Você está na página 1de 34

ABNT/CB-21

PROJETO ABNT NBR ISO/IEC 27001


SET 2013

Tecnologia da Informao Tcnicas de Segurana Sistemas de gesto


da segurana da informao - Requisitos

APRESENTAO
1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de
Segurana (CE-21:027.00) do Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), nas reunies de:

02.07.2013 28.08.2013

2) Este Projeto de Reviso previsto para cancelar e substituir a edio anterior


(ABNT NBR ISO/IEC 27001:2006), quando aprovado, sendo que nesse nterim a referida
norma continua em vigor;

3) Previsto para ser equivalente ISO/IEC 27001:2013;

4) No tem valor normativo;

5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;

6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT


quando de sua publicao como Norma Brasileira.

7) Tomaram parte na elaborao deste Projeto:

Participante Representante

CQSI ARIOSTO FARIAS JR


SERASA EXPERIAN NILTON MOREIRA
TV GLOBO VINCIUS BRASILEIRO
BATORI Ricardo Kiyoshi Batori
CEMIG Giovani Davi Silva
CORREIOS Otvio Quadros
DGITRO Andreia S. G. da Silva
IPEA-SEG Carlos Augusto Valim
IPEA-SEG Vera P. Harger
MICROSOFT Fernando Gebara
PROXIS Olympio Neto

NO TEM VALOR NORMATIVO


ABNT/
PROJETO

RIOSOFT Gisele Villas Bas


RSA Anchises de Paula
SABESP Claudio Barbosa
SABESP Marcelo Rezende
SEC4YOU Luciano M. Kadoya
TIVIT Luiz Gustavo Ribeiro
INDIVIDUAL Lilian Pricola

NO TEM VALOR NORMATIVO 2/2


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tecnologia da Informao Tcnicas de Segurana Sistemas de gesto


da segurana da informao Requisitos
Information technology Security techniques Information security management systems
Requirements

Prefcio Nacional

A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas


Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).

Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.

O Escopo desta Norma Brasileira em ingls o seguinte:

Scope
This Standard specifies the requirements for establishing, implementing, maintaining and continually
improving an information security management system within the context of the organization. This
Standard also includes requirements for the assessment and treatment of information security risks
tailored to the needs of the organization. The requirements set out in this Standard are generic and are
intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to
this Standard.

NO TEM VALOR NORMATIVO 1/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

0. Introduo

0.1 Geral

Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
organizacionais, funcionrios, tamanho e estrutura da organizao. So esperados que todos estes
fatores de influncia mudem ao longo do tempo.

O sistema de gesto da segurana da informao preserva a confidencialidade, integridade e


disonibilidade da informao por meio da aplicao de um processo de gesto de riscos e fornece
confiana para as partes interessadas de que os riscos so adequadamente gerenciados.

importante que um sistema de gesto da segurana da informao seja parte e esteja integrado com
os processos da organizao e com a estrutura de administrao global e que a segurana da
informao seja considerada no projeto dos processos, sistemas de informao e controles. esperado
que a implementao de um sistema de gesto de segurana da informao seja planejado de acordo
com as necessidades da organizao.

Esta Norma pode ser usada por partes internas e externas para avaliar a capacidade da organizao
em atender os seus prprios requisitos de segurana da informao.

A ordem pela qual os requisitos so apresentados nesta Norma no reflete sua importancia ou implica
na ordem pela qual eles devem ser implementados. Os itens listados so numerados apenas para fins
de referncia.

A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema de gesto da segurana da
informao e referencia as normas da famila do sistema de gesto da segurana da informao
(incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies relacionados.

0.2 Compatibilidade com outras normas de sistemas de gesto

Esta Norma aplica a estrutura de alto nvel, os ttulos de sub-clusulas idnticos, textos idnticos,
termos comuns e definies bsicas, apresentadas no anexo SL da ISO/IEC Directives, Part 1,
Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de
sistemas de gesto que adotaram o anexo SL.

Esta abordagem comum definida no anexo SL ser ltil para aquelas organizaes que escolhem
operar um nico sistema de gesto que atenda os requisitos de duas ou mais normas de sistemas de
gesto.

NO TEM VALOR NORMATIVO 2/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

1 Escopo
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gesto da segurana da informao dentro do contexto da organizao. Esta Norma
tambm inclui requisitos para a avaliao e tratamento de riscos de segurana da informao voltados
para as necessidades da organizao. Os requisitos definidos nesta Norma so genricos e so
pretendidos para serem aplicveis a todas as organizaes independentemente do tipo, tamanho ou
natureza. A excluso de quaisquer dos requisitos especificados nas sees 4 a 10 no aceitvel
quando a organizao busca a conformidade com esta Norma.

2 Referncias normativas
O documento relacionado a seguir indispensvel aplicao deste documento. Para referncias
datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies
mais recentes do referido documento (incluindo emendas).

ISO/IEC 27000, Information technology -- Security techniques -- Information security management


systems -- Overview and vocabulary

3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies apresentados na ISO/IEC 27000

4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto

A organizao deve determinar as questes internas e externas que so relevantes para o seu
propsito e que afetam sua capacidade para alcanar os resultados pretendidos do seu sistema de
gesto da segurana da informao.

NOTA A determinao destas questes refere-se ao estabelecimento do contexto interno e externo da


organizao apresentado no item 5.3 da ABNT NBR ISO 31000 Gesto de riscos Princpios e diretrizes.

4.2 Entendendo as necessidades e as expectativas das partes interessadas

A organizao deve determinar:

a) as partes interessadas que so relevantes para o sistema de gesto da segurana da informao;


e

b) os requisitos dessas partes interessadas relevantes para a segurana da informao.

NOTA Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como
obrigaes contratuais.

4.3 Determinando o escopo do sistema de gesto da segurana da informao

A organizao deve determinar os limites e a aplicabilidade do sistema de gesto da segurana da


informao para estabelecer o seu escopo.

Quando da determinao deste escopo, a organizao deve considerar:

NO TEM VALOR NORMATIVO 3/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

a) as questes internas e externas referenciadas em 4.1;

b) os requisitos referenciados em 4.2; e

c) as interfaces e dependncias entre as atividades desempenhadas pela organizao e aquelas que


so desempenhadas por outra organizao.

O escopo deve estar disponvel como informao documentada.

4.4 4.4 Sistema de gesto da segurana da informao

A organizao deve estabelecer, implementar, manter e continuamente melhorar um sistema de gesto


da segurana da informao, de acordo com os requisitos desta Norma.

5 Liderana
5.1 5.1 Liderana e comprometimento

A Alta Direo deve demostrar sua liderana e comprometimento em relao ao sistema de gesto da
segurana da informao pelos seguintes meios:

a) assegurando que a poltica de segurana da informao e os objetivos de segurana da informaao


esto estabelecidos e so compatveis com a direo estratgica da organizao;

b) garantindo a integrao dos requisitos do sistema de gesto da segurana da informao dentro


dos processos da organizao;

c) assegurando que os recursos necessrios para o sistema de gesto da segurana da informao


estejam disponveis;

d) comunicando a importncia de uma gesto eficaz da segurana da informao e da conformidade


com os requisitos do sistema de gesto da segurana da informao;

e) assegurando que o sistema de gesto da segurana da informao alcana seus resultados


pretendidos;

f) orientando e apoiando pessoas que contribuam para eficcia do sistema de gesto da segurana
da informao;

g) promovedo a melhoria contnua; e

h) apoiando outros papis relevantes da gesto para demostrar como sua liderana se aplica s reas
sob sua responsabilidade.

5.2 Poltica

A Alta Direo deve estabelecer uma politca de segurana da informao que:

a) seja apropriada ao propsito da organizao;

b) inclua os objetivos de segurana da informao (ver 6.2) ou fornea a estrutura para estabelecer os
objetivos de segurana da informao;

NO TEM VALOR NORMATIVO 4/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

c) inclua um comprometimento para satisfazer os requisitos aplicveis, relacionados com segurana


da informao; e

d) inclua um comprometimento para a melhoria contnua do sistema de gesto da segurana da


informao.

A poltica de segurana da informao deve:

a) estar disponvel como informao documentada;

b) ser comunicada dentro da organizao; e

c) estar disponvel para as partes interessadas conforme apropriado.

5.3 Autoridades, responsabilidades e papis organizacionais

A Alta Direo deve assegurar que as responsabilidades e autoridades dos papis relevantes para a
segurana da informao sejam atribuidos e comunicados.

A Alta Direo deve atribuir a responsabilidade e autoridade para:

a) assegurar que o sistema de gesto da segurana da informao est em conformidade com os


requisitos desta Norma;

b) relatar sobre o desempenho do sistema de gesto da segurana da informao para a Alta


Direo.

NOTA A Alta Direo pode tambm atribuir responsabilidades e autoridades para relatar o desempenho do
sistema de gesto da segurana da informao dentro da organizao.

6 Planejamento
6.1 Aes para contemplar riscos e oportunidades

6.1.1 Geral

Quando do planejamento do sistema de gesto da segurana da informao, a organizao deve


considerar as questes referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e
oportunidades que precisam ser consideradas para:

a) assegurar que o sistema de gesto da segurana da informao pode alcanar seus resultados
pretendidos;

b) prevenir ou reduzir os efeitos indesejados; e

c) alcanar a melhoria contnua.

A organizao deve planejar:

a) as aes para considerar estes riscos e oportunidades; e

b) como:

NO TEM VALOR NORMATIVO 5/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

1) integrar e implementar estas aes dentro dos processos do seu sistema de gesto da
segurana da informao; e

2) avaliar a eficcia destas aes.

6.1.2 Avaliao de riscos de segurana da informao

A organizao deve definir e aplicar um processo de avaliao de riscos de segurana da informao


que:

a) estabelea e mantenha critrios de riscos de segurana da informao que incluam:

1) os critrios de aceitao do risco; e

2) os critrios para o desempenho das avaliaes dos riscos de segurana da informao;

b) )assegure que as contnuas avaliaes de riscos de segurana da informao produzam resultados


comparveis, vlidos e consistentes;

c) identifique os riscos de segurana da informao:

1) aplicando o processo de avaliao do risco de segurana da informao para identificar os


riscos associados com a perda de confidencialidade, integridade e disponibilidade da
informao dentro do escopo do sistema de gesto da segurana da informao; e

2) identifique os responsveis dos riscos.

d) analise os riscos de segurana da informao:

1) avalie as consequncias potenciais que podem resultar se os riscos identificados em


6.1.2 c) 1) forem materializados

2) avalie a probabilidade realstica da ocorrncia dos riscos identificados em 6.1.2 c) 1); e

3) determine os nveis de risco;

e) avalie os riscos de segurana da informao:

4) compare os resultados da anlise dos riscos com os critrios de riscos estabelecidos em


6.1.2 a); e

5) priorize os riscos analisados para o tratamento do risco.

6.1.3 Tratamento de riscos de segurana da informao.

A organizao deve definir e aplicar um processo de tratamento dos riscos de segurana da informao
para:

a) selecionar, de forma apropriada, as opes de tratamento dos riscos de segurana da informao,


levando em considerao os resultados da avaliao do risco;

b) determinar todos os controles que so necessrios para implementar as opes escolhidas do


tratamento do risco da segurana da informao;
NO TEM VALOR NORMATIVO 6/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

NOTA: As organizaes podem projetar os controles,conforme requerido, ou identific-los de qualquer outra fonte.

c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que
nenhum controle necessrio tenha sido omitido;

NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos objetivos de controle. Os usurios desta
Norma so instrudos a utilizar o Anexo A para garantir que nenhum controle necessrio foi omitido;

NOTA 2 Os objetivos de controle esto implicitamente includos nos controles escolhidos. Os objetivos de
controle e os controles listados no Anexo A no so exaustivos e controles e objetivos de controles adicionais
podem ser necessrios;

d) elaborar uma declarao de aplicabilidade que contenha os controles necessrios


(ver 6.1.3b ) e c)), e a justificativa para incluses, sejam eles implementados ou no, bem como a
justificativa para a excluso dos controles do anexo a;

e) preparar um plano para tratamento dos riscos de segurana da informao;

f) obter a aprovao dos responsveis pelos riscos do plano de tratamento dos riscos de segurana
da informao, e a aceitao dos riscos residuais de segurana da informao;

A organizao deve manter a informao documentada relativa ao processo de tratamento dos riscos
de segurana da informao;

NOTA O processo de tratamento e a avaliao dos riscos de segurana da informao desta norma est
alinhada com os princpios e diretrizes gerais definidas na ABNT NBR ISO 31000 Gesto de riscos Princpios e
diretrizes.

6.2 Objetivo de segurana da informao e planos para alcan-los

A organizao deve estabelecer os objetivos de segurana da informao para as funes e nveis


relevantes.

Os objetivos de segurana da informao devem:

a) ser consistentes com a poltica de segurana da informao;

b) ser mensurvel (quando aplicvel);

c) levar em conta os requisitos de segurana da informao aplicveis, e os resultados da avaliao e


tratamento dos riscos;

d) ser comunicados; e

e) ser atualizado, conforme apropriado.

A organizao deve reter informao documentada dos objetivos de segurana da informao.

Quando do planejamento para alcanar os seus objetivos de segurana da informao, a organizao


deve determinar:

a) o que ser feito;

NO TEM VALOR NORMATIVO 7/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

b) quais recursos sero necessrios;

c) quem ser responsvel;

d) quando estar concludo;

e) como os resultados sero avaliados

7 Apoio
7.1 Recursos

A organizao deve determinar e prover recursos necessrios para o estabelecimento, implementao,


manuteno e melhoria contnua do sistema de gesto da segurana da informao.

7.2 Competncia

A organizao deve:

a) determinar a competncia necessria das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurana da informao;

b) assegurar que essas pessoas so competentes com base na educao, treinamento ou


experincia apropriados;

c) onde aplicado, tomar aes para adquirir a competncia necessria e avaliar a eficcia das aes
tomadas; e

d) reter informao documentada apropriada como evidncia da competncia.

NOTA Aes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os
funcionrios atuais, ou pessoas competentes, prprias ou contratadas.

7.3 Conscientizao

Pessoas que realizam trabalho sob o controle da organizao devem estar cientes da:

a) poltica de segurana da informao;

b) suas contribuies para a eficcia do sistema de gesto da segurana da informao, incluindo os


benefcios da melhoria do desempenho da segurana da informao; e

c) implicaes da no conformidade com os requisitos do sistema de gesto da segurana da


informao.

7.4 Comunicao

A organizao deve determinar as comunicaes internas e externas relevantes para o sistema de


gesto da segurana da informao incluindo:

a) o que comunicar;

NO TEM VALOR NORMATIVO 8/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

b) quando comunicar;

c) quem comunicar;

d) quem ser comunicado; e

e) o processo pelo qual a comunicao ser realizada.

7.5 Informao documentada

7.5.1 Geral

O sistema de gesto da segurana da informao devem incluir:

a) informao documentada requerida por esta norma;

b) informao documentada determinada pela organizao como sendo necessria para a eficcia do
sistema de gesto da segurana da informao.

NOTA A abrangncia da informao documentada para o sistema de gesto da segurana da informao


pode variar de uma organizao para outra devido a:

a) tamanho da organizao e seu tipo de atividades, processos, produtos e servios;

b) a complexidade dos processos e suas interaes;

c) a competncia das pessoas.

7.5.2 Criando e atualizando

Quando da criao e atualizao da informao documentada, a organizao deve assegurar de forma


apropriada:

a) identificao e descrio (por exemplo, ttulo, data, autor ou um nmero de referncia);

b) formato (por exemplo, linguagem, verso do software, grficos) e o seu meio (por exemplo, papel,
eletrnico); e

c) anlise crtica e aprovao para pertinncia e adequao.

7.5.3 Controle da informao documentada

A informao documentada requerida pelo sistema de gesto da segurana da informao e por esta
norma, deve ser controlada para assegurar:

a) que est disponvel e adequada para o uso, onde e quando necessario;

b) que est adequadamente protegida (por exemplo, contra perda de confidencialidade, uso imprprio
ou perda de integridade).

Para o controle da informao documentada, a organizao deve considerar as seguintes atividades,


conforme aplicada:

NO TEM VALOR NORMATIVO 9/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

a) distribuio, acesso, recuperao e uso;

b) armazenagem e preservao, incluindo a preservao da legibilidade;

c) controle de mudanas (por exemplo, controle de verso);

d) f)Reteno e disposio.

A informao documentada de origem externa, determinada pela organizao como necessria para o
planejamento e operao do sistema de gesto da segurana da informao, deve ser identificada
como apropriada, e controlada.

NOTA O acesso implica em uma deciso quanto permisso para apenas ler a informao documentada, ou
a permisso e autoridade para ver e alterar a informao documentada.

8 Operao
8.1 Planejamento operacional e controle

A organizao deve planejar, implementar e controlar os processos necessrios para atender os


requisitos de segurana da informao, e para implementar as aes determinadas em 6.1. A
organizao deve tambm implementar planos para alcanar os objetivos de segurana da informao
determinados em 6.2.

A organizao deve manter a informao documentada na abrangncia necessria para gerar confiana
de que os processoas esto sendo realizados conforme planejado.

A organizao deve controlar as mudanas planejadas e analisar criticamente as consequncias de


mudanas no previstas, tomando aes para mitigar quaisquer efeitos adversos, conforme
necessrio.

A organizao deve assegurar que os processos terceirizados esto determinados e so controlados.

8.2 Avaliao de riscos de segurana da informao

A organizao deve realizar avaliaes de riscos de segurana da informao a intervalos planejados,


quando mudanas significativas so propostas ou ocorrem, levando em conta os critrios estabelecidos
em 6.1.2 a.

A organizao deve reter informao documentada dos resultados das avaliaes de risco de
segurana da informao.

8.3 Tratamento de riscos de segurana da informao

A organizao deve implementar o plano de tratamento de riscos de segurana da informao.

A organizao deve reter informao documentada dos resultados do tratamento dos riscos de
segurana da informao.

NO TEM VALOR NORMATIVO 10/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

9 Avaliao do desempenho
9.1 Monitoramento, medio, anlise e avaliao

A organizao deve avaliar o desempenho da segurana da informao e a eficcia do sistema de


gesto da segurana da informao.

A organizao deve determinar:

a) o que precisa ser monitorado e medido, incluindo controles e processos de segurana da


informao;

b) os mtodos para monitoramento, medio, anlise e avaliao, conforme aplicvel, para assegurar
resultados vlidos;

NOTA Os mtodos selecionados devem produzir resultados comparveis e reproduzveis para serem vlidos.

c) Quando o monitoramento e a medio devem ser realizados;

d) o que deve ser monitorado e medido;

e) quando os resultados do monitoramento e da medio devem ser analisados e avaliados;

f) quem deve analisar e avaliar estes resultados.

A organizao deve reter informao documentada apropriada como evidncia do monitoramento e dos
resultados da medio.

9.2 Auditoria interna

A organizao deve conduzir auditorias internas a intervalos planejados para prover informaes sobre
o quanto o sistema de gesto da segurana da informao:

a) est em conformidade com:

1) os prprios requisitos da organizao para o seu sistema de gesto da segurana da


informao;

2) os requisitos desta Norma;

b) est efetivamente implementado e mantido.

Organizao deve:

a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequncia,


mtodos, responsabilidades, requisitos de planejamento e relatrios. Os programas de auditoria
devem levar em conta a importncia dos processos pertinentes e os resultados de auditorias
anteriores;

b) definir os critrios e o escopo da auditoria, para cada auditoria;

NO TEM VALOR NORMATIVO 11/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do


processo de auditoria;

d) assegurar que os resultados das auditorias so relatados para a direo pertinente.

e) reter a informao documentada como evidncia dos programas da auditoria e dos resultados da
auditoria.

9.3 Anlise crtica pela direo

A Alta Direo deve analisar criticamente o sistema de gesto da segurana da informao da


organizao a intervalos planejados para assegurar a sua contnua adequao, pertinncia e eficcia.

A anlise crtica pela Direo deve incluir consideraes com relao a:

a) situao das aes de anlises crticas anteriores, realizadas pela direo;

b) mudanas nas questes internas e externas, que sejam relevantes para o sistema de gesto da
segurana da informao;

c) realimentao sobre o desempenho da segurana da informao, incluindo tendncias nas:

1) no conformidades e aes corretivas;

2) monitoramento e resultados da medio;

3) resultados de auditorias; e

4) cumprimento dos objetivos de segurana da informao.

d) realimentao das partes interessadas;

e) resultados da avaliao dos riscos e situao do plano de tratamento dos riscos; e

f) oportunidades para melhoria contnua.

Os resultados da anlise crtica pela Direo devem incluir decises relativas a oportunidades para
melhoria contnua e quaisquer necessidades para mudanas do sistema de gesto da segurana da
informao.

A organizao deve reter informao documentada como evidncia dos resultados das anlises crticas
pela direo.

10 Melhoria
10.1 No conformidade e ao corretiva

Quando uma no conformidade ocorre, a organizao deve:

a) reagir no conformidade, e conforme apropriado:

1) tomar aes para controlar e corrigi-la; e

NO TEM VALOR NORMATIVO 12/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

2) tratar com as consequncias;

b) avaliar a necessidade de aes para eliminar as causas de no conformidade, para evitar sua
repetio ou ocorrncia, por um dos seguintes meios:

1) analisando criticamente a no conformidade;

2) determinando as causas da no conformidade; e

3) determinando se no conformidades similares existem, ou podem potencialmente ocorrer.

c) implementar quaisquer aes necessrias;

d) analisar criticamente a eficcia de quaisquer aes corretivas tomadas; e

e) realizar mudanas no sistema de gesto da segurana da informao, quando necessrio.

As aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.

A organizao deve reter informao documentada como evidncia da:

a) natureza das no conformidades e quaisquer aes subsequentes tomadas; e

b) resultados de qualquer ao corretiva.

10.2 Melhoria contnua

A organizao deve continuamente melhorar a pertinncia, adequao e eficcia do sistema de gesto


da segurana da informao.

NO TEM VALOR NORMATIVO 13/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Anexo A

(normativo)

Referncia aos controles e objetivos de controles

Os controles e objetivos de controles listados na Tabela A.1 so derivados diretamente e esto


alinhados com aqueles listados na ABNT NBR ISO/IEC 27002:2013 - sees 5 a 18, e devem ser
usados em alinhamento com o item 6.1.3

Tabela A.1 - Objetivos de Controle e Controles

A.5 Polticas de segurana da informao


A.5.1 Orientao da direo para segurana da informao
Objetivo: Prover orientao da direo e apoio para a segurana da informao de acordo
com os requisitos do negcio e com as leis e regulamentaes relevantes
A.5.1.1 Polticas para segurana Controle
da informao Um conjunto de polticas de segurana da
informao deve ser definido, aprovado pela
direo, publicado e comunicado para os
funcionrios e partes externas relevantes.
A.5.1.2 Anlise crtica das Controle
polticas para segurana As polticas de segurana da informao devem
da informao ser analisadas criticamente a intervalos
planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
A.6 Organizao da segurana da informao
A.6.1 Organizao interna
Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a
implementao e operao da segurana da informao dentro da organizao
A.6.1.1 Responsabilidades e Controle
papis pela segurana da Todas as responsabilidades pela segurana da
informao informao devem ser definidas e atribudas.
A.6.1.2 Segregao de funes Controle
Funes conflitantes e reas de
responsabilidade devem ser segregadas para
reduzir as oportunidades de modificao no
autorizada ou no intencional, ou uso indevido
dos ativos da organizao.

NO TEM VALOR NORMATIVO 14/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.6.1.3 Contato com autoridades Controle


Contatos apropriados com autoridades
relevantes devem ser mantidos.
A.6.1.4 Contato com grupos Controle
especiais Contatos apropriados com grupos especiais,
associaes profissionais ou outros fruns
especializados em segurana da informao
devem ser mantidos.
A.6.1.5 Segurana da informao Controle
no gerenciamento de Segurana da informao deve ser considerada
projetos no gerenciamento de projetos,
independentemente do tipo do projeto.
A.6.2 Dispositivos mveis e trabalho remoto
Objetivo: Garantir a segurana das informaes no trabalho remoto e no uso de dispositivos
mveis.
A.6.2.1 Poltica para o uso de Controle
dispositivo mvel Uma poltica e medidas que apoiam a
segurana da informao devem ser adotadas
para gerenciar os riscos decorrentes do uso de
dispositivos mveis.
A.6.2.2 Trabalho remoto Controle
Uma poltica e medidas que apoiam a
segurana da informao devem ser
implementadas para proteger as informaes
acessadas, processadas ou armazenadas em
locais de trabalho remoto.
A.7 Segurana em recursos humanos
A.7.1 Antes da contratao
Objetivo: Assegurar que funcionrios e partes externas entendem as suas responsabilidades
e esto em conformidade com os papis para os quais eles foram selecionados.
A.7.1.1 Seleo Controle
Verificaes do histrico devem ser realizadas
para todos os candidatos a emprego, de acordo
com a tica, regulamentaes e leis relevantes,
e deve ser proporcional aos requisitos do
negcio, aos riscos percebidos e classificao
das informaes a serem acessadas.
A.7.1.2 Termos e condies de Controle
contratao As obrigaes contratuais com funcionrios e
partes externas devem declarar as suas
responsabilidade e a da organizao para a
segurana da informao

NO TEM VALOR NORMATIVO 15/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.7.2 Durante a contratao


Objetivo: Assegurar que os funcionrios e partes externas esto conscientes e cumprem as
suas responsabilidades pela segurana da informao.
A.7.2.1 Responsabilidades da Controle
direo A Direo deve requerer aos funcionrios e
partes externas que pratiquem a segurana da
informao de acordo com o estabelecido nas
polticas e procedimentos da organizao.
A.7.2.2 Conscientizao, Controle
educao e treinamento Todos os funcionrios da organizao e, onde
em segurana da pertinente, partes externas devem receber
informao treinamento, educao e conscientizao
apropriados, e as atualizaes regulares das
polticas e procedimentos organizacionais
relevantes para as suas funes.
A.7.2.3 Processo disciplinar Controle
Deve existir um processo disciplinar formal,
implantado e comunicado, para tomar aes
contra funcionrios que tenham cometido uma
violao de segurana da informao.

A.7.3 Encerramento e mudana da contratao


Objetivo: Proteger os interesses da organizao como parte do processo de mudana ou
encerramento da contratao.
A.7.3.1 Responsabilidades pelo Controle
encerramento ou mudana As responsabilidades e obrigaes pela
da contratao segurana da informao que permaneam
vlidas aps um encerramento ou mudana da
contratao devem ser definidas, comunicadas
aos funcionrios ou partes externas e
cumpridas.
A.8 Gesto de ativos
A.8.1. Responsabilidade pelos ativos
Objetivo: Identificar os ativos da organizao e definir as devidas responsabilidades pela
proteo dos ativos.
A.8.1.1 Inventrio dos ativos Controle
Os ativos associados com informao e com os
recursos e processamento da informao
devem ser identificados e um inventrio destes
ativos deve ser estruturado e mantido.
A.8.1.2 Proprietrio dos ativos Controle
Os ativos mantidos no inventrio devem ter um
proprietrio.

NO TEM VALOR NORMATIVO 16/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.8.1.3 Uso aceitvel dos ativos Controle


Regras para o uso aceitvel das informaes,
dos ativos associados com informao e os
recursos de processamento da informao,
devem ser identificados, documentados e
implementados.
A.8.1.4 Devoluo de ativos Controle
Todos os funcionrios e partes externas devem
devolver todos os ativos da organizao que
estejam em sua posse aps o encerramento de
suas atividades, do contrato ou acordo.
A.8.2 Classificao da informao
Objetivo: Assegurar que a informao receba um nvel adequado de proteo, de acordo com
a sua importncia para a organizao.
A.8.2.1 Classificao da Controle
informao A informao deve ser classificada em termos
do seu valor, requisitos legais, sensibilidade e
criticidade para evitar modificao ou
divulgao no autorizada.
A.8.2.2 Rtulos e tratamento da Controle
informao Um conjunto apropriado de procedimentos para
rotulare tratar a informao deve ser
desenvolvido e implementado de acordo com o
esquema de classificao da informao
adotado pela organizao.
A.8.2.3 Tratamento dos ativos Controle
Procedimentos para o tratamento dos ativos
devem ser desenvolvidos e implementados de
acordo com o esquema de classificao da
informao adotada pela organizao.
A.8.3 Tratamento de mdias
Objetivo: Prevenir a divulgao no autorizada, modificao, remoo ou destruio da
informao armazenada nas mdias.
A.8.3.1 Gerenciamento de mdias Controle
removveis Procedimentos devem ser implementados para
o gerenciamento de mdias removveis, de
acordo com o esquema de classificao
adotado pela organizao.
A.8.3.2 Descarte de mdias Controle
As mdias devem ser descartadas de forma
segura e protegida quando no forem mais
necessrias, por meio de prodecimentos
formais.

NO TEM VALOR NORMATIVO 17/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.8.3.3 Transferncia fsica de Controle


mdias Mdias contendo informaes devem ser
protegidas contra acesso no autorizado, uso
imprprio ou corrompida, durante o transporte.
A.9 Controle de acesso
A.9.1 Requisitos do negcio para controle de acesso
Objetivo: Limitar o acesso informao e aos recursos de processamento da informao.
A.9.1.1 Poltica de controle de Controle
acesso Uma poltica de controle de acesso deve ser
estabelecida, documentada e analisada
criticamente, baseado nos requisitos de
segurana da informao e dos negcios.
A.9.1.2 Acesso s redes e aos Controle
servios de rede Os usurios devem somente receber acesso s
redes e aos servios de rede que tenham sido
especificamente autorizados a usar.
A.9.2 Gerenciamento de acesso do usurio
Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a
sistemas e servios.
A.9.2.1 Registro e cancelamento Controle
de usurio Um processo formal de registro e cancelamento
de usurio deve ser implementado para permitir
atribuio de direitos de acesso.
A.9.2.2 Provisionamento para Controle
acesso de usurio Um processo formal de provisionamento de
acesso do usurio deve ser implementado para
conceder ou revogar os direitos de acesso do
usurio para todos os tipos de usurios em
todos os tipos de sistemas e servios.
A.9.2.3 Gerenciamento de direitos Controle
de acesso privilgiados A concesso e uso de direitos e acesso
privilgiado devem ser restritos e controlados.
A.9.2.4 Gerenciamento da Controle
informao de A concesso de informao de autenticao
autenticao secreta de secreta deve ser controlada por meio de um
usurios processo de gerenciamento formal.
A.9.2.5 Anlise crtica dos direitos Controle
de acesso de usurio Os proprietrios de ativos devem analisar
criticamente os direitos de acesso dos usurios,
a intervalos regulares.

NO TEM VALOR NORMATIVO 18/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.9.2.6 Retirada ou ajuste de Controle


direitos de acesso Os direitos de acesso de todos os funcionrios
e partes externas s informaes e aos
recursos de processamento da informao
devem ser retirados aps o encerramento de
suas atividades, contratos ou acordos, ou
ajustado aps a mudana destas atividades.
A.9.3 Responsabilidades dos usurios
Objetivo: Tornar os usurios responsveis pela proteo das suas informaes de
autenticao.
A.9.3.1 Uso da informao de Controle
autenticao secreta Os usurios devem ser orientados a seguir as
prticas da organizao quanto ao uso da
informao de autenticao secreta.
A.9.4 Controle de acesso ao sistema e aplicao
Objetivo: Prevenir o acesso no autorizado aos sistemas e aplicaes.
A.9.4.1 Restrio de acesso Controle
informao O acesso informao e as funes dos
sistemas de aplicaes devem ser restrito de
acordo com a poltica de controle de acesso.
A.9.4.2 Procedimentos seguros de Controle
entrada no sistema (log- Onde aplicavl pela poltica de controle de
on) acesso, o acesso aos sistemas e aplicaes
devem ser controlados por um procedimento
seguro de entrada no sistema (log-on).
A.9.4.3 Sistema de gerenciamento Controle
de senha Sistemas para gerenciamento de senhas
devem ser interativos e devem assegurar
senhas de qualidade.
A.9.4.4 Uso de programas Controle
utilitrios privilegiados O uso de programas utilitrios que podem ser
capazes de sobrepor os controles dos sistemas
e aplicaes deve ser restrito e estritamente
controlado.
A.9.4.5 Controle de acesso ao Controle
cdigo-fonte de programas O acesso ao cdigo-fonte de programa deve
ser restrito.
A.10 Criptografia
A.10.1 Controles criptogrficos
Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade da informao.

NO TEM VALOR NORMATIVO 19/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.10.1.1 Poltica para o uso de Controle


controles criptogrficos Deve ser desenvolvida e implementada uma
poltica para o uso de controles criptogrficos
para a proteo da informao.
A.10.1.2 Gerenciamento de chaves Controle
Uma poltica sobre o uso, proteo e ciclo de
vida das chaves criptogrficas, deve ser
desenvolvida e implementada ao longo de todo
o seu ciclo de vida.
A.11 Segurana fsica e do ambiente
A.11.1 reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de
processamento das informaes e as informaes da organizao.
A.11.1.1 Permetro de segurana Controle
fsica Permetros de segurana devem ser definidos e
usados para proteger tanto as reas que
contenham as instalaes de processamento
da informao como as informaes critcas ou
sensveis.
A.11.1.2 Controles de entrada fsica Controle
As reas seguras devem ser protegidas por
controles apropriados de entrada para
assegurar que somente pessoas autorizadas
tenham acesso permitido.
A.11.1.3 Segurana em escritrios, Controle
salas e instalaes Deve ser projetada e aplicada segurana fsica
para escritrios, salas e instalaes.
A.11.1.4 Proteo contra ameaas Controle
externas e do meio- Devem ser projetadas e aplicadas proteo
ambiente fsica contra desastres naturais, ataques
maliciosos ou acidentes.
A.11.1.5 Trabalhando em reas Controle
seguras Deve ser projetada e aplicada procedimentos
para o trabalho em reas seguras.
A.11.1.6 reas de entrega e de Controle
carregamento Pontos de acesso, tais como reas de entrega
e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas
instalaes, devem ser controlados e, se
possvel, isolados das instalaes de
processamento da informao, para evitar o
acesso no autorizado.

NO TEM VALOR NORMATIVO 20/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.11.2 Equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo
das operaes da organizao.

A.11.2.1 Escolha de local e Controle


proteo do equipamento Os equipamentos devem ser colocados no local
ou protegidos para reduzir os riscos de
ameaas e perigos do meio-ambiente, bem
como as oportunidades de acesso no
autorizado.
A.11.2.2 Utilidades Controle
Os equipamentos devem ser protegidos contra
falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.
A.11.2.3 Segurana do Controle
cabeamento O cabeamento de energia e de
telecomunicaes que transporta dados ou d
suporte aos servios de informaes deve ser
protegido contra interceptao, interferncia ou
danos.
A.11.2.4 Manuteno dos Controle
equipamentos Os equipamentos devem ter uma manuteno
correta para assegurar sua disponibilidade e
integridade permanente.
A.11.2.5 Remoo de ativos Controle
Equipamentos, informaes ou software no
devem ser retirados do local sem autorizao
prvia.
A.11.2.6 Segurana de Controle
equipamentos e ativos Devem ser tomadas medidas de segurana
fora das dependncias da para ativos que operem fora do local, levando
organizao em conta os diferentes riscos decorrentes do
fato de se trabalhar fora das dependncias da
organizao.
A.11.2.7 Reutilizao e alienao Controle
seguras de equipamentos Todos os equipamentos que contenham mdias
de armazenamento de dados devem ser
examinados antes do descarte, para assegurar
que todos os dados sensveis e softwares
licenciados tenham sido removidos ou sobre-
gravados com segurana.

NO TEM VALOR NORMATIVO 21/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.11.2.8 Equipamento de usurio Controle


sem monitorao Os usurios devem assegurar que os
equipamentos no monitorados tenham
proteo adequada.
A.11.2.9 Poltica de mesa limpa e Controle
tela limpa Deve ser adotada uma poltica de mesa limpa
de papis e mdias de armazenamento
removveis e uma poltica de tela limpa para os
recursos de processamento da informao.
A.12 Segurana nas operaes
A.12.1Responsabilidades e procedimentos operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da
informao.
A.12.1.1 Documentao dos Controle
procedimentos de Os procedimentos de operao devem ser
operao documentados e disponibilizados para todos os
usurios que necessitam deles.
A.12.1.2 Gesto de mudanas Controle
Mudanas na organizao, nos processos do
negcio, nos recursos de processamento da
informao e nos sistemas que afetam a
segurana da informao, devem ser
controladas.
A.12.1.3 Gesto de capacidade Controle
A utilizao dos recursos deve ser monitorada,
ajustada e as projees devem ser feitas para
necessidades de capacidade futura para
garantir o desempenho requerido do sistema.
A.12.1.4 Separao dos ambientes Controle
de desenvolvimento, teste Ambientes de desenvolvimento, teste e
e de produo produo devem ser separados para reduzir os
riscos de acessos ou modificaes no
autorizadas no ambiente de produo.
A.12.2 Proteo contra malware
Objetivo: Assegurar que as informaes e os recursos de processamento da informao
esto protegidos contra malware.

A.12.2.1 Controles contra malware Controle


Devem ser implementados controles de
deteco, preveno e recuperao para
proteger contra malware, combinado com um
adequado programa de conscientizao do
usurio.

NO TEM VALOR NORMATIVO 22/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.12.3 Cpias de segurana


Objetivo: Proteger contra a perda de dados.
A.12.3.1 Cpias de segurana das Controle
informaes Cpias de segurana das informaes,
softwares e das imagens do sistema, devem
ser efetuadas e testadas regularmente
conforme a poltica de gerao de cpias de
segurana definida.
A.12.4 Registros e monitoramento
Objetivo: Registrar eventos e gerar evidncias.
A.12.4.1 Registros de eventos Controle
Registros de eventos (log) de eventos das
atividades do usurio, excees, falhas e
eventos de segurana da informao devem
ser produzidos, mantidos e analisados
criticamente, a intervalos regulares
A.12.4.2 Proteo das informaes Controle
dos registros de eventos As informaes dos registros de eventos (log) e
(logs) seus recursos devem ser protegidas contra
acesso no autorizado e adulterao.
A.12.4.3 Registros de eventos (log) Controle
de Administrador e As atividades dos administradores e
Operador. operadores do sistema devem ser registradas e
os registros (logs) devem serprotegidos e
analisados criticamente, a intervalos regulares.
A.12.4.4 Sincronizao dos relgios Controle
Os relgios de todos os sistemas de
processamento de informaes relevantes,
dentro da organizao ou do domnio de
segurana, devem ser sincronizados com uma
fonte de tempo precisa.
A.12.5 Controle de software operacional
Objetivo: Assegurar a integridade dos sistemas operacionais.
A.12.5.1 Instalao de software nos Controle
sistemas operacionais Procedimentos para controlar a instalao de
software em sistemas operacionais devem ser
implementados.

A.12.6 Gesto de vulnerabilidades tcnicas


Objetivo: Prevenir a explorao de vulnerabilidades tcnicas.

NO TEM VALOR NORMATIVO 23/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.12.6.1 Gesto de Controle


vulnerabilidades tcnicas Informaes sobre vulnerabilidades tcnicas
dos sistemas de informao em uso, devem ser
obtidas em tempo hbil, com a exposio da
organizao a estas vulnerabilidades avaliadas
e tomadas as medidas apropriadas para lidar
com os riscos associados.
A.12.6.2 Restries quanto Controle
instalao de software Regras definindo critrios para a instalao de
software pelos usurios devem ser
estabelecidas e implementadas.
A.12.7 Consideraes quanto auditoria de sistemas de informao
Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
A.12.7.1 Controles de auditoria de Controle
sistemas de informao As atividades e requisitos de auditoria
envolvendo a verificao nos sistemas
operacionais devem ser cuidadosamente
planejados e acordados para minimizar
interrupo nos processos do negcio.
A.13 Segurana nas comunicaes
A.13.1 Gerenciamento da segurana em redes
Objetivo: Assegurar a proteo das informaes em redes e dos recursos de processamento
da informao que os apoiam.
A.13.1.1 Controles de redes Controle
As redes devem ser gerenciadas e controladas
para proteger as informaes nos sistemas e
aplicaes.
A.13.1.2 Segurana dos servios Controle
de rede Mecanismos de segurana, nveis de servio e
requisitos de gerenciamento de todos os
servios de rede, devem ser identificados e
includos em qualquer acordo de servios de
rede, tanto para servios de rede providos
internamente como para terceirizados.
A.13.1.3 Segregao de redes Controle
Grupos de servios de informao, usurios e
sistemas de informao devem ser segregados
em redes.
A.13.2 Transferncia de informao
Objetivo: Manter a segurana da informao transferida dentro da organizao e com
quaisquer entidades externas.

NO TEM VALOR NORMATIVO 24/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.13.2.1 Polticas e procedimentos Controle


para transferncia de Polticas, procedimentos e controles de
informaes transferncias formais, devem ser
estabelecidos para proteger a transferncia de
informaes por meio do uso de todos os tipos
de recursos de comunicao.
A.13.2.2 Acordos para Controle
transferncia de Devem ser estabelecidos acordos para
informaes transferncia segura de informaes do
negcio entre a organizao e partes externas.
A.13.2.3 Mensagens eletrnicas Controle
As informaes que trafegam em mensagens
eletrnicas devem ser adequadamente
protegidas.
A.13.2.4 Acordos de Controle
confidencialidade e no Os requisitos para confidencialidade ou acordos
divulgao de no divulgao que reflitam as necessidades
da organizao para a proteo da informao
devem ser identificados, analisados
criticamente e documentados.
A.14 Aquisio, desenvolvimento e manuteno de sistemas
A.14.1 Requisitos de segurana de sistemas de informao
Objetivo: Garantir que a segurana da informao parte integrante de todo o ciclo de vida
dos sistemas de informao. Isto tambm inclui os requisitos para sistemas de informao
que fornecem servios sobre as redes pblicas.
A.14.1.1 Anlise e especificao Controle
dos requisitos de Os requisitos relacionados com segurana da
segurana da informao informao devem ser includos nos requisitos
para novos sistemas de informao ou
melhorias dos sistemas de informao
existentes.

A.14.1.2 Servios de aplicao Controle


seguros sobre redes As informaes envolvidas nos servios de
pblicas aplicao que transitam sobre redes pblicas
devem ser protegidas de atividades
fraudulentas, disputas contratuais e divulgao
e modificaes no autorizadas.

NO TEM VALOR NORMATIVO 25/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.14.1.3 Protegendo as transaes Controle


nos aplicativos de servios Informaes envolvidas em transaes nos
aplicativos de servios devem ser protegidas
para prevenir transmisses incompletas, erros
de roteamento, alteraes no autorizadas de
mensagens, divulgao no autorizada,
duplicao ou reapresentao de mensagem
no autorizada.
A.14.2 Segurana em processos de desenvolvimento e de suporte
Objetivo: Garantir que a segurana da informao est projetada e implementada no ciclo de
vida de desenvolvimento dos sistemas de informao.
A.14.2.1 Poltica de Controle
desenvolvimento seguro Regras para o desenvolvimento de sistemas e
software devem ser estabelecidas e aplicadas
aos desenvolvimentos realizados dentro da
organizao.
A.14.2.2 Procedimentos para Controle
controle de mudanas de Mudanas em sistemas dentro do ciclo de vida
sistemas de desenvolvimento devem ser controladas
utilizando procedimentos formais de controle de
mudanas.
A.14.2.3 Anlise crtica tcnica das Controle
aplicaes aps Aplicaes crticas de negcios devem ser
mudanas nas analisadas criticamente e testadas quando
plataformas operacionais plataformas operacionais so mudadas, para
garantir que no haver nenhum impacto
adverso na operao da organizao ou na
segurana.
A.14.2.4 Restries sobre Controle
mudanas em pacotes de Modificaes em pacotes de software devem
Software ser desencorajadas e devem estar limitadas s
mudanas necessrias, e todas as mudanas
devem ser estritamente controladas.
A.14.2.5 Princpios para projetar Controle
sistemas seguros Princpios para projetar sistemas seguros
devem ser estabelecidos, documentados,
mantidos e aplicados para qualquer
implementao de sistemas de informao.

NO TEM VALOR NORMATIVO 26/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.14.2.6 Ambiente seguro para Controle


desenvolvimento As organizaes devem estabelecer e proteger
adequadamente os ambientes seguros de
desenvolvimento, para os esforos de
integrao e desenvolvimento de sistemas, que
cubram todo o ciclo de vida de desenvolvimento
de sistema

A.14.2.7 Desenvolvimento Controle


terceirizado A organizao deve supervisionar e monitorar
as atividades de desenvolvimento de sistemas
terceirizado.
A.14.2.8 Teste de segurana do Controle
sistema Testes de funcionalidade de segurana devem
ser realizados durante o desenvolvimento de
sistemas.
A.14.2.9 Teste de aceitao de Controle
sistemas Programas de testes de aceitao e critrios
relacionados devem ser estabelecidos para
novos sistemas de informao, atualizaes e
novas verses.
A.14.3 Dados para teste
Objetivo: Assegurar a proteo dos dados usados para teste.
A.14.3.1 Proteo dos dados para Controle
teste Os dados de teste devem ser selecionados com
cuidado, protegidos e controlados.
A.15 Relacionamento na cadeia de suprimento
A.15.1 Segurana da informao na cadeia de suprimento.
Objetivo: Garantir a proteo dos ativos da organizao que so acessveis pelos
fornecedores
A.15.1.1 Poltica de segurana da Controle
informao no Requisitos de segurana da informao para
relacionamento com os mitigar os riscos associados com o acesso dos
fornecedores fornecedores aos ativos da organizao devem
ser acordados com o fornecedor e
documentados.
A.15.1.2 Identificando segurana Controle
da informao nos Todos os requisitos de segurana da
acordos com fornecedores informao relevantes devem ser estabelecidos
e acordados com cada fornecedor que possa
acessar, processar, armazenar, comunicar, ou
prover componentes de infraestrutura de TI
para as informaes da organizao.

NO TEM VALOR NORMATIVO 27/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.15.1.3 Cadeia de suprimento na Controle


tecnologia da Acordos com fornecedores devem incluir
comunicao e informao requisitos para comtemplar os riscos de
segurana da informao associados com a
cadeia de suprimento de produtos e servios de
tecnologia das comunicaes e informao.
A.15.2 Gerenciamento da entrega do servio do fornecedor
Objetivo: Manter um nvel acordado de segurana da informao e de entrega de servios em
consonncia com os acordos com fornecedores.
A.15.2.1 Monitoramento e anlise Controle
crtica de servios com A organizao deve monitorar, analisar
fornecedores criticamente e auditar a intervalos regulares, a
entrega dos servios executados pelos
fornecedores.
A.15.2.2 Gerenciamento de mudanas Controle
para servios com Mudanas no provisionamento dos servios pelos
fornecedores fornecedores, incluindo manuteno e melhoria das
polticas de segurana da informao, dos
procedimentos e controles existentes, devem ser
gerenciadas, levando-se em conta a criticidade das
informaes do negcio, dos sistemas e processos
envolvidos, e a reavaliao de riscos.
A.16 Gesto de incidentes de segurana da informao
A.16.1 Gesto de incidentes de segurana da informao e melhorias
Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de
segurana da informao, incluindo a comunicao sobre fragilidades e eventos de
segurana da informao.
A.16.1.1 Responsabilidades e Controle
procedimentos Responsabilidades e procedimentos de gesto
devem ser estabelecidos para assegurar
respostas rpidas, efetivas e ordenadas a
incidentes de segurana da informao.
A.16.1.2 Notificao de eventos de Controle
segurana da informao Os eventos de segurana da informao devem
ser relatados atravs dos canais apropriados da
direo, o mais rapidamente possvel.
A.16.1.3 Notificando fragilidades de Controle
segurana da informao Os funcionrios e partes externas que usam os
sistemas e servios de informao da
organizao, devem ser instrudos a registrar e
notificar quaisquer fragilidades de segurana da
informao, suspeita ou observada, nos
sistemas ou servios.

NO TEM VALOR NORMATIVO 28/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.16.1.4 Avaliao e deciso dos Controle


eventos de segurana da Os eventos de segurana da informao devem
informao ser avaliados e deve ser decidido se eles so
classificados como incidentes de segurana da
informao.
A.16.1.5 Resposta aos incidentes Controle
de segurana da Incidentes de segurana da informao devem
informao ser reportados de acordo com procedimentos
documentados.

A.16.1.6 Aprendendo com os Controle


incidentes de segurana Os conhecimentos obtidos da anlise e
da informao resoluo dos incidentes de segurana da
informao devem ser usados para reduzir a
probabilidade ou o impacto de incidentes
futuros.
A.16.1.7 Coleta de evidncias Controle
A organizao deve definir e aplicar
procedimentos para a identificao, coleta,
aquisio e preservao das informaes, as
quais podem servir como evidncias.
A.17 Aspectos da segurana da informao na gesto da continuidade do negcio
A.17.1 Continuidade da segurana da informao
Objetivo: A continuidade da segurana da informao deve ser comtemplada nos sistemas de
gesto da continuidade do negocio da organizao.
A.17.1.1 Planejando a continuidade Controle
da segurana da A organizao deve determinar seus requisitos
informao para a segurana da informao e a
continuidade da gesto da segurana da
informao em situaes adversas, por
exemplo, durante uma crise ou desastre.
A.17.1.2 Implementando a Controle
continuidade da A organizao deve estabelecer, documentar,
segurana da informao implementar e manter processos,
procedimentos e controles para assegurar o
nvel requerido de continuidade para a
segurana da informao, durante uma
situao adversa.
A.17.1.3 Verificao, anlise crtica Controle
e avaliao da A organizao deve verificar os controles de
continuidade da continuidade da segurana da informao,
segurana da informao estabelecidos e implementados, intervalos
regulares, para garantir que eles so vlidos e
eficazes em situaes adversas.

NO TEM VALOR NORMATIVO 29/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.17.2 Redundncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informao.
A.17.2.1 Disponibilidade dos Controle
recursos de Os recursos de processamento da informao
processamento da devem ser implementados com redundncia
informao suficiente para atender aos requisitos de
disponibilidade.
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo:Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou
contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana.
A.18.1.1 Identificao da legislao Controle
aplicvel e de requisitos Todos os requisitos legislativos estatutrios,
contratuais regulamentares e contratuais relevantes, e o
enfoque da organizao para atender a esses
requisitos, devem ser explicitamente
identificados, documentados e mantidos
atualizados para cada sistema de informao
da organizao.
A.18.1.2 Direitos de propriedade Controle
intelectual Procedimentos apropriados devem ser
implementados para garantir a conformidade
com os requisitos legislativos, regulamentares e
contratuais relacionados com os direitos de
propriedade intelectual, e sobre o uso de
produtos de software proprietrios.
A.18.1.3 Proteo de registros Controle
Registros devem ser protegidos contra perda,
destruio, falsificao, acesso no autorizado
e liberao no autorizada, de acordo com os
requisitos regulamentares, estatutrios,
contratuais e do negcio.
A.18.1.4 Proteo e privacidade de Controle
informaes de A privacidade e proteo das informaes de
identificao de pessoal identificao pessoal devem ser asseguradas
conforme requerido por legislao e
regulamentao pertinente, quando aplicvel.
A.18.1.5 Regulamentao de Controle
controles de criptografia Controles de criptografia devem ser usados em
conformidade com todas as leis, acordos,
legislao e regulamentaes pertinentes.

NO TEM VALOR NORMATIVO 30/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Tabela A.1 (continuao)

A.18.2 Anlise crtica da segurana da informao


Objetivo: Garantir que a segurana da informao est implementada e operada de acordo
com as politicas e procedimentos da organizao.
A.18.2.1 Anlise crtica Controle
independente da O enfoque da organizao para gerenciar a
segurana da informao segurana da informao e a sua
implementao (por exemplo, controles,
objetivo dos controles, polticas, processos e
procedimentos para a segurana da
informao) deve ser analisado criticamente, de
forma independente, a intervalos planejados, ou
quando ocorrerem mudanas significativas.
A.18.2.2 Conformidade com as Controle
polticas e normas de Os gestores devem analisar criticamente, a
segurana da informao intervalos regulares, a conformidade dos
procedimentos e do processamento da
informao, dentro das suas reas de
responsabilidade, com as normas e polticas de
segurana e quaisquer outros requisitos de
segurana da informao.
A.18.2.3 Anlise crtica da Controle
conformidade tcnica Os sistemas de informao devem ser
analisados criticamente, a intervalos regulares,
para verificar a conformidade com as normas e
polticas de segurana da informao da
organizao.

NO TEM VALOR NORMATIVO 31/32


ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013

Bibliografia

[1] ABNT NBR ISO IEC 27002:2013, Tecnologia da Informao-Tcnicas de Segurana Cdigo de
Prtica para controles de segurana da informao

[2] ABNT NBR ISO IEC 27003:2011- Tecnologia da Informao-Tcnicas de Segurana Diretrizes
para implantao de um sistema de gesto da segurana da informao

[3] ABNT NBR ISO/IEC 27004:2010, Tecnologia da informao Tcnicas de segurana Gesto
da segurana da informao Medio

[4] ABNT NBR ISO/IEC 27005:2011, Tecnologia da informao Tcnicas de segurana Gesto
de riscos de segurana da informao

[5] ABNT NBR ISO 31000:2009, Gesto de riscos Princpios e diretrizes

[6] ISO IEC Directives, Part 1 Consolidated ISO Supplement Procedures specific to ISO :2012

NO TEM VALOR NORMATIVO 32/32