

da segurana da informao Requisitos
Information technology Security techniques Information security management systems
Requirements
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard specifies the requirements for establishing, implementing, maintaining and continually
improving an information security management system within the context of the organization. This
Standard also includes requirements for the assessment and treatment of information security risks
tailored to the needs of the organization. The requirements set out in this Standard are generic and are
intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to
this Standard.
1/32
ABNT/CB-21
SET 2013
0. Introduo
0.1 Geral
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
organizacionais, funcionrios, tamanho e estrutura da organizao. So esperados que todos estes
fatores de influncia mudem ao longo do tempo.
O sistema de gesto da segurana da informao preserva a confidencialidade, integridade e
disonibilidade da informao por meio da aplicao de um processo de gesto de riscos e fornece
confiana para as partes interessadas de que os riscos so adequadamente gerenciados.
importante que um sistema de gesto da segurana da informao seja parte e esteja integrado com
os processos da organizao e com a estrutura de administrao global e que a segurana da
informao seja considerada no projeto dos processos, sistemas de informao e controles. esperado
que a implementao de um sistema de gesto de segurana da informao seja planejado de acordo
com as necessidades da organizao.
Esta Norma pode ser usada por partes internas e externas para avaliar a capacidade da organizao
em atender os seus prprios requisitos de segurana da informao.
A ordem pela qual os requisitos so apresentados nesta Norma no reflete sua importancia ou implica
na ordem pela qual eles devem ser implementados. Os itens listados so numerados apenas para fins
de referncia.
A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema de gesto da segurana da
informao e referencia as normas da famila do sistema de gesto da segurana da informao
(incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies relacionados.
0.2 Compatibilidade com outras normas de sistemas de gesto

Esta Norma aplica a estrutura de alto nvel, os ttulos de sub-clusulas idnticos, textos idnticos,
termos comuns e definies bsicas, apresentadas no anexo SL da ISO/IEC Directives, Part 1,
Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de
sistemas de gesto que adotaram o anexo SL.
Esta abordagem comum definida no anexo SL ser ltil para aquelas organizaes que escolhem
operar um nico sistema de gesto que atenda os requisitos de duas ou mais normas de sistemas de
gesto.
2/32
ABNT/CB-21
SET 2013
1 Escopo
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gesto da segurana da informao dentro do contexto da organizao. Esta Norma
tambm inclui requisitos para a avaliao e tratamento de riscos de segurana da informao voltados
para as necessidades da organizao. Os requisitos definidos nesta Norma so genricos e so
pretendidos para serem aplicveis a todas as organizaes independentemente do tipo, tamanho ou
natureza. A excluso de quaisquer dos requisitos especificados nas sees 4 a 10 no aceitvel
quando a organizao busca a conformidade com esta Norma.
2 Referncias normativas
O documento relacionado a seguir indispensvel aplicao deste documento. Para referncias
datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies
mais recentes do referido documento (incluindo emendas).
ISO/IEC 27000, Information technology -- Security techniques -- Information security management
systems -- Overview and vocabulary
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies apresentados na ISO/IEC 27000
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que so relevantes para o seu
propsito e que afetam sua capacidade para alcanar os resultados pretendidos do seu sistema de
gesto da segurana da informao.
NOTA
A determinao destas questes refere-se ao estabelecimento do contexto interno e externo da
organizao apresentado no item 5.3 da ABNT NBR ISO 31000 Gesto de riscos Princpios e diretrizes.
4.2 Entendendo as necessidades e as expectativas das partes interessadas

A organizao deve determinar:
a) as partes interessadas que so relevantes para o sistema de gesto da segurana da informao;
e
b) os requisitos dessas partes interessadas relevantes para a segurana da informao.
NOTA
Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como
obrigaes contratuais.
4.3 Determinando o escopo do sistema de gesto da segurana da informao

A organizao deve determinar os limites e a aplicabilidade do sistema de gesto da segurana da
informao para estabelecer o seu escopo.
Quando da determinao deste escopo, a organizao deve considerar:
3/32
ABNT/CB-21
SET 2013
a) as questes internas e externas referenciadas em 4.1;

b) os requisitos referenciados em 4.2; e
c) as interfaces e dependncias entre as atividades desempenhadas pela organizao e aquelas que
so desempenhadas por outra organizao.
O escopo deve estar disponvel como informao documentada.
4.4 4.4 Sistema de gesto da segurana da informao

A organizao deve estabelecer, implementar, manter e continuamente melhorar um sistema de gesto
da segurana da informao, de acordo com os requisitos desta Norma.
5 Liderana
5.1 5.1 Liderana e comprometimento
A Alta Direo deve demostrar sua liderana e comprometimento em relao ao sistema de gesto da
segurana da informao pelos seguintes meios:
a) assegurando que a poltica de segurana da informao e os objetivos de segurana da informaao
esto estabelecidos e so compatveis com a direo estratgica da organizao;
b) garantindo a integrao dos requisitos do sistema de gesto da segurana da informao dentro
dos processos da organizao;
c) assegurando que os recursos necessrios para o sistema de gesto da segurana da informao
estejam disponveis;
d) comunicando a importncia de uma gesto eficaz da segurana da informao e da conformidade
com os requisitos do sistema de gesto da segurana da informao;
e) assegurando que o sistema de gesto da segurana da informao alcana seus resultados
pretendidos;
f)
orientando e apoiando pessoas que contribuam para eficcia do sistema de gesto da segurana
da informao;
g) promovedo a melhoria contnua; e

h) apoiando outros papis relevantes da gesto para demostrar como sua liderana se aplica s reas
sob sua responsabilidade.
5.2 Poltica
A Alta Direo deve estabelecer uma politca de segurana da informao que:
a) seja apropriada ao propsito da organizao;
b) inclua os objetivos de segurana da informao (ver 6.2) ou fornea a estrutura para estabelecer os
objetivos de segurana da informao;
4/32
ABNT/CB-21
SET 2013
c) inclua um comprometimento para satisfazer os requisitos aplicveis, relacionados com segurana

da informao; e
d) inclua um comprometimento para a melhoria contnua do sistema de gesto da segurana da
informao.
A poltica de segurana da informao deve:
a) estar disponvel como informao documentada;
b) ser comunicada dentro da organizao; e
c) estar disponvel para as partes interessadas conforme apropriado.
5.3 Autoridades, responsabilidades e papis organizacionais

A Alta Direo deve assegurar que as responsabilidades e autoridades dos papis relevantes para a
segurana da informao sejam atribuidos e comunicados.
A Alta Direo deve atribuir a responsabilidade e autoridade para:
a) assegurar que o sistema de gesto da segurana da informao est em conformidade com os
requisitos desta Norma;
b) relatar sobre o desempenho do sistema de gesto da segurana da informao para a Alta
Direo.
NOTA
A Alta Direo pode tambm atribuir responsabilidades e autoridades para relatar o desempenho do
sistema de gesto da segurana da informao dentro da organizao.
6 Planejamento
6.1 Aes para contemplar riscos e oportunidades
6.1.1 Geral
Quando do planejamento do sistema de gesto da segurana da informao, a organizao deve
considerar as questes referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e
oportunidades que precisam ser consideradas para:
a) assegurar que o sistema de gesto da segurana da informao pode alcanar seus resultados
pretendidos;
b) prevenir ou reduzir os efeitos indesejados; e
c) alcanar a melhoria contnua.
A organizao deve planejar:
a) as aes para considerar estes riscos e oportunidades; e
b) como:
5/32
ABNT/CB-21
SET 2013
1)
2)
integrar e implementar estas aes dentro dos processos do seu sistema de gesto da
segurana da informao; e
avaliar a eficcia destas aes.
6.1.2 Avaliao de riscos de segurana da informao

A organizao deve definir e aplicar um processo de avaliao de riscos de segurana da informao
que:
a) estabelea e mantenha critrios de riscos de segurana da informao que incluam:
1)
os critrios de aceitao do risco; e
2)
os critrios para o desempenho das avaliaes dos riscos de segurana da informao;
b) )assegure que as contnuas avaliaes de riscos de segurana da informao produzam resultados

comparveis, vlidos e consistentes;
c) identifique os riscos de segurana da informao:
1)
aplicando o processo de avaliao do risco de segurana da informao para identificar os

riscos associados com a perda de confidencialidade, integridade e disponibilidade da
informao dentro do escopo do sistema de gesto da segurana da informao; e
2)
identifique os responsveis dos riscos.
d) analise os riscos de segurana da informao:

1)
avalie as consequncias potenciais que podem resultar se os riscos identificados em

6.1.2 c) 1) forem materializados
2)
avalie a probabilidade realstica da ocorrncia dos riscos identificados em 6.1.2 c) 1); e
3)
determine os nveis de risco;
e) avalie os riscos de segurana da informao:

4)
compare os resultados da anlise dos riscos com os critrios de riscos estabelecidos em

6.1.2 a); e
5)
priorize os riscos analisados para o tratamento do risco.
6.1.3 Tratamento de riscos de segurana da informao.

A organizao deve definir e aplicar um processo de tratamento dos riscos de segurana da informao
para:
a) selecionar, de forma apropriada, as opes de tratamento dos riscos de segurana da informao,
levando em considerao os resultados da avaliao do risco;
b) determinar todos os controles que so necessrios para implementar as opes escolhidas do
tratamento do risco da segurana da informao;
6/32
ABNT/CB-21
SET 2013
NOTA: As organizaes podem projetar os controles,conforme requerido, ou identific-los de qualquer outra fonte.
c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que
nenhum controle necessrio tenha sido omitido;
NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos objetivos de controle. Os usurios desta
Norma so instrudos a utilizar o Anexo A para garantir que nenhum controle necessrio foi omitido;
NOTA 2 Os objetivos de controle esto implicitamente includos nos controles escolhidos. Os objetivos de
controle e os controles listados no Anexo A no so exaustivos e controles e objetivos de controles adicionais
podem ser necessrios;
d) elaborar uma declarao de aplicabilidade que contenha os controles necessrios

(ver 6.1.3b ) e c)), e a justificativa para incluses, sejam eles implementados ou no, bem como a
justificativa para a excluso dos controles do anexo a;
e) preparar um plano para tratamento dos riscos de segurana da informao;
f)
obter a aprovao dos responsveis pelos riscos do plano de tratamento dos riscos de segurana
da informao, e a aceitao dos riscos residuais de segurana da informao;
A organizao deve manter a informao documentada relativa ao processo de tratamento dos riscos
de segurana da informao;
NOTA
O processo de tratamento e a avaliao dos riscos de segurana da informao desta norma est
alinhada com os princpios e diretrizes gerais definidas na ABNT NBR ISO 31000 Gesto de riscos Princpios e
diretrizes.
6.2 Objetivo de segurana da informao e planos para alcan-los

A organizao deve estabelecer os objetivos de segurana da informao para as funes e nveis
relevantes.
Os objetivos de segurana da informao devem:
a) ser consistentes com a poltica de segurana da informao;
b) ser mensurvel (quando aplicvel);
c) levar em conta os requisitos de segurana da informao aplicveis, e os resultados da avaliao e
tratamento dos riscos;
d) ser comunicados; e
e) ser atualizado, conforme apropriado.
A organizao deve reter informao documentada dos objetivos de segurana da informao.
Quando do planejamento para alcanar os seus objetivos de segurana da informao, a organizao
deve determinar:
a) o que ser feito;
7/32
ABNT/CB-21
SET 2013
b) quais recursos sero necessrios;

c) quem ser responsvel;
d) quando estar concludo;
e) como os resultados sero avaliados
7 Apoio
7.1 Recursos
A organizao deve determinar e prover recursos necessrios para o estabelecimento, implementao,
manuteno e melhoria contnua do sistema de gesto da segurana da informao.
7.2 Competncia
A organizao deve:
a) determinar a competncia necessria das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurana da informao;
b) assegurar que essas pessoas so competentes com base na educao, treinamento ou
experincia apropriados;
c) onde aplicado, tomar aes para adquirir a competncia necessria e avaliar a eficcia das aes
tomadas; e
d) reter informao documentada apropriada como evidncia da competncia.
NOTA
Aes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os
funcionrios atuais, ou pessoas competentes, prprias ou contratadas.
7.3 Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem estar cientes da:
a) poltica de segurana da informao;
b) suas contribuies para a eficcia do sistema de gesto da segurana da informao, incluindo os
benefcios da melhoria do desempenho da segurana da informao; e
c) implicaes da no conformidade com os requisitos do sistema de gesto da segurana da
informao.
7.4 Comunicao
A organizao deve determinar as comunicaes internas e externas relevantes para o sistema de
gesto da segurana da informao incluindo:
a) o que comunicar;
8/32
ABNT/CB-21
SET 2013
b) quando comunicar;
c) quem comunicar;
d) quem ser comunicado; e
e) o processo pelo qual a comunicao ser realizada.
7.5 Informao documentada

7.5.1 Geral
O sistema de gesto da segurana da informao devem incluir:
a) informao documentada requerida por esta norma;
b) informao documentada determinada pela organizao como sendo necessria para a eficcia do
sistema de gesto da segurana da informao.
NOTA
A abrangncia da informao documentada para o sistema de gesto da segurana da informao
pode variar de uma organizao para outra devido a:
a) tamanho da organizao e seu tipo de atividades, processos, produtos e servios;

b) a complexidade dos processos e suas interaes;
c) a competncia das pessoas.
7.5.2 Criando e atualizando
Quando da criao e atualizao da informao documentada, a organizao deve assegurar de forma
apropriada:
a) identificao e descrio (por exemplo, ttulo, data, autor ou um nmero de referncia);
b) formato (por exemplo, linguagem, verso do software, grficos) e o seu meio (por exemplo, papel,
eletrnico); e
c) anlise crtica e aprovao para pertinncia e adequao.
7.5.3 Controle da informao documentada
A informao documentada requerida pelo sistema de gesto da segurana da informao e por esta
norma, deve ser controlada para assegurar:
a) que est disponvel e adequada para o uso, onde e quando necessario;
b) que est adequadamente protegida (por exemplo, contra perda de confidencialidade, uso imprprio
ou perda de integridade).
Para o controle da informao documentada, a organizao deve considerar as seguintes atividades,
conforme aplicada:
9/32
ABNT/CB-21
SET 2013
a) distribuio, acesso, recuperao e uso;

b) armazenagem e preservao, incluindo a preservao da legibilidade;
c) controle de mudanas (por exemplo, controle de verso);
d) f)Reteno e disposio.
A informao documentada de origem externa, determinada pela organizao como necessria para o
planejamento e operao do sistema de gesto da segurana da informao, deve ser identificada
como apropriada, e controlada.
NOTA
O acesso implica em uma deciso quanto permisso para apenas ler a informao documentada, ou
a permisso e autoridade para ver e alterar a informao documentada.
8 Operao
8.1 Planejamento operacional e controle
A organizao deve planejar, implementar e controlar os processos necessrios para atender os
requisitos de segurana da informao, e para implementar as aes determinadas em 6.1. A
organizao deve tambm implementar planos para alcanar os objetivos de segurana da informao
determinados em 6.2.
A organizao deve manter a informao documentada na abrangncia necessria para gerar confiana
de que os processoas esto sendo realizados conforme planejado.
A organizao deve controlar as mudanas planejadas e analisar criticamente as consequncias de
mudanas no previstas, tomando aes para mitigar quaisquer efeitos adversos, conforme
necessrio.
A organizao deve assegurar que os processos terceirizados esto determinados e so controlados.
8.2 Avaliao de riscos de segurana da informao

A organizao deve realizar avaliaes de riscos de segurana da informao a intervalos planejados,
quando mudanas significativas so propostas ou ocorrem, levando em conta os critrios estabelecidos
em 6.1.2 a.
A organizao deve reter informao documentada dos resultados das avaliaes de risco de
segurana da informao.
8.3 Tratamento de riscos de segurana da informao

A organizao deve implementar o plano de tratamento de riscos de segurana da informao.
A organizao deve reter informao documentada dos resultados do tratamento dos riscos de
10/32
ABNT/CB-21
SET 2013
9 Avaliao do desempenho
9.1 Monitoramento, medio, anlise e avaliao
A organizao deve avaliar o desempenho da segurana da informao e a eficcia do sistema de
gesto da segurana da informao.
A organizao deve determinar:
a) o que precisa ser monitorado e medido, incluindo controles e processos de segurana da
informao;
b) os mtodos para monitoramento, medio, anlise e avaliao, conforme aplicvel, para assegurar
resultados vlidos;
NOTA
Os mtodos selecionados devem produzir resultados comparveis e reproduzveis para serem vlidos.
c) Quando o monitoramento e a medio devem ser realizados;

d) o que deve ser monitorado e medido;
e) quando os resultados do monitoramento e da medio devem ser analisados e avaliados;
f)
quem deve analisar e avaliar estes resultados.
A organizao deve reter informao documentada apropriada como evidncia do monitoramento e dos
resultados da medio.
9.2 Auditoria interna

A organizao deve conduzir auditorias internas a intervalos planejados para prover informaes sobre
o quanto o sistema de gesto da segurana da informao:
a) est em conformidade com:
1)
os prprios requisitos da organizao para o seu sistema de gesto da segurana da

informao;
2)
os requisitos desta Norma;
b) est efetivamente implementado e mantido.

Organizao deve:
a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequncia,
mtodos, responsabilidades, requisitos de planejamento e relatrios. Os programas de auditoria
devem levar em conta a importncia dos processos pertinentes e os resultados de auditorias
anteriores;
b) definir os critrios e o escopo da auditoria, para cada auditoria;
11/32
ABNT/CB-21
SET 2013
c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do

processo de auditoria;
d) assegurar que os resultados das auditorias so relatados para a direo pertinente.
e) reter a informao documentada como evidncia dos programas da auditoria e dos resultados da
auditoria.
9.3 Anlise crtica pela direo

A Alta Direo deve analisar criticamente o sistema de gesto da segurana da informao da
organizao a intervalos planejados para assegurar a sua contnua adequao, pertinncia e eficcia.
A anlise crtica pela Direo deve incluir consideraes com relao a:
a) situao das aes de anlises crticas anteriores, realizadas pela direo;
b) mudanas nas questes internas e externas, que sejam relevantes para o sistema de gesto da
segurana da informao;
c) realimentao sobre o desempenho da segurana da informao, incluindo tendncias nas:
1)
no conformidades e aes corretivas;
2)
monitoramento e resultados da medio;
3)
resultados de auditorias; e
4)
cumprimento dos objetivos de segurana da informao.
d) realimentao das partes interessadas;

e) resultados da avaliao dos riscos e situao do plano de tratamento dos riscos; e
f)
oportunidades para melhoria contnua.
Os resultados da anlise crtica pela Direo devem incluir decises relativas a oportunidades para
melhoria contnua e quaisquer necessidades para mudanas do sistema de gesto da segurana da
informao.
A organizao deve reter informao documentada como evidncia dos resultados das anlises crticas
pela direo.
10 Melhoria
10.1 No conformidade e ao corretiva
Quando uma no conformidade ocorre, a organizao deve:
a) reagir no conformidade, e conforme apropriado:
1)
tomar aes para controlar e corrigi-la; e

12/32
ABNT/CB-21
SET 2013
2)
tratar com as consequncias;
b) avaliar a necessidade de aes para eliminar as causas de no conformidade, para evitar sua
repetio ou ocorrncia, por um dos seguintes meios:
1)
analisando criticamente a no conformidade;
2)
determinando as causas da no conformidade; e
3)
determinando se no conformidades similares existem, ou podem potencialmente ocorrer.
c) implementar quaisquer aes necessrias;

d) analisar criticamente a eficcia de quaisquer aes corretivas tomadas; e
e) realizar mudanas no sistema de gesto da segurana da informao, quando necessrio.
As aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.
A organizao deve reter informao documentada como evidncia da:
a) natureza das no conformidades e quaisquer aes subsequentes tomadas; e
b) resultados de qualquer ao corretiva.
10.2 Melhoria contnua

A organizao deve continuamente melhorar a pertinncia, adequao e eficcia do sistema de gesto
da segurana da informao.
13/32
ABNT/CB-21
SET 2013
Anexo A
(normativo)
Referncia aos controles e objetivos de controles
Os controles e objetivos de controles listados na Tabela A.1 so derivados diretamente e esto

alinhados com aqueles listados na ABNT NBR ISO/IEC 27002:2013 - sees 5 a 18, e devem ser
usados em alinhamento com o item 6.1.3
Tabela A.1 - Objetivos de Controle e Controles

A.5 Polticas de segurana da informao
A.5.1 Orientao da direo para segurana da informao
Objetivo: Prover orientao da direo e apoio para a segurana da informao de acordo
com os requisitos do negcio e com as leis e regulamentaes relevantes
A.5.1.1
Polticas para segurana

da informao
Controle
Um conjunto de polticas de segurana da
informao deve ser definido, aprovado pela
direo, publicado e comunicado para os
funcionrios e partes externas relevantes.
A.5.1.2
Anlise
crtica
das
polticas para segurana
da informao
Controle
As polticas de segurana da informao devem
ser analisadas criticamente a intervalos
planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
A.6 Organizao da segurana da informao

A.6.1 Organizao interna
Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a
implementao e operao da segurana da informao dentro da organizao
A.6.1.1
Responsabilidades
e
papis pela segurana da
informao
Controle
Todas as responsabilidades pela segurana da
informao devem ser definidas e atribudas.
A.6.1.2
Segregao de funes
Controle
Funes
conflitantes
e
reas
de
responsabilidade devem ser segregadas para
reduzir as oportunidades de modificao no
autorizada ou no intencional, ou uso indevido
dos ativos da organizao.
14/32
ABNT/CB-21
SET 2013
Tabela A.1 (continuao)

A.6.1.3
Contato com autoridades
com
Controle
Contatos
apropriados
com
relevantes devem ser mantidos.
autoridades
A.6.1.4
Contato
especiais
grupos
Controle
Contatos apropriados com grupos especiais,
associaes profissionais ou outros fruns
especializados em segurana da informao
devem ser mantidos.
A.6.1.5
Segurana da informao
no
gerenciamento
de
projetos
Controle
Segurana da informao deve ser considerada
no
gerenciamento
de
projetos,
independentemente do tipo do projeto.
A.6.2 Dispositivos mveis e trabalho remoto

Objetivo: Garantir a segurana das informaes no trabalho remoto e no uso de dispositivos
mveis.
A.6.2.1
Poltica para o uso de

dispositivo mvel
Controle
Uma poltica e medidas que apoiam a
segurana da informao devem ser adotadas
para gerenciar os riscos decorrentes do uso de
dispositivos mveis.
A.6.2.2
Trabalho remoto
Controle
Uma poltica e medidas que apoiam a
segurana
da
informao
devem
ser
implementadas para proteger as informaes
acessadas, processadas ou armazenadas em
locais de trabalho remoto.
A.7 Segurana em recursos humanos

A.7.1 Antes da contratao
Objetivo: Assegurar que funcionrios e partes externas entendem as suas responsabilidades
e esto em conformidade com os papis para os quais eles foram selecionados.
A.7.1.1
Seleo
Controle
Verificaes do histrico devem ser realizadas
para todos os candidatos a emprego, de acordo
com a tica, regulamentaes e leis relevantes,
e deve ser proporcional aos requisitos do
negcio, aos riscos percebidos e classificao
das informaes a serem acessadas.
A.7.1.2
Termos e condies de
contratao
Controle
As obrigaes contratuais com funcionrios e
partes externas devem declarar as suas
responsabilidade e a da organizao para a
segurana da informao
15/32
ABNT/CB-21
SET 2013

A.7.2 Durante a contratao
Objetivo: Assegurar que os funcionrios e partes externas esto conscientes e cumprem as
suas responsabilidades pela segurana da informao.
A.7.2.1
Responsabilidades
direo
da
Controle
A Direo deve requerer aos funcionrios e
partes externas que pratiquem a segurana da
informao de acordo com o estabelecido nas
polticas e procedimentos da organizao.
A.7.2.2
Conscientizao,
educao e treinamento
em
segurana
da
informao
Controle
Todos os funcionrios da organizao e, onde
pertinente, partes externas devem receber
treinamento, educao e
conscientizao
apropriados, e as atualizaes regulares das
polticas e procedimentos organizacionais
relevantes para as suas funes.
A.7.2.3
Processo disciplinar
Controle
Deve existir um processo disciplinar formal,
implantado e comunicado, para tomar aes
contra funcionrios que tenham cometido uma
violao de segurana da informao.
A.7.3 Encerramento e mudana da contratao

Objetivo: Proteger os interesses da organizao como parte do processo de mudana ou
encerramento da contratao.
A.7.3.1
Responsabilidades
pelo
encerramento ou mudana
da contratao
Controle
As responsabilidades e obrigaes pela
segurana da informao que permaneam
vlidas aps um encerramento ou mudana da
contratao devem ser definidas, comunicadas
aos funcionrios ou partes externas e
cumpridas.
A.8 Gesto de ativos

A.8.1. Responsabilidade pelos ativos
Objetivo: Identificar os ativos da organizao e definir as devidas responsabilidades pela
proteo dos ativos.
A.8.1.1
Inventrio dos ativos
Controle
Os ativos associados com informao e com os
recursos e processamento da informao
devem ser identificados e um inventrio destes
ativos deve ser estruturado e mantido.
A.8.1.2
Proprietrio dos ativos
Controle
Os ativos mantidos no inventrio devem ter um
proprietrio.
16/32
ABNT/CB-21
SET 2013

A.8.1.3
Uso aceitvel dos ativos
Controle
Regras para o uso aceitvel das informaes,
dos ativos associados com informao e os
recursos de processamento da informao,
devem ser identificados, documentados e
implementados.
A.8.1.4
Devoluo de ativos
Controle
Todos os funcionrios e partes externas devem
devolver todos os ativos da organizao que
estejam em sua posse aps o encerramento de
suas atividades, do contrato ou acordo.
A.8.2 Classificao da informao

Objetivo: Assegurar que a informao receba um nvel adequado de proteo, de acordo com
a sua importncia para a organizao.
A.8.2.1
Classificao
informao
da
Controle
A informao deve ser classificada em termos
do seu valor, requisitos legais, sensibilidade e
criticidade para evitar modificao ou
divulgao no autorizada.
A.8.2.2
Rtulos e tratamento da
informao
Controle
Um conjunto apropriado de procedimentos para
rotulare tratar a informao deve ser
desenvolvido e implementado de acordo com o
esquema de classificao da informao
adotado pela organizao.
A.8.2.3
Tratamento dos ativos
Controle
Procedimentos para o tratamento dos ativos
devem ser desenvolvidos e implementados de
acordo com o esquema de classificao da
informao adotada pela organizao.
A.8.3 Tratamento de mdias

Objetivo: Prevenir a divulgao no autorizada, modificao, remoo ou destruio da
informao armazenada nas mdias.
A.8.3.1
Gerenciamento de mdias
removveis
Controle
Procedimentos devem ser implementados para
o gerenciamento de mdias removveis, de
acordo com o esquema de classificao
adotado pela organizao.
A.8.3.2
Descarte de mdias
Controle
As mdias devem ser descartadas de forma
segura e protegida quando no forem mais
necessrias, por meio de prodecimentos
formais.
17/32
ABNT/CB-21
SET 2013

A.8.3.3
Transferncia
mdias
fsica
de
Controle
Mdias contendo informaes devem ser
protegidas contra acesso no autorizado, uso
imprprio ou corrompida, durante o transporte.
A.9 Controle de acesso

A.9.1 Requisitos do negcio para controle de acesso
Objetivo: Limitar o acesso informao e aos recursos de processamento da informao.
A.9.1.1
Poltica de controle de
acesso
Controle
Uma poltica de controle de acesso deve ser
estabelecida,
documentada
e
analisada
criticamente, baseado nos requisitos de
segurana da informao e dos negcios.
A.9.1.2
Acesso s redes e aos

servios de rede
Controle
Os usurios devem somente receber acesso s
redes e aos servios de rede que tenham sido
especificamente autorizados a usar.
A.9.2 Gerenciamento de acesso do usurio

Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a
sistemas e servios.
A.9.2.1
Registro e cancelamento
de usurio
Controle
Um processo formal de registro e cancelamento
de usurio deve ser implementado para permitir
atribuio de direitos de acesso.
A.9.2.2
Provisionamento
acesso de usurio
para
Controle
Um processo formal de provisionamento de
acesso do usurio deve ser implementado para
conceder ou revogar os direitos de acesso do
usurio para todos os tipos de usurios em
todos os tipos de sistemas e servios.
A.9.2.3
Gerenciamento de direitos
de acesso privilgiados
Controle
A concesso e uso de direitos e acesso
privilgiado devem ser restritos e controlados.
A.9.2.4
Gerenciamento
da
informao
de
autenticao secreta de
usurios
Controle
A concesso de informao de autenticao
secreta deve ser controlada por meio de um
processo de gerenciamento formal.
A.9.2.5
Anlise crtica dos direitos

de acesso de usurio
Controle
Os proprietrios de ativos devem analisar
criticamente os direitos de acesso dos usurios,
a intervalos regulares.
18/32
ABNT/CB-21
SET 2013

A.9.2.6
Retirada ou ajuste
direitos de acesso
de
Controle
Os direitos de acesso de todos os funcionrios
e partes externas s informaes e aos
recursos de processamento da informao
devem ser retirados aps o encerramento de
suas atividades, contratos ou acordos, ou
ajustado aps a mudana destas atividades.
A.9.3 Responsabilidades dos usurios

Objetivo: Tornar os usurios responsveis pela proteo das suas informaes de
autenticao.
A.9.3.1
Uso da informao
autenticao secreta
de
Controle
Os usurios devem ser orientados a seguir as
prticas da organizao quanto ao uso da
informao de autenticao secreta.
A.9.4 Controle de acesso ao sistema e aplicao

Objetivo: Prevenir o acesso no autorizado aos sistemas e aplicaes.
A.9.4.1
Restrio de acesso
informao
Controle
O acesso informao e as funes dos
sistemas de aplicaes devem ser restrito de
acordo com a poltica de controle de acesso.
A.9.4.2
Procedimentos seguros de
entrada no sistema (logon)
Controle
Onde aplicavl pela poltica de controle de
acesso, o acesso aos sistemas e aplicaes
devem ser controlados por um procedimento
seguro de entrada no sistema (log-on).
A.9.4.3
Sistema de gerenciamento
de senha
Controle
Sistemas para gerenciamento de senhas
devem ser interativos e devem assegurar
senhas de qualidade.
A.9.4.4
Uso
de
programas
utilitrios privilegiados
Controle
O uso de programas utilitrios que podem ser
capazes de sobrepor os controles dos sistemas
e aplicaes deve ser restrito e estritamente
controlado.
A.9.4.5
Controle de acesso ao
cdigo-fonte de programas
Controle
O acesso ao cdigo-fonte de programa deve
ser restrito.
A.10 Criptografia
A.10.1 Controles criptogrficos
Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade da informao.
19/32
ABNT/CB-21
SET 2013

A.10.1.1
Poltica para o uso de

controles criptogrficos
Controle
Deve ser desenvolvida e implementada uma
poltica para o uso de controles criptogrficos
para a proteo da informao.
A.10.1.2
Gerenciamento de chaves
Controle
Uma poltica sobre o uso, proteo e ciclo de
vida das chaves criptogrficas, deve ser
desenvolvida e implementada ao longo de todo
o seu ciclo de vida.
A.11 Segurana fsica e do ambiente

A.11.1 reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de
processamento das informaes e as informaes da organizao.
A.11.1.1
Permetro de segurana
fsica
Controle
Permetros de segurana devem ser definidos e
usados para proteger tanto as reas que
contenham as instalaes de processamento
da informao como as informaes critcas ou
sensveis.
A.11.1.2
Controles de entrada fsica
Controle
As reas seguras devem ser protegidas por
controles apropriados de entrada para
assegurar que somente pessoas autorizadas
tenham acesso permitido.
A.11.1.3
Segurana em escritrios,
salas e instalaes
Controle
Deve ser projetada e aplicada segurana fsica
para escritrios, salas e instalaes.
A.11.1.4
Proteo contra ameaas

externas e do meioambiente
Controle
Devem ser projetadas e aplicadas proteo
fsica contra desastres naturais, ataques
maliciosos ou acidentes.
A.11.1.5
Trabalhando
seguras
reas
Controle
Deve ser projetada e aplicada procedimentos
para o trabalho em reas seguras.
A.11.1.6
reas de entrega e de
carregamento
Controle
Pontos de acesso, tais como reas de entrega
e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas
instalaes, devem ser controlados e, se
possvel,
isolados
das
instalaes de
processamento da informao, para evitar o
acesso no autorizado.
em
20/32
ABNT/CB-21
SET 2013

A.11.2 Equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo
das operaes da organizao.
A.11.2.1
Escolha
de
local
e
proteo do equipamento
Controle
Os equipamentos devem ser colocados no local
ou protegidos para reduzir os riscos de
ameaas e perigos do meio-ambiente, bem
como as oportunidades de acesso no
autorizado.
A.11.2.2
Utilidades
Controle
Os equipamentos devem ser protegidos contra
falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.
A.11.2.3
Segurana
cabeamento
A.11.2.4
Manuteno
equipamentos
A.11.2.5
Remoo de ativos
Controle
Equipamentos, informaes ou software no
devem ser retirados do local sem autorizao
prvia.
A.11.2.6
Segurana
de
equipamentos e ativos
fora das dependncias da
organizao
Controle
Devem ser tomadas medidas de segurana
para ativos que operem fora do local, levando
em conta os diferentes riscos decorrentes do
fato de se trabalhar fora das dependncias da
organizao.
A.11.2.7
Reutilizao e alienao
seguras de equipamentos
Controle
Todos os equipamentos que contenham mdias
de armazenamento de dados devem ser
examinados antes do descarte, para assegurar
que todos os dados sensveis e softwares
licenciados tenham sido removidos ou sobregravados com segurana.
do
Controle
O
cabeamento
de
energia
e
de
telecomunicaes que transporta dados ou d
suporte aos servios de informaes deve ser
protegido contra interceptao, interferncia ou
danos.
dos
Controle
Os equipamentos devem ter uma manuteno
correta para assegurar sua disponibilidade e
integridade permanente.
21/32
ABNT/CB-21
SET 2013

A.11.2.8
Equipamento de usurio
sem monitorao
Controle
Os usurios devem assegurar que os
equipamentos
no
monitorados
tenham
proteo adequada.
A.11.2.9
Poltica de mesa limpa e

tela limpa
Controle
Deve ser adotada uma poltica de mesa limpa
de papis e mdias de armazenamento
removveis e uma poltica de tela limpa para os
recursos de processamento da informao.
A.12 Segurana nas operaes

A.12.1Responsabilidades e procedimentos operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da
informao.
A.12.1.1
Documentao
procedimentos
operao
dos
de
Controle
Os procedimentos de operao devem ser
documentados e disponibilizados para todos os
usurios que necessitam deles.
A.12.1.2
Gesto de mudanas
Controle
Mudanas na organizao, nos processos do
negcio, nos recursos de processamento da
informao e nos sistemas que afetam a
segurana da informao, devem ser
controladas.
A.12.1.3
Gesto de capacidade
Controle
A utilizao dos recursos deve ser monitorada,
ajustada e as projees devem ser feitas para
necessidades de capacidade futura para
garantir o desempenho requerido do sistema.
A.12.1.4
Separao dos ambientes

de desenvolvimento, teste
e de produo
Controle
Ambientes de desenvolvimento, teste e
produo devem ser separados para reduzir os
riscos de acessos ou modificaes no
autorizadas no ambiente de produo.
A.12.2 Proteo contra malware

Objetivo: Assegurar que as informaes e os recursos de processamento da informao
esto protegidos contra malware.
A.12.2.1
Controles contra malware
Controle
Devem ser implementados controles de
deteco, preveno e recuperao para
proteger contra malware, combinado com um
adequado programa de conscientizao do
usurio.
22/32
ABNT/CB-21
SET 2013

A.12.3 Cpias de segurana
Objetivo: Proteger contra a perda de dados.
A.12.3.1
Cpias de segurana das

informaes
Controle
Cpias de segurana das informaes,
softwares e das imagens do sistema, devem
ser efetuadas e testadas regularmente
conforme a poltica de gerao de cpias de
segurana definida.
A.12.4 Registros e monitoramento

Objetivo: Registrar eventos e gerar evidncias.
A.12.4.1
Registros de eventos
Controle
Registros de eventos (log) de eventos das
atividades do usurio, excees, falhas e
eventos de segurana da informao devem
ser produzidos, mantidos e analisados
criticamente, a intervalos regulares
A.12.4.2
Proteo das informaes

dos registros de eventos
(logs)
Controle
As informaes dos registros de eventos (log) e
seus recursos devem ser protegidas contra
acesso no autorizado e adulterao.
A.12.4.3
Registros de eventos (log)

de
Administrador
e
Operador.
Controle
As
atividades
dos
administradores
e
operadores do sistema devem ser registradas e
os registros (logs) devem serprotegidos e
analisados criticamente, a intervalos regulares.
A.12.4.4
Sincronizao dos relgios
Controle
Os relgios de todos os sistemas de
processamento de informaes relevantes,
dentro da organizao ou do domnio de
segurana, devem ser sincronizados com uma
fonte de tempo precisa.
A.12.5 Controle de software operacional

Objetivo: Assegurar a integridade dos sistemas operacionais.
A.12.5.1
Instalao de software nos

sistemas operacionais
Controle
Procedimentos para controlar a instalao de
software em sistemas operacionais devem ser
implementados.
A.12.6 Gesto de vulnerabilidades tcnicas

Objetivo: Prevenir a explorao de vulnerabilidades tcnicas.
23/32
ABNT/CB-21
SET 2013

A.12.6.1
Gesto
de
vulnerabilidades tcnicas
Controle
Informaes sobre vulnerabilidades tcnicas
dos sistemas de informao em uso, devem ser
obtidas em tempo hbil, com a exposio da
organizao a estas vulnerabilidades avaliadas
e tomadas as medidas apropriadas para lidar
com os riscos associados.
A.12.6.2
Restries
quanto
instalao de software
Controle
Regras definindo critrios para a instalao de
software
pelos
usurios
devem
ser
estabelecidas e implementadas.
A.12.7 Consideraes quanto auditoria de sistemas de informao

Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
A.12.7.1
Controles de auditoria de
sistemas de informao
Controle
As atividades e requisitos de auditoria
envolvendo a verificao nos sistemas
operacionais devem ser cuidadosamente
planejados e acordados para minimizar
interrupo nos processos do negcio.
A.13 Segurana nas comunicaes

A.13.1 Gerenciamento da segurana em redes
Objetivo: Assegurar a proteo das informaes em redes e dos recursos de processamento
da informao que os apoiam.
A.13.1.1
Controles de redes
Controle
As redes devem ser gerenciadas e controladas
para proteger as informaes nos sistemas e
aplicaes.
A.13.1.2
Segurana dos servios

de rede
Controle
Mecanismos de segurana, nveis de servio e
requisitos de gerenciamento de todos os
servios de rede, devem ser identificados e
includos em qualquer acordo de servios de
rede, tanto para servios de rede providos
internamente como para terceirizados.
A.13.1.3
Segregao de redes
Controle
Grupos de servios de informao, usurios e
sistemas de informao devem ser segregados
em redes.
A.13.2 Transferncia de informao

Objetivo: Manter a segurana da informao transferida dentro da organizao e com
quaisquer entidades externas.
24/32
ABNT/CB-21
SET 2013

A.13.2.1
Polticas e procedimentos
para
transferncia
de
informaes
Controle
Polticas, procedimentos e controles de
transferncias
formais,
devem
ser
estabelecidos para proteger a transferncia de
informaes por meio do uso de todos os tipos
de recursos de comunicao.
A.13.2.2
Acordos
transferncia
informaes
Controle
Devem ser estabelecidos acordos para
transferncia segura de informaes do
negcio entre a organizao e partes externas.
A.13.2.3
Mensagens eletrnicas
A.13.2.4
Acordos
confidencialidade
divulgao
para
de
Controle
As informaes que trafegam em mensagens
eletrnicas
devem
ser
adequadamente
protegidas.
de
no
Controle
Os requisitos para confidencialidade ou acordos
de no divulgao que reflitam as necessidades
da organizao para a proteo da informao
devem
ser
identificados,
analisados
criticamente e documentados.
A.14 Aquisio, desenvolvimento e manuteno de sistemas

A.14.1 Requisitos de segurana de sistemas de informao
Objetivo: Garantir que a segurana da informao parte integrante de todo o ciclo de vida
dos sistemas de informao. Isto tambm inclui os requisitos para sistemas de informao
que fornecem servios sobre as redes pblicas.
A.14.1.1
Anlise e especificao
dos
requisitos
de
Controle
Os requisitos relacionados com segurana da
informao devem ser includos nos requisitos
para novos sistemas de informao ou
melhorias dos sistemas de informao
existentes.
A.14.1.2
Servios
seguros
pblicas
Controle
As informaes envolvidas nos servios de
aplicao que transitam sobre redes pblicas
devem
ser
protegidas
de
atividades
fraudulentas, disputas contratuais e divulgao
e modificaes no autorizadas.
de aplicao
sobre
redes
25/32
ABNT/CB-21
SET 2013

A.14.1.3
Protegendo as transaes
nos aplicativos de servios
Controle
Informaes envolvidas em transaes nos
aplicativos de servios devem ser protegidas
para prevenir transmisses incompletas, erros
de roteamento, alteraes no autorizadas de
mensagens,
divulgao
no
autorizada,
duplicao ou reapresentao de mensagem
no autorizada.
A.14.2 Segurana em processos de desenvolvimento e de suporte

Objetivo: Garantir que a segurana da informao est projetada e implementada no ciclo de
vida de desenvolvimento dos sistemas de informao.
A.14.2.1
Poltica
de
desenvolvimento seguro
Controle
Regras para o desenvolvimento de sistemas e
software devem ser estabelecidas e aplicadas
aos desenvolvimentos realizados dentro da
organizao.
A.14.2.2
Procedimentos
para
controle de mudanas de
sistemas
Controle
Mudanas em sistemas dentro do ciclo de vida
de desenvolvimento devem ser controladas
utilizando procedimentos formais de controle de
mudanas.
A.14.2.3
Anlise crtica tcnica das

aplicaes
aps
mudanas
nas
plataformas operacionais
Controle
Aplicaes crticas de negcios devem ser
analisadas criticamente e testadas quando
plataformas operacionais so mudadas, para
garantir que no haver nenhum impacto
adverso na operao da organizao ou na
segurana.
A.14.2.4
Restries
sobre
mudanas em pacotes de
Software
Controle
Modificaes em pacotes de software devem
ser desencorajadas e devem estar limitadas s
mudanas necessrias, e todas as mudanas
devem ser estritamente controladas.
A.14.2.5
Princpios para projetar

sistemas seguros
Controle
Princpios para projetar sistemas seguros
devem ser estabelecidos, documentados,
mantidos
e
aplicados
para
qualquer
implementao de sistemas de informao.
26/32
ABNT/CB-21
SET 2013

A.14.2.6
Ambiente seguro
desenvolvimento
para
Controle
As organizaes devem estabelecer e proteger
adequadamente os ambientes seguros de
desenvolvimento, para os esforos de
integrao e desenvolvimento de sistemas, que
cubram todo o ciclo de vida de desenvolvimento
de
sistema
A.14.2.7
Desenvolvimento
terceirizado
Controle
A organizao deve supervisionar e monitorar
as atividades de desenvolvimento de sistemas
terceirizado.
A.14.2.8
Teste de segurana do
sistema
Controle
Testes de funcionalidade de segurana devem
ser realizados durante o desenvolvimento de
sistemas.
A.14.2.9
Teste de aceitao de
sistemas
Controle
Programas de testes de aceitao e critrios
relacionados devem ser estabelecidos para
novos sistemas de informao, atualizaes e
novas verses.
A.14.3 Dados para teste

Objetivo: Assegurar a proteo dos dados usados para teste.
A.14.3.1
Proteo dos dados para

teste
Controle
Os dados de teste devem ser selecionados com
cuidado, protegidos e controlados.
A.15 Relacionamento na cadeia de suprimento

A.15.1 Segurana da informao na cadeia de suprimento.
Objetivo: Garantir a proteo dos ativos da organizao que so acessveis pelos
fornecedores
A.15.1.1
Poltica de segurana da
informao
no
relacionamento com os
fornecedores
Controle
Requisitos de segurana da informao para
mitigar os riscos associados com o acesso dos
fornecedores aos ativos da organizao devem
ser
acordados com o fornecedor
e
documentados.
A.15.1.2
Identificando
segurana
da
informao
nos
acordos com fornecedores
Controle
Todos os requisitos de segurana da
informao relevantes devem ser estabelecidos
e acordados com cada fornecedor que possa
acessar, processar, armazenar, comunicar, ou
prover componentes de infraestrutura de TI
para as informaes da organizao.
27/32
ABNT/CB-21
SET 2013

A.15.1.3
Cadeia de suprimento na
tecnologia
da
comunicao e informao
Controle
Acordos com fornecedores devem incluir
requisitos para comtemplar os riscos de
segurana da informao associados com a
cadeia de suprimento de produtos e servios de
tecnologia das comunicaes e informao.
A.15.2 Gerenciamento da entrega do servio do fornecedor

Objetivo: Manter um nvel acordado de segurana da informao e de entrega de servios em
consonncia com os acordos com fornecedores.
A.15.2.1
A.15.2.2
Monitoramento e anlise
crtica de servios com
fornecedores
Controle
A organizao deve monitorar, analisar
criticamente e auditar a intervalos regulares, a
entrega dos servios executados pelos
fornecedores.
Gerenciamento de mudanas
para
servios
com
fornecedores
Controle
Mudanas no provisionamento dos servios pelos
fornecedores, incluindo manuteno e melhoria das
polticas de segurana da informao, dos
procedimentos e controles existentes, devem ser
gerenciadas, levando-se em conta a criticidade das
informaes do negcio, dos sistemas e processos
envolvidos, e a reavaliao de riscos.
A.16 Gesto de incidentes de segurana da informao

A.16.1 Gesto de incidentes de segurana da informao e melhorias
Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de
segurana da informao, incluindo a comunicao sobre fragilidades e eventos de
A.16.1.1
Responsabilidades
procedimentos
Controle
Responsabilidades e procedimentos de gesto
devem ser estabelecidos para assegurar
respostas rpidas, efetivas e ordenadas a
incidentes de segurana da informao.
A.16.1.2
Notificao de eventos de
Controle
Os eventos de segurana da informao devem
ser relatados atravs dos canais apropriados da
direo, o mais rapidamente possvel.
A.16.1.3
Notificando fragilidades de
Controle
Os funcionrios e partes externas que usam os
sistemas e servios de informao da
organizao, devem ser instrudos a registrar e
notificar quaisquer fragilidades de segurana da
informao, suspeita ou observada,
nos
sistemas ou servios.
28/32
ABNT/CB-21
SET 2013

A.16.1.4
Avaliao e deciso dos

eventos de segurana da
informao
Controle
Os eventos de segurana da informao devem
ser avaliados e deve ser decidido se eles so
classificados como incidentes de segurana da
informao.
A.16.1.5
Resposta aos incidentes

de
segurana
da
informao
Controle
Incidentes de segurana da informao devem
ser reportados de acordo com procedimentos
documentados.
A.16.1.6
Aprendendo
com
os
incidentes de segurana
da informao
Controle
Os conhecimentos obtidos da anlise e
resoluo dos incidentes de segurana da
informao devem ser usados para reduzir a
probabilidade ou o impacto de incidentes
futuros.
A.16.1.7
Coleta de evidncias
Controle
A organizao deve definir e aplicar
procedimentos para a identificao, coleta,
aquisio e preservao das informaes, as
quais podem servir como evidncias.
A.17 Aspectos da segurana da informao na gesto da continuidade do negcio

A.17.1 Continuidade da segurana da informao
Objetivo: A continuidade da segurana da informao deve ser comtemplada nos sistemas de
gesto da continuidade do negocio da organizao.
A.17.1.1
Planejando a continuidade
da
segurana
da
informao
Controle
A organizao deve determinar seus requisitos
para a segurana da informao e a
continuidade da gesto da segurana da
informao em situaes adversas, por
exemplo, durante uma crise ou desastre.
A.17.1.2
Implementando
a
continuidade
da
Controle
A organizao deve estabelecer, documentar,
implementar
e
manter
processos,
procedimentos e controles para assegurar o
nvel requerido de continuidade para a
segurana da informao, durante uma
situao adversa.
A.17.1.3
Verificao, anlise crtica

e
avaliao
da
continuidade
da
Controle
A organizao deve verificar os controles de
continuidade da segurana da informao,
estabelecidos e implementados, intervalos
regulares, para garantir que eles so vlidos e
eficazes em situaes adversas.
29/32
ABNT/CB-21
SET 2013

A.17.2 Redundncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informao.
A.17.2.1
Disponibilidade
recursos
processamento
informao
dos
de
da
Controle
Os recursos de processamento da informao
devem ser implementados com redundncia
suficiente para atender aos requisitos de
disponibilidade.
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo:Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou
contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana.
A.18.1.1
Identificao da legislao
aplicvel e de requisitos
contratuais
Controle
Todos os requisitos legislativos estatutrios,
regulamentares e contratuais relevantes, e o
enfoque da organizao para atender a esses
requisitos,
devem
ser
explicitamente
identificados, documentados e mantidos
atualizados para cada sistema de informao
da organizao.
A.18.1.2
Direitos de
intelectual
Controle
Procedimentos
apropriados
devem
ser
implementados para garantir a conformidade
com os requisitos legislativos, regulamentares e
contratuais relacionados com os direitos de
propriedade intelectual, e sobre o uso de
produtos de software proprietrios.
A.18.1.3
Proteo de registros
Controle
Registros devem ser protegidos contra perda,
destruio, falsificao, acesso no autorizado
e liberao no autorizada, de acordo com os
requisitos
regulamentares,
estatutrios,
contratuais e do negcio.
A.18.1.4
Proteo e privacidade de
informaes
de
identificao de pessoal
Controle
A privacidade e proteo das informaes de
identificao pessoal devem ser asseguradas
conforme
requerido
por
legislao
e
regulamentao pertinente, quando aplicvel.
A.18.1.5
Regulamentao
de
controles de criptografia
Controle
Controles de criptografia devem ser usados em
conformidade com todas as leis, acordos,
legislao e regulamentaes pertinentes.
propriedade
30/32
ABNT/CB-21
SET 2013

A.18.2 Anlise crtica da segurana da informao
Objetivo: Garantir que a segurana da informao est implementada e operada de acordo
com as politicas e procedimentos da organizao.
A.18.2.1
Anlise
crtica
independente
da
Controle
O enfoque da organizao para gerenciar a
segurana
da
informao
e
a
sua
implementao (por exemplo, controles,
objetivo dos controles, polticas, processos e
procedimentos
para
a
segurana
da
informao) deve ser analisado criticamente, de
forma independente, a intervalos planejados, ou
quando ocorrerem mudanas significativas.
A.18.2.2
Conformidade com as
polticas e normas de
Controle
Os gestores devem analisar criticamente, a
intervalos regulares, a conformidade dos
procedimentos e do processamento da
informao, dentro das suas reas de
responsabilidade, com as normas e polticas de
segurana e quaisquer outros requisitos de
A.18.2.3
Anlise
crtica
conformidade tcnica
Controle
Os sistemas de informao devem ser
analisados criticamente, a intervalos regulares,
para verificar a conformidade com as normas e
polticas de segurana da informao da
organizao.
da
31/32
ABNT/CB-21
SET 2013
Bibliografia
[1]
ABNT NBR ISO IEC 27002:2013, Tecnologia da Informao-Tcnicas de Segurana Cdigo de

Prtica para controles de segurana da informao
[2]
ABNT NBR ISO IEC 27003:2011- Tecnologia da Informao-Tcnicas de Segurana Diretrizes

para implantao de um sistema de gesto da segurana da informao
[3]
ABNT NBR ISO/IEC 27004:2010, Tecnologia da informao Tcnicas de segurana Gesto

da segurana da informao Medio
[4]
ABNT NBR ISO/IEC 27005:2011, Tecnologia da informao Tcnicas de segurana Gesto

de riscos de segurana da informao
[5]
ABNT NBR ISO 31000:2009, Gesto de riscos Princpios e diretrizes
[6]
ISO IEC Directives, Part 1 Consolidated ISO Supplement Procedures specific to ISO :2012
32/32

Iso 27001 2013

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Iso 27001 2013

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-21

PROJETO ABNT NBR ISO/IEC 27001

Tecnologia da Informao Tcnicas de Segurana Sistemas de gesto

2) Este Projeto de Reviso previsto para cancelar e substituir a edio anterior

Ricardo Kiyoshi Batori

Giovani Davi Silva

Carlos Augusto Valim

Gisele Villas Bas

Luiz Gustavo Ribeiro

NO TEM VALOR NORMATIVO

Tecnologia da Informao Tcnicas de Segurana Sistemas de gesto

NO TEM VALOR NORMATIVO

0.2 Compatibilidade com outras normas de sistemas de gesto

NO TEM VALOR NORMATIVO

4.2 Entendendo as necessidades e as expectativas das partes interessadas

4.3 Determinando o escopo do sistema de gesto da segurana da informao

a) as questes internas e externas referenciadas em 4.1;

4.4 4.4 Sistema de gesto da segurana da informao

g) promovedo a melhoria contnua; e

c) inclua um comprometimento para satisfazer os requisitos aplicveis, relacionados com segurana

5.3 Autoridades, responsabilidades e papis organizacionais

6.1.2 Avaliao de riscos de segurana da informao

os critrios de aceitao do risco; e

os critrios para o desempenho das avaliaes dos riscos de segurana da informao;

b) )assegure que as contnuas avaliaes de riscos de segurana da informao produzam resultados

aplicando o processo de avaliao do risco de segurana da informao para identificar os

identifique os responsveis dos riscos.

d) analise os riscos de segurana da informao:

avalie as consequncias potenciais que podem resultar se os riscos identificados em

avalie a probabilidade realstica da ocorrncia dos riscos identificados em 6.1.2 c) 1); e

determine os nveis de risco;

e) avalie os riscos de segurana da informao:

compare os resultados da anlise dos riscos com os critrios de riscos estabelecidos em

priorize os riscos analisados para o tratamento do risco.

6.1.3 Tratamento de riscos de segurana da informao.

d) elaborar uma declarao de aplicabilidade que contenha os controles necessrios

6.2 Objetivo de segurana da informao e planos para alcan-los

NO TEM VALOR NORMATIVO

b) quais recursos sero necessrios;

NO TEM VALOR NORMATIVO

7.5 Informao documentada

a) tamanho da organizao e seu tipo de atividades, processos, produtos e servios;

a) distribuio, acesso, recuperao e uso;

8.2 Avaliao de riscos de segurana da informao

8.3 Tratamento de riscos de segurana da informao

NO TEM VALOR NORMATIVO

c) Quando o monitoramento e a medio devem ser realizados;

quem deve analisar e avaliar estes resultados.

9.2 Auditoria interna

os prprios requisitos da organizao para o seu sistema de gesto da segurana da

os requisitos desta Norma;

b) est efetivamente implementado e mantido.

NO TEM VALOR NORMATIVO

c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do

9.3 Anlise crtica pela direo

no conformidades e aes corretivas;

monitoramento e resultados da medio;

cumprimento dos objetivos de segurana da informao.

d) realimentao das partes interessadas;

oportunidades para melhoria contnua.

tomar aes para controlar e corrigi-la; e

tratar com as consequncias;

analisando criticamente a no conformidade;