Você está na página 1de 32

ABNT/CB-21

PROJETO ABNT NBR ISO/IEC 27001:2013


SET 2013

Tecnologia da Informao - Tcnicas de Segurana Sistemas de gesto da segurana da informao - Requisitos


Information technology Security techniques Information security m anagem ent system s
Requirements

Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:

Scope
This Standard specifies the requirements for establishing, implementing, maintaining and continually
improving an information security management system within the context of the organization. This
Standard also includes requirements for the assessment and treatment of information security risks
tailored to the needs of the organization. The requirements set out in this Standard are generic and are
intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to
this Standard.

NAO TEM VALOR NORMATIVO

1/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

0. Introduo

0.1 Geral
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
organizacionais, funcionrios, tamanho e estrutura da organizao. So esperados que todos estes
fatores de influncia mudem ao longo do tempo.
O sistema de gesto da segurana da informao preserva a confidencialidade, integridade e
disonibilidade da informao por meio da aplicao de um processo de gesto de riscos e fornece
confiana para as partes interessadas de que os riscos so adequadamente gerenciados.
importante que um sistema de gesto da segurana da informao seja parte e esteja integrado com
os processos da organizao e com a estrutura de administrao global e que a segurana da
informao seja considerada no projeto dos processos, sistemas de informao e controles. esperado
que a implementao de um sistema de gesto de segurana da informao seja planejado de acordo
com as necessidades da organizao.
Esta Norma pode ser usada por partes internas e externas para avaliar a capacidade da organizao
em atender os seus prprios requisitos de segurana da informao.
A ordem pela qual os requisitos so apresentados nesta Norma no reflete sua importncia ou implica
na ordem pela qual eles devem ser implementados. Os itens listados so numerados apenas para fins
de referncia.
A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema de gesto da segurana da
informao e referencia as normas da famila do sistema de gesto da segurana da informao
(incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies relacionados.

0.2 Compatibilidade com outras normas de sistemas de gesto


Esta Norma aplica
termos comuns e
Consolidated ISO
sistemas de gesto

a estrutura de alto nvel, os ttulos de sub-clusulas idnticos, textos idnticos,


definies bsicas, apresentadas no anexo SL da ISO/IEC Directives, Part 1,
Supplement, mantendo desta forma a compatibilidade com outras normas de
que adotaram o anexo SL.

Esta abordagem comum definida no anexo SL ser ltil para aquelas organizaes que escolhem
operar um nico sistema de gesto que atenda os requisitos de duas ou mais normas de sistemas de
gesto.

NAO TEM VALOR NORMATIVO

2/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

1 Escopo
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gesto da segurana da informao dentro do contexto da organizao. Esta Norma
tambm inclui requisitos para a avaliao e tratamento de riscos de segurana da informao voltados
para as necessidades da organizao. Os requisitos definidos nesta Norma so genricos e so
pretendidos para serem aplicveis a todas as organizaes independentemente do tipo, tamanho ou
natureza. A excluso de quaisquer dos requisitos especificados nas sees 4 a 10 no aceitvel
quando a organizao busca a conformidade com esta Norma.

2 Referncias normativas
O documento relacionado a seguir indispensvel aplicao deste documento. Para referncias
datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies
mais recentes do referido documento (incluindo emendas).
ISO/IEC 27000, Information technology systems - OverView and vocabulary

Securty techniques Information security management

3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies apresentados na ISO/IEC 27000

4 Contexto da organizao
4.1

Entendendo a organizao e seu contexto

A organizao deve determinar as questes internas e externas que so relevantes para o seu
propsito e que afetam sua capacidade para alcanar os resultados pretendidos do seu sistema de
gesto da segurana da informao.
NOTA
A determinao destas questes refere-se ao estabelecimento do contexto interno e externo da
organizao apresentado no item 5.3 da ABNT NBR ISO 31000 - Gesto de riscos - Princpios e diretrizes.

4.2

Entendendo as necessidades e as expectativas das partes interessadas

A organizao deve determinar:


a)

as partes interessadas que so relevantes para o sistema de gesto da segurana da informao;


e

b)

os requisitos dessas partes interessadas relevantes para a segurana da informao.

NOTA
Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como
obrigaes contratuais.

4.3

Determinando o escopo do sistema de gesto da segurana da informao

A organizao deve determinar os limites e a aplicabilidade do sistema de gesto da segurana da


informao para estabelecer o seu escopo.
Quando da determinao deste escopo, a organizao deve considerar:
NAO TEM VALOR NORMATIVO

3/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

a)

as questes internas e externas referenciadas em 4.1;

b)

os requisitos referenciados em 4.2; e

c)

as interfaces e dependncias entre as atividades desempenhadas pela organizao e aquelas que


so desempenhadas por outra organizao.

O escopo deve estar disponvel como informao documentada.

4.4

4.4 Sistema de gesto da segurana da informao

A organizao deve estabelecer, implementar, manter e continuamente melhorar um sistema de gesto


da segurana da informao, de acordo com os requisitos desta Norma.

5
5.1

Liderana
5.1 Liderana e comprometimento

A Alta Direo deve demostrar sua liderana e comprometimento em relao ao sistema de gesto da
segurana da informao pelos seguintes meios:
a)

assegurando que a poltica de segurana da informao e os objetivos de segurana da informao


esto estabelecidos e so compatveis com a direo estratgica da organizao;

b)

garantindo a integrao dos requisitos do sistema de gesto da segurana da informao dentro


dos processos da organizao;

c)

assegurando que os recursos necessrios para o sistema de gesto da segurana da informao


estejam disponveis;

d)

comunicando a importncia de uma gesto eficaz da segurana da informao e da conformidade


com os requisitos do sistema de gesto da segurana da informao;

e)

assegurando que o sistema de gesto da segurana da informao alcana seus resultados


pretendidos;

f)

orientando e apoiando pessoas que contribuam para eficcia do sistema de gesto da segurana
da informao;

g)

promovedo a melhoria contnua; e

h)

apoiando outros papis relevantes da gesto para demostrar como sua liderana se aplica s reas
sob sua responsabilidade.

5.2

Poltica

A Alta Direo deve estabelecer uma politca de segurana da informao que:


a)

seja apropriada ao propsito da organizao;

b)

inclua os objetivos de segurana da informao (ver 6.2) ou fornea a estrutura para estabelecer os
objetivos de segurana da informao;
NAO TEM VALOR NORMATIVO

4/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

c)

inclua um comprometimento para satisfazer os requisitos aplicveis, relacionados com segurana


da informao; e

d)

inclua um comprometimento para a melhoria contnua do sistema de gesto da segurana da


informao.

A poltica de segurana da informao deve:


a)

estar disponvel como informao documentada;

b)

ser comunicada dentro da organizao; e

c)

estar disponvel para as partes interessadas conforme apropriado.

5.3

Autoridades, responsabilidades e papis organizacionais

A Alta Direo deve assegurar que as responsabilidades e autoridades dos papis relevantes para a
segurana da informao sejam atribudos e comunicados.
A Alta Direo deve atribuir a responsabilidade e autoridade para:
a)

assegurar que o sistema de gesto da segurana da informao est em conformidade com os


requisitos desta Norma;

b)

relatar sobre o desempenho do sistema de gesto da segurana da informao para a Alta


Direo.

NOTA
A Alta Direo pode tambm atribuir responsabilidades e autoridades para relatar o desempenho do
sistema de gesto da segurana da informao dentro da organizao.

Planejamento

6.1
6.1.1

Aes para contemplar riscos e oportunidades


Geral

Quando do planejamento do sistema de gesto da segurana da informao, a organizao deve


considerar as questes referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e
oportunidades que precisam ser consideradas para:
a)

assegurar que o sistema de gesto da segurana da informao pode alcanar seus resultados
pretendidos;

b)

prevenir ou reduzir os efeitos indesejados; e

c)

alcanar a melhoria contnua.

A organizao deve planejar:


a)

as aes para considerar estes riscos e oportunidades; e

b)

como:
NAO TEM VALOR NORMATIVO

5/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

1)

integrar e implementar estas aes dentro dos processos do seu sistema de gesto da
segurana da informao; e

2)

avaliar a eficcia destas aes.

6.1.2

Avaliao de riscos de segurana da informao

A organizao deve definir e aplicar um processo de avaliao de riscos de segurana da informao


que:
a)

estabelea e mantenha critrios de riscos de segurana da informao que incluam:


1)

os critrios de aceitao do risco; e

2)

os critrios para o desempenho das avaliaes dos riscos de segurana da informao;

b)

)assegure que as contnuas avaliaes de riscos de segurana da informao produzam resultados


comparveis, vlidos e consistentes;

c)

identifique os riscos de segurana da informao:

d)

e)

1)

aplicando o processo de avaliao do risco de segurana da informao para identificar os


riscos associados com a perda de confidencialidade, integridade e disponibilidade da
informao dentro do escopo do sistema de gesto da segurana da informao; e

2)

identifique os responsveis dos riscos.

analise os riscos de segurana da informao:


1)

avalie as consequncias potenciais que podem resultar se os riscos identificados em


6.1.2 c) 1) forem materializados

2)

avalie a probabilidade realstica da ocorrncia dos riscos identificados em 6.1.2 c) 1); e

3)

determine os nveis de risco;

avalie os riscos de segurana da informao:


4)

compare os resultados da anlise dos riscos com os critrios de riscos estabelecidos em


6.1.2a); e

5)

priorize os riscos analisados para o tratamento do risco.

6.1.3

Tratamento de riscos de segurana da informao.

A organizao deve definir e aplicar um processo de tratamento dos riscos de segurana da informao
para:
a)

selecionar, de forma apropriada, as opes de tratamento dos riscos de segurana da informao,


levando em considerao os resultados da avaliao do risco;

b)

determinar todos os controles que so necessrios para implementar as opes escolhidas do


tratamento do risco da segurana da informao;
NAO TEM VALOR NORMATIVO

6/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

NOTA: As organizaes podem projetar os controles,conforme requerido, ou identific-los de qualquer outra fonte.
c)

comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que
nenhum controle necessrio tenha sido omitido;

NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos objetivos de controle. Os usurios desta
Norma so instrudos a utilizar o Anexo A para garantir que nenhum controle necessrio foi omitido;
NOTA 2 Os objetivos de controle esto implicitamente includos nos controles escolhidos. Os objetivos de
controle e os controles listados no Anexo A no so exaustivos e controles e objetivos de controles adicionais
podem ser necessrios;
d)

elaborar uma declarao de aplicabilidade que contenha os controles necessrios


(ver 6.1.3b ) e c)), e a justificativa para incluses, sejam eles implementados ou no, bem como a
justificativa para a excluso dos controles do anexo a;

e)

preparar um plano para tratamento dos riscos de segurana da informao;

f)

obter a aprovao dos responsveis pelos riscos do plano de tratamento dos riscos de segurana
da informao, e a aceitao dos riscos residuais de segurana da informao;

A organizao deve manter a informao documentada relativa ao processo de tratamento dos riscos
de segurana da informao;
NOTA
O processo de tratamento e a avaliao dos riscos de segurana da informao desta norma est
alinhada com os princpios e diretrizes gerais definidas na ABNT NBR ISO 31000 - Gesto de riscos - Princpios e
diretrizes.

6.2 Objetivo de segurana da informao e planos para alcan-los


A organizao deve estabelecer os objetivos de segurana da informao para as funes e nveis
relevantes.
Os objetivos de segurana da informao devem:
a)

ser consistentes com a poltica de segurana da informao;

b)

ser mensurvel (quando aplicvel);

c)

levar em conta os requisitos de segurana da informao aplicveis, e os resultados da avaliao e


tratamento dos riscos;

d)

ser comunicados; e

e)

ser atualizado, conforme apropriado.

A organizao deve reter informao documentada dos objetivos de segurana da informao.


Quando do planejamento para alcanar os seus objetivos de segurana da informao, a organizao
deve determinar:
a)

o que ser feito;

NAO TEM VALOR NORMATIVO

7/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

b) quais recursos sero necessrios;


c)

quem ser responsvel;

d) quando estar concludo;


e)

como os resultados sero avaliados

7 Apoio
7.1

Recursos

A organizao deve determinar e prover recursos necessrios para o estabelecimento, implementao,


manuteno e melhoria contnua do sistema de gesto da segurana da informao.

7.2

Competncia

A organizao deve:
a) determinar a competncia necessria das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurana da informao;
b)

assegurar que essas pessoas so competentes com base na educao, treinamento ou


experincia apropriados;

c)

onde aplicado, tomar aes para adquirir a competncia necessria e avaliar a eficcia das aes
tomadas; e

d)

reter informao documentada apropriada como evidncia da competncia.

NOTA
Aes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os
funcionrios atuais, ou pessoas competentes, prprias ou contratadas.

7.3

Conscientizao

Pessoas que realizam trabalho sob o controle da organizao devem estar cientes da:
a)

poltica de segurana da informao;

b)

suas contribuies para a eficcia do sistema de gesto da segurana da informao, incluindo os


benefcios da melhoria do desempenho da segurana da informao; e

c)

implicaes da no conformidade com os requisitos do sistema de gesto da segurana da


informao.

7.4

Comunicao

A organizao deve determinar as comunicaes internas e externas relevantes para o sistema de


gesto da segurana da informao incluindo:
a)

o que comunicar;

NAO TEM VALOR NORMATIVO

8/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

b)

quando comunicar;

c)

quem comunicar;

d)

quem ser comunicado; e

e)

o processo pelo qual a comunicao ser realizada.

7.5

Informao documentada

7.5.1

Geral

O sistema de gesto da segurana da informao devem incluir:


a)

informao documentada requerida por esta norma;

b)

informao documentada determinada pela organizao como sendo necessria para a eficcia do
sistema de gesto da segurana da informao.

NOTA
A abrangncia da informao documentada para o sistema de gesto da segurana da informao
pode variar de uma organizao para outra devido a:
a)

tamanho da organizao e seu tipo de atividades, processos, produtos e servios;

b)

a complexidade dos processos e suas interaes;

c)

a competncia das pessoas.

7.5.2

Criando e atualizando

Quando da criao e atualizao da informao documentada, a organizao deve assegurar de forma


apropriada:
a)

identificao e descrio (por exemplo, ttulo, data, autor ou um nmero de referncia);

b)

formato (por exemplo, linguagem, verso do software, grficos) e o seu meio (por exemplo, papel,
eletrnico); e

c)

anlise crtica e aprovao para pertinncia e adequao.

7.5.3

Controle da informao documentada

A informao documentada requerida pelo sistema de gesto da segurana da informao e por esta
norma, deve ser controlada para assegurar:
a)

que est disponvel e adequada para o uso, onde e quando necessrio;

b)

que est adequadamente protegida (por exemplo, contra perda de confidencialidade, uso imprprio
ou perda de integridade).

Para o controle da informao documentada, a organizao deve considerar as seguintes atividades,


conforme aplicada:

NAO TEM VALOR NORMATIVO

9/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

a) distribuio, acesso, recuperao e uso;


b)

armazenagem e preservao, incluindo a preservao da legibilidade;

c)

controle de mudanas (por exemplo, controle de verso);

d) f)Reteno e disposio.
A informao documentada de origem externa, determinada pela organizao como necessria para o
planejamento e operao do sistema de gesto da segurana da informao, deve ser identificada
como apropriada, e controlada.
NOTA
O acesso implica em uma deciso quanto permisso para apenas ler a informao documentada, ou
a permisso e autoridade para ver e alterar a informao documentada.

8
8.1

Operao
Planejamento operacional e controle

A organizao deve planejar, implementar e controlar os processos necessrios para atender os


requisitos de segurana da informao, e para implementar as aes determinadas em 6.1. A
organizao deve tambm implementar planos para alcanar os objetivos de segurana da informao
determinados em 6.2.
A organizao deve manter a informao documentada na abrangncia necessria para gerar confiana
de que os processoas esto sendo realizados conforme planejado.
A organizao deve controlar as mudanas planejadas e analisar criticamente as consequncias de
mudanas no previstas, tomando aes para mitigar quaisquer efeitos adversos, conforme
necessrio.
A organizao deve assegurar que os processos terceirizados esto determinados e so controlados.

8.2

Avaliao de riscos de segurana da informao

A organizao deve realizar avaliaes de riscos de segurana da informao a intervalos planejados,


quando mudanas significativas so propostas ou ocorrem, levando em conta os critrios estabelecidos
em 6.1.2 a.
A organizao deve reter informao documentada dos resultados das avaliaes de risco de
segurana da informao.

8.3

Tratamento de riscos de segurana da informao

A organizao deve implementar o plano de tratamento de riscos de segurana da informao.


A organizao deve reter informao documentada dos resultados do tratamento dos riscos de
segurana da informao.

NAO TEM VALOR NORMATIVO

10/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Avaliao do desempenho

9.1

Monitoramento, medio, anlise e avaliao

A organizao deve avaliar o desempenho da segurana da informao e a eficcia do sistema de


gesto da segurana da informao.
A organizao deve determinar:
a)

o que precisa ser monitorado e medido, incluindo controles e processos de segurana da


informao;

b)

os mtodos para monitoramento, medio, anlise e avaliao, conforme aplicvel, para assegurar
resultados vlidos;

NOTA

Os mtodos selecionados devem produzir resultados comparveis e reproduzveis para serem vlidos.

c)

Quando o monitoramento e a medio devem ser realizados;

d)

o que deve ser monitorado e medido;

e)

quando os resultados do monitoramento e da medio devem ser analisados e avaliados;

f)

quem deve analisar e avaliar estes resultados.

A organizao deve reter informao documentada apropriada como evidncia do monitoramento e dos
resultados da medio.

9.2

Auditoria interna

A organizao deve conduzir auditorias internas a intervalos planejados para prover informaes sobre
o quanto o sistema de gesto da segurana da informao:
a)

b)

est em conformidade com:


1)

os prprios requisitos da organizao para o seu sistema de gesto da segurana da


informao;

2)

os requisitos desta Norma;

est efetivamente implementado e mantido.

Organizao deve:
a)

planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequncia,


mtodos, responsabilidades, requisitos de planejamento e relatrios. Os programas de auditoria
devem levar em conta a importncia dos processos pertinentes e os resultados de auditorias
anteriores;

b)

definir os critrios e o escopo da auditoria, para cada auditoria;

NAO TEM VALOR NORMATIVO

11/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

c)

selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do


processo de auditoria;

d)

assegurar que os resultados das auditorias so relatados para a direo pertinente.

e)

reter a informao documentada como evidncia dos programas da auditoria e dos resultados da
auditoria.

9.3

Anlise crtica pela direo

A Alta Direo deve analisar criticamente o sistema de gesto da segurana da informao da


organizao a intervalos planejados para assegurar a sua contnua adequao, pertinncia e eficcia.
A anlise crtica pela Direo deve incluir consideraes com relao a:
a)

situao das aes de anlises crticas anteriores, realizadas pela direo;

b)

mudanas nas questes internas e externas, que sejam relevantes para o sistema de gesto da
segurana da informao;

c)

realimentao sobre o desempenho da segurana da informao, incluindo tendncias nas:


1)

no conformidades e aes corretivas;

2)

monitoramento e resultados da medio;

3)

resultados de auditorias; e

4)

cumprimento dos objetivos de segurana da informao.

d)

realimentao das partes interessadas;

e)

resultados da avaliao dos riscos e situao do plano de tratamento dos riscos; e

f)

oportunidades para melhoria contnua.

Os resultados da anlise crtica pela Direo devem incluir decises relativas a oportunidades para
melhoria contnua e quaisquer necessidades para mudanas do sistema de gesto da segurana da
informao.
A organizao deve reter informao documentada como evidncia dos resultados das anlises crticas
pela direo.

10 Melhoria
10.1

No conformidade e ao corretiva

Quando uma no conformidade ocorre, a organizao deve:


a)

reagir no conformidade, e conforme apropriado:


1)

tomar aes para controlar e corrigi-la; e


NAO TEM VALOR NORMATIVO

12/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

2)
b)

tratar com as consequncias;

avaliar a necessidade de aes para eliminar as causas de no conformidade, para evitar sua
repetio ou ocorrncia, por um dos seguintes meios:
1)

analisando criticamente a no conformidade;

2)

determinando as causas da no conformidade; e

3)

determinando se no conformidades similares existem, ou podem potencialmente ocorrer.

c)

implementar quaisquer aes necessrias;

d)

analisar criticamente a eficcia de quaisquer aes corretivas tomadas; e

e)

realizar mudanas no sistema de gesto da segurana da informao, quando necessrio.

As aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.
A organizao deve reter informao documentada como evidncia da:
a)

natureza das no conformidades e quaisquer aes subsequentes tomadas; e

b)

resultados de qualquer ao corretiva.

10.2

Melhoria contnua

A organizao deve continuamente melhorar a pertinncia, adequao e eficcia do sistema de gesto


da segurana da informao.

NAO TEM VALOR NORMATIVO

13/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Anexo A

(normativo)
Referncia aos controles e objetivos de controles

Os controles e objetivos de controles listados na Tabela A.1 so derivados diretamente e esto


alinhados com aqueles listados na ABNT NBR ISO/IEC 27002:2013 - sees 5 a 18, e devem ser
usados em alinhamento com o item 6.1.3

Tabela A.1 - Objetivos de Controle e Controles


A.5 Polticas de segurana da informao
A.5.1 Orientao da direo para segurana da informao
Objetivo: Prover orientao da direo e apoio para a segurana da informao de acordo
com os requisitos do negcio e com as leis e regulamentaes relevantes
A.5.1.1

A.5.1.2

Polticas para segurana


da informao

Anlise
crtica
das
polticas para segurana
da informao

Controle
Um conjunto de polticas de segurana da
informao deve ser definido, aprovado pela
direo, publicado e comunicado para os
funcionrios e partes externas relevantes.
Controle
As polticas de segurana da informao devem
ser analisadas criticamente a intervalos
planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.

A.6 Organizao da segurana da informao


A.6.1 Organizao interna
Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e
implementao e operao da segurana da informao dentro da organizao

controlar a

A.6.1.1

Responsabilidades
e
papis pela segurana da
informao

Controle
Todas as responsabilidades pela segurana da
informao devem ser definidas e atribudas.

A.6.1.2

Segregao de funes

Controle
Funes
conflitantes
e
reas
de
responsabilidade devem ser segregadas para
reduzir as oportunidades de modificao no
autorizada ou no intencional, ou uso indevido
dos ativos da organizao.

NAO TEM VALOR NORMATIVO

14/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.6.1.3

Contato com autoridades

Controle
Contatos
apropriados
com
relevantes devem ser mantidos.

A.6.1.4

A.6.1.5

Contato
especiais

com

grupos

autoridades

Controle
Contatos apropriados com grupos especiais,
associaes profissionais ou outros fruns
especializados em segurana da informao
devem ser mantidos.

Segurana da informao
no
gerenciamento
de
projetos

Controle
Segurana da informao deve ser considerada
no
gerenciamento
de
projetos,
independentemente do tipo do projeto.

A.6.2 Dispositivos mveis e trabalho remoto


Objetivo: Garantir a segurana das informaes no trabalho remoto e no uso de dispositivos
mveis.
A.6.2.1

A.6.2.2

Poltica para o uso de


dispositivo mvel

Trabalho remoto

Controle
Uma poltica e medidas que apoiam a
segurana da informao devem ser adotadas
para gerenciar os riscos decorrentes do uso de
dispositivos mveis.
Controle
Uma poltica e medidas que apoiam a
segurana
da
informao
devem
ser
implementadas para proteger as informaes
acessadas, processadas ou armazenadas em
locais de trabalho remoto.

A.7 Segurana em recursos humanos


A.7.1 Antes da contratao
Objetivo: Assegurar que funcionrios e partes externas entendem as suas responsabilidades
e esto em conformidade com os papis para os quais eles foram selecionados.
A.7.1.1

Seleo

Controle
Verificaes do histrico devem ser realizadas
para todos os candidatos a emprego, de acordo
com a tica, regulamentaes e leis relevantes,
e deve ser proporcional aos requisitos do
negcio, aos riscos percebidos e classificao
das informaes a serem acessadas.

A.7.1.2

Termos e condies de
contratao

Controle
As obrigaes contratuais com funcionrios e
partes externas devem declarar as suas
responsabilidade e a da organizao para a
segurana da informao

NAO TEM VALOR NORMATIVO

15/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.7.2 Durante a contratao
Objetivo: Assegurar que os funcionrios e partes externas esto conscientes e cumprem as
suas responsabilidades pela segurana da informao.
A.7.2.1

Responsabilidades
direo

da

Controle
A Direo deve requerer aos funcionrios e
partes externas que pratiquem a segurana da
informao de acordo com o estabelecido nas
polticas e procedimentos da organizao.

A.7.2.2

Conscientizao,
educao e treinamento
em
segurana
da
informao

Controle
Todos os funcionrios da organizao e, onde
pertinente, partes externas devem receber
treinamento, educao e
conscientizao
apropriados, e as atualizaes regulares das
polticas e procedimentos organizacionais
relevantes para as suas funes.

A.7.2.3

Processo disciplinar

Controle
Deve existir um processo disciplinar formal,
implantado e comunicado, para tomar aes
contra funcionrios que tenham cometido uma
violao de segurana da informao.

A.7.3 Encerramento e mudana da contratao


Objetivo: Proteger os interesses da organizao como parte do processo de mudana ou
encerramento da contratao.
A.7.3.1

Responsabilidades
pelo
encerramento ou mudana
da contratao

Controle
As responsabilidades e obrigaes pela
segurana da informao que permaneam
vlidas aps um encerramento ou mudana da
contratao devem ser definidas, comunicadas
aos funcionrios ou partes externas e
cumpridas.

A.8 Gesto de ativos


A.8.1. Responsabilidade pelos ativos
Objetivo: Identificar os ativos da organizao e definir as devidas responsabilidades pela
proteo dos ativos.
A.8.1.1

Inventrio dos ativos

Controle
Os ativos associados com informao e com os
recursos e processamento da informao
devem ser identificados e um inventrio destes
ativos deve ser estruturado e mantido.

A.8.1.2

Proprietrio dos ativos

Controle
Os ativos mantidos no inventrio devem ter um
proprietrio.

NAO TEM VALOR NORMATIVO

16/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.8.1.3

Uso aceitvel dos ativos

Controle
Regras para o uso aceitvel das informaes,
dos ativos associados com informao e os
recursos de processamento da informao,
devem ser identificados, documentados e
implementados.

A.8.1.4

Devoluo de ativos

Controle
Todos os funcionrios e partes externas devem
devolver todos os ativos da organizao que
estejam em sua posse aps o encerramento de
suas atividades, do contrato ou acordo.

A.8.2 Classificao da informao


Objetivo: Assegurar que a informao receba um nvel adequado de proteo, de acordo com
a sua importncia para a organizao.
A.8.2.1

Classificao
informao

da

Controle
A informao deve ser classificada em termos
do seu valor, requisitos legais, sensibilidade e
criticidade
para
evitar
modificao
ou
divulgao no autorizada.

A.8.2.2

Rtulos e tratamento da
informao

Controle
Um conjunto apropriado de procedimentos para
rotulare tratar a informao
deve ser
desenvolvido e implementado de acordo com o
esquema de classificao da informao
adotado pela organizao.

A.8.2.3

Tratamento dos ativos

Controle
Procedimentos para o tratamento dos ativos
devem ser desenvolvidos e implementados de
acordo com o esquema de classificao da
informao adotada pela organizao.

A.8.3 Tratamento de mdias


Objetivo: Prevenir a divulgao no autorizada, modificao, remoo ou destruio da
informao armazenada nas mdias.
A.8.3.1

A.8.3.2

Gerenciamento de mdias
removveis

Controle

Descarte de mdias

Controle

Procedimentos devem ser implementados para


o gerenciamento de mdias removveis, de
acordo com o esquema de classificao
adotado pela organizao.
As mdias devem ser descartadas de forma
segura e protegida quando no forem mais
necessrias, por meio de prodecimentos
formais.

NAO TEM VALOR NORMATIVO

17/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.8.3.3

Transferncia
mdias

fsica

de

Controle
Mdias contendo informaes devem ser
protegidas contra acesso no autorizado, uso
imprprio ou corrompida, durante o transporte.

A.9 Controle de acesso


A.9.1 Requisitos do negcio para controle de acesso
Objetivo: Limitar o acesso informao e aos recursos de processamento da informao.
A.9.1.1

A.9.1.2

Poltica
acesso

de

controle

de

Controle
Uma poltica de controle de acesso deve ser
estabelecida,
documentada
e
analisada
criticamente, baseado nos requisitos de
segurana da informao e dos negcios.

Acesso s redes e aos


servios de rede

Controle
Os usurios devem somente receber acesso s
redes e aos servios de rede que tenham sido
especificamente autorizados a usar.

A.9.2 Gerenciamento de acesso do usurio


Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a
sistemas e servios.
A.9.2.1

A.9.2.2

A.9.2.3

A.9.2.4

A.9.2.5

Registro e cancelamento
de usurio

Controle

Provisionamento
acesso de usurio

Controle

para

Um processo formal de registro e cancelamento


de usurio deve ser implementado para permitir
atribuio de direitos de acesso.
Um processo formal de provisionamento de
acesso do usurio deve ser implementado para
conceder ou revogar os direitos de acesso do
usurio para todos os tipos de usurios em
todos os tipos de sistemas e servios.

Gerenciamento de direitos
de acesso privilgiados

Controle

Gerenciamento
informao
autenticao secreta
usurios

da
de
de

Controle

Anlise crtica dos direitos


de acesso de usurio

Controle

A concesso e uso de direitos e acesso


privilgiado devem ser restritos e controlados.
A concesso de informao de autenticao
secreta deve ser controlada por meio de um
processo de gerenciamento formal.
Os proprietrios de ativos devem analisar
criticamente os direitos de acesso dos usurios,
a intervalos regulares.

NAO TEM VALOR NORMATIVO

18/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A. 9.2.6

Retirada ou ajuste
direitos de acesso

de

Controle
Os direitos de acesso de todos os funcionrios
e partes externas s informaes e aos
recursos de processamento da informao
devem ser retirados aps o encerramento de
suas atividades, contratos ou acordos, ou
ajustado aps a mudana destas atividades.

A.9.3 Responsabilidades dos usurios


Objetivo: Tornar os usurios responsveis pela proteo das suas informaes de
autenticao.
A.9.3.1

Uso da informao
autenticao secreta

de

Controle
Os usurios devem ser orientados a seguir as
prticas da organizao quanto ao uso da
informao de autenticao secreta.

A.9.4 Controle de acesso ao sistema e aplicao


Objetivo: Prevenir o acesso no autorizado aos sistemas e aplicaes.
A.9.4.1

A.9.4.2

A.9.4.3

A.9.4.4

A.9.4.5

Restrio de
informao

acesso

Procedimentos seguros de
entrada no sistema (logon)

Sistema de gerenciamento
de senha

Controle
0 acesso informao e as funes dos
sistemas de aplicaes devem ser restrito de
acordo com a poltica de controle de acesso.
Controle
Onde aplicavl pela poltica de controle de
acesso, o acesso aos sistemas e aplicaes
devem ser controlados por um procedimento
seguro de entrada no sistema (log-on).
Controle
Sistemas para gerenciamento de senhas
devem ser interativos e devem assegurar
senhas de qualidade.

Uso
de
programas
utilitrios privilegiados

Controle

Controle de acesso ao
cdigo-fonte de programas

Controle

0 uso de programas utilitrios que podem ser


capazes de sobrepor os controles dos sistemas
e aplicaes deve ser restrito e estritamente
controlado.
0 acesso ao cdigo-fonte de programa deve
ser restrito.

A.10 Criptografia
A.10.1 Controles criptogrficos
Objetivo: Assegurar o uso efetivo e adequado da criptografia
confidencialidade, autenticidade e/ou a integridade da informao.

NAO TEM VALOR NORMATIVO

para

proteger

19/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A .10.1.1

A.10.1.2

Poltica para o uso de


controles criptogrficos

Controle

Gerenciamento de chaves

Controle

Deve ser desenvolvida e implementada uma


poltica para o uso de controles criptogrficos
para a proteo da informao.
Uma poltica sobre o uso, proteo e ciclo de
vida das chaves criptogrficas, deve ser
desenvolvida e implementada ao longo de todo
o seu ciclo de vida.

A.11 Segurana fsica e do ambiente


A.11.1 reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de
processamento das informaes e as informaes da organizao.
A .11.1.1

A .11.1.2

Permetro
fsica

de

segurana

Controle
Permetros de segurana devem ser definidos e
usados para proteger tanto as reas que
contenham as instalaes de processamento
da informao como as informaes criticas ou
sensveis.

Controles de entrada fsica

Controle
As reas seguras devem ser protegidas por
controles
apropriados
de
entrada
para
assegurar que somente pessoas autorizadas
tenham acesso permitido.

A .11.1.3

A .11.1.4

A .11.1.5

A .11.1.6

Segurana em escritrios,
salas e instalaes

Controle

Proteo contra ameaas


externas e do meioambiente

Controle

Trabalhando
seguras

em

reas

Deve ser projetada e aplicada segurana fsica


para escritrios, salas e instalaes.
Devem ser projetadas e aplicadas proteo
fsica contra desastres naturais, ataques
maliciosos ou acidentes.
Controle
Deve ser projetada e aplicada procedimentos
para o trabalho em reas seguras.

reas de entrega e de
carregamento

Controle
Pontos de acesso, tais como reas de entrega
e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas
instalaes, devem ser controlados e, se
possvel,
isolados
das
instalaes
de
processamento da informao, para evitar o
acesso no autorizado.

NAO TEM VALOR NORMATIVO

20/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.11.2 Equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo
das operaes da organizao.
A.11.2.1

A. 11.2.2

Escolha
de
local
e
proteo do equipamento

Controle

Utilidades

Controle

Os equipamentos devem ser colocados no local


ou protegidos para reduzir os riscos de
ameaas e perigos do meio-ambiente, bem
como as oportunidades de acesso no
autorizado.
Os equipamentos devem ser protegidos contra
falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.

A. 11.2.3

Segurana
cabeamento

A. 11.2.4

Manuteno
equipamentos

A. 11.2.5

Remoo de ativos

do

Controle
0
cabeamento
de
energia
e
de
telecomunicaes que transporta dados ou d
suporte aos servios de informaes deve ser
protegido contra interceptao, interferncia ou
danos.

dos

Controle
Os equipamentos devem ter uma manuteno
correta para assegurar sua disponibilidade e
integridade permanente.
Controle
Equipamentos, informaes ou software no
devem ser retirados do local sem autorizao
prvia.

A. 11.2.6

A. 11.2.7

Segurana
de
equipamentos e ativos
fora das dependncias da
organizao

Reutilizao e alienao
seguras de equipamentos

Controle
Devem ser tomadas medidas de segurana
para ativos que operem fora do local, levando
em conta os diferentes riscos decorrentes do
fato de se trabalhar fora das dependncias da
organizao.
Controle
Todos os equipamentos que contenham mdias
de armazenamento de dados devem ser
examinados antes do descarte, para assegurar
que todos os dados sensveis e softwares
licenciados tenham sido removidos ou sobregravados com segurana.

NAO TEM VALOR NORMATIVO

21/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.11.2.8

A.11.2.9

Equipamento de usurio
sem monitorao

Controle

Poltica de mesa limpa e


tela limpa

Controle

Os usurios devem assegurar que os


equipamentos
no
monitorados
tenham
proteo adequada.
Deve ser adotada uma poltica de mesa limpa
de papis e mdias de armazenamento
removveis e uma poltica de tela limpa para os
recursos de processamento da informao.

A.12 Segurana nas operaes


A.12.1 Responsabilidades e procedimentos operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da
informao.
A .12.1.1

A .12.1.2

Documentao
procedimentos
operao

dos
de

Gesto de mudanas

Controle
Os procedimentos de operao devem ser
documentados e disponibilizados para todos os
usurios que necessitam deles.
Controle
Mudanas na organizao, nos processos do
negcio, nos recursos de processamento da
informao e nos sistemas que afetam a
segurana
da
informao,
devem
ser
controladas.

A .12.1.3

Gesto de capacidade

Controle
A utilizao dos recursos deve ser monitorada,
ajustada e as projees devem ser feitas para
necessidades de capacidade futura para
garantir o desempenho requerido do sistema.

A .12.1.4

Separao dos ambientes


de desenvolvimento, teste
e de produo

Controle
Ambientes de desenvolvimento, teste e
produo devem ser separados para reduzir os
riscos de acessos ou modificaes no
autorizadas no ambiente de produo.

A.12.2 Proteo contra malware


Objetivo: Assegurar que as informaes e os recursos de processamento da informao
esto protegidos contra malware.
A.12.2.1

Controles contra malware

Controle
Devem ser implementados controles de
deteco, preveno e recuperao para
proteger contra malware, combinado com um
adequado programa de conscientizao do
usurio.

NAO TEM VALOR NORMATIVO

22/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.12.3 Cpias de segurana
Objetivo: Proteger contra a perda de dados.
A.12.3.1

Cpias de segurana das


informaes

Controle
Cpias de segurana das informaes,
softwares e das imagens do sistema, devem
ser efetuadas e testadas
regularmente
conforme a poltica de gerao de cpias de
segurana definida.

A.12.4 Registros e monitoramento


Objetivo: Registrar eventos e gerar evidncias.
A.12.4.1

Registros de eventos

Controle
Registros de eventos (log) de eventos das
atividades do usurio, excees, falhas e
eventos de segurana da informao devem
ser produzidos,
mantidos
e analisados
criticamente, a intervalos regulares

A.12.4.2

A.12.4.3

A.12.4.4

Proteo das informaes


dos registros de eventos
(logs)

Controle

Registros de eventos (log)


de
Administrador
e
Operador.

Controle

Sincronizao dos relgios

Controle

As informaes dos registros de eventos (log) e


seus recursos devem ser protegidas contra
acesso no autorizado e adulterao.
As
atividades
dos
administradores
e
operadores do sistema devem ser registradas e
os registros (logs) devem serprotegidos e
analisados criticamente, a intervalos regulares.
Os relgios de todos os sistemas de
processamento de informaes relevantes,
dentro da organizao ou do domnio de
segurana, devem ser sincronizados com uma
fonte de tempo precisa.

A.12.5 Controle de software operacional


Objetivo: Assegurar a integridade dos sistemas operacionais.
A.12.5.1

Instalao de software nos


sistemas operacionais

Controle
Procedimentos para controlar a instalao de
software em sistemas operacionais devem ser
implementados.

A.12.6 Gesto de vulnerabilidades tcnicas


Objetivo: Prevenir a explorao de vulnerabilidades tcnicas.

NAO TEM VALOR NORMATIVO

23/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.12.6.1

A.12.6.2

Gesto
de
vulnerabilidades tcnicas

Controle

Restries
quanto
instalao de software

Controle

Informaes sobre vulnerabilidades tcnicas


dos sistemas de informao em uso, devem ser
obtidas em tempo hbil, com a exposio da
organizao a estas vulnerabilidades avaliadas
e tomadas as medidas apropriadas para lidar
com os riscos associados.
Regras definindo critrios para a instalao de
software
pelos
usurios
devem
ser
estabelecidas e implementadas.

A.12.7 Consideraes quanto auditoria de sistemas de informao


Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
A.12.7.1

Controles de auditoria de
sistemas de informao

Controle
As atividades e requisitos de auditoria
envolvendo
a verificao
nos
sistemas
operacionais devem
ser cuidadosamente
planejados e acordados para minimizar
interrupo nos processos do negcio.

A.13 Segurana nas comunicaes


A.13.1 Gerenciamento da segurana em redes
Objetivo: Assegurar a proteo das informaes em redes e dos recursos de processamento
da informao que os apoiam.
A .13.1.1

Controles de redes

Controle
As redes devem ser gerenciadas e controladas
para proteger as informaes nos sistemas e
aplicaes.

A .13.1.2

A .13.1.3

Segurana
de rede

dos

servios

Controle
Mecanismos de segurana, nveis de servio e
requisitos de gerenciamento de todos os
servios de rede, devem ser identificados e
includos em qualquer acordo de servios de
rede, tanto para servios de rede providos
internamente como para terceirizados.

Segregao de redes

Controle
Grupos de servios de informao, usurios e
sistemas de informao devem ser segregados
em redes.

A.13.2 Transferncia de informao


Objetivo: Manter a segurana da informao transferida dentro da organizao e com
quaisquer entidades externas.

NAO TEM VALOR NORMATIVO

24/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A. 13.2.1

A. 13.2.2

A.13.2.3

Polticas e procedimentos
para
transferncia
de
informaes

Acordos
transferncia
informaes

para
de

Mensagens eletrnicas

Controle
Polticas, procedimentos e controles de
transferncias
formais,
devem
ser
estabelecidos para proteger a transferncia de
informaes por meio do uso de todos os tipos
de recursos de comunicao.
Controle
Devem ser estabelecidos acordos para
transferncia segura de informaes do
negcio entre a organizao e partes externas.
Controle
As informaes que trafegam em mensagens
eletrnicas
devem
ser
adequadamente
protegidas.

A.13.2.4

Acordos
confidencialidade
divulgao

de
no

Controle
Os requisitos para confidencialidade ou acordos
de no divulgao que reflitam as necessidades
da organizao para a proteo da informao
devem
ser
identificados,
analisados
criticamente e documentados.

A.14 Aquisio, desenvolvimento e manuteno de sistemas


A.14.1 Requisitos de segurana de sistemas de informao
Objetivo: Garantir que a segurana da informao parte integrante de todo o ciclo de vida
dos sistemas de informao. Isto tambm inclui os requisitos para sistemas de informao
que fornecem servios sobre as redes pblicas.
A. 14.1.1

A. 14.1.2

Anlise e especificao
dos
requisitos
de
segurana da informao

Controle

Servios
seguros
pblicas

Controle

de
aplicao
sobre
redes

Os requisitos relacionados com segurana da


informao devem ser includos nos requisitos
para novos sistemas de informao ou
melhorias dos
sistemas
de
informao
existentes.

As informaes envolvidas nos servios de


aplicao que transitam sobre redes pblicas
devem
ser
protegidas
de
atividades
fraudulentas, disputas contratuais e divulgao
e modificaes no autorizadas.

NAO TEM VALOR NORMATIVO

25/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A .14.1.3

Protegendo as transaes
nos aplicativos de servios

Controle
Informaes envolvidas em transaes nos
aplicativos de servios devem ser protegidas
para prevenir transmisses incompletas, erros
de roteamento, alteraes no autorizadas de
mensagens,
divulgao
no
autorizada,
duplicao ou reapresentao de mensagem
no autorizada.

A.14.2 Segurana em processos de desenvolvimento e de suporte


Objetivo: Garantir que a segurana da informao est projetada e implementada no ciclo de
vida de desenvolvimento dos sistemas de informao.
A.14.2.1

A.14.2.2

A.14.2.3

A.14.2.4

A.14.2.5

Poltica
de
desenvolvimento seguro

Controle

Procedimentos
para
controle de mudanas de
sistemas

Controle

Anlise crtica tcnica das


aplicaes
aps
mudanas
nas
plataformas operacionais

Controle

Restries
sobre
mudanas em pacotes de
Software

Controle

Princpios para
sistemas seguros

Controle

projetar

Regras para o desenvolvimento de sistemas e


software devem ser estabelecidas e aplicadas
aos desenvolvimentos realizados dentro da
organizao.
Mudanas em sistemas dentro do ciclo de vida
de desenvolvimento devem ser controladas
utilizando procedimentos formais de controle de
mudanas.
Aplicaes crticas de negcios devem ser
analisadas criticamente e testadas quando
plataformas operacionais so mudadas, para
garantir que no haver nenhum impacto
adverso na operao da organizao ou na
segurana.
Modificaes em pacotes de software devem
ser desencorajadas e devem estar limitadas s
mudanas necessrias, e todas as mudanas
devem ser estritamente controladas.
Princpios para projetar sistemas seguros
devem ser estabelecidos, documentados,
mantidos
e
aplicados
para
qualquer
implementao de sistemas de informao.

NAO TEM VALOR NORMATIVO

26/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.14.2.6

Ambiente
seguro
desenvolvimento

para

Controle
As organizaes devem estabelecer e proteger
adequadamente os ambientes seguros de
desenvolvimento,
para
os
esforos
de
integrao e desenvolvimento de sistemas, que
cubram todo o ciclo de vida de desenvolvimento
de
sistema

A. 14.2.7

Desenvolvimento
terceirizado

Controle
A organizao deve supervisionar e monitorar
as atividades de desenvolvimento de sistemas
terceirizado.

A.14.2.8

Teste de segurana do
sistema

Controle
Testes de funcionalidade de segurana devem
ser realizados durante o desenvolvimento de
sistemas.

A.14.2.9

Teste de
sistemas

Controle

aceitao

de

Programas de testes de aceitao e critrios


relacionados devem ser estabelecidos para
novos sistemas de informao, atualizaes e
novas verses.

A.14.3 Dados para teste


Objetivo: Assegurar a proteo dos dados usados para teste.
A.14.3.1

Proteo dos dados para


teste

Controle
Os dados de teste devem ser selecionados com
cuidado, protegidos e controlados.

A.15 Relacionamento na cadeia de suprimento


A.15.1 Segurana da informao na cadeia de suprimento.
Objetivo: Garantir a proteo dos ativos da organizao que so acessveis pelos
fornecedores
A. 15.1.1

A. 15.1.2

Poltica de segurana da
informao
no
relacionamento com os
fornecedores

Identificando
segurana
da
informao
nos
acordos com fornecedores

Controle
Requisitos de segurana da informao para
mitigar os riscos associados com o acesso dos
fornecedores aos ativos da organizao devem
ser
acordados
com
o
fornecedor
e
documentados.
Controle
Todos os requisitos de segurana da
informao relevantes devem ser estabelecidos
e acordados com cada fornecedor que possa
acessar, processar, armazenar, comunicar, ou
prover componentes de infraestrutura de TI
para as informaes da organizao.

NAO TEM VALOR NORMATIVO

27/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.15.1.3

Cadeia de suprimento na
tecnologia
da
comunicao e informao

Controle
Acordos com fornecedores devem incluir
requisitos para comtemplar os riscos de
segurana da informao associados com a
cadeia de suprimento de produtos e servios de
tecnologia das comunicaes e informao.

A.15.2 Gerenciamento da entrega do servio do fornecedor


Objetivo: Manter um nvel acordado de segurana da informao e de entrega de servios em
consonncia com os acordos com fornecedores.
A.15.2.1

A.15.2.2

Monitoramento e anlise
crtica de servios com
fornecedores

Gerenciamento de mudanas
para
servios
com
fornecedores

Controle
A organizao deve monitorar, analisar
criticamente e auditar a intervalos regulares, a
entrega dos servios executados pelos
fornecedores.
Controle
Mudanas no provisionamento dos servios pelos
fornecedores, incluindo manuteno e melhoria das
polticas de segurana da informao, dos
procedimentos e controles existentes, devem ser
gerenciadas, levando-se em conta a criticidade das
informaes do negcio, dos sistemas e processos
envolvidos, e a reavaliao de riscos.

A.16 Gesto de incidentes de segurana da informao


A.16.1 Gesto de incidentes de segurana da informao e melhorias
Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de
segurana da informao, incluindo a comunicao sobre fragilidades e eventos de
segurana da informao.
A .16.1.1

Responsabilidades
procedimentos

Controle
Responsabilidades e procedimentos de gesto
devem ser estabelecidos para assegurar
respostas rpidas, efetivas e ordenadas a
incidentes de segurana da informao.

A.16.1.2

Notificao de eventos de
segurana da informao

Controle
Os eventos de segurana da informao devem
ser relatados atravs dos canais apropriados da
direo, o mais rapidamente possvel.

A .16.1.3

Notificando fragilidades de
segurana da informao

Controle
Os funcionrios e partes externas que usam os
sistemas e servios de informao da
organizao, devem ser instrudos a registrar e
notificar quaisquer fragilidades de segurana da
informao, suspeita ou observada,
nos
sistemas ou servios.

NAO TEM VALOR NORMATIVO

28/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A. 16.1.4

A. 16.1.5

A.16.1.6

A. 16.1.7

Avaliao e deciso dos


eventos de segurana da
informao

Controle

Resposta aos incidentes


de
segurana
da
informao

Controle

Aprendendo
com
os
incidentes de segurana
da informao

Coleta de evidncias

Os eventos de segurana da informao devem


ser avaliados e deve ser decidido se eles so
classificados como incidentes de segurana da
informao.
Incidentes de segurana da informao devem
ser reportados de acordo com procedimentos
documentados.
Controle
Os conhecimentos obtidos
resoluo dos incidentes de
informao devem ser usados
probabilidade ou o impacto
futuros.

da anlise e
segurana da
para reduzir a
de incidentes

Controle
A
organizao
deve
definir
e aplicar
procedimentos para a identificao, coleta,
aquisio e preservao das informaes, as
quais podem servir como evidncias.

A.17 Aspectos da segurana da informao na gesto da continuidade do negcio


A.17.1 Continuidade da segurana da informao
Objetivo: A continuidade da segurana da informao deve ser comtemplada nos sistemas de
gesto da continuidade do negocio da organizao.
A. 17.1.1

A. 17.1.2

A. 17.1.3

Planejando a continuidade
da
segurana
da
informao

Controle

Implementando
a
continuidade
da
segurana da informao

Controle

Verificao, anlise crtica


e
avaliao
da
continuidade
da
segurana da informao

Controle

A organizao deve determinar seus requisitos


para a segurana da informao e a
continuidade da gesto da segurana da
informao em situaes adversas, por
exemplo, durante uma crise ou desastre.
A organizao deve estabelecer, documentar,
implementar
e
manter
processos,
procedimentos e controles para assegurar o
nvel requerido de continuidade para a
segurana da informao, durante uma
situao adversa.
A organizao deve verificar os controles de
continuidade da segurana da informao,
estabelecidos e implementados, intervalos
regulares, para garantir que eles so vlidos e
eficazes em situaes adversas.

NAO TEM VALOR NORMATIVO

29/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.17.2 Redundncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informao.
A.17.2.1

Disponibilidade
recursos
processamento
informao

dos
de
da

Controle
Os recursos de processamento da informao
devem ser implementados com redundncia
suficiente para atender aos requisitos de
disponibilidade.

A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo:Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou
contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana.
A .18.1.1

A .18.1.2

A.18.1.3

Identificao da legislao
aplicvel e de requisitos
contratuais

Direitos de
intelectual

propriedade

Controle
Todos os requisitos legislativos estatutrios,
regulamentares e contratuais relevantes, e o
enfoque da organizao para atender a esses
requisitos,
devem
ser
explicitamente
identificados,
documentados
e
mantidos
atualizados para cada sistema de informao
da organizao.
Controle
Procedimentos
apropriados
devem
ser
implementados para garantir a conformidade
com os requisitos legislativos, regulamentares e
contratuais relacionados com os direitos de
propriedade intelectual, e sobre o uso de
produtos de software proprietrios.

Proteo de registros

Controle
Registros devem ser protegidos contra perda,
destruio, falsificao, acesso no autorizado
e liberao no autorizada, de acordo com os
requisitos
regulamentares,
estatutrios,
contratuais e do negcio.

A.18.1.4

A.18.1.5

Proteo e privacidade de
informaes
de
identificao de pessoal

Controle

Regulamentao
de
controles de criptografia

Controle
Controles de criptografia devem ser usados em
conformidade com todas as leis, acordos,
legislao e regulamentaes pertinentes.

A privacidade e proteo das informaes de


identificao pessoal elevem ser asseguradas
conforme
requerido
por
legislao
e
regulamentao pertinente, quando aplicvel.

NAO TEM VALOR NORMATIVO

30/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)


A.18.2 Anlise crtica da segurana da informao
Objetivo: Garantir que a segurana da informao est implementada e operada de acordo
com as polticas e procedimentos da organizao.
A.18.2.1

Anlise
crtica
independente
da
segurana da informao

Controle
0 enfoque da organizao para gerenciar a
segurana
da
informao
e
a
sua
implementao
(por
exemplo,
controles,
objetivo dos controles, polticas, processos e
procedimentos
para
a
segurana
da
informao) deve ser analisado criticamente, de
forma independente, a intervalos planejados, ou
quando ocorrerem mudanas significativas.

A.18.2.2

Conformidade
com
as
polticas e normas de
segurana da informao

Controle
Os gestores devem analisar criticamente, a
intervalos regulares, a conformidade dos
procedimentos e do processamento da
informao, dentro das suas reas de
responsabilidade, com as normas e polticas de
segurana e quaisquer outros requisitos de
segurana da informao.

A.18.2.3

Anlise
crtica
conformidade tcnica

Controle

da

Os sistemas de informao devem ser


analisados criticamente, a intervalos regulares,
para verificar a conformidade com as normas e
polticas de segurana da informao da
organizao.

NAO TEM VALOR NORMATIVO

31/32

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Bibliografia

[1]

ABNT NBR ISO IEC 27002:2013, Tecnologia da Informao-Tcnicas de Segurana - Cdigo de


Prtica para controles de segurana da informao

[2]

ABNT NBR ISO IEC 27003:2011- Tecnologia da Informao-Tcnicas de Segurana - Diretrizes


para implantao de um sistema de gesto da segurana da informao

[3]

ABNT NBR ISO/IEC 27004:2010, Tecnologia da informao Tcnicas de segurana Gesto


da segurana da informao Medio

[4]

ABNT NBR ISO/IEC 27005:2011, Tecnologia da informao Tcnicas de segurana Gesto


de riscos de segurana da informao

[5]

ABNT NBR ISO 31000:2009, Gesto de riscos - Princpios e diretrizes

[6]

ISO IEC Directives, Part 1 Consolidated ISO Supplement - Procedures specific to ISO :2012

Sistemas de Gesto <

SEGURANA da I

Clique na figura acima para conhecer os servios do QSP relacionados s


novas ISO/IEC 27001:2013 e ISO/IEC 27002:2013.

NAO TEM VALOR NORMATIVO

32/32

Você também pode gostar