PDF

NORMA ABNT NBR
BRASILEIRA ISO/IEC
27003
Primeira edição
04.10.2011
Válida a partir de
04.11.2011
Versão Corrigida
06.08.2015
Tecnologia da informação – Técnicas de

segurança – Diretrizes para implantação de um
sistema de gestão da segurança da informação
Information technology — Security techniques — Information security
management system implementation guidance
Exemplar para uso exclusivo - ABNT - Associação Brasileira de Normas Técnicas - 33.402.892/0001-06
ICS 35.040 ISBN 978-85-07-03021-8
Número de referência
ABNT NBR ISO/IEC 27003:2011
75 páginas
© ISO/IEC 2010 - © ABNT 2011

Impresso por: Nelson Al Assal Filho
© ISO/IEC 2010
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2011
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
ii © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Sumário Página
Prefácio Nacional...............................................................................................................................xii
Introdução..........................................................................................................................................xiii
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
4 Estrutura desta Norma........................................................................................................2
4.1 Estrutura geral das seções ...............................................................................................2
4.2 Estrutura geral de uma seção............................................................................................3
4.3 Diagramas............................................................................................................................4
5 Obtendo aprovação da direção para iniciar o projeto do SGSI......................................5
5.1 Visão geral de obtendo aprovação pela direção para iniciar o projeto do SGSI..........5
5.2 Esclarecer as prioridades da organização para desenvolver um SGSI.........................7
5.3 Definir o escopo preliminar do SGSI.................................................................................9
5.3.1 Desenvolver o escopo preliminar do SGSI.......................................................................9
5.3.2 Definir os papéis e responsabilidades para o escopo preliminar do SGSI.................10
5.4 Criar os motivos da implantação e o plano do projeto para aprovação da direção...11
6 Definindo o escopo do SGSI, limites e a política do SGSI............................................13

6.1 Visão geral sobre definindo do escopo do SGSI, limites e a política do SGSI...........13
6.2 Definir o escopo e os limites organizacionais...............................................................16
6.3 Definir o escopo e limites da tecnologia da informação e comunicação (TIC)...........17
6.4 Definir o escopo e os limites físicos...............................................................................18
6.5 Integrar cada escopo e limites para obter o escopo e limites do SGSI ......................19
6.6 Desenvolver a política do SGSI e obter a aprovação da direção..................................20
7 Conduzindo a análise dos requisitos de segurança da informação............................21
7.1 Visão geral de conduzindo a análise dos requisitos de segurança da informação...21
7.2 Definir os requisitos de segurança da informação para o processo do SGSI............23
7.3 Identificar os ativos dentro do escopo do SGSI.............................................................24
7.4 Conduzir uma avaliação de segurança da informação..................................................25
8 Conduzindo a análise/avaliação de riscos e planejando o tratamento do risco.........27
8.1 Visão geral de conduzindo a análise/avaliação de riscos e planejamento do
tratamento de risco...........................................................................................................27
8.2 Conduzir avaliação de risco.............................................................................................29
8.3 Selecionar os objetivos de controle e os controles.......................................................30
9 Definindo o SGSI...............................................................................................................32
9.1 Visão geral de definindo o SGSI......................................................................................32
9.2 Definir a segurança da informação da organização......................................................35
9.2.1 Definir a estrutura final de organização para segurança da informação.....................35
9.2.2 Definir uma estrutura para a documentação do SGSI...................................................36
9.2.3 Definir a política de segurança da informação...............................................................38
9.2.4 Desenvolver normas e procedimentos de segurança da informação..........................39
9.3 Definir segurança da informação para TIC e segurança física.....................................41
© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados iii

9.4 Definir a segurança da informação específica do SGSI................................................43

9.4.1 Plano para análise crítica pela direção...........................................................................43
9.4.2 Definir o programa de conscientização, treinamento e educação em segurança
da informação....................................................................................................................45
9.5 Produzir o plano final do projeto do SGSI......................................................................47
Anexo A (informativo) Descrição da lista de verificação..................................................................49
Anexo B (informativo) Papéis e responsabilidades pela Segurança da Informação.....................55
Anexo C (informativo) Informações sobre auditoria interna............................................................60
Anexo D (informativo) Estrutura das políticas..................................................................................62
Anexo E (informativo) Monitoramento e medição.............................................................................67
Bibliografia.........................................................................................................................................74
Figuras
Figura 1 – Fases do projeto do SGSI..................................................................................................2
Figura 2 – Legenda do fluxo do diagrama.........................................................................................4
Figura 3 – Visão geral da aprovação pela direção para iniciar o projeto do SGSI.........................6
Figura 4 – Visão geral do processo para o escopo detalhado do SGSI,
limites e política do SGSI.................................................................................................15
Figura 5 – Visão geral da condução da fase de requisitos de segurança da informação...........22

Figura 6 – Visão geral da fase de análise/avaliação de riscos.......................................................28
Figura 7 – Visão geral das fases de definição do SGSI..................................................................34
Figura B.1 – Exemplo da estrutura organizacional para estabelecer a interação
do SGSI com a organização.............................................................................................57
Figura D.1 – Hierarquia de políticas..................................................................................................62
Figura D.2 – Entradas para o desenvolvimento de uma política....................................................63
Figura E.1 – O fluxo do Processo de Monitoramento.....................................................................67
Figura E.2 – Dois aspectos de eficácia de medição com o processo PDCA do SGSI e exemplos
de processos da organização..........................................................................................73
Tabela
Tabela B.1 – Lista exemplificada de papéis e responsabilidades pela segurança
da informação....................................................................................................................58
iv © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.
As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.
Os Documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os Órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas
para exigência dos requisitos desta Norma, independentemente de sua data de entrada em vigor.
A ABNT NBR ISO/IEC 27003 foi elaborada no Comitê Brasileiro de Computadores e Processamento
de Dados (ABNT/CB-021), pela Comissão de Estudo de Segurança da Informação (CE-021.027.000).
O seu 1º Projeto circulou em Consulta Nacional conforme Edital nº 11 de 26.11.2010 a 27.12.2010,
com o número de Projeto 021:027.000-023. O seu 2º Projeto circulou em Consulta Nacional conforme
Edital nº 06, de 14.06.2011 a 13.07.2011 com o número de 2º Projeto 021:027.000-023.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/IEC 27003:2010,
que foi elaborada pelo Technical Committee Information technology (ISO/IEC JTC 1), Subcommittee
Security techniques (SC 27), conforme ISO/IEC Guide 21-1:2005.
Esta versão corrigida da ABNT NBR ISO IEC 27003 incorpora a Errata 1, de 06.08.2015.
O Escopo em inglês desta Norma Brasileira é o seguinte
Scope
This Standard focuses on the critical aspects needed for successful design and
implementation of an Information Security Management System (ISMS) in accordance with
ABNT NBR ISO/IEC 27001:2005. It describes the process of ISMS specification and design from
inception to the production of implementation plans. It describes the process of obtaining management
approval to implement an ISMS, defines a project to implement an ISMS (referred to in this Standard
as the ISMS project), and provides guidance on how to plan the ISMS project, resulting in a final ISMS
project implementation plan.
This Standard is intended to be used by organizations implementing an ISMS. It is applicable to all

types of organization (e.g. commercial enterprises, government agencies, non-profit organizations)
of all sizes. Each organization’s complexity and risks are unique, and its specific requirements will drive
the ISMS implementation. Smaller organizations will find that the activities noted in this International
Standard are applicable to them and can be simplified. Large-scale or complex organizations might find
that a layered organization or management system is needed to manage the activities in this Standard
effectively. However, in both cases, the relevant activities can be planned by applying this Standard.
This Standard gives recommendations and explanations; it does not specify any requirements.
This Standard is intended to be used in conjunction with ABNT NBR ISO/IEC 27001:2005 and
ABNT NBR ABNT NBR ISO/IEC 27002:2005, but is not intended to modify and/or reduce
the requirements specified in ABNT NBR ISO/IEC 27001:2005 or the recommendations provided
in ABNT NBR ISO/IEC 27002:2005. Claiming conformity to this Standard is not appropriate.
© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados v

Introdução
O propósito desta Norma é fornecer diretrizes práticas para a implantação de um Sistema

de Gestão da Segurança da Informação (SGSI), em uma organização, de acordo com
a ABNT NBR ISO IEC 27001:2005. A implantação real de um SGSI geralmente é executada como um
projeto.
O processo descrito nesta Norma foi concebido para fornecer apoio à implantação da
ABNT NBR ISO IEC 27001:2005, incluindo as partes relevantes das Seções 4, 5 e 7 e a sua
documentação, visando:
a) a preparação de um plano para implantação do SGSI na organização, definindo a estrutura

organizacional do projeto e obtendo a aprovação da direção;
b) as atividades críticas para o projeto do SGSI; e
c) exemplos de como atender aos requisitos da ABNT NBR ISO IEC 27001:2005.
Com o uso desta Norma, a organização será capaz de desenvolver um processo para a Gestão
da Segurança da Informação, fornecendo às partes interessadas a garantia de que os riscos aos
ativos de informação são continuamente mantidos dentro dos limites de Segurança da Informação
aceitáveis, conforme definido pela organização.
Esta Norma não cobre atividades operacionais e outras atividades do SGSI, porém aborda os conceitos
sobre como desenvolver as atividades após o início da operação do SGSI. O conceito resulta no plano
final de implantação do projeto do SGSI. A execução real de parte específica da organização de um
projeto do SGSI está fora do escopo desta Norma.
Convém que a implantação do projeto do SGSI seja realizada utilizando normas que tratam
de metodologias de gestão de projetos (para mais informações, favor verificar as normas ISO
e ISO/IEC que tratam de gestão de projetos).
vi © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

NORMA BRASILEIRA ABNT NBR ISO/IEC 27003:2011
Tecnologia da Informação – Técnicas de segurança – Diretrizes para

implantação de um sistema de gestão da segurança da informação
1 Escopo
Esta Norma foca os aspectos críticos necessários para a implantação e projeto bem-
sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com
a ABNT NBR ISO IEC 27001:2005. A norma descreve o processo de especificação e projeto do SGSI
desde a concepção até a elaboração dos planos de implantação. Ela descreve o processo de obter
a aprovação da direção para implementar o SGSI, define um projeto para implementar um SGSI
(referenciado nesta Norma como o projeto SGSI), e fornece diretrizes sobre como planejar o projeto
do SGSI, resultando em um plano final para implantação do projeto do SGSI.
A intenção desta Norma é que ela seja usada pelas organizações que desejam implementar um SGSI.
A norma se aplica a todos os tipos de organizações e de todos os tamanhos (por exemplo, empresas
comerciais, agências governamentais e organizações sem fins lucrativos). A complexidade e os riscos
de cada organização são únicos e os seus requisitos específicos irão direcionar a implantação do SGSI.
As pequenas organizações podem descobrir que as atividades descritas nesta Norma são aplicáveis
a elas e que podem ser simplificadas. Organizações complexas ou de grande porte podem descobrir
que uma parte da organização ou do sistema de gestão é necessária para gerenciar de forma eficaz
as atividades contidas nesta Norma. Entretanto, em ambos os casos, as atividades relevantes podem
ser planejadas por meio do uso desta Norma.
Esta Norma fornece explanações e recomendações e não especifica quaisquer requisitos.
Esta Norma destina-se a ser usada em conjunto com as ABNT NBR ISO IEC 27001:2005
e ABNT NBR ISO IEC 27002:2005, porém não destina-se a modificar e/ou reduzir os requisitos
especificados na ABNT NBR ISO IEC 27001:2005 ou nas recomendações fornecidas
na ABNT NBR ISO IEC 27002:2005. A reivindicação de conformidade com esta Norma
não é apropriada.
2 Referências normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento.
Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes do referido documento (incluindo emendas).
ISO IEC 27000:2009, Information technology – Security techniques – Information security management
systems – Overview and vocabulary
ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informação – Técnicas de segurança – Sistemas de
gestão de segurança da informação – Requisitos
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ISO/IEC 27000:2009,
ABNT NBR ISO IEC 27001:2006 e o seguinte.
3.1
projeto do SGSI
atividades estruturadas realizadas por uma organização para implementar um SGSI
© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados 1

4 Estrutura desta Norma

4.1 Estrutura geral das seções
A implantação de um SGSI é uma atividade importante e é normalmente executada na organização

como um projeto. Esta Norma explica a implantação de um SGSI com foco na elaboração, planejamento
e definição do projeto. O processo de planejamento da implantação final do SGSI contém cinco fases,
sendo que cada fase é representada por uma seção separada. Todas as seções têm uma estrutura
similar, conforme descrito abaixo. As cinco fases são:
a) Obtendo aprovação da direção para iniciar o projeto do SGSI (Seção 5);
b) Definindo o escopo do SGSI, limites e a política do SGSI (Seção 6);
c) Conduzindo a análise dos requisitos de segurança da informação (Seção 7);
d) Conduzindo a análise/avaliação de riscos e planejando o tratamento do risco (Seção 8);
e) Definindo o SGSI (Seção 9).
A Figura 1 ilustra as cinco fases do planejamento de um projeto do SGSI, fazendo referência

às normas ISO/IEC e aos principais documentos produzidos.
Obtendo a Definindo o Conduzindo a Conduzindo a Definindo o SGSI

aprovação da escopo do SGSI, análise dos análise/avaliação de
direção para limites e a política requisitos de riscos e planejando
iniciar o projeto do do SGSI segurança da o tratamento do
SGSI 5 6 informação risco 8 9
7
Aprovação da
direção para Escopo e limites Requisitos de Aprovação pela Plano final de ação
iniciar o projeto do SGSI segurança da direção para para implementação
do SGSI
informação implementar o SGSI do SGSI
Política de Identificar os Plano de

ativos
Segurança da tratamento de
Informação risco
Resultados da Declaração de
avaliação de aplicabilidade
riscos (SoA)
Linha do tempo
Figura 1 – Fases do projeto do SGSI

Informações adicionais são apresentadas nos anexos. Estes anexos são:
Anexo A: Descrição da lista de verificação;
Anexo B: Papéis e responsabilidades pela segurança da informação;
2 © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Anexo C: Informações sobre auditorias internas;
Anexo D: Estrutura das políticas;
Anexo E: Monitoração e medição.
4.2 Estrutura geral de uma seção
Cada seção contém:
a) um ou mais objetivos declarando o que convém que seja atendido, descrito no início de cada
seção, dentro de uma caixa de texto; e
b) uma ou mais atividades necessárias para atender ao objetivo ou aos objetivos da fase.
Cada atividade é descrita em uma subseção.
As descrições da atividade em cada subseção estão estruturadas conforme segue:
Atividade
A atividade define o que é necessário para atender esta atividade que contemple uma parte ou o todo
dos objetivos da fase.
Dados de entrada
O dado de entrada descreve o ponto de partida, como a existência de decisões ou resultados

de outras atividades descritas nesta Norma. Os dados de entrada podem ser tanto relativos
a um resultado completo de uma atividade considerada relevante, como a uma informação específica
de uma atividade a ser acrescentada após a seção em referência.
Diretrizes
A diretriz apresenta informações detalhadas para permitir o desempenho desta atividade. Algumas
diretrizes podem não ser adequadas para todas as situações, e outras formas de obter os resultados
podem ser mais adequadas.
Saídas (resultados)
A saída descreve os resultados ou os entregáveis até a conclusão da atividade, como, por exemplo,
um documento. As saídas são as mesmas, independentemente do tamanho da organização
ou do escopo do SGSI.
Outras informações
Este campo apresenta quaisquer informações adicionais que possam orientar o desempenho
da atividade, como, por exemplo, referências a outras normas.
NOTA As fases e atividades descritas neste documento incluem uma sequência sugerida de desempenho
de atividades baseadas nas dependências identificadas em cada uma das atividades de dados de entrada
e dados de saída. Entretanto, dependendo de fatores muito diferentes (por exemplo, eficácia do sistema
de gestão atualmente implementado, entendimento em relação à importância da segurança da informação,
razões para a implantação de um SGSI), uma organização pode selecionar qualquer atividade, em qualquer
ordem, conforme seja necessário, para preparar a forma de estabelecer e implementar o SGSI.

4.3 Diagramas
Um projeto é sempre ilustrado de forma gráfica ou em diagramas mostrando uma visão geral
das atividades e dos dados de saída (resultados).
A Figura 2 a seguir ilustra a legenda de diagramas que são apresentados em uma visão geral da
subseção de cada fase. Os diagramas fornecem uma visão de alto nível das atividades incluídas em
cada fase.
As fases do projeto de planejamento do SGSI
Fases Fases Fases
Documentos
Documentos
Linha do tempo
As atividades por fase
Atividade
Documentos
Documentos
Atividade Atividade
Documentos Documentos
Documentos Documentos
Linha do tempo
Figura 2 – Legenda do fluxo do diagrama

O quadrado superior ilustra as fases de planejamento de um projeto do SGSI. A fase explicada

na seção específica é então enfatizada com documentos-chave produzidos.
O diagrama inferior (atividades da fase) inclui as atividades-chave que são contempladas na fase
superior, incluindo os documentos principais de saída de cada atividade.
O tempo no quadrado inferior está baseado no tempo do quadrado superior.
As atividades A e B podem ser executadas ao mesmo tempo. Convém que a atividade C seja iniciada
após a conclusão das atividades A e B.
5 Obtendo aprovação da direção para iniciar o projeto do SGSI

5.1 Visão geral de obtendo aprovação pela direção para iniciar o projeto do SGSI
Existem vários fatores que convém que sejam levados em consideração quando da decisão
de implementar um SGSI. Para contemplar estes fatores, convém que a direção entenda os motivos
que justificam a implantação do projeto de um SGSI e o aprove. Desta forma, o objetivo desta fase é:
Objetivo
Obter a aprovação da direção para iniciar o projeto do SGSI, definindo os motivos que justificam
a implantação e o plano do projeto
Para obter a aprovação da direção, convém que uma organização crie os motivos que justificam
a implantação, os quais incluem os objetivos e as prioridades para implementar um SGSI,
em complementação à estrutura da organização para o SGSI. Convém que o plano do projeto inicial
do SGSI também seja criado.
Os trabalhos realizados nesta fase permitirão à organização entender a relevância de um SGSI

e esclarecer os papéis e responsabilidades pela segurança da informação dentro da organização
necessários para implementar o projeto do SGSI.
Os resultados esperados nesta fase são a aprovação preliminar pela direção e o comprometimento
para implementar um SGSI e realizar as atividades descritas nesta Norma. Os resultados desta seção
incluem os motivos da implantação e um esboço do projeto do SGSI com pontos-chave.
A Figura 3 ilustra o processo de obter a aprovação da direção para iniciar o projeto do SGSI.
NOTA Os resultados da Seção 5 (comprometimento documentado da direção para planejar e implementar

um SGSI) e um dos resultados da Seção 7 (documento sumarizando o status da segurança da informação)
não são requisitos da ABNT NBR ISO IEC 27001:2006. Entretanto, os resultados destas atividades
são dados de entrada recomendados para outras atividades descritas nesta Norma.

Obtendo a Definindo o Conduzindo a

Conduzindo a Definindo o SGSI
aprovação da escopo do SGSI, análise dos
avaliação de riscos
direção para iniciar limites e a política requisitos de
e planejando o
o projeto do SGSI segurança da
do SGSI 6 tratamento do risco
5 informação
8 9
7
Aprovação da
direção para iniciar
o projeto do SGSI
Linha do tempo
Esclarecer as
prioridades da
organização para
implementar o
SGSI 5.2
Elaborar os
objetivos do
SGSI
Listar os requisitos contratuais

e regulamentares pertinentes
às atividades da organização,
que são relevantes para a

segurança da informação
Definir as
características
do negócio
Definir o escopo Desenvolver o Definir os papéis e

primário do SGSI escopo do SGSI responsabilidades
dentro do escopo
5.3 5.3.1 5.3.2
Criar os motivos da
implantação e o plano
Definir as Descrever os papéis e do projeto para
responsabilidades para aprovação da direção
características a implementação do
do negócio SGSI
5.4
Apresentar o
estudo de caso
Apresentar a
proposta de
implantação
Obter a
aprovação do
projeto
Linha do tempo
Figura 3 – Visão geral da aprovação pela direção para iniciar o projeto do SGSI

5.2 Esclarecer as prioridades da organização para desenvolver um SGSI
Atividade
Convém que os objetivos para implementar um SGSI sejam incluídos quando da definição dos
requisitos e prioridades da segurança da informação da organização.
Dados de entrada
a) objetivos estratégicos da organização;
b) visão geral dos sistemas de gestão existentes;
c) uma lista de requisitos de segurança da informação, requisitos contratuais, regulatórios ou legais,
aplicáveis à organização.
Diretrizes para implementação
Para iniciar o projeto do SGSI, normalmente é necessária a aprovação da direção. Entretanto, convém
que a primeira atividade a ser desempenhada seja coletar informações relevantes que demonstrem
o valor de um SGSI para a organização. Convém que a organização esclareça porque é necessário
a implantação de um SGSI e decida os objetivos da implantação do SGSI, para em seguida iniciar o
projeto do SGSI.
Os objetivos para a implantação de um SGSI podem ser determinados respondendo às seguintes
questões:
a) gestão de risco: de que forma um SGSI irá produzir uma melhor gestão dos riscos de segurança
da informação?
b) eficiência: como pode um SGSI melhorar a gestão da segurança da informação da organização?
c) vantagens para o negócio: de que forma um SGSI pode criar vantagem competitiva para
a organização?
Para responder às questões acima, os requisitos e as prioridades de segurança da informação

da organização são afetados pelos seguintes possíveis fatores:
a) áreas da organização e negócios críticos:
1) Quais são as áreas da organização e os negócios críticos?
2) Quais as áreas da organização que geram os negócios e com que foco?
3) Qual a relação com terceiros e a consequente existência de acordos?
4) Existem serviços que foram terceirizados?
b) sensibilidade ou valor da informação:
1) Quais informações são críticas para a organização?
2) Quais seriam as conseqüências prováveis se determinadas informações sensíveis fossem

reveladas para pessoas não autorizadas (por exemplo, perda de vantagem competitiva,
dano à marca ou reputação da organização, ação legal, entre outros)?

c) leis obrigatórias que demandam medidas de segurança da informação:
1) Quais leis relativas ao tratamento do risco ou à segurança da informação se aplicam

à organização?
2) A organização é parte de uma organização global pública onde é exigida a apresentação
de relatórios financeiros externos?
d) acordos contratuais ou da organização relativos à segurança da informação:
1) Quais são os requisitos de armazenamento (incluindo os períodos de retenção) para a guarda
dos dados?
2) Existem requisitos contratuais relativos à privacidade ou à qualidade (por exemplo, Acordo de
Níveis de Serviço – SLA)
e) requisitos do setor de atuação da organização com controles ou medidas de segurança da

informação específica:
1) Quais são os requisitos específicos do setor que se aplicam à organização?
f) a ameaça do ambiente:
1) Que tipo de proteção é necessária e contra quais tipos de ameaças?

2) Quais são as diferentes categorias de informação que requerem proteção?
3) Quais são os diferentes tipos de atividades de informações que precisam ser protegidas?
g) direcionadores da competitividade (exigências do mercado):
1) Quais são os requisitos míninos de segurança da informação definidos pelo mercado?
2) Que controles adicionais de segurança da informação convém que sejam contemplados para
fornecer vantagem competitiva à organização?
h) requisitos da continuidade dos negócios:
1) Quais são os processos críticos do negócio?
2) Por quanto tempo a organização pode aceitar interrupções para cada processo crítico
do negócio?
O escopo preliminar do SGSI pode ser determinado respondendo às informações acima. Isto é também
necessário para se definir os motivos que justificam a implantação e o plano global do projeto do
SGSI para aprovação pela direção. O escopo detalhado do SGSI será definido durante a elaboração
do projeto do SGSI.
Os requisitos descritos na ABNT NBR ISO IEC 27001:2005, 4.2.1 a), detalham o escopo em termos
das características do negócio, a organização, sua localização, ativos e tecnologia. As informações
decorrentes do descrito acima, suportam esta posição.
Convém que alguns tópicos sejam considerados quando da decisão inicial do escopo, como, por
exemplo:
a) Quais são as exigências para a gestão da segurança da informação definidas pela direção e quais
são as obrigações impostas externamente à organização?

b) A responsabilidade pelo escopo proposto pertence a mais de uma equipe (por exemplo, pessoas
de diferentes subsidiárias ou departamentos)?
c) Como a documentação relacionada com o SGSI será distribuída e comunicada para toda
a organização (por exemplo, será em meio físico – papel – ou por meio da intranet corporativa)?
d) Podem os sistemas atuais apoiar as necessidades da organização? Eles são totalmente
operacionais, bem mantidos e funcionam conforme planejado?
Exemplos de objetivos da direção que podem ser usados como dados de entrada para definir o escopo
preliminar do SGSI:
a) agilidade para continuidade dos negócios e recuperação de desastres;
b) melhoria relativa à ocorrência de incidentes de segurança da informação;
c) contemplar aspectos legais, contratuais, de conformidade e responsabilidade civil pelo fato
do produto;
d) obter a certificação baseada em outras normas da ISO;
e) capacidade de evolução e posição da organização;
f) redução de custos de controles de segurança da informação;

g) proteção dos ativos de valores estratégicos;
h) estabelecimento de um ambiente interno de controle saudável e efetivo;
i) fornecimento de garantias para as partes interessadas de que os ativos de informação estão
adequadamente protegidos.
Saída
Os entregáveis (resultados) desta atividade são:
a) um documento sumarizando os objetivos, as prioridades de segurança da informação

e os requisitos da organização para a implantação de um SGSI;
b) uma lista dos requisitos regulamentares,contratuais e do setor de atuação da organização,

relativos à segurança da informação;
c) descrição das características do negócio, a organização, sua localização, ativos e tecnologias.
ABNT NBR ISO 9001:2010, ABNT NBR ISO 14001:2004 e ABNT NBR ISO IEC 20000-1:2005.
5.3 Definir o escopo preliminar do SGSI
5.3.1 Desenvolver o escopo preliminar do SGSI
Atividade
Convém que os objetivos para implementar o SGSI incluam a definição do escopo preliminar do SGSI,
que é necessária para o projeto do SGSI.

Dados de entrada
Resultados da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI.
Diretrizes
Para executar o projeto de implantação do SGSI, convém que seja definida a estrutura da organização
para o SGSI. Convém que o escopo preliminar do SGSI seja agora definido de modo a fornecer à
direção diretrizes com decisões de implantação e apoio a atividades futuras.
O escopo preliminar do SGSI é necessário para criar a justificativa e os motivos da implantação

do projeto proposto para aprovação pela direção.
Convém que o resultado deste estágio seja um documento definindo o escopo preliminar do SGSI, o
qual inclui:
a) um resumo das exigências relativas à gestão da segurança da informação estabelecidas pela
direção e as obrigações impostas externamente à organização;
b) uma descrição de como as áreas do escopo irão interagir com outros sistemas de gestão;
c) uma lista dos objetivos do negócio da gestão da segurança da informação (como derivado de 5.2);
d) uma lista dos processos críticos do negócio, sistemas, ativos de informação, estrutura organizacional
e localização geográfica aos quais o SGSI será aplicado;
e) o relacionamento entre os sistemas de gestão existentes, regulamentações, conformidade

e objetivos da organização;
f) as características do negócio, a organização, sua localização, ativos e tecnologias.
Convém que os elementos comuns e as diferenças operacionais entre os processos de quaisquer

sistemas de gestão existentes e o SGSI proposto sejam identificados.
Saída
Os entregáveis (resultados) é um documento que descreve o escopo preliminar do SGSI.
Não existem informações específicas.

NOTA Convém que atenção especial seja dada no caso da documentação específica para certificação
com base na ABNT NBR ISO IEC 27001:2005, como para o escopo do SGSI, que convém que seja atendido,
independentemente do sistema de gestão existente na organização.
5.3.2 Definir os papéis e responsabilidades para o escopo preliminar do SGSI
Atividade
Convém que as responsabilidades e papéis para o escopo preliminar do SGSI sejam definidos.
Dados de entrada
a) resultado da Atividade 5.3.1 – Desenvolver o escopo preliminar do SGSI;
b) uma relação das partes interessadas que serão beneficiadas com os resultados do projeto
do SGSI.

Diretrizes
Para executar o projeto do SGSI, convém que as atividades da organização para implantar o projeto
sejam determinadas. Estas atividades são normalmente diferentes para cada organização, em
função do número de pessoas que tratam com segurança da informação. A estrutura organizacional
e os recursos para segurança da informação variam com o tamanho, tipo e estrutura da organização.
Por exemplo, em uma pequena organização, várias atividades podem ser realizadas pela mesma
pessoa. Entretanto, convém que a direção identifique explicitamente o papel do responsável pela
segurança da informação (geralmente CISO, ISM ou similar), com responsabilidade geral para gerenciar
a segurança da informação, e convém que à equipe sejam atribuídos papéis e responsabilidades,
com base nas competências requeridas para realizar o trabalho. Este é um fator crítico para garantir
que as tarefas e atividades sejam realizadas de maneira eficiente e eficaz.
As considerações mais importantes na definição das atribuições na gestão da segurança da informação

são:
a) a responsabilidade final pelas atividades pertence ao nível gerencial;
b) uma pessoa (geralmente o CISO) é indicada para coordenar e conduzir o processo de implantação
da segurança da informação;
c) cada empregado é igualmente responsável pela sua atividade e por manter a segurança
da informação em funcionamento na sua área de trabalho e na organização.
Convém que os papéis para gerenciar a segurança da informação atuem de forma integrada. Isto pode
ser facilitado com a criação de um fórum de segurança da informação ou algo similar.
Convém que uma colaboração com especialistas do negócio seja realizada e documentada em todos
os estágios do desenvolvimento, implantação, operação e manutenção do SGSI.
Representantes de diferentes departamentos dentro do escopo identificado (tais como gestão de risco)
são membros potenciais da equipe de implantação do SGSI. Convém que esta equipe seja mantida
no menor número possível para assegurar rapidez e eficácia no uso efetivo dos recursos. Estas áreas
não são apenas as diretamente incluídas no escopo do SGSI, mas também as áreas indiretas, tais
como a jurídica, gestão de risco e departamentos administrativos.
Saída
Os entregáveis (resultados) é um documento ou tabela descrevendo os papéis e responsabilidades

com os nomes e áreas necessários para implementar de forma bem-sucedida o SGSI.
O Anexo B fornece detalhes de papéis e responsabilidades necessários para uma organização

implementar de forma bem-sucedida um SGSI.
5.4 Criar os motivos da implantação e o plano do projeto para aprovação da direção
Atividade
Convém que o comprometimento e a aprovação pela direção dos recursos necessários para
a implantação do projeto do SGSI sejam obtidos pela apresentação dos motivos que justificam
a implantação e a proposta do projeto do SGSI.

Dados de entrada
a) resultados da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um

SGSI;
b) resultados da Atividade 5.3 – Definir o escopo preliminar do SGSI – Documentos preliminares:
1) escopo do SGSI;
2) papéis e responsabilidades associados.
Diretrizes
Convém que as informações dos motivos da implantação e do plano inicial do projeto do SGSI
contemplem prazo estimado, recursos e marcos necessários para as atividades principais descritas
nas Seções 6 a 9 desta Norma.
Os motivos da implantação e o plano do projeto inicial do SGSI servem como base do projeto, mas
também asseguram a aprovação de recursos e o comprometimento da direção necessário para
a implantação do SGSI. A forma pela qual o SGSI implementado apoiará os objetivos do negócio
contribui para a eficácia dos processos da organização e aumenta a eficiência do negócio.
Convém que os motivos da implantação de um SGSI incluam pequenas declarações relacionadas

com os objetivos da organização e cubra os seguintes assuntos:
a) metas e objetivos específicos;
b) benefícios para a organização;
c) escopo preliminar do SGSI incluindo os processos do negócio afetados;
d) fatores e processos críticos para alcançar os objetivos do SGSI;
e) visão macro do projeto;
f) plano de implantação inicial;
g) papéis e responsabilidades definidos;
h) recursos necessários (tanto tecnológicos como de pessoas);
i) considerações relativas à implantação, incluindo a segurança da informação existente;
j) tempo de duração do projeto com pontos-chave;
k) custos estimados;
l) fatores críticos de sucesso;
m) quantificação dos benefícios para a organização.
Convém que o plano do projeto contemple atividades relevantes das fases nas Seções 6 a 9 desta
Norma.
Convém que as pessoas que afetam ou são afetadas pelo SGSI sejam identificadas e adequadamente
convidadas para comentar e analisar criticamente a proposta do projeto do SGSI e os motivos
da implantação. Convém que a proposta do projeto e os motivos da implantação do SGSI sejam

atualizados conforme a necessidade, com base nas informações apresentadas. Uma vez que apoio
suficiente tenha sido obtido, convém que a proposta do projeto do SGSI e os motivos da implantação
sejam apresentados à direção para aprovação.
Convém que a direção aprove o plano do projeto inicial e os motivos da implantação para atender
completamente o comprometimento da organização e iniciar a execução do projeto do SGSI.
Os benefícios esperados do comprometimento da direção para a implantação de um SGSI são:
a) conhecimento e implantação de leis relevantes, regulamentações, obrigações contratuais

e normas relativas à segurança da informação para evitar penalidades de não conformidades
e responsabilidade civil pelo fato do produto;
b) uso eficiente de múltiplos processos para segurança da informação;
c) estabilidade e aumento de confiança por uma melhor gestão nos riscos de segurança
da informação;
d) identificação e proteção das informações críticas do negócio.
Saída
Os entregáveis (resultados) desta atividade são:

a) um documento aprovado pela direção para executar o projeto do SGSI com os recursos alocados;
b) uma justificativa e motivos da implantação documentados;
c) uma proposta inicial do projeto do SGSI, com marcos definidos, tais como o desempenho
da análise/avaliação de riscos, a implantação, auditorias internas e a análise crítica pela direção.
ISO IEC 27000:2009 que apresenta exemplos de fatores críticos de sucesso para apoiar a justificativa
e os motivos da implantação do SGSI.
6 Definindo o escopo do SGSI, limites e a política do SGSI

6.1 Visão geral sobre definindo do escopo do SGSI, limites e a política do SGSI
A aprovação da direção para a implementação de um SGSI é baseada no escopo preliminar do

SGSI, no plano de negócios do SGSI e no plano inicial do projeto. A definição detalhada do escopo
e dos limites do SGSI, a definição da política do SGSI e aceitação e apoio por parte da direção
são os fatores-chave primários para a implementação bem-sucedida do SGSI.
Consequentemente, os objetivos desta fase são:
Objetivos:
Definir o escopo detalhado e os limites do SGSI, desenvolver a política do SGSI e obter aprovação
da direção
ISO/IEC 27001:2005, 4.2.1 a) e 4.2.1 b)

A fim de alcançar o objetivo “Definir o escopo detalhado e os limites do SGSI”, as seguintes atividades
são necessárias:
a) definir o escopo e os limites organizacionais;
b) escopo e limites da Tecnologia da Informação e Comunicação (TIC);
c) escopo e limites físicos;
d) características especificadas na ABNT NBR ISO/IEC 27001:2005, 4.2.1 a) e b), ou seja, o negócio,
a organização, sua localização, ativos e aspectos tecnológicos do escopo e limites, e política
são determinados no processo de definição desse escopo e limites;
e) integrar o escopo e limites básicos para obter o escopo e os limites do SGSI.
Para obter a definição da política do SGSI e obter a aprovação da direção, uma única atividade
é necessária.
Para construir um sistema de gestão eficaz para a organização, convém que o escopo detalhado
do SGSI seja determinado considerando os ativos de informação críticos da organização. É importante
ter uma terminologia comum e uma abordagem sistemática para identificar os ativos de informação
e avaliar mecanismos de segurança viáveis. Isso permite facilidade de comunicação e promove
o entendimento consistente em todas as fases de implementação. Também é importante assegurar

que áreas críticas da organização estão incluídas no escopo.
É possível definir o escopo do SGSI abrangendo toda a organização, ou parte dela, como uma divisão
ou claramente delimitado como elemento subsidiário. Por exemplo, no caso de “serviços” prestados
aos clientes, o escopo do SGSI pode ser um serviço ou um sistema de gestão interfuncional (uma
divisão inteira ou parte de uma divisão). Convém que os requisitos da ABNT NBR ISO/IEC 27001:2005
sejam preenchidos para a certificação, independentemente dos sistemas de gestão existentes
na organização.
Escopo e limites organizacionais, escopo e limites da TIC (ver 6.3) e escopo e limites físicos
(ver 6.4) não são sempre realizados de forma sequencial. No entanto, é útil fazer referência aos limites
e escopo obtidos quando definir outro escopo e limites.

Obtendo a Definindo o Conduzindo a Conduzindo a Definindo o

aprovação da escopo do SGSI, análise dos avaliação de riscos e SGSI
direção para iniciar requisitos de planejando o
limites e a política segurança da
o projeto do SGSI tratamento do risco 9
do SGSI 6 informação 7
5 8
Obter a aprovação Escopo e
da direção para limites do
iniciar o projeto do SGSI
SGSI
Elaborar a política
de segurança da
informação
Linha do tempo
Definir o escopo e os
limites organizacionais
6.2
Definir os
limites da
organização
para o escopo
Definir os limites e o
escopo da tecnologia
da informação e
comunicação 6.3
Definir o escopo
e os limites da
TIC
Definir o escopo e
os limites físicos
6.4
Definir o escopo e
o limite físico
Integrar cada escopo e

limites para obter o escopo
e os limites do SGSI
6.5
Definir os limites e o
escopo do SGSI
Desenvolver a política
do SGSI e obter a
aprovação da direção
6.6
Política do
SGSI aprovada
Linha do tempo
Figura 4 – Visão geral do processo para o escopo detalhado do SGSI,

limites e política do SGSI

6.2 Definir o escopo e os limites organizacionais
Atividade
Convém que o escopo e limites organizacionais sejam definidos.
Entrada
a) saída da Atividade 5.3 – Definir o escopo preliminar do SGSI – O escopo preliminar documentado
do SGSI que aborda:
1) relacionamento dos sistemas de gestão existentes, regulamentação, conformidade e objetivos

organizacionais;
2) características do negócio, a organização, sua localização, ativos e tecnologia;
b) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um

SGSI – A documentação aprovada pela direção para implementar o SGSI e iniciar o projeto
com os recursos necessários alocados.

A quantidade de esforço necessário para implementar um SGSI é dependente da magnitude do escopo

a ser aplicado. Isso também pode afetar todas as atividades relacionadas à manutenção da segurança
da informação dos itens em escopo (como processo, localizações físicas, sistemas de TI e pessoas),
incluindo a implementação e manutenção de controles, as operações de gestão, e a realização
de tarefas como identificar os ativos de informação e avaliação do risco. Se a direção decidir excluir
certas partes da organização do escopo do SGSI, convém que suas razões sejam documentadas.
Quando o escopo do SGSI é definido, é importante que seus limites sejam claros o suficiente para
serem explicados para aqueles que não estiveram envolvidos na sua definição.
Alguns controles relativos à segurança da informação podem já existir como resultado da implantação
de outro sistema de gestão. Convém que eles sejam levados em conta durante o planejamento
do SGSI, mas não indicam necessariamente os limites do escopo do SGSI atual.
Um método de definição dos limites organizacionais é identificar as áreas de responsabilidade

que não estão sobrepostas dentro de uma organização.
Convém que responsabilidades diretamente relacionadas aos ativos de informação ou processos de

negócios incluídos no escopo do SGSI sejam selecionadas como parte da organização que está
sob o controle do SGSI. Ao mesmo tempo em que se definem limites organizacionais, convém que
os seguintes fatores sejam considerados.
a) Convém que o fórum de gestão do SGSI seja composto por gestores envolvidos diretamente
no escopo do SGSI.
b) Convém que o membro da gestão responsável pelo SGSI seja aquele que no fim das contas
é responsável por todas as áreas de responsabilidade afetada (ou seja, seu papel será geralmente
ditado pela sua amplitude de controle e responsabilidade dentro de uma organização).
c) No caso onde a função responsável pela gestão do SGSI não é de um membro sênior da
direção, um patrocinador da alta direção é essencial para representar os interesses da segurança
da informação e atuar como advogado para o SGSI nos mais altos níveis da organização.

d) Convém que o escopo e os limites sejam definidos para garantir que todos os ativos relevantes
sejam levados em conta na análise/avaliação dos riscos e para tratar dos riscos que possam
surgir através desses limites.
Com base na abordagem, convém que os limites organizacionais analisados identifiquem todas
as pessoas afetadas pelo SGSI, e convém que isso seja incluído no escopo. A identificação
do pessoal pode ser ligada aos processos e/ou funções dependendo da abordagem escolhida. Se alguns
processos dentro do escopo forem terceirizados, convém que as dependências sejam claramente
documentadas. Essas dependências serão submetidas a uma análise mais profunda no projeto
de implementação do SGSI.
Saída
Os resultados desta atividade são:

a) descrição dos limites da organização para o SGSI, incluindo as justificativas para as partes
da organização que foram excluídas do escopo do SGSI,
b) funções e estrutura das partes da organização no escopo do SGSI,
c) as informações trocadas no escopo e as informações trocadas através dos limites,
d) processo organizacional e as responsabilidades para os ativos de informações do escopo
e fora de escopo,
e) processo para a hierarquia de tomada de decisão, bem como estrutura dentro do SGSI.
Informações adicionais
Nenhuma outra informação específica.
6.3 Definir o escopo e limites da tecnologia da informação e comunicação (TIC)
Atividade
Convém que o escopo e os limites dos elementos da tecnologia da informação e comunicação (TIC)
e outros itens de tecnologias abrangidos pelos SGSI sejam definidos.
Entrada
a) saída da Atividade 5.3 – Definir o escopo preliminar do SGSI – O documento para o escopo
preliminar do SGSI;
b) saída da Atividade 6.2 – Definir o escopo e os limites organizacionais.
A definição do escopo e limites da TIC podem ser obtidos através da abordagem de um sistema
de informação (em vez de baseado em TI). Uma vez que há uma decisão de gestão para incluir
o processo de negócio do sistema de informação no escopo do SGSI, convém que todos os
elementos relacionados com a TIC sejam considerados. Isso inclui todas as partes da organização
que armazenam, processam ou transportam informações críticas, ativos, ou que são críticas para
as partes da organização no escopo. O sistema de informação pode abranger os limites organizacional
ou nacional. Se for o caso, convém que sejam considerados:
a) o ambiente sociocultural;

b) os requisitos legais, regulamentares e contratuais aplicáveis à organização;
c) as principais responsabilidades dos envolvidos;
d) restrições técnicas (por exemplo, largura de banda disponível, disponibilidade de serviço etc.).
Atendendo ao exposto acima, convém que os limites da TIC incluam uma descrição, quando aplicável,
dos seguintes itens:
a) a infraestrutura de comunicações, onde a responsabilidade pela gestão é realizada pela

organização incluindo as diferentes tecnologias (por exemplo, redes sem fio ou com fio, ou redes
de dados/voz);
b) software dentro dos limites da organização, que é usado e controlado pela organização;
c) hardware para TIC requerido pela rede ou redes, aplicações ou sistemas de produção;
d) funções e responsabilidades relativas ao hardware, rede e software para TIC.
Se qualquer um ou mais dos itens acima não for controlado pela organização, convém que
a dependência de terceiros seja documentada (ver 6.2).
Saída
a) as informações trocadas no escopo e as informações trocadas através dos limites,
b) os limites da TIC para o SGSI, incluindo as justificativas para a exclusão da TIC sob gestão da
organização que foram excluídas do escopo do SGSI,
c) os sistemas de informação e as redes de telecomunicações, descrevendo o que está no escopo,

junto com os papéis e responsabilidades para estes sistemas. Convém que sistemas fora do
escopo sejam descritos de forma sucinta.
6.4 Definir o escopo e os limites físicos
Atividade
Convém que o escopo e os limites físicos que se recomenda que sejam abrangidos pelo SGSI sejam
definidos.
Entrada
preliminar do SGSI;
b) saída da Atividade 6.2 – Definir o escopo e os limites organizacionais;
c) saída da Atividade 6.3 – Definir o escopo e limites da tecnologia da informação e comunicação
(TIC).

A definição do escopo e dos limites físicos consiste em identificar as áreas, locais ou instalações dentro
de uma organização que convém que façam parte do SGSI. É mais complexo lidar com sistemas
de informação que atravessam os limites físicos que necessitam de:
a) instalações remotas;
b) interfaces de sistemas de informação do cliente e serviços prestados por terceiros;
c) interfaces adequadas aplicáveis e níveis de serviço.
Levando em consideração o exposto acima, convém que os limites físicos incluam uma descrição
dos procedimentos a seguir, quando for aplicável:
a) funções ou descrição do processo, levando em conta a sua localização física e a extensão
dos controles organizacionais;
b) instalações especiais utilizadas para o armazenamento do hardware para TIC ou dados
no escopo (por exemplo, em fitas de back-up) com base na cobertura dos limites da TIC.
Se qualquer um ou mais dos itens acima não for controlado pela organização, convém que
a dependência de terceiros seja documentada (ver 6.2).
Saída
a) descrição dos limites físicos do SGSI, incluindo as justificativas para a exclusão dos limites físicos
sob o gerenciamento da organização que foram excluídas do escopo do SGSI,
b) descrição da organização e suas características geográficas relevantes para o escopo.
6.5 Integrar cada escopo e limites para obter o escopo e limites do SGSI
Atividade
Convém que o escopo e limites do SGSI sejam obtidos através da integração de cada escopo e limites.
Entrada
preliminar do SGSI;
b) saída da Atividade 6.2 – Definir o escopo e os limites organizacionais;
c) saída da Atividade 6.3 – Definir o escopo e limites da tecnologia da informação e comunicação
(TIC);
d) saída da Atividade 6.4 – Definir o escopo e os limites físicos.

O escopo de um SGSI pode ser descrito e justificado de muitas maneiras. Por exemplo, um local físico,
como um datacenter ou um escritório, pode ser selecionado e processos críticos listados; cada um
dos quais envolve áreas fora do datacenter, trazendo essas áreas externas para o escopo. Um desses
processos críticos poderia ser, por exemplo, o acesso móvel a um sistema central de informações.
Saída
O resultado desta atividade é um documento que descreve o escopo e os limites do SGSI, contendo
as seguintes informações:
a) as principais características da organização (a sua função, estrutura, serviços, ativos e as

possibilidades e os limites da responsabilidade de cada ativo);
b) os processos organizacionais no escopo;
c) a configuração dos equipamentos e redes no escopo;
d) uma lista preliminar dos ativos de informação no escopo;
e) uma lista dos ativos da TIC (por exemplo, servidores) no escopo;
f) mapas dos sites no escopo, indicando os limites físicos do SGSI;
g) descrição dos papéis e responsabilidades dentro do SGSI e suas relações com a estrutura
organizacional;
h) detalhes e justificativas para qualquer exclusão do escopo do SGSI.
6.6 Desenvolver a política do SGSI e obter a aprovação da direção
Atividade
Convém que a política do SGSI seja desenvolvida e a aprovação da direção, obtida.
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e seus limites para obter o escopo e limites do
SGSI – O escopo e os limites do SGSI documentados;
b) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI –
Os objetivos documentados para a implementação do SGSI;
c) saída da Atividade 5.4 – Criar os motivos da implantação e o plano do projeto para aprovação da
direção – A documentação:
1) requisitos da organização e prioridade de segurança da informação,
2) o plano do projeto inicial para a implantação do SGSI, com metas, tais como análise/avaliação
de riscos, implementação, auditorias internas e análise crítica pela direção.

Ao definir a política do SGSI, convém que os seguintes aspectos sejam considerados:
a) estabelecer os objetivos do SGSI com base nos requisitos de organização e nas prioridades
de segurança da informação da organização;
b) estabelecer o foco geral e guia de ação para alcançar os objetivos do SGSI;
c) considerar os requisitos organizacionais, legais ou regulamentares e as obrigações contratuais

relacionadas com a segurança da informação;
d) contexto da gestão de riscos dentro da organização;
e) estabelecer os critérios para avaliação de riscos (ver ABNT NBR ISO/IEC 27005:2008) e definir
uma estrutura de análise/avaliação de riscos;
f) esclarecer as responsabilidades da alta direção sobre o SGSI;
g) obter aprovação da direção.
Saída
O resultado é um documento que descreve a política do SGSI documentada e aprovada

pela direção. Este documento será confirmado em uma fase posterior do projeto, uma vez que está
dependendo do resultado da análise/avaliação de riscos.
A ABNT NBR ISO/IEC 27005:2008 fornece informações adicionais sobre os critérios de avaliação
de riscos.
7 Conduzindo a análise dos requisitos de segurança da informação

7.1 Visão geral de conduzindo a análise dos requisitos de segurança da informação
A análise da situação atual da organização é importante, pois existem requisitos e ativos
de informações que convém que sejam considerados ao implementar um SGSI. As atividades descritas
nesta fase podem ser realizadas principalmente em paralelo com as descritas na Seção 6, por razões
de eficiência e praticidade.
Objetivos:
Definir os requisitos relevantes a serem suportados pelo SGSI, identificar os ativos de informação
e obter o atual status da segurança de informação dentro do escopo.
ISO/IEC 27001:2005, 4.2.1.c)1) parcialmente, 4.2.1. d), 4.2.1. e)
Convém que a informação coletada através da análise da segurança da informação:
a) forneça direção com um ponto de partida (ou seja, corrigir os dados básicos);
b) identifique e documente as condições para a implementação;
c) forneça uma compreensão clara e bem estabelecida das instalações da organização;

d) considere as circunstâncias particulares e a situação da organização;
e) identifique o nível desejado de proteção para a informação;
f) determine a compilação das informações necessárias para toda ou parte de uma empresa dentro
do escopo proposto de implementação.
Obtendo a Definindo o Conduzindo a Conduzindo a Definindo o

aprovação da escopo, limites e análise dos avaliação de riscos SGSI
direção para iniciar o a política do requisitos de e planejando o
projeto do SGSI tratamento do risco 9
SGSI 6 segurança da
5 informação 7 8
Obter a aprovação Escopo e os Requisitos de

da direção para limites do SGSI segurança da
iniciar o projeto do informação
SGSI
Política de Ativos de
SGSI informação
Resultados da
avaliação de riscos
Linha do tempo
Definir os requisitos de
segurança da informação para
o processo do SGSI 7.2
Requisitos de
segurança da
informação
Identificar os ativos
dentro do escopo do
SGSI 7.3
Identificar os
ativos
Classificar os
ativos/processos
Conduzir a análise
e avaliação de riscos
de segurança da
informação 7.4
Elaborar um resumo do
status da segurança da
informação da
organização
Linha do tempo
Figura 5 – Visão geral da condução da fase de requisitos de segurança da informação

7.2 Definir os requisitos de segurança da informação para o processo do SGSI
Atividade
Convém que os detalhes dos requisitos de segurança da informação do processo de SGSI sejam
analisados e definidos.
Entrada
a) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI –
A documentação:
1) resumindo os objetivos, as prioridades de segurança da informação e os requisitos
da organização para o SGSI;
2) lista relevante de restrições regulamentares, contratuais e do negócio para a segurança
da informação da organização;
b) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo e os limites do SGSI;
c) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI.

O primeiro passo requer a coleta de toda informação de suporte para o SGSI. Para cada processo
organizacional e de tarefas especializadas, uma decisão precisa ser tomada em relação a criticidade
da informação, ou seja, o nível de proteção exigido. Convém que as diversas condições internas que
possam afetar a segurança da informação sejam determinadas. Nesta fase inicial não é importante
descrever detalhes da tecnologia da informação. Convém que haja um resumo básico das informações
analisadas para um processo organizacional e as aplicações associadas à TIC e sistemas.
A análise dos processos da organização fornece uma declaração sobre os efeitos dos incidentes
de segurança da informação sobre a atividade da organização. Em muitos casos, é adequado trabalhar
com uma descrição básica dos processos da organização. Os processos, funções, localização,
sistemas de informação e redes de comunicações precisam ser identificados e documentados,
se eles não tiverem sido incluídos como parte do escopo do SGSI.
Convém que sejam abordados os seguintes direcionamentos para obter detalhes dos requisitos
de segurança da informação para o SGSI:
a) identificação preliminar dos ativos importantes de informação e sua atual proteção de segurança
da informação,
b) identificar as visões da organização e determinar o efeito das visões identificadas nos requisitos
futuros de processamento de informação,
c) analisar as formas atuais de tratamento da informação, aplicações de sistemas, redes

de comunicação, localização das atividades e recursos de TI etc.,
d) identificar todos os requisitos essenciais (por exemplo, os requisitos legais e regulamentares,
as obrigações contratuais, requisitos organizacionais, as normas da indústria, cliente e acordos
com fornecedores, condições de seguro etc.),
e) identificar o nível de conscientização de segurança da informação e, a seguir, produzir os requisitos

de treinamento e educação, em termos operacionais e administrativos de cada unidade.

Saída
a) identificação dos principais processos, funções, localização, sistemas de informação e redes de
comunicação;
b) ativos de informação da organização;
c) processos críticos/classificação dos ativos;
d) os requisitos de segurança da informação derivados da legislação organizacional, regulamentações

e contratos;
e) lista de vulnerabilidades publicamente conhecidas que serão abordadas como resultado dos
requisitos de segurança;
f) requisitos de educação e treinamento em segurança da informação da organização.

7.3 Identificar os ativos dentro do escopo do SGSI
Atividade
Convém que os ativos a serem suportados pelo SGSI sejam identificados.
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter aprovação da direção – A política
do SGSI;
c) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI.
Para identificar os ativos dentro do escopo do SGSI, convém que as seguintes informações sejam
identificadas e listadas:
a) nome original do processo;
b) descrição do processo e atividades associadas (criado, armazenado, trasmitido e excluído);
c) criticidade do processo da organização (crítico, importante, apoio);
d) proprietário do processo (unidade organizacional);
e) processos de fornecimento de entrada e saídas deste processo;
f) apoio às aplicações e processos de TI

g) classificação da informação (confidencialidade, integridade, disponibilidade, controle de acesso,

não repúdio, e/ou outras propriedades importantes para a organização, por exemplo, quanto
tempo a informação pode ser armazenada).
Saída
a) ativos de informação identificados nos principais processos da organização, dentro do escopo do
SGSI;
b) classificação da segurança da informação dos processos e ativos de informação críticos.
7.4 Conduzir uma avaliação de segurança da informação
Atividade
Convém que a avaliação da segurança da informação seja feita comparando a situação atual
da segurança da informação da organização em relação aos objetivos desejados da organização.
Entrada
a) saída da atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI–
O escopo e limites do SGSI;
b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter aprovação da direção – A política
do SGSI;
do SGSI;
d) saída da Atividade 7.3 – Identificar os ativos dentro do escopo do SGSI.
A avaliação da segurança da informação é a atividade para identificar o nível existente de segurança

da informação (ou seja, os atuais procedimentos organizacionais de tratamento da proteção
da informação). O objetivo fundamental da avaliação de segurança da informação é fornecer informações
de apoio necessárias para a descrição do sistema de gestão sob a forma de políticas e diretrizes.
É claro que é necessário certificar-se de que as deficiências identificadas são tratadas em paralelo
através de um plano de ação prioritário. Convém que todas as partes envolvidas estejam familiarizadas
com os resultados da análise da organização, documentos-padrão, e tenham acesso a apropriada
gestão de pessoal.
As avaliações de segurança da informação analisam a situação atual da organização usando

as seguintes informações e determinam o estado atual da segurança da informação e as vulnerabilidades
documentadas:
a) estuda fatos conhecidos baseados em processos críticos;

b) classificação dos ativos de informação;
c) requisitos de segurança da informação organizacional.
Os resultados da avaliação de segurança da informação, juntamente com os objetivos da organização,

são frequentemente uma parte importante de incentivo para futuros trabalhos sobre segurança
da informação. Convém que a avaliação da segurança da informação seja realizada por um recurso
interno ou externo com uma posição independente em relação à organização.
Convém que a participação na avaliação de segurança da informação inclua indivíduos que possuam
um forte conhecimento do ambiente atual, condições, e o que é relevante em termos de segurança
da informação. Convém que estes indivíduos sejam selecionados para representar um amplo espectro
através de toda a organização e incluam:
a) gerentes de linha (por exemplo, chefes de unidade organizacional);
b) proprietários do processo (ou seja, representando áreas importantes da organização);
c) outras pessoas que possuam amplo conhecimento do ambiente atual, condições, e o que
é relevante em termos de segurança da informação. Por exemplo, analistas do processo
de negócios e processos operacionais, funções administrativas e funções legais.
As seguintes ações são importantes para o sucesso da avaliação da segurança da informação:
a) identificar e listar as normas relevantes da organização (por exemplo,

ABNT NBR ISO/IEC 27002:2005);
b) identificar os requisitos de controle conhecidos que surgem a partir de políticas, normas, leis
e regulamentações, obrigações contratuais, resultados de auditorias anteriores ou resultados de
avaliações de risco realizadas no passado;
c) utilizar os documentos como referência para que uma estimativa aproximada seja feita
das exigências atuais da organização sobre o seu nível de segurança da informação.
A priorização feita em conexão com a análise da organização constitui a base para que as precauções
e verificações de segurança (controles) sejam consideradas.
A abordagem para a realização da avaliação de segurança da informação é a seguinte:
a) selecionar os processos de negócios organizacionais importantes e as etapas relativas

ao processo de requisitos de segurança da informação,
b) criar um fluxograma abrangente, cobrindo os principais processos da organização, incluindo

infraestrutura (lógica e técnica), se esta não estiver presente ou não for realizada durante a
análise da organização,
c) discutir com o pessoal-chave adequado e analisar a situação atual da organização em relação
aos requisitos de segurança da informação. Por exemplo, quais processos são críticos, quão bem
esses processos funcionam atualmente? (Os resultados são utilizados posteriormente na análise/
avaliação de riscos),
d) determinar as deficiências de controle, comparando os controles existentes com os requisitos de

controle previamente identificados,
e) concluir e documentar o estado atual.

Saída
a) um documento que resume o estado da avaliação de segurança da organização

e as vulnerabilidades avaliadas.
A avaliação da segurança da informação realizada nesta fase só irá fornecer informações preliminares
sobre o estado da segurança da informação e vulnerabilidades da organização, porque todo o conjunto
de políticas e normas de segurança da informação é desenvolvido numa fase posterior (ver Seção 9),
e uma análise/avaliação de riscos ainda não foi realizada.
8 Conduzindo a análise/avaliação de riscos e planejando o tratamento do risco

8.1 Visão geral de conduzindo a análise/avaliação de riscos e planejamento do trata-
mento de risco
Convém que a implementação de um SGSI aborde os riscos relevantes à segurança da informação.

A identificação, avaliação e tratamento planejado dos riscos e a seleção de objetivos de controle e os
controles são passos importantes para a implementação do SGSI e convém que sejam tratados nesta
fase.
A ABNT NBR ISO/IEC 27005:2008 fornece diretrizes específicas para a gestão de riscos de segurança
da informação e convém que essas diretrizes sejam referidas ao longo da Seção 8.
Supõe-se que a direção se comprometeu com a implementação do SGSI, que o escopo e a política
do SGSI foram definidos e que os ativos de informação são conhecidos, bem como as informações
dos resultados da avaliação de segurança da informação.
Objetivo:
Definir a metodologia de análise/avaliação de riscos, identificar, analisar e avaliar os riscos de
segurança da informação para selecionar as opções de tratamento de riscos e seleção de objetivos
de controle e controles.
ABNT NBR ISO/IEC 27001, 4.2.1 c) até 4.2.1 j)

Obtendo a aprovação Definindo o escopo Conduzindo a análise Conduzindo a Definindo o

da direção para iniciar do SGSI, limites e a dos requisitos de avaliação de riscos e SGSI
o projeto do SGSI política do SGSI segurança da planejando o
5 6 informação tratamento do risco 9
7 8
Escopo e os Requisitos de Comunicar a aprovação da
Obter aprovação da direção
limites do SGSI segurança da direção para implantar o
para iniciar o projeto do SGSI informação SGSI
Política do SGSI Identificar os ativos Elaborar o plano de

tratamento dos riscos
Resultados da (SoA) incluindo os

objetivos de controle e os
avaliação de riscos controles relacionados
Linha do tempo
Conduzir avaliação
de risco
8.2
Definir a metodologia
para análise e
avaliação dos riscos
Obter o resultado da
avaliação dos riscos
Selecionar os
objetivos de
controle e os
controles 8.3
Listar os objetivos de
controle e os controles
selecionados
Elaborar o plano de
tratamento dos riscos
Obter a aprovação da
direção para
implementação e operação
de um SGSI 8.4
Aprovar a
implementação do
SGSI
Aceitar os riscos
residuais
SoA incluindo os controles e

objetivos de controle relacionados
Linha do tempo
Figura 6 – Visão geral da fase de análise/avaliação de riscos

8.2 Conduzir avaliação de risco
Atividade
Convém que seja realizada a avaliação de riscos.
Entrada
a) saídas da Atividade na Seção 7 – Conduzindo a análise dos requisitos de segurança da informação
– As informações relativas:
1) ao estado resumido da segurança da informação;
2) aos ativos de informação identificados;
b) saída da atividade na Seção 6 – Definindo o escopo do SGSI, limites e a política do SGSI –
A documentação:
1) escopo do SGSI;
2) política do SGSI;
c) ABNT NBR ISO/IEC 27005:2008.

O desempenho de uma análise/avaliação de riscos de segurança dentro do contexto de negócios

apoiado pelo escopo do SGSI é essencial para a conformidade e a implementação bem-sucedida do
SGSI de acordo com a ABNT NBR ISO/IEC 27001:2005. Convém que a análise/avaliação de riscos:
a) identifique as ameaças e suas fontes,
b) identifique controles existentes e planejados,
c) identifique vulnerabilidades que podem ser exploradas pelas ameaças, causando danos aos
ativos e à organização,
d) identifique os impactos que as perdas de confidencialidade, integridade, disponibilidade, não

repúdio e outros requisitos de segurança podem causar aos ativos de segurança da informação,
e) avalie os impactos para o negócio que podem resultar de incidentes de segurança da informação
reais ou previstos,
f) avalie a probabilidade dos cenários de incidente,
g) estime os níveis de risco,
h) compare os níveis de risco com os critérios de análise/avaliação de riscos e critérios de aceitação
de risco.
Convém que a participação na análise/avaliação de riscos inclua indivíduos que possuem um forte
conhecimento dos objetivos da organização e entendimento de segurança (por exemplo, boa perspectiva
do que é atualmente relevante em termos de ameaças para os objetivos da organização). Convém que
estes indivíduos sejam selecionados para representar um amplo espectro em toda a organização.

Para referência, ver Anexo B.
Uma organização pode empregar uma metodologia de análise/avaliação de riscos que é específica do
projeto, específica da empresa ou uma norma específica do setor.
Saída
a) a descrição das metodologias de análise/avaliação de riscos;
b) os resultados da análise/avaliação de riscos.
Anexo B – informação sobre papéis e responsabilidades.
NOTA Um cenário de incidente é a descrição de uma ameaça explorando uma vulnerabilidade

determinada ou um conjunto de vulnerabilidades em um incidente de segurança da informação.
A ABNT NBR ISO/IEC 27001 descreve a ocorrência de cenários de incidente como “falhas de segurança”
(ver ABNT NBR ISO/IEC 27005:2008).
8.3 Selecionar os objetivos de controle e os controles

Atividade
Convém que as opções para o tratamento dos riscos sejam identificadas, bem como a seleção dos
controles apropriados seja identificada de acordo com as opções de tratamento de risco identificadas.
Entrada
a) saída da Atividade 8.2 – Conduzir avaliação de risco – O resultado da análise/avaliação de riscos;
b) ABNT NBR ISO/IEC 27005:2008;
c) ABNT NBR ISO/IEC 27002:2005.
É importante especificar a relação entre os riscos e as opções selecionadas para tratá-los (por exemplo,
um plano de tratamento do risco), pois isso irá fornecer um resumo do tratamento de risco. As opções
possíveis para o tratamento de riscos são listadas na ABNT NBR ISO/IEC 27001:2005, 4.2.1 f).
A ABNT NBR ISO/IEC 27001:2005, Anexo A (normativo), “Objetivos de controle e os controles”,

é usada para selecionar objetivos de controle e controles para o tratamento de risco. Se não houver
objetivos de controle ou controles apropriados no Anexo A, convém que objetivos de controle
e controles adicionais sejam especificados e utilizados. É importante demonstrar como os controles
selecionados irão mitigar os riscos, como requerido pelo plano de tratamento do risco.
Os dados apresentados na ABNT NBR ISO/IEC 27001:2005, Anexo A, não são exaustivos. Controles
de um setor específico podem ser identificados para apoiar as necessidades específicas do negócio,
bem como o SGSI.
No caso de redução de riscos, gerenciar a relação entre cada risco e objetivos de controle e controles
selecionados é benéfico para projetar a implementação do SGSI. Isso pode ser adicionado à lista
que descreve a relação entre os riscos e as opções selecionadas para o tratamento de risco.

Para facilitar as auditorias, convém que a organização compile uma lista de controles que foram
selecionados como pertinentes e aplicáveis ao SGSI da organização. Isto tem a vantagem adicional
de melhorar as relações comerciais, como a terceirização eletrônica, fornecendo um resumo dos
controles implementados.
É importante estar ciente de que o resumo dos controles provavelmente contenha informações
confidenciais. Portanto, convém que cuidados apropriados sejam tomados ao fazer o resumo dos
controles disponíveis para os destinatários interno e externo. Pode ser apropriado levar em consideração
a informação gerada como parte da criação do SGSI durante a definição de ativos.
Saída
a) uma lista com os controles e objetivos de controle selecionados
b) o Plano de Tratamento de Risco com:
1) A descrição da relação entre riscos e opção de tratamento do risco selecionado.
2) A descrição da relação entre riscos e objetivos de controle e controles selecionados

(especialmente no caso de redução do risco).
ISO/IEC 27002:2005
Obter autorização da direção para implementação e operação de um SGSI
Atividade
Convém que a aprovação da direção seja obtida para implementar um SGSI, assim como documentar
a aceitação dos riscos residuais.
Entrada
a) saída das Atividades 5.4 – Criar os motivos da implementação e o plano do projeto para aprovação
da direção – A aprovação inicial da direção para o Projeto do SGSI;
b) saídas das Atividades da Seção 6 – Definindo o escopo do SGSI, limites e a política do SGSI –
As declarações documentadas:
1) da política e objetivos do SGSI;
2) do escopo do SGSI;
c) saída da Atividade 8.2 – Conduzir avaliação de risco – A documentação:
1) descrição da metodologia de análise/avaliação de riscos;
2) o resultado da análise/avaliação de riscos;
d) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles – O Plano de Tratamento
de Risco.
Para obter aprovação da direção, convém que os documentos descritos como entrada desta subseção
estejam preparados para a avaliação e tomada de decisões da direção.

Convém que os preparativos para a declaração de aplicabilidade sejam incluídos como parte
dos esforços da gestão da segurança da informação. Convém que o nível de detalhe no qual os
controles são especificados satisfaça os requisitos necessários para apoiar a aprovação da direção
da organização para o SGSI.
Convém que a aprovação seja obtida da mais alta direção para a decisão de aceitar os riscos residuais
e obter autorização para o funcionamento real do SGSI. Convém que essas decisões sejam baseadas
em uma avaliação dos riscos e oportunidades suscetíveis de ocorrer como resultado da implementação
do SGSI, quando comparados com aqueles resultantes da não implementação do SGSI.
Saída
a) notificação por escrito da aprovação da direção para a implementação do SGSI;
b) aceitação da direção dos riscos residuais;
c) declaração de aplicabilidade, incluindo os objetivos de controle e os controles selecionados.
9 Definindo o SGSI
9.1 Visão geral de definindo o SGSI

Convém definir detalhadamente o projeto do SGSI e planejar suas atividades para sua implantação.
O planejamento detalhado do projeto do SGSI será único para cada organização, dependendo
dos resultados de atividades anteriores e das atividades específicas descritas nesta Seção.
O planejamento final do projeto de implantação do SGSI é o produto final desta Seção. Com base
neste planejamento, o projeto do SGSI pode ser iniciado na organização como parte da fase “FAZER”
da primeira etapa do ciclo PDCA, como descrito na ABNT NBR ISO/IEC 27001:2005.
Presume-se que a direção tenha se comprometido com a implementação do SGSI, definido no escopo
e na política do SGSI. Presume-se também que os ativos de informação, bem como os resultados da
análise/avaliação de segurança da informação estejam disponíveis. Além disso, convém que esteja
disponível o plano de tratamento de riscos, descrevendo os riscos, opções de tratamento de riscos
e os objetivos de controle e controles selecionados.
A concepção do SGSI aqui descrita tem como foco a estrutura interna e os requisitos do SGSI.
Convém notar que, em certos casos, a concepção do SGSI pode ter um impacto direto ou indireto
na concepção de uma análise dos processos de negócio. Convém notar também que normalmente
há necessidade de integrar componentes do SGSI com arranjos de gestão e infraestrutura existentes.
Objetivo:
Completar o plano final de implantação do SGSI através de: definição da segurança da organização
com base nas opções de tratamento de risco selecionadas e nos requisitos de registros
e documentação, definição dos controles pela integração com as provisões de segurança para TIC,
infraestrutura e processos organizacionais, e definição dos requisitos específicos do SGSI.
ABNT NBR ISO/IEC 27001:2005, 4.2.2 a) até e), h)
Convém que na definição do SGSI as seguintes questões sejam consideradas.

a) Segurança na organização – Cobre os aspectos administrativos de segurança

da informação, incluindo a responsabilidade da operação da organização no tratamento de risco.
Convém que isto seja formado através de um conjunto de atividades resultando nas políticas,
objetivos, processos e procedimentos para manusear e melhorar a segurança da informação
em relação às necessidades da organização e riscos.
b) Segurança de TIC – cobre os aspectos de segurança da informação especificamente relacionados

à responsabilidade das operações de TIC para redução de risco. Isto é para cumprir o conjunto
de requisitos da organização e a implementação técnica de controles para reduzir riscos.
c) Segurança física – cobre aspectos de segurança da informação especificamente relacionados

à responsabilidade do ambiente físico, tal como edifícios e sua infraestrutura para redução
de risco. Isto é para cumprir com o conjunto de requisitos da organização e a implementação
técnica de controles de reduzir riscos.
d) Específico do SGS – cobre os aspectos dos diferentes requisitos específicos para um SGSI
de acordo com a ABNT NBR ISO/IEC 27001:2005, além do que é coberto nas outras três áreas.
O foco está em certas atividades que convém que sejam conduzidas na implementação para
alcançar a operação do SGSI:
1) monitoração;
2) medição;
3) auditoria interna do SGSI;
4) treinamento e conscientização;
5) gestão de incidentes;
6) análise crítica pela direção;
7) melhorias no SGSI através de ações corretivas e preventivas.
Convém que o desenvolvimento do projeto de SGSI e a definição dos planos relacionados

de implementação envolvam e façam uso das habilidades e experiência dos funcionários que fazem
parte da organização, que estão dentro do alcance do escopo do SGSI ou têm responsabilidades
de direção. Os aspectos específicos do SGSI exigem diálogo com a direção.
Para projetar os controles selecionados para o tratamento de risco, é crucial projetar o TIC e ambiente
físico de segurança e o ambiente de organização de segurança. A segurança de TIC trata não apenas
de sistemas de informações e redes, mas também de requisitos operacionais. Segurança física lida
com todos os aspectos de controle de acesso, não repúdio, proteção física de ativos de informações
e o que é armazenado ou é mantido, assim como os meios de proteção para os controles de segurança.
Convém que os controles selecionados nas atividades descritas em 8.3 sejam implementados
de acordo com um plano de implementação específico estruturado e detalhado, como parte do plano de
projeto de SGSI. Convém que esta parte específica do plano de projeto de SGSI enderece como tratar
cada risco para alcançar os objetivos de controle. Esta parte específica do plano de projeto de SGSI
é essencial se os controles selecionados são implementados adequadamente e eficazmente. A equipe
de gestão de segurança da informação é responsável por esboçar esta parte específica do plano
de implementação, que então constitui o plano final de projeto de SGSI.

Obtendo a aprovação Definindo o escopo Conduzindo a análise Conduzindo a avaliação

da direção para iniciar Definindo o SGSI
do SGSI, limites e a dos requisitos de de riscos e planejando
o projeto do SGSI política do SGSI segurança da o tratamento do risco
5 6 informação 7 8 9
Aprovação da Escopo e os limites Plano final de ação

Requisitos de Aprovação pela direção
direção para iniciar do SGSI para implementação
segurança da para implementar o
o projeto do SGSI do SGSI
informação SGSI
Política do SGSI Plano de tratamento do

Ativos de
informação risco
Resultados da (SoA) incluindo os

avaliação de riscos objetivos de controle e os
controles relacionados
Linha do tempo
Definir a segurança Definir a estrutura final Definir uma estrutura Definir a política de Desenvolver normas e
da informação da de organização para para a segurança da procedimentos de
organização 9.2 segurança da documentação do informação segurança da
informação 9.2.1 SGSI 9.2.2 9.2.3 informação 9.2.4
Estrutura de Estrutura resumida Política da

segurança da Estrutura do
organização e seus de documentação e conjunto de normas
papéis e informação
registros do SGSI e de segurança da

responsabilidades do controle da informação
documentação
Repositórios e
modelos dos registros Normas de segurança
do SGSI da informação,
incluindo o ponto de
Definir segurança da partida da
informação para TIC organização
e segurança física
9.3
Procedimentos de
Plano de implementação segurança da
para os controles de TIC informação
e segurança física
Definir a segurança Plano para análise Definir o programa de

da informação crítica pela conscientização,
especifica do SGSI direção treinamento e educação em
9.4 9.4.1 segurança da informação
9.4.2
Produzir o plano
Lista de entradas para Materiais de Planos para final do projeto do
executar uma análise treinamento de conscientização,
educação e treinamento SGSI 9.5
crítica pela direção segurança de
informações de segurança da
informação
Plano final de
implementação do
Procedimentos para a Formação e treinamento projeto do SGSI
análise crítica pela direção de segurança da Registros de resultados
incluindo auditoria, informação, incluindo os de treinamento e
monitoramento e medição papéis e segurança da
responsabilidades informação
Linha do tempo
Figura 7 – Visão geral das fases de definição do SGSI

9.2 Definir a segurança da informação da organização
9.2.1 Definir a estrutura final de organização para segurança da informação
Atividade
Convém que as funções de organização, papéis e responsabilidade para segurança da informação

sejam alinhadas com o tratamento de risco.
Entrada
a) saída da Atividade 5.3.2 – Definir os papéis e responsabilidades para o escopo preliminar
do SGSI – A tabela de papéis e responsabilidades;
b) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
O escopo do SGSI e seus limites;
c) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
A política do SGSI;
d) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI;
e) saída da Atividade 7.3 – Identificar os ativos dentro do escopo do SGSI;
f) saída da Atividade 7.4 – Conduzir uma avaliação de segurança da informação;
g) saída da Atividade 8.2 – Conduzir avaliação de risco – Os resultados de avaliação de risco;
h) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles;
i) ABNT NBR ISO/IEC 27002:2005.
Convém que a definição da estrutura da organização e de seus processos para as operações internas
do SGSI seja construída e integrada com áreas preexistentes onde apropriado. Da mesma maneira,
recomenda-se que a integração do SGSI com estruturas de gestão preexistentes (por exemplo,
auditoria interna) seja levada em conta no processo de definição do SGSI.
Convém que a estrutura da organização projetada para o SGSI reflita as atividades para implementação
e operação do SGSI, assim como contemple, por exemplo, os métodos de monitoração e registros
como parte das operações do SGSI.
Consequentemente, convém que a estrutura para a operação do SGSI seja projetada com base
no plano de implementação do SGSI, considerando o seguinte:
a) Cada papel para implementação do SGSI é necessário para a operação do SGSI?
b) Estão definidos os diferentes papéis para a implementação do SGSI?
c) Quais papéis convém que sejam adicionados para implementação do SGSI?

Por exemplo, os seguintes papéis podem ser adicionados para a operação do SGSI:
a) uma pessoa responsável pelas atividades de segurança da informação em cada departamento;
b) alguém responsável por medir o SGSI em cada departamento.
A consideração dos pontos definidos no Anexo B pode ajudar a decidir a estrutura e os papéis para
a operação do SGSI através da revisão da estrutura e dos papéis para implementação do SGSI.
Saída
O resultado desta atividade é um documento resumindo:
a) estrutura de organização e seus papéis e responsabilidades.
Anexo B – Informações sobre papéis e responsabilidades;
Anexo C – Informações sobre planejamento de auditoria.
9.2.2 Definir uma estrutura para a documentação do SGSI

Atividade
Convém que os registros e documentos do SGSI sejam controlados através da identificação

dos requisitos e da estrutura adequada que permita o cumprimento do processo de execução
do controle de registros e documentos do SGSI.
Entrada
a) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
b) definição do escopo e limites do SGSI;
c) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter aprovação da direção – A política
do SGSI;
d) saída da Atividade 8.4 – Obter autorização da direção para implementação e operação
de um SGSI;
e) saída da Atividade 9.2.1 – Definir a estrutura final de organização para segurança da informação;
f) ABNT NBR ISO/IEC 27002:2005.
Definir os registros do SGSI incluindo as seguintes atividades:
a) Uma estrutura descrevendo os princípios para a documentação do SGSI, a hierarquia de

procedimentos para documentar o SGSI, papéis envolvidos, formatos de dados, e forma de
relatórios para a direção;

b) definir os requisitos de documentação;
c) definir os requisitos de registro.
Convém que a documentação do SGSI inclua registros das decisões da direção; assegure
que as ações sejam rastreadas para políticas e decisões da direção, e que os resultados registrados
sejam reproduzíveis.
Convém que os documentos do SGSI forneçam a evidência de que os controles são selecionados
baseados nos resultados de avaliação e tratamento de risco, e que tais processos sejam implementados
de acordo com a política e objetivos do SGSI.
A documentação é essencial para a reprodutibilidade de resultados e procedimentos. Quanto a

controles selecionados, convém que o estabelecimento e a documentação dos procedimentos tenham
uma referência à pessoa responsável pela parte específica da documentação.
Convém que a documentação do SGSI inclua a documentação como especificado

na ABNT NBR ISO/IEC 27001:2005, 4.3.1.
É necessário para os documentos de SGSI que sejam gerenciados e estejam disponíveis ao pessoal
quando necessário. Isto inclui o seguinte:
a) estabelecer o procedimento administrativo de gestão de documentos do SGSI;

b) aprovação formal dos documentos quanto à sua adequação antes de sua emissão;
c) garantir que as mudanças e o estado atual da revisão dos documentos sejam identificados;
d) proteção e controle dos documentos como um ativo de informações da organização.
É importante que versões relevantes de documentos aplicáveis estejam disponíveis no momento

da necessidade do uso, garantindo que documentos permaneçam legíveis, facilmente identificáveis,
transferidos, armazenados e por fim, descartados de acordo com os procedimentos aplicáveis a sua
classificação.
Adicionalmente, garantir que os documentos de origem externa sejam identificados, que a distribuição
de documentos seja controlada, prevenindo o uso involuntário de documentos obsoletos, e aplicando
registros a eles caso sejam retidos por algum motivo.
Convém que os registros sejam criados, mantidos e controlados como evidência de que o SGSI
da organização adere à ABNT NBR ISO/IEC 27001:2005, e para mostrar a eficácia das operações.
Também é exigido manter os registros da implementação para todo o ciclo do PDCA, assim como
os registros de eventos e incidentes de segurança da informação, registros de educação, treinamento,
habilidades, experiência e qualificações, auditorias internas do SGSI, ações corretivas e preventivas,
e registros da organização.
Convém que as seguintes tarefas sejam executadas para controlar registros:
a) documentar os controles requeridos para identificar, armazenar, proteger, procurar, e descartar
dados, e documentar a duração do armazenamento;
b) definir o que e até que ponto convém que seja registrado nos processos operacionais da direção;
c) quando qualquer período de retenção é especificado por leis ou legislações relevantes, convém
que o período de retenção seja definido para cumprir tal obrigação legal.

Saída
As entregas desta atividade são:
a) um documento resumindo os requisitos para os registros do SGSI e do controle da documentação;
b) repositórios e modelos para os registros necessários do SGSI.
9.2.3 Definir a política de segurança da informação
Atividade
Convém que a posição estratégica dos objetivos de segurança da informação da direção e administração,
com respeito à operação do SGSI, seja documentada.
Entrada
a) saída da Atividade 5.2 – Esclarecer as prioridades da organização para desenvolver um SGSI –
Os objetivos resumidos e lista de requisitos;
b) saída da Atividade 5.4 – Criar os motivos da implantação e o plano do projeto para aprovação
da direção – A aprovação inicial da direção para o projeto do SGSI;
c) saída da Atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
d) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
e) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo
do SGSI;
f) saída da Atividade 7.3 – Identificar os ativos dentro do escopo do SGSI;
g) saída da Atividade 7.4 – Conduzir uma avaliação de segurança da informação;
h) saída da Atividade 8.2 – Conduzir avaliação de risco – Os resultados da saída de avaliação
de risco da Atividade 8.3 – Selecionar os objetivos de controle e os controles;
i) saída da Atividade 9.2.1 – Definir a estrutura final de organização para segurança da informação;
j) saída da Atividade 9.2.2 – Definir uma estrutura para a documentação do SGSI;
k) ISO/IEC 27002:2005, 5.1.1.
A política da segurança da informação documenta a posição estratégica da organização com respeito

aos objetivos de segurança da informação para toda a organização.

A política é desenhada com base em informações e conhecimento. Convém que o que foi identificado
pela direção como importante em análises previamente conduzidas seja evidente e enfatizado
na política para fornecer incentivo e motivação na organização. É também importante salientar o que
acontece se a política não for seguida. Convém que impactos das leis e regulamentações que afetam
a organização em questão também sejam enfatizados.
Os exemplos de uma política de segurança da informação podem ser obtidos de literaturas referenciadas,
da internet, associações de interesse e associações da indústria. As formulações podem ser obtidas
de relatórios anuais, outros documentos de políticas ou outros documentos que a direção suporta.
É possível que tenha diferentes interpretações e requisitos sobre o tamanho real de uma política.
Recomenda-se que isso seja resumido, de modo que o pessoal possa entender a intenção
da política. Adicionalmente, convém distinguir que objetivos são necessários para endereçar o conjunto
de regulações e objetivos da organização.
Convém que o tamanho e estrutura da política da segurança da informação apoie os documentos

que são usados na próxima etapa no processo para introduzir um sistema de gestão de segurança
da informação (ver também Anexo D – informação sobre estrutura da política).
Para organizações grandes e complexas (por exemplo, com diferentes áreas operacionais pode ser
necessário esboçar uma política geral e outras políticas adaptadas operacionalmente.
A orientação no conteúdo de um documento de política da segurança da informação é fornecida

na ISO/IEC 27002:2005, referência 5.1.1.
Convém que a política proposta (com o número de versão e data) seja revisada e estabelecida dentro
da organização pelo gestor operacional. Seguido do estabelecimento dentro do grupo de gestores
ou equivalentes, o gestor operacional aprova a política da segurança da informação. Então ela
é comunicada a todos da organização de uma maneira relevante, acessível e compreensível para
seus leitores.
Saída
O resultado desta atividade é um documento da política da segurança da informação.
Anexo B – Informações sobre papéis e responsabilidades;
Anexo D – Informações sobre estrutura da política.
9.2.4 Desenvolver normas e procedimentos de segurança da informação
Atividade
Convém que as normas e procedimentos de segurança da informação endereçados para toda

a organização ou partes específicas sejam desenvolvidos.
Entrada

b) saída da Atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
c) saída da Atividade 8.2 – Conduzir avaliação de risco;
d) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles;
e) saída da Atividade 8.4 – Obter autorização da direção para implementar e operação de um SGSI
– A Declaração de Aplicabilidade, incluindo os objetivos de controle e os controles selecionados;
f) saída da Atividade 9.2.1 – Definir a estrutura final da organização para segurança da informação;
g) saída da Atividade 9.2.2 – Definir uma estrutura para a documentação do SGSI;
h) saída da Atividade 9.2.3 – Definir a política de segurança da informação;
i) ABNT NBR ISO/IEC 27002:2005.
Para fornecer uma base para o trabalho de segurança da informação dentro da organização, convém
que normas de segurança da informação, assim como o conjunto de requisitos legais e regulamentares
aplicáveis estejam disponíveis a quem precisa conhecer.
Convém que os representantes de diferentes partes da organização coberta pelo escopo do SGSI
participem do processo de desenvolvimento das normas e procedimentos. Convém que essa
participação tenha autoridade e seja representante da organização. Por exemplo, os seguintes papéis
podem ser incluídos:
a) gerentes de segurança da informação,
b) representantes para segurança física,
c) proprietários de sistemas de informação, e
d) proprietários de processos de áreas estratégicas e operacionais.
É sugerido manter o grupo editorial tão pequeno quanto possível, com a opção de nomear especialistas
temporários para a equipe quando necessário. Convém que cada representante faça contato ativamente
com a sua própria área da organização para fornecer apoio operacional. Isto facilita o refinamento
posterior na forma de procedimentos e rotinas no nível operacional.
Convém que as normas e procedimentos de segurança sejam usados como uma base para projetar
os procedimentos técnicos ou operacionais.
Uma maneira útil para desenvolver normas e procedimentos de segurança da informação

é considerar cada ponto de orientação de implementação das ABNT NBR ISO/IEC 27001:2005
e ABNT NBR ISO/IEC 27002:2005 que é considerado aplicável (baseado nos resultados da avaliação
de risco) e descrever de forma precisa como convém que seja aplicado.
Convém que uma avaliação das normas e procedimentos de segurança da informação existentes
seja analisada criticamente. Por exemplo, podem ser refinados e desenvolvidos, ou necessitam ser
inteiramente substituídos?

Convém que documentação relevante e atualizada seja fornecida a cada membro da equipe no
escopo. Convém que as normas e procedimentos de segurança da informação sejam aplicados a toda
organização ou deixem claro quanto quais papéis, sistemas e áreas estão cobertos. Convém que uma
primeira versão seja produzida oportunamente.
Recomenda-se que o processo de revisão e análise crítica sejam definidos numa primeira etapa.
Convém que uma estratégia seja desenhada para definir como as mudanças nas políticas devem ser
distribuídas.
Saída
a) O resultado desta atividade é um plano de implementação estruturado e detalhado para os

controles relacionados à segurança da organização como parte do plano final do projeto do SGSI,
incluindo: uma estrutura documentada do conjunto de normas de segurança da informação;
b) normas de segurança da informação incluindo o ponto de partida da organização;
c) procedimentos de segurança da informação de acordo com as normas de segurança da informação.
Outras Informações
Anexo D - Informações sobre estrutura da política

9.3 Definir segurança da informação para TIC e segurança física
Atividade
Convém que os controles de segurança para TIC e ambientes físicos sejam projetados.
Entrada
do SGSI;
d) saída da Atividade 7.3 – Identificar os ativos dentro do escopo do SGSI;
e) saída da Atividade 7.4 – Conduzir uma avaliação de segurança da informação;
f) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles;
g) saída da Atividade 8.4 – Obter autorização da direção para implementar e operação de um SGSI
– Declaração de aplicabilidade, incluindo os objetivos de controle e os controles selecionados;
h) ABNT NBR ISO/IEC 27002:2005.

Nesta atividade, recomenda-se que os seguintes pontos sejam documentados para cada controle, o
que convém que seja uma parte do plano de projeto do SGSI:
a) nome da pessoa responsável pela implementação de um controle;
b) prioridade do controle a ser implementado;
c) tarefas ou atividades para implementar os controles;
d) declaração de há quanto tempo o controle devia ter sido implementado;
e) pessoa a quem convém que a implementação do controle seja informada, uma vez concluída;
f) recursos para implementação (mão de obra, requisitos de recurso, requisitos de espaço, custos).
Inicialmente, convém que o TIC e a segurança física sejam projetados conceitualmente. Convém que
seja considerado o seguinte:
As responsabilidades para o processo inicial de implementação geralmente incluem:
a) especificação de objetivos de controle com uma descrição do estado planejado esperado;
b) alocação de recursos (carga de trabalho, recursos financeiros);
c) objetivo realista do tempo para implementação do controle;
d) opções de integração com segurança de TIC, física e da organização.
Depois do projeto conceitual, convém que o projeto real seja feito, tal como o desenvolvimento
de sistema para realizar e implementar a melhor prática para a organização. Convém que seja
considerado o seguinte:
As responsabilidades para o processo real de implementação incluem:
a) definição para cada um dos controles selecionados para TIC, áreas físicas e da organização
no nível operacional do local de trabalho;
b) implantação de cada controle de acordo com o projeto acordado;
c) provisão de procedimentos e informações para promoção de programas de conscientização

de segurança e cursos;
d) provisão de apoio e implementação dos controles no local de trabalho.
Dependendo do tipo de controle (TIC, físico ou de organização), pode não ser sempre apropriado
ou necessário desenhar uma linha bem definida entre a parte inicial e a parte final do processo
de implementação.
A implementação de controles frequentemente exige cooperação entre vários papéis diferentes

dentro de uma organização. Assim, por exemplo, pessoas com responsabilidade do sistema serão
necessárias para obter, instalar e manter recursos técnicos. Outros papéis podem ser melhor definidos
para conceber e documentar procedimentos para governar o uso de sistemas.

Convém que a segurança da informação seja integrada em procedimentos e processos organizacionais.

Se isto ficar difícil para uma parte da organização, ou terceiro, implementar, convém que as partes
relevantes comuniquem esta questão imediatamente de modo que uma resolução possa ser acordada.
As soluções para este tipo de assunto incluem modificar os procedimentos e processos, realocando
papéis e responsabilidades e adaptando procedimentos técnicos.
A seguir estão resultados da implementação dos controles do SGSI.
a) plano de implementação que especifica os detalhes da implementação dos controles, como
planejamento, equipe de implementação e assim por diante;
b) registros e documentação dos resultados da implementação.
Saída
Os entregáveis desta atividade é um plano estruturado e detalhado de implementação para os controles

relacionando a TIC e segurança física como parte do Plano de Projeto do SGSI, para incluir, para cada
controle:
a) descrição detalhada;
b) responsabilidades para definição e implementação;

c) períodos de tempo esperados;
d) tarefas envolvidas;
e) recursos requeridos;
f) proprietários (responsabilidades).
9.4 Definir a segurança da informação específica do SGSI
9.4.1 Plano para análise crítica pela direção
Atividade
Convém que um plano seja desenvolvido para assegurar o envolvimento e o compromisso da direção
para analisar criticamente a operação do SGSI e o processo de melhoria contínua.
Entrada
a) saída da atividade 6.5 – Integrar cada escopo e limites para obter o escopo e limites do SGSI –
b) saída da atividade 6.6 – Desenvolver a política do SGSI e obter a aprovação da direção –
c) saída da atividade 8.4 – Obter autorização da direção para implementação e operação de um SGSI
– Declaração de Aplicabilidade, incluindo os objetivos de controles e os controles selecionados;

d) saída da Atividade 9.2.3 – Definir a política de segurança da informação;
e) ABNT NBR ISO/IEC 27004:2009.
Convém que a análise crítica, pela direção, das atividades do SGSI comece nas primeiras etapas de
especificação do SGSI e do desenvolvimento do plano de negócio e continue por meio das análises
críticas periódicas das operações do SGSI. Este envolvimento próximo fornece meios de validar
o SGSI contra as necessidades do negócio e manter o compromisso do negócio com o SGSI.
Convém que o planejamento das análises críticas pela direção estabeleça quando e como recomenda-
se que essas análises sejam conduzidas pela direção. Informações detalhadas sobre os pré-requisitos
para as análises críticas pela direção são apresentadas em 7.2 da ABNT NBR ISO/IEC 27001:2005.
Para planejar a análise crítica, tem que ser realizada uma avaliação de quais papéis convém que
sejam envolvidos. Convém que a aprovação da direção na escolha dos papéis seja realizada, e que
estes papéis sejam então informados o mais cedo possível. É aconselhável fornecer a direção com
dados adequados para a necessidade e o propósito do processo de revisão. (Ver Anexo B para mais
informações sobre papéis e responsabilidades).
Recomenda-se que as análises críticas pela direção sejam baseadas nos resultados da medição
dos indicadores do SGSI e em outras informações recolhidas durante a operação do SGSI.

Estas informações são usadas pelas atividades de gerência do SGSI para determinar a maturidade
e eficácia do SGSI. Entradas e saídas necessárias para a medição do SGSI são fornecidas
na ABNT NBR ISO/IEC 27001:2005, e mais informações sobre indicadores do SGSI estão disponíveis
no Anexo E e na ABNT NBR ISO/IEC 27004:2010.
Também convém que seja observado que é recomendado incluir uma revisão da metodologia
e dos resultados da avaliação de risco. Convém que isto aconteça em intervalos planejados, levando
em consideração qualquer mudança no ambiente, tal como a organização e a tecnologia.
Convém que o planejamento para a auditoria interna do SGSI seja feito para ser capaz de avaliar
regularmente o SGSI uma vez que ele se encontra implementado. Os resultados da auditoria interna
do SGSI são entradas importantes para a análise crítica pela direção. Portanto, antes que a análise
crítica pela direção seja executada, convém que uma auditoria interna do SGSI seja planejada.
Recomenda-se que a auditoria interna do SGSI inclua avaliação, se os objetivos de controle, controles,
processos e procedimentos do SGSI estiverem eficazmente implementados e mantidos e se estiverem
em conformidade com:
a) os requisitos da ABNT NBR ISO/IEC 27001:2005,
b) legislação ou regulamentações relevantes, e
c) os requisitos de segurança da informação identificados,
(Ver Anexo C para mais informações sobre planejamento de auditoria).
Convém que as análises críticas pela direção possuam as informações recolhidas baseadas no SGSI
implementado e operado. As informações fornecidas para o time de análise crítica podem incluir:
a) relatórios de incidente durante o último período de operação;

b) verificação de eficácia do controle e não conformidades identificadas;
c) resultados de outras avaliações periódicas (mais detalhes se as avaliações revelaram

não conformidade com a política);
d) recomendações para melhoria do SGSI.
Recomenda-se que um plano para monitoração documente os resultados de monitoração que convém
que sejam registrados e informados à direção (para informações adicionais sobre monitoração,
ver Anexo E).
Saída
O resultado desta atividade é um documento que resume o plano necessário para realizar a análise
crítica pela direção:
entradas exigidas para executar uma análise crítica pela direção do SGSI;
procedimentos para a análise crítica pela direção, cobrindo a auditoria e os aspectos de controle
e medição.
Anexo B – Papéis e responsabilidades pela segurança da informação;
Anexo C – Informações sobre auditoria interna;
Anexo E – Monitoramento e medição.
9.4.2 Definir o programa de conscientização, treinamento e educação em segurança

da informação
Atividade
Convém que o programa de conscientização, treinamento e educação de segurança da informação

seja desenvolvido.
Entrada
c) saída da Atividade 7.2 – Definir os requisitos de segurança da informação para o processo do
SGSI – Em particular os requisitos das organizações para o treinamento e educação de segurança
da informação;
d) saída da Atividade 8.4 – Obter autorização da direção para implementação e operação de um SGSI
– Declaração de Aplicabilidade, incluindo os objetivos de controle e os controles selecionados;
e) saída da Atividade 8.3 – Selecionar os objetivos de controle e os controles – Plano de tratamento
de risco;

f) saída da Atividade 9.2.3 – Definir a política de segurança da informação;
g) saída da Atividade 9.2.4 – Desenvolver normas e procedimentos de segurança da informação;
h) visão geral do programa de treinamento e educação da organização.
A direção é responsável por assegurar a execução de treinamento e educação para que todo o pessoal
que é alocado em um papel claramente definido tenha a competência para executar as operações
necessárias. Idealmente, convém que o conteúdo do treinamento e educação ajude todo o pessoal
a entender o significado e a importância das atividades de segurança da informação em que estão
envolvidos e como podem contribuir para alcançar as metas do SGSI.
É importante assegurar neste ponto que cada empregado dentro do escopo do SGSI receba
o treinamento e/ou educação necessária. Em organizações grandes, um único material de treinamento
normalmente não é suficiente, já que conterá muitos dados que são relevantes só a tipos específicos
de trabalhos, e portanto será grande, complexo e difícil de usar. Nestes casos, é normalmente
apropriado ter conjuntos diferentes de material de treinamento projetados para cada tipo de papel,
como empregados, equipe de TI ou líderes, sendo personalizadas a suas necessidades específicas.
Convém que um programa de treinamento e educação de conscientização de segurança

da informação garanta que os registros de treinamento são gerados. Recomenda-se que estes registros
sejam regularmente avaliados para assegurar que todo o pessoal recebeu o treinamento necessário.
Convém que uma função responsável por este processo seja criada.
Recomenda-se que os materiais de treinamento de segurança da informação sejam projetados para se

integrar a outros materiais de treinamento usados pela organização, especialmente cursos fornecidos
para usuários de sistemas de TI. Convém que os aspectos relevantes do treinamento de segurança
da informação sejam integrados em cada curso para usuários de TI.
Convém que o material de treinamento de segurança da informação contenha no mínimo os seguintes

pontos, sendo apropriado à audiência-alvo:
a) riscos e ameaças de segurança da informação;
b) termos básicos de segurança da informação;
c) definição clara de um incidente de segurança: orientação quanto a como pode ser identificado e
como convém que seja tratado e registrado;
d) política da segurança da informação, normas e procedimentos da organização;
e) responsabilidades e canais de comunicação relacionados com a segurança de informações na

organização;
f) orientação sobre como auxiliar na melhoria da segurança da informação;
g) orientação sobre incidentes e comunicações de segurança da informação;
h) onde obter mais informações.
Convém que uma equipe de treinamento de segurança da informação seja determinada para executar
as seguintes tarefas:
a) criar e administrar registros de treinamento;

b) criar e administrar materiais para treinamento;
c) executar treinamento.
Estas tarefas podem ser alocadas usando o pessoal existente de treinamento. No entanto, tal pessoal
pode exigir treinamentos substanciais em conceitos de segurança da informação para garantir
que estes possam ser apresentados de forma eficaz e com exatidão.
Convém que um programa de conscientização, treinamento e educação de segurança da informação

inclua um procedimento para garantir que os materiais de treinamento sejam revisados e atualizados
regularmente. Recomenda-se que um papel seja explicitamente estabelecido para o responsável por
analisar criticamente e atualizar materiais de treinamento.
Saída
As entregas destas atividades são:
a) materiais de conscientização, educação e treinamento de segurança da informação;
b) formação da educação e treinamento de conscientização de segurança da informação, incluindo

papéis e responsabilidades;
c) planos para conscientização de segurança da informação, educação e treinamento;
d) registros atualizados mostrando os resultados da conscientização, educação e treinamento

de segurança da informação.
9.5 Produzir o plano final do projeto do SGSI
Atividade
Convém que o plano de projeto do SGSI seja finalizado, incluindo as atividades necessárias para
a implementação dos controles selecionados.
Entrada
c) saída da Atividade 9.2 – Definir a segurança da informação da organização;
d) saída da Atividade 9.3 – Definir segurança da informação para TIC e segurança física;
e) saída da Atividade 9.4 – Definir a segurança da informação específica do SGSI;
f) ABNT NBR ISO/IEC 27002:2005.

Convém que as atividades requeridas para implementar os controles selecionados e outras

atividades fora das atividades relacionadas ao SGSI sejam formalizadas em um plano detalhado
de implementação, como parte do projeto final de SGSI. O plano detalhado de implementação também
pode ser apoiado por descrições detalhadas de implementação de ferramentas e métodos propostos.
Como um projeto de SGSI envolve muitos papéis diferentes na organização, é importante que
as atividades sejam claramente designadas às partes responsáveis, e que este plano seja comunicado
no começo do projeto para toda a organização.
Como em todos os projetos, é essencial que a pessoa responsável pelo projeto assegure
que os recursos suficientes foram alocados ao projeto.
Saída
A entrega desta atividade é o plano final de implementação do projeto do SGSI.


Anexo A
(informativo)
Descrição da lista de verificação

Propósito:
•• fornecer uma lista de verificação das atividades necessárias para estabelecer e implementar
o SGSI;
•• apoiar o monitoramento do progresso da implementação do SGSI;
•• mapear atividades de implementação do SGSI aos respectivos requisitos da ISO/IEC 27001.
Pré-requisito
Fase de Referência à
da etapa
Atividade, referência
Implementação
Etapa
Resultado ABNT NBR

da ABNT NBR ISO/IEC
ABNT NBR documentado ISO/IEC
27003
ISO/IEC 27003 27003
1. Capturar objetivos de Nenhum Lista de objetivos de N/A

negócio da organização negócio corporativo
2. Conhecer os sistemas de Nenhum Descrição dos N/A

gestão existentes sistemas de gestão
existentes
3. 5.2 Definir objetivos, 1, 2 Resumo dos objetivos, N/A
necessidades de das necessidades
segurança da informação de segurança da
e requisitos de negócio informação e dos
para o SGSI requisitos de negócio
para o SGSI
4. Reunir normas Nenhum Resumo de normas N/A
regulamentares , de regulamentares,
5 Obtendo conformidade e do setor, de conformidade e do
aprovação da pertinentes à organização setor, pertinentes à
direção para a organização
implementação do 5. 5.3 Definir o escopo 3, 4 Descrição do escopo N/A
SGSI preliminar do SGSI preliminar do SGSI
(5.3.1)
Definição dos papéis e N/A
responsabilidades do
SGSI (5.3.2)
5.4 Criar o plano de 5 Plano de negócio N/A
negócio e o plano de e plano de projeto
6.
projeto para aprovação proposto
da direção
7. 5.5 Obter aprovação e 6 Aprovação da direção N/A
comprometimento da para iniciar o projeto
direção para iniciar o da implementação do
projeto da implementação SGSI
do SGSI

Pré-requisito
Fase de
da etapa
Implementação Atividade, referência Referência à
Etapa
Resultado
da ABNT NBR ISO/IEC ABNT NBR
ABNT NBR documentado
27003 ISO/IEC 27003
ISO/IEC 27003
6 Definindo o 8. 6.2 Definir os limites 7 •• Descrição 4.2.1 a)

escopo do SGSI, organizacionais dos limites (parcialmente)
limites e a política organizacionais
do SGSI •• Funções e
estrutura da
organização
•• Troca de
informações
através dos limites
•• Processos de
negócio e as
responsabilidades
pelos ativos de
informação de
dentro e de fora
do escopo
9. 6.3 Definir limites 7 •• Descrição dos 4.2.1 a)
de tecnologia limites do TIC (parcialmente)
da informação e •• Descrição de
comunicação sistemas de
informação
e redes de
telecomunicação,
detalhando o que
está dentro e o
que está fora do
escopo
10. 6.4 Definir os limites 7 •• Descrição dos 4.2.1 a)
físicos limites físicos para (parcialmente)
o SGSI
•• Descrição da
organização
e de suas
características
geográficas,
detalhando o
escopo interno
e o externo
11. 6.5 Finalizar os limites 8, 9, 10 Documento 4.2.1 a)
para o escopo do SGSI descrevendo o escopo
e os limites do SGSI
12. 6.6 Desenvolver a 11 Política do SGSI 4.2.1 b)

política do SGSI aprovada pela direção

Pré-requisito
da etapa
Implementação
Etapa
Resultado ABNT NBR
da ABNT NBR ISO/IEC
ABNT NBR documentado ISO/IEC
27003
ISO/IEC 27003 27003
7 Conduzindo 13. 7.2 Definir os requisitos 12 Lista dos principais N/A

a Análise da de segurança da processos, funções,
Organização informação que apoiam locais, sistemas de
o SGSI informação, redes de
comunicação
Requisitos da N/A
organização sobre
confidencialidade,
disponibilidade e
integridade
Requisitos da 4.2.1 c) 1)
organização parcialmente
contemplando
requisitos de
segurança da
informação legais,
regulamentares,
contratuais e do
negócio
Lista das 4.2.1 d) 3)

vulnerabilidades
conhecidas pela
organização
14. 7.3 Ativos identificados 13 Descrição dos N/A

dentro do escopo do principais processos
SGSI da organização
Identificação dos 4.2.1 d) 1)

ativos de informação
dos principais
processos da
organização
Classificação dos N/A

processos e ativos
críticos

Pré-requisito
da etapa
Implementação
Etapa
Resultado ABNT NBR
da ABNT NBR ISO/IEC
ABNT NBR ISO/ documentado ISO/IEC
27003
IEC 27003 27003
15. 7.4 Conduzir a análise/ 14 • Documento da 4.2.1 e) 2)

avaliação de segurança avaliação e da parcialmente
da informação descrição do status
real da segurança
da informação
da organização,
incluindo controles
de segurança
da informação
existentes
• Documento de
deficiências da
organização
analisadas e
avaliadas
8 Conduzindo a 16. 8.2 Conduzir avaliação de 15 • Escopo para a 4.2.1 c) 1)
análise/avaliação risco análise/avaliação de
de riscos e riscos
selecionando • Metodologia de
as opções de análise/avaliação
tratamento de de riscos aprovada
risco e alinhada com o
contexto de gestão
estratégica de riscos
da organização
• Critérios de
aceitação de riscos
17. 8.3 Selecionar os 16 Análise/avaliação de 4.2.1 e) 3)
objetivos de controle alto nível de riscos parcialmente
e os controles documentada
Identificar a N/A
necessidade de uma
análise/avaliação de
riscos mais detalhada
Análise/avaliação de 4.2.1 e) 3)
riscos detalhada e parcialmente
documentada
Resultados agregados N/A
da análise/avaliação de
riscos
18. 8.4 Obter aprovação da 17 Riscos e suas opções de 4.2.1 f)
direção para implementar tratamento identificadas
o SGSI
Objetivos de controle e 4.2.1 g)
controles selecionados
para redução do risco

Pré-requisito
da etapa
Implementação
Etapa
ABNT NBR
da ABNT NBR ISO/IEC Resultado documentado
ABNT NBR ISO/IEC
27003
ISO/IEC 27003 27003
Aprovação documentada
da direção para os riscos
Aprovação da direção
19. 18 residuais propostos 4.2.1 h)
para os riscos residuais
(convém que seja a saída
de 8.4)
Autorização
Autorização da direção
documentada da direção
para implementar e
20. 19 para implementar e 4.2.1 i)
operar o SGSI
operar o SGSI (convém
que seja a saída de 8.4)
Preparar a Declaração de Declaração de

21. 18 4.2.1 j)
Aplicabilidade Aplicabilidade
9 Concebendo o 22. 9.2 Definir a segurança 20 Estrutura da organização 5.1 c)

SGSI organizacional e seus papéis e

responsabilidades
relacionados à segurança
da informação
• Identificação de 4.3
documentação
relacionada ao SGSI
• Modelos de
registros do SGSI e
instruções de uso e
armazenamento
Documento de política de ABNT NBR

segurança da informação ISO/IEC
27002;
5.1.1
Linha de base de
políticas e procedimentos
de segurança da
informação (e, se
aplicável, planos para
desenvolver políticas,
procedimentos
específicos etc.)

Pré-requisito
Fase de
da etapa
Atividade, referência Referência à
Etapa
Implementação
da ABNT NBR ISO/IEC Resultado documentado ABNT NBR
ABNT NBR
27003 ISO/IEC 27003
ISO/IEC 27003
23. 9.3 Projetar a 20, 21 Planos de projeto 4.2.2 c)

segurança física e de de implementação parcialmente
TIC para o processo de
implementação dos
controles de segurança
selecionados para
segurança física e de
TIC
24. 9.4 Definir a segurança 22, 23 Procedimentos 7.1

da informação descrevendo os
específica para o SGSI processos de
comunicação de
informações e de análise
crítica pela direção
25. Descrições para 4.2.3 a)

auditoria, monitoramento parcialmente;

e medição 4.2.3 b)
parcialmente; 6
26. Um programa de 5.2.2

treinamento e de
conscientização
27. 9.5 Produzir o plano de 25 Plano de projeto N/A

projeto final do SGSI de implementação
para os processos
de implementação
aprovados pela direção
28. O plano de projeto final 28 Um plano de projeto N/A

do SGSI de implementação
do SGSI específico
para a organização,
abrangendo a execução
de atividades planejadas
para a segurança da
informação física, de
TIC e organizacional,
bem como os requisitos
específicos do SGSI
para implementá-lo
de acordo com os
resultados das atividades
abrangidas pela
ABNT NBR ISO/IEC
27003

Anexo B
(informativo)
Papéis e responsabilidades pela Segurança da Informação
Este Anexo fornece orientação adicional sobre os papéis e responsabilidades dentro de uma
organização relacionados à segurança da informação. Os papéis são inicialmente atribuídos de acordo
com a visão organizacional sobre a implementação do SGSI. Uma tabela consolida essas informações
e apresenta exemplos genéricos de papéis e responsabilidades.
1) papel do Comitê de Segurança da Informação
Convém que o comitê de segurança da informação tenha um papel de liderança do SGSI em

uma organização. Convém que este comitê seja responsável por tratar dos ativos de informação
da organização e que compreenda suficientemente a segurança da informação para direcionar,
monitorar e completar as tarefas necessárias.
Exemplos de possíveis papéis de comitês de segurança da informação são os seguintes:

a) conclusão da gestão de riscos, instituindo o plano de documentos do SGSI, sendo responsável
por determinar o conteúdo desses documentos e por obter a aceitação da direção,
b) planejamento da compra de novos equipamentos e/ou decisão sobre o reuso de equipamentos
existentes que a organização já possui,
c) tratamento de quaisquer problemas que possam surgir,
d) fazer considerações sobre melhorias decorrentes da implementação e da medição do SGSI,
e) dar orientação estratégica para o SGSI (tanto durante a execução do projeto quanto em operação),
e
f) fazer o elo entre a alta administração e a equipe de execução do projeto e o pessoal de segurança
da informação.
2) papéis da equipe de Planejamento da Segurança da Informação
Convém que a equipe do projeto responsável pelo SGSI, quando do planejamento do projeto,
seja auxiliada por membros que tenham amplo entendimento sobre os ativos de informação
importantes no âmbito do SGSI, e que tenham conhecimento suficiente para estudar a forma como
essa informação será tratada. Por exemplo, ao se determinar como tratar os ativos de informação,
podem existir opiniões diferentes entre departamentos que estão dentro do escopo do SGSI, e assim
pode haver a necessidade de se ajustarem aos efeitos positivos e negativos do plano do projeto.
É necessário que a equipe do projeto trabalhe como mediadora de conflitos entre os departamentos.
Para que isto ocorra, os membros da equipe precisam ter habilidades de comunicação baseadas
na experiência, bem como possuir habilidades de coordenação, e, ainda, apresentar alto nível
de conhecimento sobre segurança.

3) Especialistas e Consultores Externos
Convém que uma organização selecione membros para as responsabilidades acima (se possível,
membros com um papel exclusivo) antes de estabelecer o SGSI. No entanto, os membros precisam
ter amplo conhecimento e experiência no campo da segurança da informação, em assuntos como TI,
decisões gerenciais ou conhecimento da organização. As pessoas responsáveis por determinadas
operações em uma organização podem conhecer melhor suas áreas de atuação específicas. Assim,
convém que se recorra a esses especialistas – que são experts nas áreas de atuação específicas
das suas organizações - com o objetivo de tratar com eles sobre o uso do SGSI em suas áreas
de atuação específicas. É importante, também, fazer uma ponderação entre essa expertise
e o amplo conhecimento necessário para alcançar os objetivos da organização. Consultores externos
podem dar conselhos baseados em seus pontos de vista macroscópicos de uma organização
e em suas experiências com casos similares, ainda que em geral eles não necessariamente tenham
conhecimento aprofundado sobre especificidades e detalhes operacionais da organização. Os termos
usados nos exemplos acima, como Comitê de Segurança da Informação e Equipe de Planejamento da
Segurança da Informação, não são importantes. Convém apenas que se entenda a função de cada uma
dessas estruturas. De modo ideal, convém que haja estruturas internas para coordenar a segurança
da informação da organização, comunicando e trabalhando em conjunto com cada departamento
técnico.
4) Proprietários dos Ativos de Informação

Convém que uma pessoa seja apontada para cada organização e para cada aplicação especializada;
e que esta pessoa aja como “proprietária do ativo de informação” para todos os problemas de segurança
da informação relativos ao processamento de dados no âmbito deste processo da organização
em particular. A pessoa de contato ou o proprietário do processo é responsável, por exemplo, por
delegar tarefas e tratar informações nos processos organizacionais para os quais tenha sido designado.
Em caso de compartilhamento de risco, prevenção de risco e aceitação de risco, convém que

as atitudes necessárias sejam tomadas partindo-se de aspectos organizacionais de segurança.
Se a decisão tomada for a transferência de riscos, convém que as ações apropriadas sejam realizadas,
usando contratos, regime de seguros e estruturas organizacionais, como parcerias e joint ventures.
A Figura B.1 mostra um exemplo da estrutura organizacional para o estabelecimento do SGSI.

Os principais papéis e responsabilidades da organização mostrados a seguir baseiam-se neste
exemplo.

Emitir uma carta de

aprovação Direção
Aprovar
Ajustar
Aprovar
Comitê de Segurança da
Informação
Equipe de Planejamento da
Especialistas Segurança da Informação
Consultores Externos
Orientar
Departamento Departamento de Departamento

de Sistemas Recursos Humanos Administrativo
Departamento Departamento de Departamento de

de Contabilidade Auditoria Infraestrutura e edificação
Figura B.1 – Exemplo da estrutura organizacional para estabelecer a interação

do SGSI com a organização
Convém que todas as partes envolvidas analisem criticamente e adquiram familiaridade com
os requisitos atuais de proteção dos ativos organizacionais. Convém que a participação na análise
organizacional inclua pessoas que possuam um grande conhecimento da organização e do ambiente
no qual trabalham. Convém que elas sejam selecionadas para representar um amplo espectro
da organização, e que se incluam:
a) a alta administração (por exemplo, COO e CFO);
b) membros do Comitê de Segurança da Informação;
c) membros da Equipe de Planejamento da Segurança da Informação;
d) gerentes de linha (por exemplo, líderes de unidades organizacionais, o último nível de comando
na escala hierárquica);
e) proprietários de processos (isto é, representando áreas operacionais importantes);
f) especialistas e consultores externos.
Exemplos de papéis e responsabilidades gerais relacionados à Segurança da Informação
Segurança da informação é uma ampla área que afeta a organização inteira. Como tal, responsabilidades
pela segurança claramente definidas são essenciais para uma implementação bem-sucedida.
Como papéis e responsabilidades relacionados a segurança da informação variam, um entendimento
dos diferentes papéis é fundamental para compreender algumas das atividades descritas posteriormente

nesta Norma. A tabela abaixo destaca papéis e responsabilidades relacionados à segurança.

Convém notar que esses papéis são genéricos, e que descrições específicas são necessárias para
cada implementação individual do SGSI.
Tabela B.1 – Lista exemplificada de papéis e responsabilidades pela segurança da informação
Papel Breve Descrição da Responsabilidade

Alta Administração (por exemplo, É responsável pela visão, decisões estratégicas e pela
COO, CEO, CSO e CFO) coordenação de atividades para dirigir e controlar a organização.
Gerentes de Linha (isto é, o último Tem a responsabilidade final pelas funções organizacionais.
nível de comando na escala
hierárquica)
Diretor Executivo de Segurança da Tem a responsabilidade e a governança globais em relação
Informação à segurança da informação, garantindo o correto tratamento dos
ativos de informação.
Comitê de Segurança da Informação É responsável por tratar ativos de informação e tem um papel de
(membro do comitê) liderança no SGSI da organização.
É responsável durante as operações, enquanto o SGSI está
Equipe de Planejamento da
sendo implantado. A Equipe de Planejamento trabalha em
Segurança da Informação (membro

diversos departamentos e resolve conflitos até que a implantação
da equipe)
do SGSI seja concluída.
Parte Interessada No contexto das outras descrições de papéis relativos
à segurança da informação, a parte interessada é aqui definida
primariamente como pessoas e/ou órgãos que estão fora das
operações normais – como o conselho e os proprietários (tanto
proprietários da organização, se ela for parte de um grupo de
empresas ou se for governamental, quanto proprietários diretos,
como acionistas de uma organização privada). Outros exemplos
de partes interessadas podem ser companhias associadas,
clientes, fornecedores e demais organizações públicas, como
agências governamentais de regulação financeira ou bolsa de
valores, se a organização não estiver listada.
Administrador de sistema O administrador de sistema é responsável por um sistema de TI.
É o gerente de todos os recursos de TI (por exemplo, o Gerente
Gerente de TI
do Departamento de TI)
Segurança Física É a pessoa responsável pela segurança física, por exemplo
construções etc., normalmente chamado de Gerente de
Instalações.
Gerência de Risco A(s) pessoa(s) responsável(eis) pela estrutura de gerenciamento
de risco da organização, incluindo avaliação de risco, tratamento
de risco e monitoramento de risco.
Consultor Jurídico Muitos riscos de segurança da informação têm aspectos legais,
e o consultor jurídico é responsável por levar esses riscos em
consideração.
Recursos Humanos É (São) a(s) pessoa(s) com responsabilidade global pelos
funcionários.

Tabela B.1 (continuação)
Papel Breve Descrição da Responsabilidade

Papel Breve descrição da responsabilidade
Arquivo Todas as organizações têm arquivos contendo informações vitais

e que precisam ser armazenadas por longo tempo.
As informações podem estar localizadas em vários tipos de mídia,
e convém que uma pessoa específica seja responsável pela
segurança desse armazenamento.
Dados Pessoais Se for exigência legal, pode haver uma pessoa responsável
por ser o contato com um conselho de inspeção de dados ou
organização oficial similar que supervisione a integridade pessoal
e questões de privacidade.
Desenvolvedor de Sistema Se uma organização desenvolve seus próprios sistemas

de informação, alguém tem a responsabilidade por este
desenvolvimento.
Especialista/Expert Convém que seja feita referência a especialistas e experts,

responsáveis por determinadas operações em uma organização
quanto ao interesse destes nos assuntos pertinentes ao uso do
SGSI nas suas áreas específicas de atuação.
Consultor Externo Consultores externos podem emitir opiniões com base em

seus pontos de vista macroscópicos da organização e em suas
experiências na indústria. Contudo, pode ser que os consultores
não tenham conhecimento aprofundado da organização e suas
operações.
Empregado/Funcionário/Usuário Cada empregado é igualmente responsável pela manutenção

da segurança da informação no seu local de trabalho e em seu
ambiente.
Auditor O auditor é responsável por avaliar o SGSI.
O instrutor ministra treinamentos e executa programas de

Instrutor
conscientização.
Responsável pela TI ou pelos Em uma organização maior, há geralmente alguém na

Sistemas de Informação (SI) locais organização local que é responsável pelos assuntos de TI,
e provavelmente também pela segurança da informação.
Defensor (Pessoa Influente) Esse não é, em si, um papel de responsabilidade propriamente

dito, mas, em uma organização maior, pode ser muito útil durante
o estágio de implementação contar com pessoas que tenham
conhecimento aprofundado sobre a implementação do SGSI
e que possam apoiar o entendimento sobre a implementação
e as razões que estiverem por trás dela. Essas pessoas podem
influenciar positivamente a opinião das outras e podem também
ser chamadas de “Embaixadoras”.

Anexo C
(informativo)
Informações sobre auditoria interna
Este Anexo fornece orientação adicional para apoiar o planejamento da auditoria.
Convém que a implementação do SGSI seja avaliada em intervalos regulares por meio de auditorias
internas e independentes. Estas auditorias também servem ao propósito de conferir e avaliar
as experiências tidas na prática do dia a dia. Para implementar o SGSI, as formas de auditoria têm
que ser planejadas.
Convém que, em uma auditoria do SGSI, os resultados sejam determinados com base em evidências.
Assim, convém que seja reservado um período apropriado de tempo durante a operação do SGSI para
coletar as evidências adequadas.
Convém que uma auditoria interna do SGSI seja implementada e executada regularmente para
avaliar se os objetivos de controle, os controles, os processos e os procedimentos do SGSI estão
em conformidade com os requisitos da ABNT NBR ISO/IEC 27001, com as leis e regulamentos,
com os requisitos de segurança da informação identificados, e se são efetivamente implementados

e mantidos.
Contudo, pode ser difícil para pequenas companhias fazer a seleção dos auditores internos do SGSI.
Se não houver recursos suficientes para que esses tipos de auditoria sejam feitos por funcionários
internos, então convém que experts externos sejam encarregados das atividades de auditoria.
Quando as organizações usarem auditores externos, convém que se verifique o seguinte: que os
auditores externos estejam familiarizados com auditorias internas de SGSI; contudo, eles podem não
ter conhecimento suficiente sobre o ambiente da organização. Convém que as informações sobre
tal ambiente sejam fornecidas pelo pessoal interno. Por outro lado, embora os auditores internos
possam ser capazes de fazer auditorias detalhadas considerando o ambiente da organização, pode
ser que eles não tenham conhecimento suficiente sobre como realizar auditorias do SGSI. Convém
que as organizações reconheçam as características e potenciais deficiências dos auditores internos,
em comparação com as dos auditores externos, na realização das auditorias internas do SGSI.
Convém que a efetividade e a eficiência dos controles implementados (ver ISO/IEC 27004) sejam
examinadas dentro do escopo das auditorias internas.
É importante que nenhuma das auditorias seja realizada por aquelas pessoas que estiveram envolvidas
no planejamento e no projeto dos objetivos de segurança, porque é difícil que uma pessoa encontre
os seus próprios erros. Convém, portanto, que unidades organizacionais ou indivíduos que estejam
de fora do escopo das auditorias internas do SGSI sejam selecionados, pela direção, como auditores.
Esses auditores devem planejar, conduzir e elaborar relatórios da auditoria interna do SGSI, incluindo
atividades de acompanhamento para obter o comprometimento da direção. Dependendo do tamanho
da organização, pode ser interessante convocar auditores externos para evitar a situação na qual
funcionários internos sofram de “miopia” por causa do seu próprio trabalho.
Convém que, em uma auditoria interna do SGSI, se verifique se o SGSI está sendo efetivamente
executado e mantido conforme esperado. Convém que os auditores, ao planejar o programa
de auditoria, levem em conta o status e a importância de objetivos, controles, processos e procedimentos
da direção, bem como os resultados de auditorias anteriores.

Ao realizar a auditoria, convém documentar critérios, escopo aplicável, frequência e método utilizados.
Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria.

É necessário que o auditor tenha as seguintes competências para executar os processos de auditoria:
a) Planejamento e execução da auditoria
b) Divulgação dos resultados
c) Proposição das ações corretivas e preventivas etc.
Além disso, é necessário que a organização defina, na documentação de procedimentos,

as responsabilidades dos auditores e os processos de auditoria.
Convém que o gerente, responsável por determinado processo que está sendo auditado, garanta que
as não conformidades e suas causas sejam tratadas de forma adequada e sem a demora devida.
Contudo, isto não significa necessariamente que não conformidades tenham que ser corrigidas de
imediato. Além disso, convém que as ações corretivas realizadas incluam verificação das ações
tomadas e um relatório com os resultados dessa verificação.
Do ponto de vista da governança, a auditoria interna do SGSI pode ser realizada efetivamente como
uma parte de outras auditorias internas da organização, ou em colaboração com estas. Ao realizar
a auditoria, é uma boa idéia recorrer à “ISO/IEC 27006:2007”.

Anexo D
(informativo)
Estrutura das políticas
Este anexo fornece orientação adicional sobre a estrutura das políticas que inclui a política
de segurança da informação.
Em geral, uma política é a confirmação geral da intenção e do direcionamento formalmente expressos

pela direção (ver FCD 27000 e ABNT NBR ISO/IEC 27002). O conteúdo de uma política orienta ações
e decisões relacionadas ao tema desta política. Uma organização pode ter diversas políticas, uma para
cada área de atividade que for importante para a organização. Algumas políticas são independentes
de outras, enquanto certas políticas têm relacionamento hierárquico entre elas. Na área de
segurança, as políticas são normalmente organizadas de maneira hierárquica. A política de segurança
da organização é, em geral, a política de mais alto nível. Esta política de mais alto nível é apoiada
por várias políticas mais específicas, incluindo a política de segurança da informação e a política
do Sistema de Gestão da Segurança da Informação. A política de segurança da informação, por sua
vez, pode ser apoiada por uma série de políticas que detalham temas mais específicos relacionados
a aspectos de segurança da informação. Algumas destas políticas mais detalhadas de segurança
da informação são discutidas na ISO/IEC 27002; por exemplo, a política de segurança da informação
é apoiada por políticas de controle de acesso, de mesa limpa e tela limpa, de uso de serviços
de rede e de uso de controles criptográficos. É possível que, em certos casos, sejam inseridas camadas
adicionais de políticas. Este arranjo é mostrado na Figura D.1.
Políticas Gerais de Alto Nível

Por exemplo, política de segurança, política de
privacidade, política de marketing e política de
desenvolvimento de produtos
Políticas de Alto Nível sobre Temas Específicos

Por exemplo, política de segurança da informação
Políticas Detalhadas
Por exemplo, política de controle de acesso, de mesa
limpa e tela limpa, política de uso de serviços de rede e
política de uso de controles criptográficos
Figura D.1 – Hierarquia de políticas

A ABNT NBR ISO/IEC 27001 requer que as organizações tenham tanto uma política do SGSI quanto
uma política de segurança da informação. Tal norma não especifica, contudo, qualquer relacionamento
particular entre essas políticas. Os requisitos para as políticas do SGSI estão descritos em 4.2.1
da ABNT NBR ISO/IEC 27001. Já as diretrizes para as políticas de segurança da informação são dadas
em 5.1.1 da ABNT NBR ISO/IEC 27002. Essas políticas podem ser desenvolvidas como políticas
que colaborem entre si: a política do SGSI pode estar subordinada à política de segurança
da informação, ou a política de segurança da informação pode estar subordinada à política do SGSI.
O conteúdo das políticas baseia-se no contexto de atuação de uma organização. Convém que se
considere o seguinte ao desenvolver qualquer nova política dentro do quadro de políticas:
1) As metas e objetivos da organização
2) As estratégias adotadas para atingir os seus objetivos
3) A estrutura e os processos adotados pela organização
4) As metas e os objetivos associados ao tema da política
5) Os requisitos de políticas de mais alto nível relacionadas
Estas considerações são mostradas na Figura D.2.

As estratégias da
organização
As metas e os objetivos de Política sobre um tema Requisitos das políticas de

alto nível
alto nível da organização específico
A estrutura e os processos As metas e os objetivos da

da organização
organização na área da política
Figura D.2 – Entradas para o desenvolvimento de uma política
As políticas podem ter a seguinte estrutura:
1) Resumo da Política – uma visão geral, com uma ou duas frases. (Este resumo pode ser,
algumas vezes, combinado com a introdução).
2) Introdução – uma breve explicação do tema da política.
3) Escopo – descreve as partes ou atividades de uma organização que são afetadas pela política.
Se for relevante, a seção de escopo da política lista outras políticas que são apoiadas
por esta.
4) Objetivos – descreve a intenção da política.

5) Princípios – descreve os critérios das ações e decisões para atingir os objetivos. Em alguns
casos, pode ser útil identificar os processos-chave associados ao tema da política e então
as regras para o funcionamento dos processos.
6) Responsabilidades – descreve quem é responsável pelas ações que atendam aos requisitos
da política. Em alguns casos, estas responsabilidades podem incluir descrições de arranjos
organizacionais, bem como responsabilidades de pessoas com papéis definidos.
7) Principais Resultados – descreve os resultados do negócio caso os objetivos sejam atingidos.
8) Políticas Relacionadas – descreve outras políticas relevantes para o alcance dos objetivos,
normalmente fornecendo mais detalhes sobre temas específicos.
NOTA O conteúdo de uma política pode ser organizado de diversas formas. Por exemplo, as organizações
que enfatizam papéis e responsabilidades podem simplificar a descrição dos objetivos, aplicando os princípios
especificamente à descrição das responsabilidades.
A seguir é dado um exemplo de uma política de segurança da informação, apresentando a estrutura

e o conteúdo do documento.
Política de Segurança da Informação (Exemplo)
Resumo da Política
Convém que a informação seja sempre protegida, qualquer que seja a sua forma e como quer que
seja compartilhada, transmitida ou armazenada.
Introdução
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida por correio postal ou por meios eletrônicos, exibida em filmes, ou falada
em conversas.
A segurança da informação é a proteção da informação contra uma ampla gama de ameaças, com
os fins de garantir a continuidade do negócio, minimizar os riscos do negócio e maximizar o retorno
sobre os investimentos e as oportunidades.
Escopo
Esta política apoia a política geral de segurança desta organização.
Esta política aplica-se a toda esta organização.
Objetivos da Segurança da Informação
1) Os riscos estratégicos e operacionais de segurança da informação são compreendidos

e tratados para tornarem-se aceitáveis por esta organização.
2) A confidencialidade da informação dos clientes, os planos de desenvolvimento de produtos

e de marketing são protegidos.
3) A integridade dos registros contábeis é preservada.
4) Os serviços web disponibilizados ao público em geral e as redes internas atendem a padrões
de disponibilidade especificados.

Princípios de Segurança da Informação
1) Esta organização incentiva a tomada de riscos e tolera riscos que podem não ser tolerados
em organizações mais conservadoras, desde que tais riscos de informação sejam
compreendidos, monitorados e tratados quando necessário. Os detalhes da abordagem feita
para a análise/avaliação de riscos e tratamento de riscos encontram-se na política do SGSI.
2) Todos os funcionários serão conscientizados e responsabilizados pela segurança

da informação conforme for relevante para os seus papéis de trabalho.
3) Será feita alocação de recursos para financiar controles de segurança da informação
nos processos operacionais e de gerenciamento de projetos.
4) As possibilidades de fraude associadas ao mau uso de sistemas de informação serão levadas
em conta no gerenciamento global dos sistemas de informação.
5) Relatórios de status da segurança da informação serão disponibilizados.
6) Os riscos de segurança da informação serão monitorados e ações serão tomadas quando
mudanças incorrerem em riscos que não são aceitáveis.
7) Os critérios para classificação de risco e aceitação de risco encontram-se na política do SGSI.
8) Situações que possam colocar a organização em posição de violação da lei ou regulamentos
não serão toleradas.
Responsabilidades
1) A equipe da alta administração é responsável por garantir que a segurança da informação
seja tratada adequadamente por toda a organização.
2) Cada membro da alta gerência é responsável por garantir que as pessoas que trabalham
sob seu comando protejam a informação de acordo com as normas da organização.
3) O diretor-executivo de segurança assessora a equipe da alta administração, fornece apoio

especializado para os funcionários da organização e garante que os relatórios de status
da segurança da informação estarão disponíveis.
4) Cada funcionário tem responsabilidades de segurança da informação como parte da execução
de seus trabalhos.
Principais Resultados
1) Os incidentes de segurança da informação não resultarão em custos relevantes e inesperados

ou em relevante interrupção de serviços ou de atividades do negócio.
2) Perdas por fraude serão conhecidas e estarão dentro de limites aceitáveis.
3) A aceitação de produtos ou serviços, por parte do cliente, não será afetada negativamente
por preocupações relacionadas à segurança da informação.

Políticas Relacionadas
As seguintes políticas específicas fornecem princípios e orientações sobre aspectos especializados

da segurança da informação.
1) a política do Sistema de Gestão de Segurança da Informação (SGSI);
2) a política de controle de acesso;
3) a política de mesa limpa e de tela limpa;
4) a política de software não autorizado;
5) a política de obtenção de arquivos de software a partir ou através de redes externas;
6) a política de código móvel;
7) a política de cópia de segurança;
8) a política de troca de informação entre organizações;
9) a política do uso aceitável dos equipamentos de comunicação eletrônica;

10) a política de retenção de registros;
11) a política do uso de serviços de rede;
12) a política de computação e comunicação móveis;
13) a política de trabalho remoto;
14) a política do uso de controles criptográficos;
15) a política de conformidade;
16) a política de licenciamento de software;
17) a política de descarte de software;
18) a política de proteção de dados e proteção da privacidade.
Todas essas políticas apoiam:
•• A identificação de riscos, fornecendo uma linha de base de controles que pode ser usada para
encontrar lacunas em projetos e implementações de sistemas; e
•• O tratamento de riscos, através do apoio à identificação dos possíveis tratamentos

de vulnerabilidades e ameaças encontradas.
Tanto a Identificação de Riscos como o Tratamento de Riscos são processos definidos na seção
de Princípios desta política. Consultar a Política do SGSI para obter informações mais detalhadas.

Anexo E
(informativo)
Monitoramento e medição
Este anexo fornece orientação adicional para apoiar os processos de monitoramento e de medição
do planejamento e do projeto.
Informações sobre o Estabelecimento dos Processos de Monitoramento e Medição
O projeto dos requisitos específicos do SGSI inclui um programa de monitoramento e medição

da segurança para o SGSI, de forma que apoie a análise crítica pela direção.
Projetando o Monitoramento
Análise crítica dos relatórios de

resposta a incidentes
Registros de
Preparação e atividades de
coordenação de Verificações Monitorando o monitoramento
atividades de regulares desempenho do
monitoramento SGSI
Informações para a
direção
Verificação e divulgação da
implementação do controle de
segurança
Figura E.1 – O fluxo do Processo de Monitoramento

Preparação e coordenação: Identificação de ativos relevantes para o monitoramento
Convém que se compreenda que o monitoramento é um processo contínuo e que, como tal, convém
que o projeto leve em consideração o estabelecimento do processo de monitoramento, bem como o
projeto das reais necessidades e atividades de monitoramento. Essas atividades precisam de uma
coordenação, o que também faz parte do projeto.
Os objetivos de monitoramento podem ser determinados pela combinação entre as informações

previamente estabelecidas pelos ativos e pelo escopo, e os resultados da análise de riscos e seleção
de controles. Convém que esses objetivos de monitoramento incluam:
•• O que detectar

•• Quando
•• Em comparação com o quê
Em termos práticos, as atividades e os processos previamente estabelecidos e os ativos relacionados

são o escopo básico para o monitoramento (item “Em comparação com o quê” supracitado).
Para projetar o monitoramento, pode ser necessário fazer uma seleção que abranja os ativos
considerados importantes do ponto de vista da segurança da informação. Convém que também sejam
feitas considerações sobre o tratamento de riscos e a seleção de controles em atividades e processos.
(Isto irá definir tanto o “O que detectar” quanto o “Quando”.)
Como o monitoramento pode apresentar aspectos legais, é essencial que o projeto do monitoramento
seja verificado, de modo que ele não tenha quaisquer implicações legais.
Para garantir que o monitoramento seja verdadeiramente efetivo, é importante coordenar e realizar
o projeto final de todas as atividades de monitoramento.
Monitorando as atividades
A fim de manter o nível de segurança da informação, convém: que os controles de segurança

da informação considerados apropriados sejam aplicados corretamente; que os incidentes
de segurança sejam detectados e tratados em tempo hábil; e que o desempenho do sistema
de gestão de segurança da informação seja regularmente monitorado. Além disso, convém que
verificações sejam regularmente realizadas, para saber se todos os controles estão sendo aplicados
e implementados conforme previsto no plano de segurança da informação. Convém, ainda, que tais
verificações envolvam aquelas feitas sobre os controles técnicos (por exemplo, quanto à configuração),
e que os controles organizacionais (por exemplo, processos, procedimentos e operações) estejam
em conformidade.Convém que as verificações sejam feitas principalmente visando à reparação de defeitos.
Se o resultado dessas verificações for aceitável, é importante que os motivos do aceite sejam ratificados
por todos os envolvidos, sendo esse o maior objetivo das verificações. É importante que, durante
a verificação, haja discussões com os participantes sobre possíveis saídas para os problemas,
e que soluções adequadas fiquem pré-prontas.
Convém que as verificações sejam preparadas cuidadosamente para garantir que elas consigam
atingir seus objetivos da maneira mais eficiente possível, e que ao mesmo tempo causem o mínimo
possível de interrupção na rotina de trabalho. Convém também que se coordene previamente,
com a direção, a implementação geral de verificações. As atividades de concepção podem ser
finalizadas de três formas básicas diferentes:
•• Relatórios de incidente
•• Verificação ou não conformidade de funcionalidades de controles
•• Outras verificações regulares
Convém, ainda, que os resultados das atividades sejam concebidos em termos de como os registros
são feitos e como as informações são repassadas à direção. Convém que a documentação formal seja
elaborada de modo a descrever as atividades de concepção e abrangendo as atividades principais
e suas finalidades, bem como diferentes responsabilidades.

Requisitos para os resultados do monitoramento
Os resultados são:
a) Registros das atividades de monitoramento no nível de detalhe requerido.
Como resultado das atividades de monitoramento, convém que seja fornecido um relatório gerencial.
Convém que todas as informações que a direção precisa para cumprir com suas responsabilidades de
direção e supervisão sejam ali registradas com o nível de detalhe necessário.
b) Informações à direção para a tomada de decisão quando forem necessárias ações imediatas.
Convém que os relatórios da gestão sempre sejam finalizados com uma lista de ações recomendadas,
claramente priorizadas, juntamente com uma avaliação realista do custo de implementação esperado
para cada uma dessas ações.
Isso garante que se possam obter as decisões necessárias da direção sem atrasos indevidos.
Definindo o programa de medição de segurança da informação
Visão geral da concepção de um programa de medição de segurança da informação
Convém que o processo de medição seja perfeitamente integrado ao ciclo do SGSI do projeto
ou da organização, e usado para efeitos de melhoria contínua dos processos e resultados relacionados
à segurança da informação no projeto ou na organização. Isto é conhecido como um programa
de medição de segurança da informação (ABNT NBR ISO/IEC 27004:2010). Convém que a concepção
desse programa seja vista da perspectiva do ciclo do SGSI. A figura a seguir mostra como o processo
de medição se encaixa dentro do ciclo do SGSI.
Para satisfação das expectativas e necessidades, espera-se que os sistemas de gestão apresentem
funções como, por exemplo, estruturação do tão indispensável PDCA; medição da validação
de resultados e de sua efetividade; e fornecimento de realimentação ao gerente dos processos quanto
aos resultados da medição.
Para estabelecer as medições corretas, as informações geradas previamente são essenciais,

em especial:
a) A política do SGSI, incluindo escopo e limites
b) O resultado da análise/avaliação de riscos
c) A seleção de controles
d) Os objetivos de controle
e) Os objetivos específicos de segurança da informação
f) Os processos e recursos especificados, bem como suas classificações
Convém que a direção estabeleça e se comprometa com o processo global de medição. Ao implementar
um processo de medição, convém que a direção:
a) Aceite os requisitos para medição; ver a ABNT NBR ISO/IEC 27004 para mais detalhes

b) Dê atenção às necessidades de informação, ver a ABNT NBR ISO/IEC 27004 para mais detalhes
c) Obtenha comprometimento dos funcionários quanto ao seguinte:
•• Convém que a organização demonstre seu comprometimento, por exemplo, através

de uma política de medição para a organização, da atribuição de responsabilidades
e deveres, treinamentos e da alocação de orçamento e outros recursos.
•• Convém que seja designada uma pessoa ou unidade organizacional como sendo responsável
pelo programa de medição.
•• A pessoa ou unidade organizacional é responsável por divulgar a importância e os resultados

da medição do SGSI por toda a organização, com o objetivo de garantir a sua aceitação
e uso, e convém que este responsável tenha o apoio da direção para esta divulgação.
•• Garantir que os dados das medições do SGSI sejam coletados, analisados e divulgados
para o CIO e para outras partes interessadas.
•• Educar os gerentes de linha de programa sobre como usar os resultados da medição

do SGSI para políticas, alocação de recursos e decisões orçamentárias.
Convém que o programa de medição de segurança da informação e a sua concepção envolvam

os seguintes papéis:
a) Alta Administração
b) Os usuários dos produtos de segurança
c) As pessoas encarregadas dos sistemas de informação
d) As pessoas encarregadas da segurança da informação
Um Programa de Medição de Segurança da Informação é estabelecido para obter indicadores

de efetividade do SGSI, indicadores dos objetivos de controle e dos controles. O programa é descrito
na ABNT NBR ISO/IEC 27004.
Para atender a esses objetivos, convém que resultados adequados sejam atingidos já na Fase
de Planejamento.
Um Programa de Medição de Segurança da Informação adequado pode ser diferente dependendo

das seguintes características da estrutura da organização:
•• Tamanho
•• Complexidade
•• Perfil geral de risco/necessidade de segurança da informação
Em geral, quanto maior e mais complexa for uma organização, mais extenso será o programa de
medição necessário. Contudo, também o nível de risco geral afeta a extensão do programa de
medição. Se o impacto de uma incipiente segurança da informação for gravoso, uma organização
proporcionalmente menor pode precisar de um programa de medição mais abrangente para cobrir
seus riscos do que uma organização maior que não enfrenta o mesmo impacto.

A extensão do programa de medição pode ser avaliada com base na seleção de controles
que precisarão ser adotados e nos resultados da análise de risco.
Concebendo o programa de medição de segurança da informação
Convém que a pessoa responsável pelo programa de medição de segurança da informação considere
o seguinte:
•• Escopo
•• Medições
•• Execução das medições
•• Períodos das medições
•• Divulgação dos resultados das medições
Convém que o escopo do programa de medição abranja também escopo, objetivos de controle
e controles do SGSI. Particularmente, convém que sejam estabelecidos objetivos e limites para
a medição do SGSI, e que isso seja feito observando-se a organização e as suas características,
bem como localização, ativos e tecnologias, e que sejam incluídos detalhes e justificativas de quaisquer
exclusões de itens do escopo do SGSI. O escopo do programa de medição pode abranger um único
controle de segurança, ou ainda um processo, um sistema, uma área funcional, a empresa inteira,
uma única unidade ou uma organização com várias unidades.
Ao selecionar medições individuais, o Processo de Medição de Segurança da Informação

da ABNT NBR ISO/IEC 27004 estipula que o ponto de partida é o objeto que será mensurado.
Para estabelecer um programa de medição, convém que esses objetos sejam identificados.
Tais objetos podem ser processos ou recursos (ver a ABNT NBR ISO/IEC 27004 para mais detalhes).
Ao definir o programa de medição, os objetos definidos no escopo do SGSI são normalmente
desmembrados para encontrar os objetos reais sobre os quais convém que seja feita a medição.
Este processo de definição dos objetos pode ser assim exemplificado: a Organização é o objeto global –
o Processo Organizacional A ou o Sistema de TI X são partes desse objeto global, mas também são
objetos em si mesmos – e os Objetos dentro do Processo Organizacional A (que afetam a segurança
da informação, por exemplo: Pessoas, Regras, Redes, Aplicações, Instalações etc.) são normalmente
os reais objetos da medição sobre os quais será verificado se a informação está sendo efetivamente
protegida.
Ao implementar um Programa de Medição de Segurança da Informação, convém ter cuidado,

pois pode ser que alguns objetos de medição atendam a outros processos organizacionais, os quais,
por sua vez, também estejam no escopo do SGSI; portanto, pode ser que tais objetos tenham maior
impacto na efetividade do SGSI e nos objetivos de controle. Normalmente, convém que seja dada
prioridade a tais Objetos no escopo do programa, como os objetos de Organização de Segurança
e processos relacionados, sala de computadores, colegas de trabalho de segurança da informação
etc.
O intervalo de medição pode variar, mas é preferível que a medição seja feita ou resumida
até se ajustar a certos intervalos, para se adequar à análise crítica pela direção, ao processo de
melhoria contínua e às pretensões do SGSI. Convém que a concepção do programa mencione isto.
Convém que a divulgação dos resultados seja feita de modo que a comunicação esteja em conformidade
com a ABNT NBR ISO/IEC 27004:2010.

Convém que a concepção do Programa de Medição de Segurança da Informação seja finalizada

através de um documento que determine os procedimentos do programa, sendo recomendado
que este documento seja aprovado pela direção. Além disso, é indicado que tal documento aborde
o seguinte:
a) Responsabilidades pelo Programa de Medição de Segurança da Informação
b) Responsabilidades pela comunicação
c) O escopo das medições
d) Como as medições serão realizadas (método básico usado, execução externa e interna etc.)
e) Quando convém que as medições sejam realizadas
f) Como as medições serão divulgadas
Como parte da fase de concepção, se a organização desenvolver seus próprios pontos

de medição, estes também precisam ser documentados; para referência adicional, ver
a ABNT NBR ISO/IEC 27004. Tal documento pode ser bastante abrangente e não necessariamente
precisa ser assinado pela direção, visto que os detalhes podem mudar durante a implementação.
Medindo a eficácia do SGSI
Ao estabelecer o escopo para o Programa de Medição de Segurança da Informação que será

implementado, convém que se tenha cuidado para não obter um grande número de objetos. Se houver
muitos objetos, pode ser interessante dividir o programa em partes. O escopo dessas partes pode
ser visto como medições separadas para fins de comparação, mas seu propósito principal prevalece:
o de que uma combinação das medições fornece uma indicação para avaliar a efetividade do SGSI.
Esses subescopos são normalmente uma unidade organizacional cujos limites podem ser claramente
definidos. Uma combinação entre certos objetos que sirvam a vários processos da organização
e certas medições de objetos de subescopos pode resultar em um escopo apropriado para
o Programa de Medição de Segurança da Informação. Isso também pode ser visto como uma série
de atividades do SGSI que podem ser tidas como feitas a partir de dois ou mais processos/objetos.
Portanto, a efetividade do SGSI como um todo pode ser calculada com base na medição dos resultados
desses dois ou mais processos/objetos.
Como o objetivo é medir a efetividade do SGSI, é importante que os objetivos de controle e os controles
também sejam mensurados. Uma hipótese é ter uma quantidade suficiente de controles; outra hipótese
bem diferente é esses controles serem suficientes para avaliar a efetividade do SGSI. (Pode haver
outras razões para limitar o escopo do Programa de Medição de Segurança da Informação, as quais
são mencionadas na ABNT NBR ISO/IEC 27004.)

Medição da Eficácia do SGSI
Análise Medir
Partes Crítica Partes
Interessadas Interessadas
ENTRADAS Planejar
SAÍDAS
Fazer Agir
Requisitos
e Sistema
Expectativas Verificar Gerenciado
Medi ção da Eficácia de Cada Processo
Processo Processo Processo

1 2 3
Figura E.2 – Dois aspectos de eficácia de medição com o processo PDCA do SGSI e exemplos
de processos da organização
Ao usar os resultados das medições para avaliar a efetividade do SGSI, dos objetivos de controle
e também dos controles, é essencial que a direção conheça o escopo do Programa de Medição
de Segurança da Informação.
Convém que, antes de iniciar os trabalhos, a pessoa responsável pelo programa de medição obtenha
aprovação do escopo do Programa de Medição de Segurança da Informação por parte da direção.
NOTA 1 O requisito relacionado à medição da efetividade na ISO/IEC 27001:2005 é “a medição de controles

ou de séries de controles” (ver 4.2.2 d) na ABNT NBR ISO/IEC 27001:2005).
NOTA 2 O requisito relacionado à eficácia do SGSI como um todo na ABNT NBR ISO/IEC 27001:2005
é somente uma “análise crítica da eficácia do SGSI inteiro”, e “a medição do SGSI inteiro” não é necessária
(ver 0.2.2 na ABNT NBR ISO/IEC 27001:2005).
A efetiva execução das medições pode ser feita utilizando pessoal interno, externo ou uma combinação
de ambos.
Tamanho, estrutura e cultura da organização são fatores a serem considerados na avaliação do uso de
recursos internos ou externos. Organizações de pequeno e médio porte obtêm mais benefícios com
a utilização de apoio externo do que as organizações maiores. Dependendo da cultura da organização,
o uso de recursos externos pode também dar resultados mais válidos. Se a organização estiver
acostumada a auditorias internas, os recursos internos podem ser tão válidos quanto os externos.

Bibliografia
[1] ABNT NBR ISO 9001:2008, Sistema de gestão da qualidade – Requisitos
[2] ABNT NBR ISO 14001:2004, Sistemas da gestão ambiental – Requisitos com orientações para
uso
[3] ISO/IEC 15026 (todas as partes), Systems and software engineering – Systems and software
assurance1
[4] ISO/IEC 15408-1, Information technology – Security techniques – Evaluation criteria for IT security
– Part 1: Introduction and general model
[5] ISO/IEC 15408-2:2008, Information technology – Security techniques – Evaluation criteria for IT
security – Part 2: Security functional components
[6] ISO/IEC 15408-3:2008, Information technology – Security techniques – Evaluation criteria for IT
security – Part 3: Security assurance components
[7] ISO/IEC TR 15443-1:2005, Information technology – Security techniques – A framework for IT

security assurance – Part 1: Overview and framework

security assurance – Part 2: Assurance methods

security assurance – Part 3: Analysis of assurance methods
[10] ABNT NBR ISO/IEC 15939:2007, Engenharia de sistemas e de software – Processo de medição
[11] ISO/IEC 16085:2006, Systems and software engineering – Life cycle processes – Risk management
[12] ISO/IEC 16326, Systems and software engineering – Life cycle processes – Project management
[13] ISO/IEC 18045:2008, Information technology – Security techniques – Methodology for IT security
evaluation
[14] ISO/IEC TR 19791:2006, Information technology – Security techniques – Security assessment

of operational systems
[15] ABNT NBR ISO/IEC 20000-1:2008 , Tecnologia da informação – Gerenciamento de serviços –

Parte 1: Especificação
1 A ser publicada.
NOTA BRASILEIRA As partes 1 e 2 da ISO/IEC 15026 já foram publicadas, enquanto as partes 3 e 4

ainda estão em elaboração.

[16] ABNT NBR ISO/IEC 27001:2006, Versão Corrigida:2006, Tecnologia da informação – Técnicas
de segurança - Sistemas de gestão de segurança da informação – Requisitos
[17] ABNT NBR ISO/IEC 27004:2010, Tecnologia da informação – Técnicas de segurança – Gestão
da segurança da informação – Medição
[18] ABNT NBR ISO/IEC 27005:2008,Tecnologia da informação – Técnicas de segurança – Gestão de

riscos de segurança da informação
[19] ISO 21500, Guidance on project management 2
[20] ISO/IEC 27006:2007, Information technology – Security techniques – Requirements for bodies
providing audit and certification of information security management systems.
2 Em preparação.


PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PDF

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA ABNT NBR

Tecnologia da informação – Técnicas de

ICS 35.040 ISBN 978-85-07-03021-8

© ISO/IEC 2010 - © ABNT 2011

ii © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Impresso por: Nelson Al Assal Filho

6 Definindo o escopo do SGSI, limites e a política do SGSI............................................13

© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados iii

9.4 Definir a segurança da informação específica do SGSI................................................43

Figura 5 – Visão geral da condução da fase de requisitos de segurança da informação...........22

iv © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Impresso por: Nelson Al Assal Filho

O Escopo em inglês desta Norma Brasileira é o seguinte

This Standard is intended to be used by organizations implementing an ISMS. It is applicable to all

© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados v

O propósito desta Norma é fornecer diretrizes práticas para a implantação de um Sistema

a) a preparação de um plano para implantação do SGSI na organização, definindo a estrutura

b) as atividades críticas para o projeto do SGSI; e

aceitáveis, conforme definido pela organização.

vi © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Impresso por: Nelson Al Assal Filho

Tecnologia da Informação – Técnicas de segurança – Diretrizes para

© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados 1

4 Estrutura desta Norma

A implantação de um SGSI é uma atividade importante e é normalmente executada na organização

b) Definindo o escopo do SGSI, limites e a política do SGSI (Seção 6);

c) Conduzindo a análise dos requisitos de segurança da informação (Seção 7);

d) Conduzindo a análise/avaliação de riscos e planejando o tratamento do risco (Seção 8);

e) Definindo o SGSI (Seção 9).

A Figura 1 ilustra as cinco fases do planejamento de um projeto do SGSI, fazendo referência

Obtendo a Definindo o Conduzindo a Conduzindo a Definindo o SGSI

Política de Identificar os Plano de

Figura 1 – Fases do projeto do SGSI

Anexo A: Descrição da lista de verificação;

Anexo B: Papéis e responsabilidades pela segurança da informação;

2 © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Impresso por: Nelson Al Assal Filho

Anexo C: Informações sobre auditorias internas;

Anexo D: Estrutura das políticas;

Anexo E: Monitoração e medição.

4.2 Estrutura geral de uma seção

Cada seção contém:

Cada atividade é descrita em uma subseção.

As descrições da atividade em cada subseção estão estruturadas conforme segue:

O dado de entrada descreve o ponto de partida, como a existência de decisões ou resultados

© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados 3

Fases Fases Fases

As atividades por fase

Figura 2 – Legenda do fluxo do diagrama

4 © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Impresso por: Nelson Al Assal Filho

O quadrado superior ilustra as fases de planejamento de um projeto do SGSI. A fase explicada

O tempo no quadrado inferior está baseado no tempo do quadrado superior.

5 Obtendo aprovação da direção para iniciar o projeto do SGSI

Os trabalhos realizados nesta fase permitirão à organização entender a relevância de um SGSI

NOTA Os resultados da Seção 5 (comprometimento documentado da direção para planejar e implementar

© ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados 5

Obtendo a Definindo o Conduzindo a

Listar os requisitos contratuais

que são relevantes para a

Definir o escopo Desenvolver o Definir os papéis e

6 © ISO/IEC 2010 - © ABNT 2011 - Todos os direitos reservados

Impresso por: Nelson Al Assal Filho