Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASILEIRA ISO/IEC
27003
Primeira edição
04.10.2011
Válida a partir de
04.11.2011
Versão Corrigida
06.08.2015
Número de referência
ABNT NBR ISO/IEC 27003:2011
75 páginas
© ISO/IEC 2010
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2011
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
Sumário Página
Prefácio Nacional...............................................................................................................................xii
Introdução..........................................................................................................................................xiii
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
4 Estrutura desta Norma........................................................................................................2
4.1 Estrutura geral das seções ...............................................................................................2
4.2 Estrutura geral de uma seção............................................................................................3
4.3 Diagramas............................................................................................................................4
5 Obtendo aprovação da direção para iniciar o projeto do SGSI......................................5
5.1 Visão geral de obtendo aprovação pela direção para iniciar o projeto do SGSI..........5
5.2 Esclarecer as prioridades da organização para desenvolver um SGSI.........................7
5.3 Definir o escopo preliminar do SGSI.................................................................................9
5.3.1 Desenvolver o escopo preliminar do SGSI.......................................................................9
5.3.2 Definir os papéis e responsabilidades para o escopo preliminar do SGSI.................10
5.4 Criar os motivos da implantação e o plano do projeto para aprovação da direção...11
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Figuras
Figura 1 – Fases do projeto do SGSI..................................................................................................2
Figura 2 – Legenda do fluxo do diagrama.........................................................................................4
Figura 3 – Visão geral da aprovação pela direção para iniciar o projeto do SGSI.........................6
Figura 4 – Visão geral do processo para o escopo detalhado do SGSI,
limites e política do SGSI.................................................................................................15
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Tabela
Tabela B.1 – Lista exemplificada de papéis e responsabilidades pela segurança
da informação....................................................................................................................58
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.
As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.
Os Documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os Órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas
para exigência dos requisitos desta Norma, independentemente de sua data de entrada em vigor.
A ABNT NBR ISO/IEC 27003 foi elaborada no Comitê Brasileiro de Computadores e Processamento
de Dados (ABNT/CB-021), pela Comissão de Estudo de Segurança da Informação (CE-021.027.000).
O seu 1º Projeto circulou em Consulta Nacional conforme Edital nº 11 de 26.11.2010 a 27.12.2010,
com o número de Projeto 021:027.000-023. O seu 2º Projeto circulou em Consulta Nacional conforme
Edital nº 06, de 14.06.2011 a 13.07.2011 com o número de 2º Projeto 021:027.000-023.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/IEC 27003:2010,
que foi elaborada pelo Technical Committee Information technology (ISO/IEC JTC 1), Subcommittee
Security techniques (SC 27), conforme ISO/IEC Guide 21-1:2005.
Esta versão corrigida da ABNT NBR ISO IEC 27003 incorpora a Errata 1, de 06.08.2015.
Scope
This Standard focuses on the critical aspects needed for successful design and
implementation of an Information Security Management System (ISMS) in accordance with
ABNT NBR ISO/IEC 27001:2005. It describes the process of ISMS specification and design from
inception to the production of implementation plans. It describes the process of obtaining management
approval to implement an ISMS, defines a project to implement an ISMS (referred to in this Standard
as the ISMS project), and provides guidance on how to plan the ISMS project, resulting in a final ISMS
project implementation plan.
This Standard gives recommendations and explanations; it does not specify any requirements.
This Standard is intended to be used in conjunction with ABNT NBR ISO/IEC 27001:2005 and
ABNT NBR ABNT NBR ISO/IEC 27002:2005, but is not intended to modify and/or reduce
the requirements specified in ABNT NBR ISO/IEC 27001:2005 or the recommendations provided
in ABNT NBR ISO/IEC 27002:2005. Claiming conformity to this Standard is not appropriate.
Introdução
O processo descrito nesta Norma foi concebido para fornecer apoio à implantação da
ABNT NBR ISO IEC 27001:2005, incluindo as partes relevantes das Seções 4, 5 e 7 e a sua
documentação, visando:
c) exemplos de como atender aos requisitos da ABNT NBR ISO IEC 27001:2005.
Com o uso desta Norma, a organização será capaz de desenvolver um processo para a Gestão
da Segurança da Informação, fornecendo às partes interessadas a garantia de que os riscos aos
ativos de informação são continuamente mantidos dentro dos limites de Segurança da Informação
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Esta Norma não cobre atividades operacionais e outras atividades do SGSI, porém aborda os conceitos
sobre como desenvolver as atividades após o início da operação do SGSI. O conceito resulta no plano
final de implantação do projeto do SGSI. A execução real de parte específica da organização de um
projeto do SGSI está fora do escopo desta Norma.
Convém que a implantação do projeto do SGSI seja realizada utilizando normas que tratam
de metodologias de gestão de projetos (para mais informações, favor verificar as normas ISO
e ISO/IEC que tratam de gestão de projetos).
1 Escopo
Esta Norma foca os aspectos críticos necessários para a implantação e projeto bem-
sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com
a ABNT NBR ISO IEC 27001:2005. A norma descreve o processo de especificação e projeto do SGSI
desde a concepção até a elaboração dos planos de implantação. Ela descreve o processo de obter
a aprovação da direção para implementar o SGSI, define um projeto para implementar um SGSI
(referenciado nesta Norma como o projeto SGSI), e fornece diretrizes sobre como planejar o projeto
do SGSI, resultando em um plano final para implantação do projeto do SGSI.
A intenção desta Norma é que ela seja usada pelas organizações que desejam implementar um SGSI.
A norma se aplica a todos os tipos de organizações e de todos os tamanhos (por exemplo, empresas
comerciais, agências governamentais e organizações sem fins lucrativos). A complexidade e os riscos
de cada organização são únicos e os seus requisitos específicos irão direcionar a implantação do SGSI.
As pequenas organizações podem descobrir que as atividades descritas nesta Norma são aplicáveis
a elas e que podem ser simplificadas. Organizações complexas ou de grande porte podem descobrir
que uma parte da organização ou do sistema de gestão é necessária para gerenciar de forma eficaz
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
as atividades contidas nesta Norma. Entretanto, em ambos os casos, as atividades relevantes podem
ser planejadas por meio do uso desta Norma.
Esta Norma fornece explanações e recomendações e não especifica quaisquer requisitos.
Esta Norma destina-se a ser usada em conjunto com as ABNT NBR ISO IEC 27001:2005
e ABNT NBR ISO IEC 27002:2005, porém não destina-se a modificar e/ou reduzir os requisitos
especificados na ABNT NBR ISO IEC 27001:2005 ou nas recomendações fornecidas
na ABNT NBR ISO IEC 27002:2005. A reivindicação de conformidade com esta Norma
não é apropriada.
2 Referências normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento.
Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes do referido documento (incluindo emendas).
ISO IEC 27000:2009, Information technology – Security techniques – Information security management
systems – Overview and vocabulary
ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informação – Técnicas de segurança – Sistemas de
gestão de segurança da informação – Requisitos
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ISO/IEC 27000:2009,
ABNT NBR ISO IEC 27001:2006 e o seguinte.
3.1
projeto do SGSI
atividades estruturadas realizadas por uma organização para implementar um SGSI
a) Obtendo aprovação da direção para iniciar o projeto do SGSI (Seção 5);
Aprovação da
direção para Escopo e limites Requisitos de Aprovação pela Plano final de ação
iniciar o projeto do SGSI segurança da direção para para implementação
do SGSI
informação implementar o SGSI do SGSI
Resultados da Declaração de
avaliação de aplicabilidade
riscos (SoA)
Linha do tempo
a) um ou mais objetivos declarando o que convém que seja atendido, descrito no início de cada
seção, dentro de uma caixa de texto; e
b) uma ou mais atividades necessárias para atender ao objetivo ou aos objetivos da fase.
Atividade
A atividade define o que é necessário para atender esta atividade que contemple uma parte ou o todo
dos objetivos da fase.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Dados de entrada
Diretrizes
A diretriz apresenta informações detalhadas para permitir o desempenho desta atividade. Algumas
diretrizes podem não ser adequadas para todas as situações, e outras formas de obter os resultados
podem ser mais adequadas.
Saídas (resultados)
A saída descreve os resultados ou os entregáveis até a conclusão da atividade, como, por exemplo,
um documento. As saídas são as mesmas, independentemente do tamanho da organização
ou do escopo do SGSI.
Outras informações
Este campo apresenta quaisquer informações adicionais que possam orientar o desempenho
da atividade, como, por exemplo, referências a outras normas.
NOTA As fases e atividades descritas neste documento incluem uma sequência sugerida de desempenho
de atividades baseadas nas dependências identificadas em cada uma das atividades de dados de entrada
e dados de saída. Entretanto, dependendo de fatores muito diferentes (por exemplo, eficácia do sistema
de gestão atualmente implementado, entendimento em relação à importância da segurança da informação,
razões para a implantação de um SGSI), uma organização pode selecionar qualquer atividade, em qualquer
ordem, conforme seja necessário, para preparar a forma de estabelecer e implementar o SGSI.
4.3 Diagramas
Um projeto é sempre ilustrado de forma gráfica ou em diagramas mostrando uma visão geral
das atividades e dos dados de saída (resultados).
A Figura 2 a seguir ilustra a legenda de diagramas que são apresentados em uma visão geral da
subseção de cada fase. Os diagramas fornecem uma visão de alto nível das atividades incluídas em
cada fase.
As fases do projeto de planejamento do SGSI
Documentos
Documentos
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Linha do tempo
Atividade
Documentos
Documentos
Atividade Atividade
Documentos Documentos
Documentos Documentos
Linha do tempo
O diagrama inferior (atividades da fase) inclui as atividades-chave que são contempladas na fase
superior, incluindo os documentos principais de saída de cada atividade.
As atividades A e B podem ser executadas ao mesmo tempo. Convém que a atividade C seja iniciada
após a conclusão das atividades A e B.
Existem vários fatores que convém que sejam levados em consideração quando da decisão
de implementar um SGSI. Para contemplar estes fatores, convém que a direção entenda os motivos
que justificam a implantação do projeto de um SGSI e o aprove. Desta forma, o objetivo desta fase é:
Objetivo
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Obter a aprovação da direção para iniciar o projeto do SGSI, definindo os motivos que justificam
a implantação e o plano do projeto
Para obter a aprovação da direção, convém que uma organização crie os motivos que justificam
a implantação, os quais incluem os objetivos e as prioridades para implementar um SGSI,
em complementação à estrutura da organização para o SGSI. Convém que o plano do projeto inicial
do SGSI também seja criado.
Os resultados esperados nesta fase são a aprovação preliminar pela direção e o comprometimento
para implementar um SGSI e realizar as atividades descritas nesta Norma. Os resultados desta seção
incluem os motivos da implantação e um esboço do projeto do SGSI com pontos-chave.
A Figura 3 ilustra o processo de obter a aprovação da direção para iniciar o projeto do SGSI.
Aprovação da
direção para iniciar
o projeto do SGSI
Linha do tempo
Esclarecer as
prioridades da
organização para
implementar o
SGSI 5.2
Elaborar os
objetivos do
SGSI
Definir as
características
do negócio
Criar os motivos da
implantação e o plano
Definir as Descrever os papéis e do projeto para
responsabilidades para aprovação da direção
características a implementação do
do negócio SGSI
5.4
Apresentar o
estudo de caso
Apresentar a
proposta de
implantação
Obter a
aprovação do
projeto
Linha do tempo
Figura 3 – Visão geral da aprovação pela direção para iniciar o projeto do SGSI
Atividade
Convém que os objetivos para implementar um SGSI sejam incluídos quando da definição dos
requisitos e prioridades da segurança da informação da organização.
Dados de entrada
c) uma lista de requisitos de segurança da informação, requisitos contratuais, regulatórios ou legais,
aplicáveis à organização.
Para iniciar o projeto do SGSI, normalmente é necessária a aprovação da direção. Entretanto, convém
que a primeira atividade a ser desempenhada seja coletar informações relevantes que demonstrem
o valor de um SGSI para a organização. Convém que a organização esclareça porque é necessário
a implantação de um SGSI e decida os objetivos da implantação do SGSI, para em seguida iniciar o
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
projeto do SGSI.
Os objetivos para a implantação de um SGSI podem ser determinados respondendo às seguintes
questões:
a) gestão de risco: de que forma um SGSI irá produzir uma melhor gestão dos riscos de segurança
da informação?
b) eficiência: como pode um SGSI melhorar a gestão da segurança da informação da organização?
c) vantagens para o negócio: de que forma um SGSI pode criar vantagem competitiva para
a organização?
2) Quais as áreas da organização que geram os negócios e com que foco?
2) A organização é parte de uma organização global pública onde é exigida a apresentação
de relatórios financeiros externos?
1) Quais são os requisitos de armazenamento (incluindo os períodos de retenção) para a guarda
dos dados?
2) Existem requisitos contratuais relativos à privacidade ou à qualidade (por exemplo, Acordo de
Níveis de Serviço – SLA)
3) Quais são os diferentes tipos de atividades de informações que precisam ser protegidas?
1) Quais são os requisitos míninos de segurança da informação definidos pelo mercado?
2) Que controles adicionais de segurança da informação convém que sejam contemplados para
fornecer vantagem competitiva à organização?
2) Por quanto tempo a organização pode aceitar interrupções para cada processo crítico
do negócio?
O escopo preliminar do SGSI pode ser determinado respondendo às informações acima. Isto é também
necessário para se definir os motivos que justificam a implantação e o plano global do projeto do
SGSI para aprovação pela direção. O escopo detalhado do SGSI será definido durante a elaboração
do projeto do SGSI.
Os requisitos descritos na ABNT NBR ISO IEC 27001:2005, 4.2.1 a), detalham o escopo em termos
das características do negócio, a organização, sua localização, ativos e tecnologia. As informações
decorrentes do descrito acima, suportam esta posição.
Convém que alguns tópicos sejam considerados quando da decisão inicial do escopo, como, por
exemplo:
a) Quais são as exigências para a gestão da segurança da informação definidas pela direção e quais
são as obrigações impostas externamente à organização?
b) A responsabilidade pelo escopo proposto pertence a mais de uma equipe (por exemplo, pessoas
de diferentes subsidiárias ou departamentos)?
c) Como a documentação relacionada com o SGSI será distribuída e comunicada para toda
a organização (por exemplo, será em meio físico – papel – ou por meio da intranet corporativa)?
d) Podem os sistemas atuais apoiar as necessidades da organização? Eles são totalmente
operacionais, bem mantidos e funcionam conforme planejado?
Exemplos de objetivos da direção que podem ser usados como dados de entrada para definir o escopo
preliminar do SGSI:
c) contemplar aspectos legais, contratuais, de conformidade e responsabilidade civil pelo fato
do produto;
i) fornecimento de garantias para as partes interessadas de que os ativos de informação estão
adequadamente protegidos.
Saída
c) descrição das características do negócio, a organização, sua localização, ativos e tecnologias.
Outras informações
ABNT NBR ISO 9001:2010, ABNT NBR ISO 14001:2004 e ABNT NBR ISO IEC 20000-1:2005.
Atividade
Convém que os objetivos para implementar o SGSI incluam a definição do escopo preliminar do SGSI,
que é necessária para o projeto do SGSI.
Dados de entrada
Diretrizes
Para executar o projeto de implantação do SGSI, convém que seja definida a estrutura da organização
para o SGSI. Convém que o escopo preliminar do SGSI seja agora definido de modo a fornecer à
direção diretrizes com decisões de implantação e apoio a atividades futuras.
Convém que o resultado deste estágio seja um documento definindo o escopo preliminar do SGSI, o
qual inclui:
a) um resumo das exigências relativas à gestão da segurança da informação estabelecidas pela
direção e as obrigações impostas externamente à organização;
b) uma descrição de como as áreas do escopo irão interagir com outros sistemas de gestão;
c) uma lista dos objetivos do negócio da gestão da segurança da informação (como derivado de 5.2);
d) uma lista dos processos críticos do negócio, sistemas, ativos de informação, estrutura organizacional
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Saída
Outras informações
Atividade
Convém que as responsabilidades e papéis para o escopo preliminar do SGSI sejam definidos.
Dados de entrada
b) uma relação das partes interessadas que serão beneficiadas com os resultados do projeto
do SGSI.
Diretrizes
Para executar o projeto do SGSI, convém que as atividades da organização para implantar o projeto
sejam determinadas. Estas atividades são normalmente diferentes para cada organização, em
função do número de pessoas que tratam com segurança da informação. A estrutura organizacional
e os recursos para segurança da informação variam com o tamanho, tipo e estrutura da organização.
Por exemplo, em uma pequena organização, várias atividades podem ser realizadas pela mesma
pessoa. Entretanto, convém que a direção identifique explicitamente o papel do responsável pela
segurança da informação (geralmente CISO, ISM ou similar), com responsabilidade geral para gerenciar
a segurança da informação, e convém que à equipe sejam atribuídos papéis e responsabilidades,
com base nas competências requeridas para realizar o trabalho. Este é um fator crítico para garantir
que as tarefas e atividades sejam realizadas de maneira eficiente e eficaz.
b) uma pessoa (geralmente o CISO) é indicada para coordenar e conduzir o processo de implantação
da segurança da informação;
c) cada empregado é igualmente responsável pela sua atividade e por manter a segurança
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Convém que os papéis para gerenciar a segurança da informação atuem de forma integrada. Isto pode
ser facilitado com a criação de um fórum de segurança da informação ou algo similar.
Convém que uma colaboração com especialistas do negócio seja realizada e documentada em todos
os estágios do desenvolvimento, implantação, operação e manutenção do SGSI.
Representantes de diferentes departamentos dentro do escopo identificado (tais como gestão de risco)
são membros potenciais da equipe de implantação do SGSI. Convém que esta equipe seja mantida
no menor número possível para assegurar rapidez e eficácia no uso efetivo dos recursos. Estas áreas
não são apenas as diretamente incluídas no escopo do SGSI, mas também as áreas indiretas, tais
como a jurídica, gestão de risco e departamentos administrativos.
Saída
Outras informações
Atividade
Convém que o comprometimento e a aprovação pela direção dos recursos necessários para
a implantação do projeto do SGSI sejam obtidos pela apresentação dos motivos que justificam
a implantação e a proposta do projeto do SGSI.
Dados de entrada
b) resultados da Atividade 5.3 – Definir o escopo preliminar do SGSI – Documentos preliminares:
Diretrizes
Convém que as informações dos motivos da implantação e do plano inicial do projeto do SGSI
contemplem prazo estimado, recursos e marcos necessários para as atividades principais descritas
nas Seções 6 a 9 desta Norma.
Os motivos da implantação e o plano do projeto inicial do SGSI servem como base do projeto, mas
também asseguram a aprovação de recursos e o comprometimento da direção necessário para
a implantação do SGSI. A forma pela qual o SGSI implementado apoiará os objetivos do negócio
contribui para a eficácia dos processos da organização e aumenta a eficiência do negócio.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Convém que o plano do projeto contemple atividades relevantes das fases nas Seções 6 a 9 desta
Norma.
Convém que as pessoas que afetam ou são afetadas pelo SGSI sejam identificadas e adequadamente
convidadas para comentar e analisar criticamente a proposta do projeto do SGSI e os motivos
da implantação. Convém que a proposta do projeto e os motivos da implantação do SGSI sejam
atualizados conforme a necessidade, com base nas informações apresentadas. Uma vez que apoio
suficiente tenha sido obtido, convém que a proposta do projeto do SGSI e os motivos da implantação
sejam apresentados à direção para aprovação.
Convém que a direção aprove o plano do projeto inicial e os motivos da implantação para atender
completamente o comprometimento da organização e iniciar a execução do projeto do SGSI.
c) estabilidade e aumento de confiança por uma melhor gestão nos riscos de segurança
da informação;
Saída
a) um documento aprovado pela direção para executar o projeto do SGSI com os recursos alocados;
c) uma proposta inicial do projeto do SGSI, com marcos definidos, tais como o desempenho
da análise/avaliação de riscos, a implantação, auditorias internas e a análise crítica pela direção.
Outras informações
ISO IEC 27000:2009 que apresenta exemplos de fatores críticos de sucesso para apoiar a justificativa
e os motivos da implantação do SGSI.
Objetivos:
Definir o escopo detalhado e os limites do SGSI, desenvolver a política do SGSI e obter aprovação
da direção
A fim de alcançar o objetivo “Definir o escopo detalhado e os limites do SGSI”, as seguintes atividades
são necessárias:
d) características especificadas na ABNT NBR ISO/IEC 27001:2005, 4.2.1 a) e b), ou seja, o negócio,
a organização, sua localização, ativos e aspectos tecnológicos do escopo e limites, e política
são determinados no processo de definição desse escopo e limites;
e) integrar o escopo e limites básicos para obter o escopo e os limites do SGSI.
Para obter a definição da política do SGSI e obter a aprovação da direção, uma única atividade
é necessária.
Para construir um sistema de gestão eficaz para a organização, convém que o escopo detalhado
do SGSI seja determinado considerando os ativos de informação críticos da organização. É importante
ter uma terminologia comum e uma abordagem sistemática para identificar os ativos de informação
e avaliar mecanismos de segurança viáveis. Isso permite facilidade de comunicação e promove
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
É possível definir o escopo do SGSI abrangendo toda a organização, ou parte dela, como uma divisão
ou claramente delimitado como elemento subsidiário. Por exemplo, no caso de “serviços” prestados
aos clientes, o escopo do SGSI pode ser um serviço ou um sistema de gestão interfuncional (uma
divisão inteira ou parte de uma divisão). Convém que os requisitos da ABNT NBR ISO/IEC 27001:2005
sejam preenchidos para a certificação, independentemente dos sistemas de gestão existentes
na organização.
Escopo e limites organizacionais, escopo e limites da TIC (ver 6.3) e escopo e limites físicos
(ver 6.4) não são sempre realizados de forma sequencial. No entanto, é útil fazer referência aos limites
e escopo obtidos quando definir outro escopo e limites.
Elaborar a política
de segurança da
informação
Linha do tempo
Definir o escopo e os
limites organizacionais
6.2
Definir os
limites da
organização
para o escopo
Definir os limites e o
escopo da tecnologia
da informação e
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
comunicação 6.3
Definir o escopo
e os limites da
TIC
Definir o escopo e
os limites físicos
6.4
Definir o escopo e
o limite físico
Definir os limites e o
escopo do SGSI
Desenvolver a política
do SGSI e obter a
aprovação da direção
6.6
Política do
SGSI aprovada
Linha do tempo
Atividade
Entrada
a) saída da Atividade 5.3 – Definir o escopo preliminar do SGSI – O escopo preliminar documentado
do SGSI que aborda:
Quando o escopo do SGSI é definido, é importante que seus limites sejam claros o suficiente para
serem explicados para aqueles que não estiveram envolvidos na sua definição.
Alguns controles relativos à segurança da informação podem já existir como resultado da implantação
de outro sistema de gestão. Convém que eles sejam levados em conta durante o planejamento
do SGSI, mas não indicam necessariamente os limites do escopo do SGSI atual.
a) Convém que o fórum de gestão do SGSI seja composto por gestores envolvidos diretamente
no escopo do SGSI.
b) Convém que o membro da gestão responsável pelo SGSI seja aquele que no fim das contas
é responsável por todas as áreas de responsabilidade afetada (ou seja, seu papel será geralmente
ditado pela sua amplitude de controle e responsabilidade dentro de uma organização).
c) No caso onde a função responsável pela gestão do SGSI não é de um membro sênior da
direção, um patrocinador da alta direção é essencial para representar os interesses da segurança
da informação e atuar como advogado para o SGSI nos mais altos níveis da organização.
d) Convém que o escopo e os limites sejam definidos para garantir que todos os ativos relevantes
sejam levados em conta na análise/avaliação dos riscos e para tratar dos riscos que possam
surgir através desses limites.
Com base na abordagem, convém que os limites organizacionais analisados identifiquem todas
as pessoas afetadas pelo SGSI, e convém que isso seja incluído no escopo. A identificação
do pessoal pode ser ligada aos processos e/ou funções dependendo da abordagem escolhida. Se alguns
processos dentro do escopo forem terceirizados, convém que as dependências sejam claramente
documentadas. Essas dependências serão submetidas a uma análise mais profunda no projeto
de implementação do SGSI.
Saída
e) processo para a hierarquia de tomada de decisão, bem como estrutura dentro do SGSI.
Informações adicionais
Atividade
Convém que o escopo e os limites dos elementos da tecnologia da informação e comunicação (TIC)
e outros itens de tecnologias abrangidos pelos SGSI sejam definidos.
Entrada
a) saída da Atividade 5.3 – Definir o escopo preliminar do SGSI – O documento para o escopo
preliminar do SGSI;
A definição do escopo e limites da TIC podem ser obtidos através da abordagem de um sistema
de informação (em vez de baseado em TI). Uma vez que há uma decisão de gestão para incluir
o processo de negócio do sistema de informação no escopo do SGSI, convém que todos os
elementos relacionados com a TIC sejam considerados. Isso inclui todas as partes da organização
que armazenam, processam ou transportam informações críticas, ativos, ou que são críticas para
as partes da organização no escopo. O sistema de informação pode abranger os limites organizacional
ou nacional. Se for o caso, convém que sejam considerados:
d) restrições técnicas (por exemplo, largura de banda disponível, disponibilidade de serviço etc.).
Atendendo ao exposto acima, convém que os limites da TIC incluam uma descrição, quando aplicável,
dos seguintes itens:
b) software dentro dos limites da organização, que é usado e controlado pela organização;
c) hardware para TIC requerido pela rede ou redes, aplicações ou sistemas de produção;
Se qualquer um ou mais dos itens acima não for controlado pela organização, convém que
a dependência de terceiros seja documentada (ver 6.2).
Saída
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
b) os limites da TIC para o SGSI, incluindo as justificativas para a exclusão da TIC sob gestão da
organização que foram excluídas do escopo do SGSI,
Informações adicionais
Atividade
Convém que o escopo e os limites físicos que se recomenda que sejam abrangidos pelo SGSI sejam
definidos.
Entrada
a) saída da Atividade 5.3 – Definir o escopo preliminar do SGSI – O documento para o escopo
preliminar do SGSI;
c) saída da Atividade 6.3 – Definir o escopo e limites da tecnologia da informação e comunicação
(TIC).
A definição do escopo e dos limites físicos consiste em identificar as áreas, locais ou instalações dentro
de uma organização que convém que façam parte do SGSI. É mais complexo lidar com sistemas
de informação que atravessam os limites físicos que necessitam de:
Levando em consideração o exposto acima, convém que os limites físicos incluam uma descrição
dos procedimentos a seguir, quando for aplicável:
a) funções ou descrição do processo, levando em conta a sua localização física e a extensão
dos controles organizacionais;
b) instalações especiais utilizadas para o armazenamento do hardware para TIC ou dados
no escopo (por exemplo, em fitas de back-up) com base na cobertura dos limites da TIC.
Se qualquer um ou mais dos itens acima não for controlado pela organização, convém que
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Saída
a) descrição dos limites físicos do SGSI, incluindo as justificativas para a exclusão dos limites físicos
sob o gerenciamento da organização que foram excluídas do escopo do SGSI,
Informações adicionais
6.5 Integrar cada escopo e limites para obter o escopo e limites do SGSI
Atividade
Convém que o escopo e limites do SGSI sejam obtidos através da integração de cada escopo e limites.
Entrada
a) saída da Atividade 5.3 – Definir o escopo preliminar do SGSI – O documento para o escopo
preliminar do SGSI;
c) saída da Atividade 6.3 – Definir o escopo e limites da tecnologia da informação e comunicação
(TIC);
O escopo de um SGSI pode ser descrito e justificado de muitas maneiras. Por exemplo, um local físico,
como um datacenter ou um escritório, pode ser selecionado e processos críticos listados; cada um
dos quais envolve áreas fora do datacenter, trazendo essas áreas externas para o escopo. Um desses
processos críticos poderia ser, por exemplo, o acesso móvel a um sistema central de informações.
Saída
O resultado desta atividade é um documento que descreve o escopo e os limites do SGSI, contendo
as seguintes informações:
e) uma lista dos ativos da TIC (por exemplo, servidores) no escopo;
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
g) descrição dos papéis e responsabilidades dentro do SGSI e suas relações com a estrutura
organizacional;
Informações adicionais
Atividade
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e seus limites para obter o escopo e limites do
SGSI – O escopo e os limites do SGSI documentados;
b) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI –
Os objetivos documentados para a implementação do SGSI;
c) saída da Atividade 5.4 – Criar os motivos da implantação e o plano do projeto para aprovação da
direção – A documentação:
2) o plano do projeto inicial para a implantação do SGSI, com metas, tais como análise/avaliação
de riscos, implementação, auditorias internas e análise crítica pela direção.
a) estabelecer os objetivos do SGSI com base nos requisitos de organização e nas prioridades
de segurança da informação da organização;
b) estabelecer o foco geral e guia de ação para alcançar os objetivos do SGSI;
e) estabelecer os critérios para avaliação de riscos (ver ABNT NBR ISO/IEC 27005:2008) e definir
uma estrutura de análise/avaliação de riscos;
Saída
Informações adicionais
A ABNT NBR ISO/IEC 27005:2008 fornece informações adicionais sobre os critérios de avaliação
de riscos.
Objetivos:
Definir os requisitos relevantes a serem suportados pelo SGSI, identificar os ativos de informação
e obter o atual status da segurança de informação dentro do escopo.
a) forneça direção com um ponto de partida (ou seja, corrigir os dados básicos);
c) forneça uma compreensão clara e bem estabelecida das instalações da organização;
f) determine a compilação das informações necessárias para toda ou parte de uma empresa dentro
do escopo proposto de implementação.
Política de Ativos de
SGSI informação
Resultados da
avaliação de riscos
Linha do tempo
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Definir os requisitos de
segurança da informação para
o processo do SGSI 7.2
Requisitos de
segurança da
informação
Identificar os ativos
dentro do escopo do
SGSI 7.3
Identificar os
ativos
Classificar os
ativos/processos
Conduzir a análise
e avaliação de riscos
de segurança da
informação 7.4
Elaborar um resumo do
status da segurança da
informação da
organização
Linha do tempo
Atividade
Convém que os detalhes dos requisitos de segurança da informação do processo de SGSI sejam
analisados e definidos.
Entrada
a) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI –
A documentação:
1) resumindo os objetivos, as prioridades de segurança da informação e os requisitos
da organização para o SGSI;
2) lista relevante de restrições regulamentares, contratuais e do negócio para a segurança
da informação da organização;
b) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
c) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI.
O primeiro passo requer a coleta de toda informação de suporte para o SGSI. Para cada processo
organizacional e de tarefas especializadas, uma decisão precisa ser tomada em relação a criticidade
da informação, ou seja, o nível de proteção exigido. Convém que as diversas condições internas que
possam afetar a segurança da informação sejam determinadas. Nesta fase inicial não é importante
descrever detalhes da tecnologia da informação. Convém que haja um resumo básico das informações
analisadas para um processo organizacional e as aplicações associadas à TIC e sistemas.
A análise dos processos da organização fornece uma declaração sobre os efeitos dos incidentes
de segurança da informação sobre a atividade da organização. Em muitos casos, é adequado trabalhar
com uma descrição básica dos processos da organização. Os processos, funções, localização,
sistemas de informação e redes de comunicações precisam ser identificados e documentados,
se eles não tiverem sido incluídos como parte do escopo do SGSI.
Convém que sejam abordados os seguintes direcionamentos para obter detalhes dos requisitos
de segurança da informação para o SGSI:
a) identificação preliminar dos ativos importantes de informação e sua atual proteção de segurança
da informação,
b) identificar as visões da organização e determinar o efeito das visões identificadas nos requisitos
futuros de processamento de informação,
d) identificar todos os requisitos essenciais (por exemplo, os requisitos legais e regulamentares,
as obrigações contratuais, requisitos organizacionais, as normas da indústria, cliente e acordos
com fornecedores, condições de seguro etc.),
Saída
a) identificação dos principais processos, funções, localização, sistemas de informação e redes de
comunicação;
e) lista de vulnerabilidades publicamente conhecidas que serão abordadas como resultado dos
requisitos de segurança;
Informações adicionais
Atividade
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter aprovação da direção – A política
do SGSI;
c) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI.
Para identificar os ativos dentro do escopo do SGSI, convém que as seguintes informações sejam
identificadas e listadas:
Saída
a) ativos de informação identificados nos principais processos da organização, dentro do escopo do
SGSI;
Informações adicionais
Atividade
Convém que a avaliação da segurança da informação seja feita comparando a situação atual
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Entrada
a) saída da atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI–
O escopo e limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter aprovação da direção – A política
do SGSI;
c) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI;
Convém que a participação na avaliação de segurança da informação inclua indivíduos que possuam
um forte conhecimento do ambiente atual, condições, e o que é relevante em termos de segurança
da informação. Convém que estes indivíduos sejam selecionados para representar um amplo espectro
através de toda a organização e incluam:
c) outras pessoas que possuam amplo conhecimento do ambiente atual, condições, e o que
é relevante em termos de segurança da informação. Por exemplo, analistas do processo
de negócios e processos operacionais, funções administrativas e funções legais.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
b) identificar os requisitos de controle conhecidos que surgem a partir de políticas, normas, leis
e regulamentações, obrigações contratuais, resultados de auditorias anteriores ou resultados de
avaliações de risco realizadas no passado;
c) utilizar os documentos como referência para que uma estimativa aproximada seja feita
das exigências atuais da organização sobre o seu nível de segurança da informação.
A priorização feita em conexão com a análise da organização constitui a base para que as precauções
e verificações de segurança (controles) sejam consideradas.
c) discutir com o pessoal-chave adequado e analisar a situação atual da organização em relação
aos requisitos de segurança da informação. Por exemplo, quais processos são críticos, quão bem
esses processos funcionam atualmente? (Os resultados são utilizados posteriormente na análise/
avaliação de riscos),
Saída
Informações adicionais
A avaliação da segurança da informação realizada nesta fase só irá fornecer informações preliminares
sobre o estado da segurança da informação e vulnerabilidades da organização, porque todo o conjunto
de políticas e normas de segurança da informação é desenvolvido numa fase posterior (ver Seção 9),
e uma análise/avaliação de riscos ainda não foi realizada.
controles são passos importantes para a implementação do SGSI e convém que sejam tratados nesta
fase.
A ABNT NBR ISO/IEC 27005:2008 fornece diretrizes específicas para a gestão de riscos de segurança
da informação e convém que essas diretrizes sejam referidas ao longo da Seção 8.
Supõe-se que a direção se comprometeu com a implementação do SGSI, que o escopo e a política
do SGSI foram definidos e que os ativos de informação são conhecidos, bem como as informações
dos resultados da avaliação de segurança da informação.
Objetivo:
Definir a metodologia de análise/avaliação de riscos, identificar, analisar e avaliar os riscos de
segurança da informação para selecionar as opções de tratamento de riscos e seleção de objetivos
de controle e controles.
Linha do tempo
Conduzir avaliação
de risco
8.2
Definir a metodologia
para análise e
avaliação dos riscos
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Obter o resultado da
avaliação dos riscos
Selecionar os
objetivos de
controle e os
controles 8.3
Listar os objetivos de
controle e os controles
selecionados
Elaborar o plano de
tratamento dos riscos
Obter a aprovação da
direção para
implementação e operação
de um SGSI 8.4
Aprovar a
implementação do
SGSI
Aceitar os riscos
residuais
Linha do tempo
Atividade
Entrada
a) saídas da Atividade na Seção 7 – Conduzindo a análise dos requisitos de segurança da informação
– As informações relativas:
b) saída da atividade na Seção 6 – Definindo o escopo do SGSI, limites e a política do SGSI –
A documentação:
c) identifique vulnerabilidades que podem ser exploradas pelas ameaças, causando danos aos
ativos e à organização,
e) avalie os impactos para o negócio que podem resultar de incidentes de segurança da informação
reais ou previstos,
h) compare os níveis de risco com os critérios de análise/avaliação de riscos e critérios de aceitação
de risco.
Convém que a participação na análise/avaliação de riscos inclua indivíduos que possuem um forte
conhecimento dos objetivos da organização e entendimento de segurança (por exemplo, boa perspectiva
do que é atualmente relevante em termos de ameaças para os objetivos da organização). Convém que
estes indivíduos sejam selecionados para representar um amplo espectro em toda a organização.
Uma organização pode empregar uma metodologia de análise/avaliação de riscos que é específica do
projeto, específica da empresa ou uma norma específica do setor.
Saída
Informações adicionais
Atividade
Convém que as opções para o tratamento dos riscos sejam identificadas, bem como a seleção dos
controles apropriados seja identificada de acordo com as opções de tratamento de risco identificadas.
Entrada
a) saída da Atividade 8.2 – Conduzir avaliação de risco – O resultado da análise/avaliação de riscos;
É importante especificar a relação entre os riscos e as opções selecionadas para tratá-los (por exemplo,
um plano de tratamento do risco), pois isso irá fornecer um resumo do tratamento de risco. As opções
possíveis para o tratamento de riscos são listadas na ABNT NBR ISO/IEC 27001:2005, 4.2.1 f).
Os dados apresentados na ABNT NBR ISO/IEC 27001:2005, Anexo A, não são exaustivos. Controles
de um setor específico podem ser identificados para apoiar as necessidades específicas do negócio,
bem como o SGSI.
No caso de redução de riscos, gerenciar a relação entre cada risco e objetivos de controle e controles
selecionados é benéfico para projetar a implementação do SGSI. Isso pode ser adicionado à lista
que descreve a relação entre os riscos e as opções selecionadas para o tratamento de risco.
Para facilitar as auditorias, convém que a organização compile uma lista de controles que foram
selecionados como pertinentes e aplicáveis ao SGSI da organização. Isto tem a vantagem adicional
de melhorar as relações comerciais, como a terceirização eletrônica, fornecendo um resumo dos
controles implementados.
É importante estar ciente de que o resumo dos controles provavelmente contenha informações
confidenciais. Portanto, convém que cuidados apropriados sejam tomados ao fazer o resumo dos
controles disponíveis para os destinatários interno e externo. Pode ser apropriado levar em consideração
a informação gerada como parte da criação do SGSI durante a definição de ativos.
Saída
Informações adicionais
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
ISO/IEC 27002:2005
Atividade
Convém que a aprovação da direção seja obtida para implementar um SGSI, assim como documentar
a aceitação dos riscos residuais.
Entrada
a) saída das Atividades 5.4 – Criar os motivos da implementação e o plano do projeto para aprovação
da direção – A aprovação inicial da direção para o Projeto do SGSI;
b) saídas das Atividades da Seção 6 – Definindo o escopo do SGSI, limites e a política do SGSI –
As declarações documentadas:
d) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles – O Plano de Tratamento
de Risco.
Diretrizes para implementação
Para obter aprovação da direção, convém que os documentos descritos como entrada desta subseção
estejam preparados para a avaliação e tomada de decisões da direção.
Convém que os preparativos para a declaração de aplicabilidade sejam incluídos como parte
dos esforços da gestão da segurança da informação. Convém que o nível de detalhe no qual os
controles são especificados satisfaça os requisitos necessários para apoiar a aprovação da direção
da organização para o SGSI.
Convém que a aprovação seja obtida da mais alta direção para a decisão de aceitar os riscos residuais
e obter autorização para o funcionamento real do SGSI. Convém que essas decisões sejam baseadas
em uma avaliação dos riscos e oportunidades suscetíveis de ocorrer como resultado da implementação
do SGSI, quando comparados com aqueles resultantes da não implementação do SGSI.
Saída
Os resultados desta atividade são:
a) notificação por escrito da aprovação da direção para a implementação do SGSI;
b) aceitação da direção dos riscos residuais;
c) declaração de aplicabilidade, incluindo os objetivos de controle e os controles selecionados.
Informações adicionais
Nenhuma outra informação específica.
9 Definindo o SGSI
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Objetivo:
Completar o plano final de implantação do SGSI através de: definição da segurança da organização
com base nas opções de tratamento de risco selecionadas e nos requisitos de registros
e documentação, definição dos controles pela integração com as provisões de segurança para TIC,
infraestrutura e processos organizacionais, e definição dos requisitos específicos do SGSI.
ABNT NBR ISO/IEC 27001:2005, 4.2.2 a) até e), h)
d) Específico do SGS – cobre os aspectos dos diferentes requisitos específicos para um SGSI
de acordo com a ABNT NBR ISO/IEC 27001:2005, além do que é coberto nas outras três áreas.
O foco está em certas atividades que convém que sejam conduzidas na implementação para
alcançar a operação do SGSI:
1) monitoração;
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
2) medição;
Para projetar os controles selecionados para o tratamento de risco, é crucial projetar o TIC e ambiente
físico de segurança e o ambiente de organização de segurança. A segurança de TIC trata não apenas
de sistemas de informações e redes, mas também de requisitos operacionais. Segurança física lida
com todos os aspectos de controle de acesso, não repúdio, proteção física de ativos de informações
e o que é armazenado ou é mantido, assim como os meios de proteção para os controles de segurança.
Convém que os controles selecionados nas atividades descritas em 8.3 sejam implementados
de acordo com um plano de implementação específico estruturado e detalhado, como parte do plano de
projeto de SGSI. Convém que esta parte específica do plano de projeto de SGSI enderece como tratar
cada risco para alcançar os objetivos de controle. Esta parte específica do plano de projeto de SGSI
é essencial se os controles selecionados são implementados adequadamente e eficazmente. A equipe
de gestão de segurança da informação é responsável por esboçar esta parte específica do plano
de implementação, que então constitui o plano final de projeto de SGSI.
Linha do tempo
Definir a segurança Definir a estrutura final Definir uma estrutura Definir a política de Desenvolver normas e
da informação da de organização para para a segurança da procedimentos de
organização 9.2 segurança da documentação do informação segurança da
informação 9.2.1 SGSI 9.2.2 9.2.3 informação 9.2.4
Repositórios e
modelos dos registros Normas de segurança
do SGSI da informação,
incluindo o ponto de
Definir segurança da partida da
informação para TIC organização
e segurança física
9.3
Procedimentos de
Plano de implementação segurança da
para os controles de TIC informação
e segurança física
Produzir o plano
Lista de entradas para Materiais de Planos para final do projeto do
executar uma análise treinamento de conscientização,
educação e treinamento SGSI 9.5
crítica pela direção segurança de
informações de segurança da
informação
Plano final de
implementação do
Procedimentos para a Formação e treinamento projeto do SGSI
análise crítica pela direção de segurança da Registros de resultados
incluindo auditoria, informação, incluindo os de treinamento e
monitoramento e medição papéis e segurança da
responsabilidades informação
Linha do tempo
Atividade
Entrada
a) saída da Atividade 5.3.2 – Definir os papéis e responsabilidades para o escopo preliminar
do SGSI – A tabela de papéis e responsabilidades;
b) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo do SGSI e seus limites;
c) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
d) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI;
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
g) saída da Atividade 8.2 – Conduzir avaliação de risco – Os resultados de avaliação de risco;
Convém que a definição da estrutura da organização e de seus processos para as operações internas
do SGSI seja construída e integrada com áreas preexistentes onde apropriado. Da mesma maneira,
recomenda-se que a integração do SGSI com estruturas de gestão preexistentes (por exemplo,
auditoria interna) seja levada em conta no processo de definição do SGSI.
Convém que a estrutura da organização projetada para o SGSI reflita as atividades para implementação
e operação do SGSI, assim como contemple, por exemplo, os métodos de monitoração e registros
como parte das operações do SGSI.
Consequentemente, convém que a estrutura para a operação do SGSI seja projetada com base
no plano de implementação do SGSI, considerando o seguinte:
a) Cada papel para implementação do SGSI é necessário para a operação do SGSI?
c) Quais papéis convém que sejam adicionados para implementação do SGSI?
Por exemplo, os seguintes papéis podem ser adicionados para a operação do SGSI:
a) uma pessoa responsável pelas atividades de segurança da informação em cada departamento;
A consideração dos pontos definidos no Anexo B pode ajudar a decidir a estrutura e os papéis para
a operação do SGSI através da revisão da estrutura e dos papéis para implementação do SGSI.
Saída
Outras informações
Atividade
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e limites do SGSI;
c) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter aprovação da direção – A política
do SGSI;
d) saída da Atividade 8.4 – Obter autorização da direção para implementação e operação
de um SGSI;
e) saída da Atividade 9.2.1 – Definir a estrutura final de organização para segurança da informação;
Convém que a documentação do SGSI inclua registros das decisões da direção; assegure
que as ações sejam rastreadas para políticas e decisões da direção, e que os resultados registrados
sejam reproduzíveis.
Convém que os documentos do SGSI forneçam a evidência de que os controles são selecionados
baseados nos resultados de avaliação e tratamento de risco, e que tais processos sejam implementados
de acordo com a política e objetivos do SGSI.
É necessário para os documentos de SGSI que sejam gerenciados e estejam disponíveis ao pessoal
quando necessário. Isto inclui o seguinte:
b) aprovação formal dos documentos quanto à sua adequação antes de sua emissão;
c) garantir que as mudanças e o estado atual da revisão dos documentos sejam identificados;
Adicionalmente, garantir que os documentos de origem externa sejam identificados, que a distribuição
de documentos seja controlada, prevenindo o uso involuntário de documentos obsoletos, e aplicando
registros a eles caso sejam retidos por algum motivo.
Convém que os registros sejam criados, mantidos e controlados como evidência de que o SGSI
da organização adere à ABNT NBR ISO/IEC 27001:2005, e para mostrar a eficácia das operações.
Também é exigido manter os registros da implementação para todo o ciclo do PDCA, assim como
os registros de eventos e incidentes de segurança da informação, registros de educação, treinamento,
habilidades, experiência e qualificações, auditorias internas do SGSI, ações corretivas e preventivas,
e registros da organização.
a) documentar os controles requeridos para identificar, armazenar, proteger, procurar, e descartar
dados, e documentar a duração do armazenamento;
b) definir o que e até que ponto convém que seja registrado nos processos operacionais da direção;
c) quando qualquer período de retenção é especificado por leis ou legislações relevantes, convém
que o período de retenção seja definido para cumprir tal obrigação legal.
Saída
Outras informações
Atividade
Convém que a posição estratégica dos objetivos de segurança da informação da direção e administração,
com respeito à operação do SGSI, seja documentada.
Entrada
a) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI –
Os objetivos resumidos e lista de requisitos;
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
b) saída da Atividade 5.4 – Criar os motivos da implantação e o plano do projeto para aprovação
da direção – A aprovação inicial da direção para o projeto do SGSI;
c) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e limites do SGSI;
d) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
e) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI;
h) saída da Atividade 8.2 – Conduzir avaliação de risco – Os resultados da saída de avaliação
de risco da Atividade 8.3 – Selecionar os objetivos de controle e os controles;
i) saída da Atividade 9.2.1 – Definir a estrutura final de organização para segurança da informação;
j) saída da Atividade 9.2.2 – Definir uma estrutura para a documentação do SGSI;
A política é desenhada com base em informações e conhecimento. Convém que o que foi identificado
pela direção como importante em análises previamente conduzidas seja evidente e enfatizado
na política para fornecer incentivo e motivação na organização. É também importante salientar o que
acontece se a política não for seguida. Convém que impactos das leis e regulamentações que afetam
a organização em questão também sejam enfatizados.
Os exemplos de uma política de segurança da informação podem ser obtidos de literaturas referenciadas,
da internet, associações de interesse e associações da indústria. As formulações podem ser obtidas
de relatórios anuais, outros documentos de políticas ou outros documentos que a direção suporta.
É possível que tenha diferentes interpretações e requisitos sobre o tamanho real de uma política.
Recomenda-se que isso seja resumido, de modo que o pessoal possa entender a intenção
da política. Adicionalmente, convém distinguir que objetivos são necessários para endereçar o conjunto
de regulações e objetivos da organização.
Para organizações grandes e complexas (por exemplo, com diferentes áreas operacionais pode ser
necessário esboçar uma política geral e outras políticas adaptadas operacionalmente.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Convém que a política proposta (com o número de versão e data) seja revisada e estabelecida dentro
da organização pelo gestor operacional. Seguido do estabelecimento dentro do grupo de gestores
ou equivalentes, o gestor operacional aprova a política da segurança da informação. Então ela
é comunicada a todos da organização de uma maneira relevante, acessível e compreensível para
seus leitores.
Saída
Outras informações
Atividade
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
e) saída da Atividade 8.4 – Obter autorização da direção para implementar e operação de um SGSI
– A Declaração de Aplicabilidade, incluindo os objetivos de controle e os controles selecionados;
f) saída da Atividade 9.2.1 – Definir a estrutura final da organização para segurança da informação;
g) saída da Atividade 9.2.2 – Definir uma estrutura para a documentação do SGSI;
Para fornecer uma base para o trabalho de segurança da informação dentro da organização, convém
que normas de segurança da informação, assim como o conjunto de requisitos legais e regulamentares
aplicáveis estejam disponíveis a quem precisa conhecer.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Convém que os representantes de diferentes partes da organização coberta pelo escopo do SGSI
participem do processo de desenvolvimento das normas e procedimentos. Convém que essa
participação tenha autoridade e seja representante da organização. Por exemplo, os seguintes papéis
podem ser incluídos:
É sugerido manter o grupo editorial tão pequeno quanto possível, com a opção de nomear especialistas
temporários para a equipe quando necessário. Convém que cada representante faça contato ativamente
com a sua própria área da organização para fornecer apoio operacional. Isto facilita o refinamento
posterior na forma de procedimentos e rotinas no nível operacional.
Convém que as normas e procedimentos de segurança sejam usados como uma base para projetar
os procedimentos técnicos ou operacionais.
Convém que uma avaliação das normas e procedimentos de segurança da informação existentes
seja analisada criticamente. Por exemplo, podem ser refinados e desenvolvidos, ou necessitam ser
inteiramente substituídos?
Convém que documentação relevante e atualizada seja fornecida a cada membro da equipe no
escopo. Convém que as normas e procedimentos de segurança da informação sejam aplicados a toda
organização ou deixem claro quanto quais papéis, sistemas e áreas estão cobertos. Convém que uma
primeira versão seja produzida oportunamente.
Recomenda-se que o processo de revisão e análise crítica sejam definidos numa primeira etapa.
Convém que uma estratégia seja desenhada para definir como as mudanças nas políticas devem ser
distribuídas.
Saída
Outras Informações
Atividade
Convém que os controles de segurança para TIC e ambientes físicos sejam projetados.
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
c) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI;
g) saída da Atividade 8.4 – Obter autorização da direção para implementar e operação de um SGSI
– Declaração de aplicabilidade, incluindo os objetivos de controle e os controles selecionados;
Nesta atividade, recomenda-se que os seguintes pontos sejam documentados para cada controle, o
que convém que seja uma parte do plano de projeto do SGSI:
e) pessoa a quem convém que a implementação do controle seja informada, uma vez concluída;
f) recursos para implementação (mão de obra, requisitos de recurso, requisitos de espaço, custos).
Inicialmente, convém que o TIC e a segurança física sejam projetados conceitualmente. Convém que
seja considerado o seguinte:
a) especificação de objetivos de controle com uma descrição do estado planejado esperado;
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Depois do projeto conceitual, convém que o projeto real seja feito, tal como o desenvolvimento
de sistema para realizar e implementar a melhor prática para a organização. Convém que seja
considerado o seguinte:
a) definição para cada um dos controles selecionados para TIC, áreas físicas e da organização
no nível operacional do local de trabalho;
Dependendo do tipo de controle (TIC, físico ou de organização), pode não ser sempre apropriado
ou necessário desenhar uma linha bem definida entre a parte inicial e a parte final do processo
de implementação.
a) plano de implementação que especifica os detalhes da implementação dos controles, como
planejamento, equipe de implementação e assim por diante;
Saída
Outras informações
Atividade
Convém que um plano seja desenvolvido para assegurar o envolvimento e o compromisso da direção
para analisar criticamente a operação do SGSI e o processo de melhoria contínua.
Entrada
a) saída da atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
b) saída da atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
c) saída da atividade 8.4 – Obter autorização da direção para implementação e operação de um SGSI
– Declaração de Aplicabilidade, incluindo os objetivos de controles e os controles selecionados;
Convém que a análise crítica, pela direção, das atividades do SGSI comece nas primeiras etapas de
especificação do SGSI e do desenvolvimento do plano de negócio e continue por meio das análises
críticas periódicas das operações do SGSI. Este envolvimento próximo fornece meios de validar
o SGSI contra as necessidades do negócio e manter o compromisso do negócio com o SGSI.
Convém que o planejamento das análises críticas pela direção estabeleça quando e como recomenda-
se que essas análises sejam conduzidas pela direção. Informações detalhadas sobre os pré-requisitos
para as análises críticas pela direção são apresentadas em 7.2 da ABNT NBR ISO/IEC 27001:2005.
Para planejar a análise crítica, tem que ser realizada uma avaliação de quais papéis convém que
sejam envolvidos. Convém que a aprovação da direção na escolha dos papéis seja realizada, e que
estes papéis sejam então informados o mais cedo possível. É aconselhável fornecer a direção com
dados adequados para a necessidade e o propósito do processo de revisão. (Ver Anexo B para mais
informações sobre papéis e responsabilidades).
Recomenda-se que as análises críticas pela direção sejam baseadas nos resultados da medição
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Também convém que seja observado que é recomendado incluir uma revisão da metodologia
e dos resultados da avaliação de risco. Convém que isto aconteça em intervalos planejados, levando
em consideração qualquer mudança no ambiente, tal como a organização e a tecnologia.
Convém que o planejamento para a auditoria interna do SGSI seja feito para ser capaz de avaliar
regularmente o SGSI uma vez que ele se encontra implementado. Os resultados da auditoria interna
do SGSI são entradas importantes para a análise crítica pela direção. Portanto, antes que a análise
crítica pela direção seja executada, convém que uma auditoria interna do SGSI seja planejada.
Recomenda-se que a auditoria interna do SGSI inclua avaliação, se os objetivos de controle, controles,
processos e procedimentos do SGSI estiverem eficazmente implementados e mantidos e se estiverem
em conformidade com:
Convém que as análises críticas pela direção possuam as informações recolhidas baseadas no SGSI
implementado e operado. As informações fornecidas para o time de análise crítica podem incluir:
Recomenda-se que um plano para monitoração documente os resultados de monitoração que convém
que sejam registrados e informados à direção (para informações adicionais sobre monitoração,
ver Anexo E).
Saída
O resultado desta atividade é um documento que resume o plano necessário para realizar a análise
crítica pela direção:
entradas exigidas para executar uma análise crítica pela direção do SGSI;
procedimentos para a análise crítica pela direção, cobrindo a auditoria e os aspectos de controle
e medição.
Outras informações
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Atividade
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
c) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo do
SGSI – Em particular os requisitos das organizações para o treinamento e educação de segurança
da informação;
d) saída da Atividade 8.4 – Obter autorização da direção para implementação e operação de um SGSI
– Declaração de Aplicabilidade, incluindo os objetivos de controle e os controles selecionados;
e) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles – Plano de tratamento
de risco;
A direção é responsável por assegurar a execução de treinamento e educação para que todo o pessoal
que é alocado em um papel claramente definido tenha a competência para executar as operações
necessárias. Idealmente, convém que o conteúdo do treinamento e educação ajude todo o pessoal
a entender o significado e a importância das atividades de segurança da informação em que estão
envolvidos e como podem contribuir para alcançar as metas do SGSI.
É importante assegurar neste ponto que cada empregado dentro do escopo do SGSI receba
o treinamento e/ou educação necessária. Em organizações grandes, um único material de treinamento
normalmente não é suficiente, já que conterá muitos dados que são relevantes só a tipos específicos
de trabalhos, e portanto será grande, complexo e difícil de usar. Nestes casos, é normalmente
apropriado ter conjuntos diferentes de material de treinamento projetados para cada tipo de papel,
como empregados, equipe de TI ou líderes, sendo personalizadas a suas necessidades específicas.
sejam regularmente avaliados para assegurar que todo o pessoal recebeu o treinamento necessário.
Convém que uma função responsável por este processo seja criada.
c) definição clara de um incidente de segurança: orientação quanto a como pode ser identificado e
como convém que seja tratado e registrado;
Convém que uma equipe de treinamento de segurança da informação seja determinada para executar
as seguintes tarefas:
Estas tarefas podem ser alocadas usando o pessoal existente de treinamento. No entanto, tal pessoal
pode exigir treinamentos substanciais em conceitos de segurança da informação para garantir
que estes possam ser apresentados de forma eficaz e com exatidão.
Saída
Outras informações
Atividade
Convém que o plano de projeto do SGSI seja finalizado, incluindo as atividades necessárias para
a implementação dos controles selecionados.
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
d) saída da Atividade 9.3 – Definir segurança da informação para TIC e segurança física;
Como em todos os projetos, é essencial que a pessoa responsável pelo projeto assegure
que os recursos suficientes foram alocados ao projeto.
Saída
Outras informações
Anexo A
(informativo)
Pré-requisito
Fase de Referência à
da etapa
Atividade, referência
Implementação
Etapa
Pré-requisito
Fase de
da etapa
Implementação Atividade, referência Referência à
Etapa
Resultado
da ABNT NBR ISO/IEC ABNT NBR
ABNT NBR documentado
27003 ISO/IEC 27003
ISO/IEC 27003
do escopo
9. 6.3 Definir limites 7 •• Descrição dos 4.2.1 a)
de tecnologia limites do TIC (parcialmente)
da informação e •• Descrição de
comunicação sistemas de
informação
e redes de
telecomunicação,
detalhando o que
está dentro e o
que está fora do
escopo
10. 6.4 Definir os limites 7 •• Descrição dos 4.2.1 a)
físicos limites físicos para (parcialmente)
o SGSI
•• Descrição da
organização
e de suas
características
geográficas,
detalhando o
escopo interno
e o externo
11. 6.5 Finalizar os limites 8, 9, 10 Documento 4.2.1 a)
para o escopo do SGSI descrevendo o escopo
e os limites do SGSI
Pré-requisito
Fase de Referência à
da etapa
Atividade, referência
Implementação
Etapa
Resultado ABNT NBR
da ABNT NBR ISO/IEC
ABNT NBR documentado ISO/IEC
27003
ISO/IEC 27003 27003
Requisitos da N/A
organização sobre
confidencialidade,
disponibilidade e
integridade
Requisitos da 4.2.1 c) 1)
organização parcialmente
contemplando
requisitos de
segurança da
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
informação legais,
regulamentares,
contratuais e do
negócio
Pré-requisito
Fase de Referência à
da etapa
Atividade, referência
Implementação
Etapa
Resultado ABNT NBR
da ABNT NBR ISO/IEC
ABNT NBR ISO/ documentado ISO/IEC
27003
IEC 27003 27003
de riscos e riscos
selecionando • Metodologia de
as opções de análise/avaliação
tratamento de de riscos aprovada
risco e alinhada com o
contexto de gestão
estratégica de riscos
da organização
• Critérios de
aceitação de riscos
17. 8.3 Selecionar os 16 Análise/avaliação de 4.2.1 e) 3)
objetivos de controle alto nível de riscos parcialmente
e os controles documentada
Identificar a N/A
necessidade de uma
análise/avaliação de
riscos mais detalhada
Análise/avaliação de 4.2.1 e) 3)
riscos detalhada e parcialmente
documentada
Resultados agregados N/A
da análise/avaliação de
riscos
18. 8.4 Obter aprovação da 17 Riscos e suas opções de 4.2.1 f)
direção para implementar tratamento identificadas
o SGSI
Objetivos de controle e 4.2.1 g)
controles selecionados
para redução do risco
Pré-requisito
Fase de Referência à
da etapa
Atividade, referência
Implementação
Etapa
ABNT NBR
da ABNT NBR ISO/IEC Resultado documentado
ABNT NBR ISO/IEC
27003
ISO/IEC 27003 27003
Aprovação documentada
da direção para os riscos
Aprovação da direção
19. 18 residuais propostos 4.2.1 h)
para os riscos residuais
(convém que seja a saída
de 8.4)
Autorização
Autorização da direção
documentada da direção
para implementar e
20. 19 para implementar e 4.2.1 i)
operar o SGSI
operar o SGSI (convém
que seja a saída de 8.4)
• Identificação de 4.3
documentação
relacionada ao SGSI
• Modelos de
registros do SGSI e
instruções de uso e
armazenamento
Linha de base de
políticas e procedimentos
de segurança da
informação (e, se
aplicável, planos para
desenvolver políticas,
procedimentos
específicos etc.)
Pré-requisito
Fase de
da etapa
Atividade, referência Referência à
Etapa
Implementação
da ABNT NBR ISO/IEC Resultado documentado ABNT NBR
ABNT NBR
27003 ISO/IEC 27003
ISO/IEC 27003
Anexo B
(informativo)
Este Anexo fornece orientação adicional sobre os papéis e responsabilidades dentro de uma
organização relacionados à segurança da informação. Os papéis são inicialmente atribuídos de acordo
com a visão organizacional sobre a implementação do SGSI. Uma tabela consolida essas informações
e apresenta exemplos genéricos de papéis e responsabilidades.
a) conclusão da gestão de riscos, instituindo o plano de documentos do SGSI, sendo responsável
por determinar o conteúdo desses documentos e por obter a aceitação da direção,
b) planejamento da compra de novos equipamentos e/ou decisão sobre o reuso de equipamentos
existentes que a organização já possui,
e) dar orientação estratégica para o SGSI (tanto durante a execução do projeto quanto em operação),
e
f) fazer o elo entre a alta administração e a equipe de execução do projeto e o pessoal de segurança
da informação.
Convém que a equipe do projeto responsável pelo SGSI, quando do planejamento do projeto,
seja auxiliada por membros que tenham amplo entendimento sobre os ativos de informação
importantes no âmbito do SGSI, e que tenham conhecimento suficiente para estudar a forma como
essa informação será tratada. Por exemplo, ao se determinar como tratar os ativos de informação,
podem existir opiniões diferentes entre departamentos que estão dentro do escopo do SGSI, e assim
pode haver a necessidade de se ajustarem aos efeitos positivos e negativos do plano do projeto.
É necessário que a equipe do projeto trabalhe como mediadora de conflitos entre os departamentos.
Para que isto ocorra, os membros da equipe precisam ter habilidades de comunicação baseadas
na experiência, bem como possuir habilidades de coordenação, e, ainda, apresentar alto nível
de conhecimento sobre segurança.
Convém que uma organização selecione membros para as responsabilidades acima (se possível,
membros com um papel exclusivo) antes de estabelecer o SGSI. No entanto, os membros precisam
ter amplo conhecimento e experiência no campo da segurança da informação, em assuntos como TI,
decisões gerenciais ou conhecimento da organização. As pessoas responsáveis por determinadas
operações em uma organização podem conhecer melhor suas áreas de atuação específicas. Assim,
convém que se recorra a esses especialistas – que são experts nas áreas de atuação específicas
das suas organizações - com o objetivo de tratar com eles sobre o uso do SGSI em suas áreas
de atuação específicas. É importante, também, fazer uma ponderação entre essa expertise
e o amplo conhecimento necessário para alcançar os objetivos da organização. Consultores externos
podem dar conselhos baseados em seus pontos de vista macroscópicos de uma organização
e em suas experiências com casos similares, ainda que em geral eles não necessariamente tenham
conhecimento aprofundado sobre especificidades e detalhes operacionais da organização. Os termos
usados nos exemplos acima, como Comitê de Segurança da Informação e Equipe de Planejamento da
Segurança da Informação, não são importantes. Convém apenas que se entenda a função de cada uma
dessas estruturas. De modo ideal, convém que haja estruturas internas para coordenar a segurança
da informação da organização, comunicando e trabalhando em conjunto com cada departamento
técnico.
Convém que uma pessoa seja apontada para cada organização e para cada aplicação especializada;
e que esta pessoa aja como “proprietária do ativo de informação” para todos os problemas de segurança
da informação relativos ao processamento de dados no âmbito deste processo da organização
em particular. A pessoa de contato ou o proprietário do processo é responsável, por exemplo, por
delegar tarefas e tratar informações nos processos organizacionais para os quais tenha sido designado.
Ajustar
Aprovar
Comitê de Segurança da
Informação
Equipe de Planejamento da
Especialistas Segurança da Informação
Consultores Externos
Orientar
d) gerentes de linha (por exemplo, líderes de unidades organizacionais, o último nível de comando
na escala hierárquica);
Segurança da informação é uma ampla área que afeta a organização inteira. Como tal, responsabilidades
pela segurança claramente definidas são essenciais para uma implementação bem-sucedida.
Como papéis e responsabilidades relacionados a segurança da informação variam, um entendimento
dos diferentes papéis é fundamental para compreender algumas das atividades descritas posteriormente
Dados Pessoais Se for exigência legal, pode haver uma pessoa responsável
por ser o contato com um conselho de inspeção de dados ou
organização oficial similar que supervisione a integridade pessoal
e questões de privacidade.
Anexo C
(informativo)
Convém que a implementação do SGSI seja avaliada em intervalos regulares por meio de auditorias
internas e independentes. Estas auditorias também servem ao propósito de conferir e avaliar
as experiências tidas na prática do dia a dia. Para implementar o SGSI, as formas de auditoria têm
que ser planejadas.
Convém que, em uma auditoria do SGSI, os resultados sejam determinados com base em evidências.
Assim, convém que seja reservado um período apropriado de tempo durante a operação do SGSI para
coletar as evidências adequadas.
Convém que uma auditoria interna do SGSI seja implementada e executada regularmente para
avaliar se os objetivos de controle, os controles, os processos e os procedimentos do SGSI estão
em conformidade com os requisitos da ABNT NBR ISO/IEC 27001, com as leis e regulamentos,
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Contudo, pode ser difícil para pequenas companhias fazer a seleção dos auditores internos do SGSI.
Se não houver recursos suficientes para que esses tipos de auditoria sejam feitos por funcionários
internos, então convém que experts externos sejam encarregados das atividades de auditoria.
Quando as organizações usarem auditores externos, convém que se verifique o seguinte: que os
auditores externos estejam familiarizados com auditorias internas de SGSI; contudo, eles podem não
ter conhecimento suficiente sobre o ambiente da organização. Convém que as informações sobre
tal ambiente sejam fornecidas pelo pessoal interno. Por outro lado, embora os auditores internos
possam ser capazes de fazer auditorias detalhadas considerando o ambiente da organização, pode
ser que eles não tenham conhecimento suficiente sobre como realizar auditorias do SGSI. Convém
que as organizações reconheçam as características e potenciais deficiências dos auditores internos,
em comparação com as dos auditores externos, na realização das auditorias internas do SGSI.
Convém que a efetividade e a eficiência dos controles implementados (ver ISO/IEC 27004) sejam
examinadas dentro do escopo das auditorias internas.
É importante que nenhuma das auditorias seja realizada por aquelas pessoas que estiveram envolvidas
no planejamento e no projeto dos objetivos de segurança, porque é difícil que uma pessoa encontre
os seus próprios erros. Convém, portanto, que unidades organizacionais ou indivíduos que estejam
de fora do escopo das auditorias internas do SGSI sejam selecionados, pela direção, como auditores.
Esses auditores devem planejar, conduzir e elaborar relatórios da auditoria interna do SGSI, incluindo
atividades de acompanhamento para obter o comprometimento da direção. Dependendo do tamanho
da organização, pode ser interessante convocar auditores externos para evitar a situação na qual
funcionários internos sofram de “miopia” por causa do seu próprio trabalho.
Convém que, em uma auditoria interna do SGSI, se verifique se o SGSI está sendo efetivamente
executado e mantido conforme esperado. Convém que os auditores, ao planejar o programa
de auditoria, levem em conta o status e a importância de objetivos, controles, processos e procedimentos
da direção, bem como os resultados de auditorias anteriores.
Ao realizar a auditoria, convém documentar critérios, escopo aplicável, frequência e método utilizados.
Convém que o gerente, responsável por determinado processo que está sendo auditado, garanta que
as não conformidades e suas causas sejam tratadas de forma adequada e sem a demora devida.
Contudo, isto não significa necessariamente que não conformidades tenham que ser corrigidas de
imediato. Além disso, convém que as ações corretivas realizadas incluam verificação das ações
tomadas e um relatório com os resultados dessa verificação.
Do ponto de vista da governança, a auditoria interna do SGSI pode ser realizada efetivamente como
uma parte de outras auditorias internas da organização, ou em colaboração com estas. Ao realizar
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Anexo D
(informativo)
Este anexo fornece orientação adicional sobre a estrutura das políticas que inclui a política
de segurança da informação.
da informação são discutidas na ISO/IEC 27002; por exemplo, a política de segurança da informação
é apoiada por políticas de controle de acesso, de mesa limpa e tela limpa, de uso de serviços
de rede e de uso de controles criptográficos. É possível que, em certos casos, sejam inseridas camadas
adicionais de políticas. Este arranjo é mostrado na Figura D.1.
Políticas Detalhadas
Por exemplo, política de controle de acesso, de mesa
limpa e tela limpa, política de uso de serviços de rede e
política de uso de controles criptográficos
A ABNT NBR ISO/IEC 27001 requer que as organizações tenham tanto uma política do SGSI quanto
uma política de segurança da informação. Tal norma não especifica, contudo, qualquer relacionamento
particular entre essas políticas. Os requisitos para as políticas do SGSI estão descritos em 4.2.1
da ABNT NBR ISO/IEC 27001. Já as diretrizes para as políticas de segurança da informação são dadas
em 5.1.1 da ABNT NBR ISO/IEC 27002. Essas políticas podem ser desenvolvidas como políticas
que colaborem entre si: a política do SGSI pode estar subordinada à política de segurança
da informação, ou a política de segurança da informação pode estar subordinada à política do SGSI.
O conteúdo das políticas baseia-se no contexto de atuação de uma organização. Convém que se
considere o seguinte ao desenvolver qualquer nova política dentro do quadro de políticas:
As estratégias da
organização
1) Resumo da Política – uma visão geral, com uma ou duas frases. (Este resumo pode ser,
algumas vezes, combinado com a introdução).
3) Escopo – descreve as partes ou atividades de uma organização que são afetadas pela política.
Se for relevante, a seção de escopo da política lista outras políticas que são apoiadas
por esta.
5) Princípios – descreve os critérios das ações e decisões para atingir os objetivos. Em alguns
casos, pode ser útil identificar os processos-chave associados ao tema da política e então
as regras para o funcionamento dos processos.
6) Responsabilidades – descreve quem é responsável pelas ações que atendam aos requisitos
da política. Em alguns casos, estas responsabilidades podem incluir descrições de arranjos
organizacionais, bem como responsabilidades de pessoas com papéis definidos.
7) Principais Resultados – descreve os resultados do negócio caso os objetivos sejam atingidos.
8) Políticas Relacionadas – descreve outras políticas relevantes para o alcance dos objetivos,
normalmente fornecendo mais detalhes sobre temas específicos.
NOTA O conteúdo de uma política pode ser organizado de diversas formas. Por exemplo, as organizações
que enfatizam papéis e responsabilidades podem simplificar a descrição dos objetivos, aplicando os princípios
especificamente à descrição das responsabilidades.
Resumo da Política
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
Convém que a informação seja sempre protegida, qualquer que seja a sua forma e como quer que
seja compartilhada, transmitida ou armazenada.
Introdução
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida por correio postal ou por meios eletrônicos, exibida em filmes, ou falada
em conversas.
A segurança da informação é a proteção da informação contra uma ampla gama de ameaças, com
os fins de garantir a continuidade do negócio, minimizar os riscos do negócio e maximizar o retorno
sobre os investimentos e as oportunidades.
Escopo
4) Os serviços web disponibilizados ao público em geral e as redes internas atendem a padrões
de disponibilidade especificados.
1) Esta organização incentiva a tomada de riscos e tolera riscos que podem não ser tolerados
em organizações mais conservadoras, desde que tais riscos de informação sejam
compreendidos, monitorados e tratados quando necessário. Os detalhes da abordagem feita
para a análise/avaliação de riscos e tratamento de riscos encontram-se na política do SGSI.
3) Será feita alocação de recursos para financiar controles de segurança da informação
nos processos operacionais e de gerenciamento de projetos.
4) As possibilidades de fraude associadas ao mau uso de sistemas de informação serão levadas
em conta no gerenciamento global dos sistemas de informação.
6) Os riscos de segurança da informação serão monitorados e ações serão tomadas quando
mudanças incorrerem em riscos que não são aceitáveis.
7) Os critérios para classificação de risco e aceitação de risco encontram-se na política do SGSI.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
8) Situações que possam colocar a organização em posição de violação da lei ou regulamentos
não serão toleradas.
Responsabilidades
1) A equipe da alta administração é responsável por garantir que a segurança da informação
seja tratada adequadamente por toda a organização.
2) Cada membro da alta gerência é responsável por garantir que as pessoas que trabalham
sob seu comando protejam a informação de acordo com as normas da organização.
4) Cada funcionário tem responsabilidades de segurança da informação como parte da execução
de seus trabalhos.
Principais Resultados
2) Perdas por fraude serão conhecidas e estarão dentro de limites aceitáveis.
3) A aceitação de produtos ou serviços, por parte do cliente, não será afetada negativamente
por preocupações relacionadas à segurança da informação.
Políticas Relacionadas
•• A identificação de riscos, fornecendo uma linha de base de controles que pode ser usada para
encontrar lacunas em projetos e implementações de sistemas; e
Tanto a Identificação de Riscos como o Tratamento de Riscos são processos definidos na seção
de Princípios desta política. Consultar a Política do SGSI para obter informações mais detalhadas.
Anexo E
(informativo)
Monitoramento e medição
Este anexo fornece orientação adicional para apoiar os processos de monitoramento e de medição
do planejamento e do projeto.
Projetando o Monitoramento
Registros de
Preparação e atividades de
coordenação de Verificações Monitorando o monitoramento
atividades de regulares desempenho do
monitoramento SGSI
Informações para a
direção
Verificação e divulgação da
implementação do controle de
segurança
Convém que se compreenda que o monitoramento é um processo contínuo e que, como tal, convém
que o projeto leve em consideração o estabelecimento do processo de monitoramento, bem como o
projeto das reais necessidades e atividades de monitoramento. Essas atividades precisam de uma
coordenação, o que também faz parte do projeto.
•• O que detectar
•• Quando
Como o monitoramento pode apresentar aspectos legais, é essencial que o projeto do monitoramento
seja verificado, de modo que ele não tenha quaisquer implicações legais.
Para garantir que o monitoramento seja verdadeiramente efetivo, é importante coordenar e realizar
o projeto final de todas as atividades de monitoramento.
Monitorando as atividades
de gestão de segurança da informação seja regularmente monitorado. Além disso, convém que
verificações sejam regularmente realizadas, para saber se todos os controles estão sendo aplicados
e implementados conforme previsto no plano de segurança da informação. Convém, ainda, que tais
verificações envolvam aquelas feitas sobre os controles técnicos (por exemplo, quanto à configuração),
e que os controles organizacionais (por exemplo, processos, procedimentos e operações) estejam
em conformidade.Convém que as verificações sejam feitas principalmente visando à reparação de defeitos.
Se o resultado dessas verificações for aceitável, é importante que os motivos do aceite sejam ratificados
por todos os envolvidos, sendo esse o maior objetivo das verificações. É importante que, durante
a verificação, haja discussões com os participantes sobre possíveis saídas para os problemas,
e que soluções adequadas fiquem pré-prontas.
Convém que as verificações sejam preparadas cuidadosamente para garantir que elas consigam
atingir seus objetivos da maneira mais eficiente possível, e que ao mesmo tempo causem o mínimo
possível de interrupção na rotina de trabalho. Convém também que se coordene previamente,
com a direção, a implementação geral de verificações. As atividades de concepção podem ser
finalizadas de três formas básicas diferentes:
•• Relatórios de incidente
Convém, ainda, que os resultados das atividades sejam concebidos em termos de como os registros
são feitos e como as informações são repassadas à direção. Convém que a documentação formal seja
elaborada de modo a descrever as atividades de concepção e abrangendo as atividades principais
e suas finalidades, bem como diferentes responsabilidades.
Os resultados são:
Como resultado das atividades de monitoramento, convém que seja fornecido um relatório gerencial.
Convém que todas as informações que a direção precisa para cumprir com suas responsabilidades de
direção e supervisão sejam ali registradas com o nível de detalhe necessário.
b) Informações à direção para a tomada de decisão quando forem necessárias ações imediatas.
Convém que os relatórios da gestão sempre sejam finalizados com uma lista de ações recomendadas,
claramente priorizadas, juntamente com uma avaliação realista do custo de implementação esperado
para cada uma dessas ações.
Isso garante que se possam obter as decisões necessárias da direção sem atrasos indevidos.
Convém que o processo de medição seja perfeitamente integrado ao ciclo do SGSI do projeto
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
ou da organização, e usado para efeitos de melhoria contínua dos processos e resultados relacionados
à segurança da informação no projeto ou na organização. Isto é conhecido como um programa
de medição de segurança da informação (ABNT NBR ISO/IEC 27004:2010). Convém que a concepção
desse programa seja vista da perspectiva do ciclo do SGSI. A figura a seguir mostra como o processo
de medição se encaixa dentro do ciclo do SGSI.
Para satisfação das expectativas e necessidades, espera-se que os sistemas de gestão apresentem
funções como, por exemplo, estruturação do tão indispensável PDCA; medição da validação
de resultados e de sua efetividade; e fornecimento de realimentação ao gerente dos processos quanto
aos resultados da medição.
Convém que a direção estabeleça e se comprometa com o processo global de medição. Ao implementar
um processo de medição, convém que a direção:
a) Aceite os requisitos para medição; ver a ABNT NBR ISO/IEC 27004 para mais detalhes
b) Dê atenção às necessidades de informação, ver a ABNT NBR ISO/IEC 27004 para mais detalhes
•• Convém que seja designada uma pessoa ou unidade organizacional como sendo responsável
pelo programa de medição.
•• Garantir que os dados das medições do SGSI sejam coletados, analisados e divulgados
para o CIO e para outras partes interessadas.
os seguintes papéis:
Para atender a esses objetivos, convém que resultados adequados sejam atingidos já na Fase
de Planejamento.
•• Tamanho
•• Complexidade
Em geral, quanto maior e mais complexa for uma organização, mais extenso será o programa de
medição necessário. Contudo, também o nível de risco geral afeta a extensão do programa de
medição. Se o impacto de uma incipiente segurança da informação for gravoso, uma organização
proporcionalmente menor pode precisar de um programa de medição mais abrangente para cobrir
seus riscos do que uma organização maior que não enfrenta o mesmo impacto.
A extensão do programa de medição pode ser avaliada com base na seleção de controles
que precisarão ser adotados e nos resultados da análise de risco.
Convém que a pessoa responsável pelo programa de medição de segurança da informação considere
o seguinte:
•• Escopo
•• Medições
Convém que o escopo do programa de medição abranja também escopo, objetivos de controle
e controles do SGSI. Particularmente, convém que sejam estabelecidos objetivos e limites para
a medição do SGSI, e que isso seja feito observando-se a organização e as suas características,
bem como localização, ativos e tecnologias, e que sejam incluídos detalhes e justificativas de quaisquer
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
exclusões de itens do escopo do SGSI. O escopo do programa de medição pode abranger um único
controle de segurança, ou ainda um processo, um sistema, uma área funcional, a empresa inteira,
uma única unidade ou uma organização com várias unidades.
O intervalo de medição pode variar, mas é preferível que a medição seja feita ou resumida
até se ajustar a certos intervalos, para se adequar à análise crítica pela direção, ao processo de
melhoria contínua e às pretensões do SGSI. Convém que a concepção do programa mencione isto.
Convém que a divulgação dos resultados seja feita de modo que a comunicação esteja em conformidade
com a ABNT NBR ISO/IEC 27004:2010.
d) Como as medições serão realizadas (método básico usado, execução externa e interna etc.)
Como o objetivo é medir a efetividade do SGSI, é importante que os objetivos de controle e os controles
também sejam mensurados. Uma hipótese é ter uma quantidade suficiente de controles; outra hipótese
bem diferente é esses controles serem suficientes para avaliar a efetividade do SGSI. (Pode haver
outras razões para limitar o escopo do Programa de Medição de Segurança da Informação, as quais
são mencionadas na ABNT NBR ISO/IEC 27004.)
Análise Medir
Partes Crítica Partes
Interessadas Interessadas
ENTRADAS Planejar
SAÍDAS
Fazer Agir
Requisitos
e Sistema
Expectativas Verificar Gerenciado
Figura E.2 – Dois aspectos de eficácia de medição com o processo PDCA do SGSI e exemplos
de processos da organização
Ao usar os resultados das medições para avaliar a efetividade do SGSI, dos objetivos de controle
e também dos controles, é essencial que a direção conheça o escopo do Programa de Medição
de Segurança da Informação.
Convém que, antes de iniciar os trabalhos, a pessoa responsável pelo programa de medição obtenha
aprovação do escopo do Programa de Medição de Segurança da Informação por parte da direção.
NOTA 2 O requisito relacionado à eficácia do SGSI como um todo na ABNT NBR ISO/IEC 27001:2005
é somente uma “análise crítica da eficácia do SGSI inteiro”, e “a medição do SGSI inteiro” não é necessária
(ver 0.2.2 na ABNT NBR ISO/IEC 27001:2005).
A efetiva execução das medições pode ser feita utilizando pessoal interno, externo ou uma combinação
de ambos.
Tamanho, estrutura e cultura da organização são fatores a serem considerados na avaliação do uso de
recursos internos ou externos. Organizações de pequeno e médio porte obtêm mais benefícios com
a utilização de apoio externo do que as organizações maiores. Dependendo da cultura da organização,
o uso de recursos externos pode também dar resultados mais válidos. Se a organização estiver
acostumada a auditorias internas, os recursos internos podem ser tão válidos quanto os externos.
Bibliografia
[2] ABNT NBR ISO 14001:2004, Sistemas da gestão ambiental – Requisitos com orientações para
uso
[3] ISO/IEC 15026 (todas as partes), Systems and software engineering – Systems and software
assurance1
[4] ISO/IEC 15408-1, Information technology – Security techniques – Evaluation criteria for IT security
– Part 1: Introduction and general model
[5] ISO/IEC 15408-2:2008, Information technology – Security techniques – Evaluation criteria for IT
security – Part 2: Security functional components
[6] ISO/IEC 15408-3:2008, Information technology – Security techniques – Evaluation criteria for IT
security – Part 3: Security assurance components
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
[10] ABNT NBR ISO/IEC 15939:2007, Engenharia de sistemas e de software – Processo de medição
[11] ISO/IEC 16085:2006, Systems and software engineering – Life cycle processes – Risk management
[12] ISO/IEC 16326, Systems and software engineering – Life cycle processes – Project management
[13] ISO/IEC 18045:2008, Information technology – Security techniques – Methodology for IT security
evaluation
1 A ser publicada.
[16] ABNT NBR ISO/IEC 27001:2006, Versão Corrigida:2006, Tecnologia da informação – Técnicas
de segurança - Sistemas de gestão de segurança da informação – Requisitos
[17] ABNT NBR ISO/IEC 27004:2010, Tecnologia da informação – Técnicas de segurança – Gestão
da segurança da informação – Medição
[20] ISO/IEC 27006:2007, Information technology – Security techniques – Requirements for bodies
providing audit and certification of information security management systems.
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
2 Em preparação.