Escolar Documentos
Profissional Documentos
Cultura Documentos
Iso Iec 27001 PDF
Iso Iec 27001 PDF
NORMA
BRASILEIRA
ABNT NBR
ISO/IEC
27001
Primeira edio
31.03.2006
Vlida a partir de
30.04.2006
Nmero de referncia
ABNT NBR ISO/IEC 27001:2006
34 pginas
ABNT 2006
Cpia no autorizada
ABNT 2006
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.
Sede da ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 2220-1762
abnt@abnt.org.br
www.abnt.org.br
Impresso no Brasil
ii
Cpia no autorizada
Sumrio
Pgina
Prefcio Nacional.......................................................................................................................................................iv
0
0.1
0.2
0.3
Introduo.......................................................................................................................................................v
Geral................................................................................................................................................................v
Abordagem de processo...............................................................................................................................v
Compatibilidade com outros sistemas de gesto.....................................................................................vi
1
1.1
1.2
Objetivo ..........................................................................................................................................................1
Geral................................................................................................................................................................1
Aplicao........................................................................................................................................................1
4
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3
5
5.1
5.2
5.2.1
5.2.2
Responsabilidades da direo.....................................................................................................................9
Comprometimento da direo......................................................................................................................9
Gesto de recursos .....................................................................................................................................10
Proviso de recursos ..................................................................................................................................10
Treinamento, conscientizao e competncia .........................................................................................10
7
7.1
7.2
7.3
8
8.1
8.2
8.3
iii
Cpia no autorizada
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas por
Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores,
consumidores e neutros (universidades, laboratrios e outros).
A ABNT NBR ISO/IEC 27001 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 12, de 31.12.2005, com o nmero de
Projeto 21:204.01-012.
Esta Norma uma traduo idntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical Committee
Information Technology (ISO/IEC/JTC 1), subcommittee IT Security Tecchniques (SC 27).
Esta Norma contm o anexo A, de carter normativo, e os anexos B e C, de carter informativo.
iv
Cpia no autorizada
0 Introduo
0.1
Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um
SGSI deve ser uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de
uma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
empregados e tamanho e estrutura da organizao. esperado que este e os sistemas de apoio mudem com o
passar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades da
organizao, por exemplo, uma situao simples requer uma soluo de um SGSI simples.
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.
0.2
Abordagem de processo
Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI de uma organizao.
Uma organizao precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividade
que faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser considerada
um processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte.
A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaes
destes processos, e a sua gesto podem ser consideradas como "abordagem de processo.
A abordagem de processo para a gesto da segurana da informao apresentada nesta Norma encoraja que
seus usurios enfatizem a importncia de:
a)
b)
c)
d)
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos
os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana de
informao e as expectativas das partes interessadas, e como as aes necessrias e processos de segurana da
informao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra os
vnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.
A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD1) (2002) para
governar a segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para
1)
Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana.
Paris: OECD, 2002 de julho. http://www.oecd.org.
Cpia no autorizada
Act (agir) (manter e melhorar o SGSI) Executar as aes corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da anlise crtica pela
direo ou outra informao pertinente, para alcanar a
melhoria contnua do SGSI.
0.3
Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a
implementao e a operao de forma consistente e integrada com normas de gesto relacionadas. Um sistema
vi
Cpia no autorizada
de gesto adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1
ilustra a relao entre as sees desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004.
Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistemas
de gesto relacionados.
Cpia no autorizada
Cpia no autorizada
NORMA BRASILEIRA
1
1.1
Objetivo
Geral
Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias
governamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do
contexto dos riscos de negcio globais da organizao. Ela especifica requisitos para a implementao de
controles de segurana personalizados para as necessidades individuais de organizaes ou suas partes.
O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados para
proteger os ativos de informao e propiciar confiana s partes interessadas.
NOTA 1
Convm que referncias a negcio nesta Norma sejam interpretadas, de modo geral, tendo em vista as
atividades que so essenciais aos objetivos de existncia da organizao.
NOTA 2
A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode ser usada quando da
especificao de controles.
1.2
Aplicao
Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes,
independentemente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nas
sees 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com esta Norma.
Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao de riscos
precisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveis
precisam ser fornecidas. Onde quaisquer controles sejam excludos, reivindicaes de conformidade a esta Norma
no so aceitveis, a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade
de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao
de riscos e por requisitos legais e regulamentares aplicveis.
NOTA
Se uma organizao j tiver um sistema de gesto de processo de negcio em operao (por exemplo, em relao
com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), prefervel na maioria dos casos satisfazer os requisitos desta Norma
dentro deste sistema de gesto existente.
Cpia no autorizada
Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma. Para referncia datada, aplicase apenas a edio citada. Para referncia no datada, aplica-se a ltima edio do documento referenciado
(incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da informao.
Termos e definies
Cpia no autorizada
3.7
sistema de gesto da segurana da informao
SGSI
a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao
NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades,
prticas, procedimentos, processos e recursos.
3.8
integridade
propriedade de salvaguarda da exatido e completeza de ativos
[ISO/IEC 13335-1:2004]
3.9
risco residual
risco remanescente aps o tratamento de riscos
[ABNT ISO/IEC Guia 73:2005]
3.10
aceitao do risco
deciso de aceitar um risco
[ABNT ISO/IEC Guia 73:2005]
3.11
anlise de riscos
uso sistemtico de informaes para identificar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
3.12
anlise/avaliao de riscos
processo completo de anlise e avaliao de riscos
[ABNT ISO/IEC Guia 73:2005]
3.13
avaliao de riscos
processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]
3.14
gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a
comunicao de riscos.
Cpia no autorizada
3.15
tratamento do risco
processo de seleo e implementao de medidas para modificar um risco
[ABNT ISO/IEC Guia 73:2005]
NOTA
3.16
declarao de aplicabilidade
declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao
SGSI da organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de
anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os
requisitos de negcio da organizao para a segurana da informao.
4.1
Requisitos gerais
A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela
enfrenta. Para os efeitos desta Norma, o processo usado est baseado no modelo de PDCA mostrado na figura 1.
4.2
4.2.1
Estabelecer o SGSI
A organizao deve:
a)
Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua
localizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver
1.2);
b)
Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos
e tecnologia que:
1)
inclua uma estrutura para definir objetivos e estabelea um direcionamento global e princpios para aes
relacionadas com a segurana da informao;
2)
3)
esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o estabelecimento
e manuteno do SGSI iro ocorrer ;
4)
estabelea critrios em relao aos quais os riscos sero avaliados (ver 4.2.1c)); e
5)
NOTA
Para os efeitos desta Norma, a poltica do SGSI considerada um documento maior da poltica de segurana da
informao. Estas polticas podem estar descritas em um documento.
Cpia no autorizada
c)
Identificar uma metodologia de anlise/avaliao de riscos que seja adequada ao SGSI e aos requisitos
legais, regulamentares e de segurana da informao, identificados para o negcio.
2)
Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco (ver 5.1f)).
d)
e)
f)
Identificar os riscos.
1)
2)
3)
4)
Avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana, levando
em considerao as conseqncias de uma perda de confidencialidade, integridade ou disponibilidade
dos ativos.
2)
3)
4)
2)
3)
evitar riscos; e
4)
transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores.
2)
O termo 'proprietrio' identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo 'proprietrio' no significa que a pessoa
realmente tenha qualquer direito de propriedade ao ativo.
Cpia no autorizada
g)
h)
i)
j)
2)
3)
A excluso de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua excluso.
NOTA
A Declarao de Aplicabilidade prov um resumo das decises relativas ao tratamento de riscos.
A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.
4.2.2
A organizao deve:
a)
b)
Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que inclua
consideraes de financiamentos e atribuio de papis e responsabilidades.
c)
d)
Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estas
medidas devem ser usadas para avaliar a eficcia dos controles de modo a produzir resultados comparveis
e reproduzveis (ver 4.2.3c)).
NOTA
A medio da eficcia dos controles permite aos gestores e equipe determinar o quanto os controles alcanam
de forma satisfatria os objetivos de controle planejados.
e)
f)
g)
Cpia no autorizada
h)
4.2.3
A organizao deve:
a)
2)
3)
4)
5)
determinar se as aes tomadas para solucionar uma violao de segurana da informao foram
eficazes.
b)
Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos do
SGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias de
segurana da informao, incidentes de segurana da informao, resultados da eficcia das medies,
sugestes e realimentao de todas as partes interessadas.
c)
Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos.
d)
e)
1)
organizao;
2)
tecnologias;
3)
4)
ameaas identificadas;
5)
6)
eventos externos, tais como mudanas nos ambientes legais ou regulamentares, alteraes das
obrigaes contratuais e mudanas na conjuntura social.
f)
Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopo
permanece adequado e que so identificadas melhorias nos processos do SGSI (ver 7.1).
g)
Atualizar os planos de segurana da informao para levar em considerao os resultados das atividades de
monitoramento e anlise crtica.
Cpia no autorizada
h)
Registrar aes e eventos que possam ter um impacto na eficcia ou no desempenho do SGSI (ver 4.3.3).
4.2.4
b)
Executar as aes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lies aprendidas
de experincias de segurana da informao de outras organizaes e aquelas da prpria organizao.
c)
Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado s
circunstncias e, se relevante, obter a concordncia sobre como proceder.
d)
4.3
Requisitos de documentao
4.3.1
Geral
A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis s
polticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis.
importante que se possa demonstrar a relao dos controles selecionados com os resultados da
anlise/avaliao de riscos e do processo de tratamento de riscos, e conseqentemente com a poltica e objetivos
do SGSI.
A documentao do SGSI deve incluir:
a)
b)
c)
d)
e)
f)
g)
h)
i)
a Declarao de Aplicabilidade.
NOTA 1
Onde o termo "procedimento documentado" aparecer nesta Norma, significa que o procedimento estabelecido,
documentado, implementado e mantido.
NOTA 2
A abrangncia da documentao do SGSI pode variar de uma organizao para outra devido ao:
Cpia no autorizada
NOTA 3
4.3.2
Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve
ser estabelecido para definir as aes de gesto necessrias para:
a)
b)
c)
assegurar que as alteraes e a situao da reviso atual dos documentos sejam identificadas;
d)
assegurar que as verses pertinentes de documentos aplicveis estejam disponveis nos locais de uso;
e)
f)
assegurar que os documentos estejam disponveis queles que deles precisam e sejam transferidos,
armazenados e finalmente descartados conforme os procedimentos aplicveis sua classificao;
g)
h)
i)
j)
aplicar identificao adequada nos casos em que sejam retidos para qualquer propsito.
4.3.3
Controle de registros
Registros devem ser estabelecidos e mantidos para fornecer evidncias de conformidade aos requisitos e da
operao eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em considerao
quaisquer requisitos legais ou regulamentares pertinentes e obrigaes contratuais. Os registros devem
permanecer legveis, prontamente identificveis e recuperveis. Os controles necessrios para a identificao,
armazenamento, proteo, recuperao, tempo de reteno e disposio de registros devem ser documentados e
implementados.
Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrncias de
incidentes de segurana da informao significativos relacionados ao SGSI.
EXEMPLO
Exemplos de registros so: livros de visitantes, relatrios de auditoria e formulrios de autorizao de acesso
preenchidos.
5
5.1
Responsabilidades da direo
Comprometimento da direo
A Direo deve fornecer evidncia do seu comprometimento com o estabelecimento, implementao, operao,
monitoramento, anlise crtica, manuteno e melhoria do SGSI mediante:
a)
b)
Cpia no autorizada
c)
d)
e)
a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar o SGSI (ver 5.2.1);
f)
g)
a garantia de que as auditorias internas do SGSI sejam realizadas (ver seo 6); e
h)
5.2
Gesto de recursos
5.2.1
Proviso de recursos
b)
c)
identificar e tratar
informao;
d)
manter a segurana da informao adequada pela aplicao correta de todos os controles implementados;
e)
realizar anlises crticas, quando necessrio, e reagir adequadamente aos resultados destas anlises crticas;
e
f)
5.2.2
A organizao deve assegurar que todo o pessoal que tem responsabilidades atribudas definidas no SGSI seja
competente para desempenhar as tarefas requeridas:
a)
determinando as competncias necessrias para o pessoal que executa trabalhos que afetam o SGSI;
b)
fornecendo treinamento ou executando outras aes (por exemplo, contratar pessoal competente) para
satisfazer essas necessidades;
c)
d)
A organizao deve tambm assegurar que todo o pessoal pertinente esteja consciente da relevncia e
importncia das suas atividades de segurana da informao e como eles contribuem para o alcance dos objetivos
do SGSI.
10
Cpia no autorizada
A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos
de controle, controles, processos e procedimentos do seu SGSI:
a)
b)
c)
d)
Um programa de auditoria deve ser planejado levando em considerao a situao e a importncia dos processos
e reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critrios da auditoria, escopo,
freqncia e mtodos devem ser definidos. A seleo dos auditores e a execuo das auditorias devem assegurar
objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho.
As responsabilidades e os requisitos para planejamento e para execuo de auditorias e para relatar os resultados
e a manuteno dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.
O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida,
para eliminar as no-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a
verificao das aes executadas e o relato dos resultados de verificao (ver seo 8).
NOTA
A ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
pode prover uma orientao til para realizar auditorias internas do SGSI.
7
7.1
A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por
ano) para assegurar a sua contnua pertinncia, adequao e eficcia. Esta anlise crtica deve incluir a avaliao
de oportunidades para melhoria e a necessidade de mudanas do SGSI, incluindo a poltica de segurana da
informao e objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser claramente
documentados e os registros devem ser mantidos (ver 4.3.3).
7.2
b)
c)
tcnicas, produtos ou procedimentos que podem ser usados na organizao para melhorar o desempenho e a
eficcia do SGSI ;
d)
e)
f)
11
Cpia no autorizada
g)
h)
i)
7.3
As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes relacionadas a:
a)
b)
c)
Modificao de procedimentos e controles que afetem a segurana da informao, quando necessrio, para
responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanas de:
1)
requisitos de negcio;
2)
3)
4)
5)
obrigaes contratuais; e
6)
d)
Necessidade de recursos.
e)
Melhoria do SGSI
8.1
Melhoria contnua
A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de segurana da
informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados,
aes corretivas e preventivas e anlise crtica pela direo (ver seo 7).
8.2
Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, de
forma a evitar a sua repetio. O procedimento documentado para ao corretiva deve definir requisitos para:
a)
identificar no-conformidades;
b)
c)
avaliar a necessidade de aes para assegurar que aquelas no-conformidades no ocorram novamente;
d)
e)
12
Cpia no autorizada
f)
8.3
Ao preventiva
A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitos
do SGSI, de forma a evitar a sua ocorrncia. As aes preventivas tomadas devem ser apropriadas aos impactos
dos potenciais problemas. O procedimento documentado para ao preventiva deve definir requisitos para:
a)
b)
c)
d)
e)
A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas focando a
ateno nos riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada com base nos resultados da anlise/avaliao de riscos.
NOTA
Aes para prevenir no-conformidades freqentemente tm melhor custo-benefcio que as aes corretivas.
13
Cpia no autorizada
Anexo A
(normativo)
Objetivos de controle e controles
Os objetivos de controle e controles listados na tabela A.1 so derivados diretamente e esto alinhados com
aqueles listados na ABNT NBR ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1 no so exaustivas e
uma organizao pode considerar que objetivos de controle e controles adicionais so necessrios. Os objetivos
de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado
em 4.2.1.
A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornece recomendaes e um guia de implementao das
melhores prticas para apoiar os controles especificados em A.5 a A.15.
Tabela A.1 Objetivos de controle e controles
A.5
Poltica de segurana
A.5.1
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os
requisitos do negcio e com as leis e regulamentaes relevantes.
Controle
A.5.1.1
Documento da poltica de
segurana da informao
A.5.1.2
A.6
A.6.1
Comprometimento da direo
com a segurana da
informao
A.6.1.2
14
Coordenao da segurana
da informao
Cpia no autorizada
Controle
A.6.1.3
Atribuio de
responsabilidades para a
segurana da informao
Controle
A.6.1.4
A.6.1.5
Acordos de confidencialidade
A.6.1.6
A.6.1.7
A.6.1.8
A.6.2.2
Identificando a segurana da
informao quando tratando
com os clientes.
A.6.2.3
Identificando segurana da
informao nos acordos com
terceiros
15
Cpia no autorizada
A.7
Gesto de ativos
A.7.1
A.7.1.2
A.7.1.3
A.7.2
Classificao da informao
Recomendaes para
classificao
Controle
A informao deve ser classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para a organizao.
Controle
A.7.2.2
A.8
Rtulos e tratamento da
informao
A.8.1
Antes da contratao4)
Papis e responsabilidades
3)
Explicao: O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para
controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significa
que a pessoa realmente tenha qualquer direito de propriedade pelo ativo
4)
Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de
pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e
encerramento de quaisquer destas situaes.
16
Cpia no autorizada
Controle
A.8.1.2
Seleo
A.8.1.3
A.8.2
Termos e condies de
contratao
Durante a contratao
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e
preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto
preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos
normais, e para reduzir o risco de erro humano.
Controle
A.8.2.1
Responsabilidades da direo
A.8.2.2
Conscientizao, educao e
treinamento em segurana da
informao
A.8.2.3
A.8.3
Processo disciplinar
Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho
de forma ordenada.
Controle
A.8.3.1
Encerramento de atividades
A.8.3.2
Devoluo de ativos
17
Cpia no autorizada
Controle
A.8.3.3
A.9
Retirada de direitos de
acesso
A.9.1
reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes
da organizao.
Controle
A.9.1.1
A.9.1.2
A.9.1.3
Segurana em escritrios
salas e instalaes
A.9.1.4
A.9.1.5
Trabalhando em reas
seguras
A.9.1.6
A.9.2
Segurana de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
Controle
A.9.2.1
18
Instalao e proteo do
equipamento
Cpia no autorizada
Controle
A.9.2.2
Utilidades
A.9.2.3
Segurana do cabeamento
A.9.2.4
Manuteno dos
equipamentos
A.9.2.5
Segurana de equipamentos
fora das dependncias da
organizao
A.9.2.6
Reutilizao e alienao
segura de equipamentos
A.9.2.7
Remoo de propriedade
Documentao dos
procedimentos de operao
A.10.1.2
Gesto de mudanas
A.10.1.3
Segregao de funes
A.10.1.4
19
Cpia no autorizada
Entrega de servios
A.10.2.2
Monitoramento e anlise
crtica de servios
terceirizados
A.10.2.3
Gerenciamento de mudanas
para servios terceirizados
Gesto de capacidade
A.10.3.2
Aceitao de sistemas
A.10.4.2
20
Cpia no autorizada
Controles de redes
A.10.6.2
Gerenciamento de mdias
removveis
Controle
Devem existir procedimentos implementados para o
gerenciamento de mdias removveis.
Controle
A.10.7.2
Descarte de mdias
A.10.7.3
Procedimentos para
tratamento de informao
A.10.7.4
Segurana da documentao
dos sistemas
Polticas e procedimentos
para troca de informaes
21
Cpia no autorizada
A.10.8.2
Controle
Devem ser estabelecidos acordos para a troca de informaes
e softwares entre a organizao e entidades externas.
Controle
A.10.8.3
Mdias em trnsito
A.10.8.4
Mensagens eletrnicas
A.10.8.5
Sistemas de informaes do
negcio
Comrcio eletrnico
A.10.9.2
Transaes on-line
A.10.9.3
Informaes publicamente
disponveis
A.10.10 Monitoramento
Objetivo: Detectar atividades no autorizadas de processamento da informao.
Controle
A.10.10.1
Registros de auditoria
A.10.10.2
22
Monitoramento do uso do
sistema
Cpia no autorizada
A.10.10.3
A.10.10.4
Registros (log) de
administrador e operador
Controle
Os recursos e informaes de registros (log) devem ser
protegidos contra falsificao e acesso no autorizado.
Controle
As atividades dos administradores e operadores do sistema
devem ser registradas.
Controle
A.10.10.5
A.10.10.6
Registro de usurio
A.11.2.2
Gerenciamento de privilgios
A.11.2.3
Gerenciamento de senha do
usurio
A.11.2.4
23
Cpia no autorizada
Uso de senhas
A.11.3.2
A.11.3.3
A.11.4.2
Controle
Os usurios devem receber acesso somente aos servios que
tenham sido especificamente autorizados a usar.
Controle
Mtodos apropriados de autenticao devem ser usados para
controlar o acesso de usurios remotos.
Controle
A.11.4.3
Identificao de equipamento
em redes
A.11.4.4
Proteo e configurao de
portas de diagnstico remotas
A.11.4.5
Segregao de redes
A.11.4.6
A.11.4.7
24
Controle de roteamento de
redes
Cpia no autorizada
Procedimentos seguros de
entrada no sistema (log-on)
Controle
O acesso aos sistemas operacionais deve ser controlado por
um procedimento seguro de entrada no sistema (log-on).
Controle
A.11.5.2
Identificao e autenticao
de usurio
A.11.5.3
Sistema de gerenciamento de
senha
A.11.5.4
A.11.5.5
A.11.5.6
Limitao de horrio de
conexo
Restrio de acesso
informao
A.11.6.2
Isolamento de sistemas
sensveis
Computao e comunicao
mvel
A.11.7.2
Trabalho remoto
25
Cpia no autorizada
A.12
A.12.1
A.12.2
Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em
aplicaes.
A.12.2.1
Controle
Os dados de entrada de aplicaes devem ser validados para
garantir que so corretos e apropriados.
Controle
A.12.2.2
Controle do processamento
interno
A.12.2.3
Integridade de mensagens
A.12.2.4
A.12.3
Controles criptogrficos
A.12.3.2
Gerenciamento de chaves
Controle
Deve ser desenvolvida e implementada uma poltica para o uso
de controles criptogrficos para a proteo da informao.
Controle
A.12.4
Controle de software
operacional
A.12.4.2
26
Controle
Procedimentos para controlar a instalao de software em
sistemas operacionais devem ser implementados.
Controle
Os dados de teste devem ser selecionados com cuidado,
protegidos e controlados.
Cpia no autorizada
A.12.4.3
A.12.5
Controle de acesso ao
cdigo- fonte de programa
Controle
O acesso ao cdigo-fonte de programa deve ser restrito.
Controle
A implementao de mudanas deve ser controlada utilizando
procedimentos formais de controle de mudanas.
Controle
A.12.5.2
A.12.5.3
A.12.5.4
Vazamento de informaes
A.12.5.5
Desenvolvimento terceirizado
de software
A.12.6
A.13
Controle de vulnerabilidades
tcnicas
A.13.1
Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de
informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Controle
A.13.1.1
Notificao de eventos de
segurana da informao
A.13.1.2
Notificando fragilidades de
segurana da informao
27
Cpia no autorizada
A.13.2
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana
da informao.
Controle
A.13.2.1
Responsabilidades e
procedimentos
A.13.2.2
Aprendendo com os
incidentes de segurana da
informao
A.13.2.3
A.14
Coleta de evidncias
A.14.1
Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos
de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.
A.14.1.1
Incluindo segurana da
informao no processo de
gesto da continuidade de
negcio
Controle
Um processo de gesto deve ser desenvolvido e mantido para
assegurar a continuidade do negcio por toda a organizao e
que contemple os requisitos de segurana da informao
necessrios para a continuidade do negcio da organizao.
Controle
A.14.1.2
Continuidade de negcios e
anlise/avaliao de risco
A.14.1.3
Desenvolvimento e
implementao de planos de
continuidade relativos
segurana da informao
A.14.1.4
28
Estrutura do plano de
continuidade do negcio
Cpia no autorizada
A.14.1.5
A.15
Testes, manuteno e
reavaliao dos planos de
continuidade do negcio
Controle
Os planos de continuidade do negcio devem ser testados e
atualizados regularmente, de forma a assegurar sua
permanente atualizao e efetividade.
Conformidade
A.15.1
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes
contratuais e de quaisquer requisitos de segurana da informao
Controle
A.15.1.1
Identificao da legislao
vigente
A.15.1.2
Direitos de propriedade
intelectual
A.15.1.3
Proteo de registros
organizacionais
A.15.1.4
Proteo de dados e
privacidade da informao
pessoal
A.15.1.5
A.15.1.6
Regulamentao de controles
de criptografia
A.15.2
Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da
informao.
Controle
A.15.2.1
Conformidade com as
polticas e normas de
segurana da informao
A.15.2.2
Verificao da conformidade
tcnica
29
Cpia no autorizada
Controles de auditoria de
sistemas de informao
A.15.3.2
Proteo de ferramentas de
auditoria de sistemas de
informao
30
Cpia no autorizada
Anexo B
(informativo)
Princpios da OECD e desta Norma
Os princpios definidos pelas Diretrizes de OECD para a Segurana de Sistemas de Informao e Redes aplicamse para toda a poltica e nveis operacionais que governam a segurana de sistemas de informao e redes. Esta
Norma prov uma estrutura de um sistema de gesto de segurana da informao para implementar alguns dos
princpios da OECD que usam o modelo PDCA e os processos descritos nas sees 4, 5, 6 e 8, como indicado na
tabela B.1.
Tabela B.1 Princpios da OECD e o modelo PDCA
Princpios da OECD
Conscientizao
Convm que os participantes estejam conscientes da
necessidade de segurana de sistemas de informao e
redes e do que eles podem fazer para aumentar a
segurana.
Responsabilidade
Todos os participantes so responsveis pela segurana
de sistemas de informao e redes.
Resposta
Convm que os participantes ajam de modo oportuno e
cooperativo para prevenir, detectar e responder a
incidentes de segurana da informao.
Anlise/Avaliao de riscos
Convm que os participantes conduzam
anlises/avaliaes de risco.
Arquitetura e implementao de segurana
Convm que os participantes incorporem a segurana
como um elemento essencial de sistemas de informao
e redes.
Gesto de segurana
Convm que os participantes adotem uma abordagem
detalhada para a gesto da segurana.
Reavaliao
Convm que os participantes analisem criticamente e
reavaliem a segurana dos sistemas de informao e
redes, e faam as modificaes apropriadas nas polticas
de segurana, prticas, medidas e procedimentos.
31
Cpia no autorizada
Anexo C
(informativo)
Correspondncia entre a ABNT NBR ISO 9001:2000, a
ABNT NBR ISO 14001:2004 e esta Norma
A tabela C.1 mostra a correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta
Norma.
Tabela C.1 Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e
esta Norma
Esta Norma
0 Introduo
0 Introduo
Introduo
0.1 Geral
0.1 Geral
1 Objetivo
1 Objetivo
1.1 Geral
1.1 Generalidades
1.2 Aplicao
1.2 Aplicao
2 Referncias normativas
2 Referncia normativa
2 Referncias normativas
3 Termos e definies
3 Termos e definies
3 Termos e definies
4 Sistema de gesto de
segurana da informao
4 Sistema de gesto da
qualidade
4 Requisitos do SGA
2 Objetivo
32
Cpia no autorizada
Esta Norma
4.3.1 Geral
4.3.1 Geral
5 Responsabilidades da direo
5 Responsabilidades de gesto
5.4 Planejamento
4.3 Planejamento
6 Gesto de recursos
4.2.2 Competncia,treinamento e
conscientizao
6.3 Infraestrutura
6.4 Ambiente de trabalho
6 Auditorias internas do SGSI
7.1 Geral
5.6.1 Generalidades
8 Melhoria do SGSI
8.5 Melhorias
4.5.3 No-conformidades, ao
corretiva e ao preventiva
Anexo B - Correspondncia
entre ABNT NBR ISO 14001:2004
e ABNT NBR ISO 9001:2000
33
Cpia no autorizada
Bibliografia
Normas publicadas
[1]
[2]
[3]
[4]
[5]
ABNT NBR ISO 14001:2004, Sistemas da gesto ambiental - Requisitos com orientaes para uso
[6]
[7]
ABNT NBR ISO 19011:2002, Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
[8]
ABNT ISO/IEC Guia 62:1997, Requisitos gerais para organismos que operam avaliao e
certificao/registro de sistemas da qualidade
[9]
ABNT ISO/IEC Guia 73:2005, Gesto de riscos - Vocabulrio - Recomendaes para uso em normas
Outras Publicaes
[1]
OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of
[3]
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986
34