Objetivos

●● Escopo, propósito, termos e definições-chave da norma ISO/IEC 27001 e como ela pode ser
utilizada.
●● Requisitos para definição do escopo e aplicabilidade.

Quem é CertiProf®?

A CertiProf® oferece uma ampla gama de certificações profissionais para indivíduos e empresas. Sua
missão é preparar professionais com a mais alta qualidade e reconhecimento internacional.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

Com uma equipe internacional especializada na implementação de materiais, o instituto é um dos

principais fornecedores educacionais no mercados dos EUA, e Regiões da América Latina.

Capacita pessoas e as ajudam a atingir seu nível de excelência, fornecendo-lhes as ferramentas e

treinamento necessários para aumentar seu desempenho, habilidades e melhorar seu desenvolvimento
profissional.

Quem deve participar deste treinamento?

Qualquer pessoa interessada em expandir seus conhecimentos sobre a Norma ISO/IEC 27001.

2
 Ementa

1. Introdução e Histórico 7
História da Norma 8
ISO/IEC 27001:2013 Estrutura 8
ISO 27000 Família de Normas 9
2. Conceitos-Chave 10
Informação e Princípios Gerais 11
A Segurança da Informação 11
O Sistema de Gestão 12
Fatores Fundamentais para o Sucesso de um SGSI 12
Benefícios da Família de Normas SGSI 13
3. Termos e Definições 14
3.1 Controle de Acesso 15
3.2 Modelo Analítico 15
3.3 Ataque 15
3.4 Recurso 15
3.5 Auditoria 15
3.6 Escopo da Auditoria 15
3.7 Autenticação 16
3.8 Autenticidade 16
3.9 Disponibilidade 16
3.10 Medida Básica 16
3.11 Competência 16
3.12 Confidencialidade 16

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.13 Conformidade 16
3.14 Consequência 16
3.15 Melhoria Contínua 17
3.16 Controle 17
3.17 Objetivo do Controle 17
3.18 Correção 17
3.19 Ação Corretiva 17
3.20 Ativos 17
3.21 Critérios de Decisão 18
3.22 Medida Derivada 18
3.23 Informação Documentada 18
3.24 Eficácia 18
3.25 Evento 18
3.26 Direção Executiva 19

3
 3.27 Contexto Externo 19
3.28 Governança da Segurança da Informação 19
3.29 Órgão do Governo 19
3.30 Indicador 20
3.31 Necessidades de Informação 20
3.32 Recursos (estações) de Tratamento de Informação 20
3.33 Segurança da Informação 20
3.34 Continuidade da Segurança da Informação 20
3.35 Incidente ou Ocorrência de Segurança da Informação 20
3.36 Incidente de Segurança da Informação 20
3.37 Gestão de Incidentes de Segurança da Informação 21
3.38 Grupo que Compartilha Informação 21
3.39 Sistema de Informação 21
3.40 Integridade 21
3.41 Parte Interessada 21
3.42 Contexto Interno 21
3.43 Projeto de SGSI 22
3.44 Nível de Risco 22
3.45 Probabilidade (likehood) 22
3.46 Sistema de Gestão 22
3.47 Medida 23
3.48 Medição 23
3.49 Função de Medição 23
3.50 Método de Medição 23
3.51 Resultados das Medições 23
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.52 Supervisão, Rastreamento ou Monitoramento (monitoring) 24

3.53 Não Conformidade 24
3.54 Não Rejeição 24
3.55 Objeto 24
3.56 Objetivo 24
3.57 Organização 25
3.58 Contratar Externamente (Termo) 25
3.59 Desempenho 25
3.60 Política 25
3.61 Processo 25
3.62 Confiabilidade 25
3.63 Requisito 26
3.64 Risco Residual 26
3.65 Revisão 26

4
3.66 Objeto em Revisão 26
3.67 Objetivo da Revisão 26
3.68 Risco 26
3.69 Aceitação de Risco 27
3.70 Análise de Risco 27
3.71 Verificação de Risco 28
3.72 Comunicação e Consulta de Risco 28
3.73 Critérios de Risco 28
3.74 Avaliação de Risco 28
3.75 Identificação de Risco 29
3.76 Gestão de Risco 29
3.77 Processo de Gestão de Risco 29
3.78 Proprietário do Risco 29
3.79 Tratamento de Risco 30
3.80 Escala 30
3.81 Norma de Implementação da Segurança 31
3.82 Parte Interessada 31
3.83 Ameaça 31
3.84 Alta Direção 31
3.85 Entidade de Confiança para a Comunicação da Informação 31
3.86 Unidade de Medida 31
3.87 Validação 32
3.88 Verificação 32
3.89 Vulnerabilidade 32
4. Contexto da Organização 33

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

4.1 Compreensão da Organização e de seu Contexto 34
4.2 Compreensão das Necessidades e Expectativas das Partes Interessadas 34
4.3 Determinação do Escopo do Sistema de Gestão de Segurança da Informação 34
4.4 Sistema de Gestão de Segurança da Informação 34
5. Liderança 35
5.1 Liderança e Compromisso 36
5.2 Política 36
5.3 Papeis, Responsabilidades e Poderes na Organização 37
6. Planejamento 38
6.1 Ações para Tratar os Riscos e Oportunidades 39
6.2 Objetivos de Segurança da Informação e Planejamento para sua Realização 41
7. Suporte 42
7.1 Recursos 43
7.2 Competência 43

5
 7.3 Conscientização 43
7.4 Comunicação 44
7.5 Informação Documentada 44
8. Operação 46
8.1 Planejamento e Controle Operacional 47
8.2 Verificação de Riscos de Segurança da Informação 47
8.3 Tratamento de Riscos de Segurança da Informação 47
9. Avaliação de Desempenho 48
9.1 Rastreamento, Medição, Análise e Avaliação 49
9.2 Auditoria Interna 49
9.3 Revisão da Direção 50
10. Melhoria 51
10.1 Não Conformidade e Ações Corretivas 52
10.2 Melhoria Contínua 52
Conclusões 53
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

6
1. Introdução e Histórico
 Introdução

●● A Norma foi criada para “oferecer os requisitos para estabelecer, implementar, manter e melhorar
continuamente o sistema de gestão de segurança da informação”.
●● A Norma “pode ser utilizada por partes internas e externas para avaliar a capacidade da organização
para cumprir com seus próprios requisitos de segurança da informação”.
●● A Norma também inclui “requisitos para a validação e o tratamento de riscos em segurança da informação
conforme as necessidades da organização. Os requisitos estabelecidos nesta Norma Internacional são
genéricos e espera-se que sejam aplicáveis à todas organizações, independente de seu tipo, tamanho
ou natureza”.

História da Norma

●● Código de prática.
●● BS7799.
●● BS7799 ver 2.
●● ISO 17799.
●● BS7799 parte 2.
●● ISO 17799 atualização.
●● ISO 27001.
●● ISO 27002.
●● Desenvolvimento de série e atualizações.

ISO/IEC 27001:2013 Estrutura

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

A nova estrutura reflete a estrutura de outras normas novas de gestão, tais como ISO 9000, ISO
20000 e ISO 22301, que ajudam as organizações a cumprir com várias normas.

Os Anexos B e C da 27001:2005 foram eliminados.

Há uma seção adicional sobre a subcontratação.

O ciclo PDCA de melhoria contínua não é mais o principal. A avaliação de risco mais importante do
contexto organizacional mudou.

Existem 114 controles em 14 grupos em comparação com os 133 controles em 11 grupos na versão
de 2005.

8
 ISO 27000 Família de Normas

9
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)
2. Conceitos-Chave
Informação e Princípios Gerais

O que é SGSI?

O SGSI (Sistema de Gestão da Segurança da Informação) consiste em um conjunto de políticas,

procedimentos, guias, recursos e atividades associadas, que são gerenciados coletivamente por uma
organização.

SGSI é uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e
melhorar a segurança da informação de uma organização para alcançar os objetivos do negócio.

Esta abordagem baseia-se em uma avaliação de risco e níveis de aceitação de risco da organização
projetados para tratar e gerenciar os riscos com eficácia.

A análise dos requisitos para a proteção de ativos de informação e a aplicação de controles adequados
para garantir a proteção desses ativos de informação, conforme seja necessário, contribuem para a
implementação bem sucedida de um SGSI.

Os seguintes princípios fundamentais também podem contribuir para o sucesso da implementação de

SGSI:

a) A consciência da necessidade de segurança da informação.

b) Atribuição de responsabilidades em segurança da informação.
c) A incorporação do compromisso da Direção e os interesses das partes interessadas.
d) A melhoria dos valores sociais.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

e) Avaliações de risco para determinar os controles apropriados para alcançar níveis aceitáveis de
risco.
f) Segurança incorporada como elemento essencial dos sistemas e redes de informação.
g) Prevenção e detecção ativa de incidentes de segurança da informação.
h) Garantir uma abordagem abrangente à gestão da segurança da informação.
i) A avaliação contínua da segurança da informação e a realização de modificações quando apropriado.

A Segurança da Informação

A segurança da informação inclui três dimensões principais: confidencialidade, disponibilidade

e integridade. A fim de garantir o sucesso sustentado dos negócios bem como sua continuidade e
minimizar os impactos, a segurança da informação envolve a aplicação e o gerenciamento de medidas
de segurança adequadas que envolvem ala consideração de uma amplia gama de ameaças.

11
 A segurança da Informação é obtida através da implementação de um conjunto de controles aplicáveis,
selecionados através do processo de gerenciamento de riscos escolhido e gerenciado por meio de um
SGSI, usando políticas, processos, procedimentos, estruturas organizacionais, software e hardware
para proteger os ativos de informação identificados.

Estes controles precisam ser especificados, implementados, monitorados, revisados e aprimorados

quando necessário, para garantir que a segurança e os objetivos específicos do negócio e da segurança
sejam atingidos. Estes controles de segurança da informação devem ser integrados de maneira
consistente com os processos de negócios de uma organização.

O Sistema de Gestão

O sistema de gestão utiliza uma estrutura de recursos para alcançar os objetos da organização.
O sistema de gestão inclui a estrutura organizacional, as políticas, o planejamento das atividades,
responsabilidades, práticas, procedimentos, processos e recursos.

Em termos de segurança da informação, um sistema de gestão permite a uma organização:

a) Satisfazer os requisitos de segurança dos clientes e outras partes interessadas.

b) Melhoria dos programas e atividades da organização.
c) Cumprir os objetivos de segurança da informação da organização.
d) Cumprir os regulamentos, leis e obrigações do setor.
e) Gerenciar os ativos de informação de maneira organizada que facilite a melhoria contínua e a
adaptação às metas atuais da organização e de seu ambiente.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

Fatores Fundamentais para o Sucesso de um SGSI

Um grande número de fatores são fundamentais para o sucesso na implementação de um SGSI

que permita à uma organização alcançar seus objetivos de negócio. Alguns exemplos de fatores
fundamentais para o sucesso são:

a) Que a política, os objetivos e atividades de segurança da informação estejam alinhadas com os

objetivos.
b) A abordagem e a estrutura para o projeto, execução, incidentes, manutenção e melhoria da
segurança da informação estejam em consonância com a cultura da organização.
c) O apoio significativo e o compromisso de todos os níveis da Direção, especialmente da alta Direção.
d) O conhecimento e entendimento dos requisitos de proteção dos ativos de informação obtidos
mediante a aplicação da gestão de risco da segurança da informação (ver Norma ISO/IEC 27005).

12
e) Um programa efetivo de conscientização, formação e educação sobre segurança da informação,
informando a todos funcionários e outras partes interessadas, de suas obrigações em segurança
da informação estabelecidas na política de segurança da informação, normas, etc., e motivá-los a
atuar adequadamente.
f) Um processo eficaz de gestão de incidentes de segurança da informação.
g) Uma abordagem efetiva de gestão da continuidade do negócio.
h) Um sistema de medição utilizado para avaliar o desempenho na gestão da segurança da informação
e para proporcionar sugestões de melhoria.

Um SGSI aumenta a probabilidade de que uma organização atinja de forma coerente os fatores
fundamentais para o sucesso na proteção de seus ativos de informação.

Benefícios da Família de Normas SGSI

Os benefícios de implementar um SGSI produzirão principalmente uma redução dos riscos associados
a segurança da informação (quer dizer, reduzir a probabilidade e/ou impacto causado pelos incidentes
de segurança da informação). De uma forma mais específica os benefícios que para uma organização
produz com êxito a adoção da família de normas SGSI são:

a) Apoio ao processo de especificação, implementação, operação e manutenção de um SGSI, global,

eficiente em custos, integrado e alinhado para satisfazer as necessidades da organização em
diferentes operações e locais.
b) Ajuda para a direção na estrutura de seu conteúdo para a gestão da segurança da informação,
no contexto da gestão e administração do risco corporativo, incluídas as ações de educação e
formação em uma gestão holística da segurança da informação aos proprietários do negócio e do

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

sistema.
c) A promoção de boas práticas de segurança da informação aceitas mundialmente, de uma maneira
não obrigatória, oferecendo para as organizações a flexibilidade de adoção e melhoria dos controles
aplicáveis, respeitando suas circunstâncias específicas e para mantê-los preparados para enfrentar
futuras mudanças internas e externas.
d) Estabelecer uma linguagem comum e uma base conceitual para a segurança da informação,
tornando mais fácil adquirir confiança em sócios de um negócio que esteja em conformidade com
um SGSI, especialmente se for requerida a certificação conforme a Norma ISO/IEC 27001 por um
órgão de certificação credenciado.
e) Aumentar a confiança na organização pelas partes interessadas.
f) Satisfazer necessidades e expectativas sociais.
g) Gestão mais eficaz do ponto de vista econômico dos investimentos em segurança da informação.

13
3. Termos e Definições
3.1 Controle de Acesso

Meios para garantir que o acesso aos ativos esteja autorizado e restringido às exigência do negócio e
da segurança.

3.2 Modelo Analítico

Algoritmo ou cálculo que combina uma ou mais medidas básicas (3.10) ou derivadas (3.22) seguindo
critérios de decisão associados às mesmas.

3.3 Ataque

Tentativa de destruir, expor, alterar, desativar, roubar ou acessar sem autorização ou fazer um uso não
autorizado de uma informação.

3.4 Recurso

Propriedade ou característica de um objeto (3.55) que seja quantitativa o qualitativamente distinguível

por meios humanos ou automáticos.

[Adaptado de ISO/IEC 15939:2007]

3.5 Auditoria

Processo (3.61) sistemático, independente e documentado para obter evidências de auditoria e avalíá-

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

las de maneira objetiva com a finalidade de determinar o grau em que se cumprem os critérios de
auditoria.

NOTA 1: Uma auditora pode ser interna (da primeira parte), ou externa (da segunda ou terceira parte),
e pode ser combinada (com duas ou mais áreas).

NOTA 2: “Evidência de auditoria” e “critérios de auditoria” se definem na Norma ISSO 19011.

3.6 Escopo da Auditoria

Extensão e limites de uma auditoria (3.5).

[ISO 19011:2011]

15
 3.7 Autenticação

Comprovação de garantias de que são corretas as características que uma entidade reivindica para si
mesma.

3.8 Autenticidade

Recurso consistente em que uma entidade é o que diz ser.

3.9 Disponibilidade

Estar acessível e pronto para o seu uso ou demanda de uma entidade autorizada.

3.10 Medida Básica

Medida (3.47) definida por meio de um recurso (3.4) e o método para quantificá-lo.

[ISO/IEC 15939:2007]

NOTA: Uma medida básica é funcionalmente independente de outras medidas.

3.11 Competência

Capacidade para aplicar conhecimentos e habilidades com o fim de atingir os resultados previstos.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.12 Confidencialidade

Posse da informação que é mantida inacessível e não se revela a indivíduos, entidades ou processos
(3.61) não autorizados.

3.13 Conformidade

Cumprimento de um requisito (3.63).

3.14 Consequência

Resultado de um incidente (3.25) que afeta os objetivos (3.56).

[Guia ISO 73:2009]

16
NOTA 1: Um incidente pode conduzir a uma série de consequências.
NOTA 2: Uma consequência pode ser certa ou incerta e normalmente é negativa no contexto da
segurança da informação.
NOTA 3: As consequências podem ser manifestadas de forma qualitativa ou quantitativa.
NOTA 4: As consequências iniciais podem se converter em reações em cadeia.

3.15 Melhoria Contínua

Atividade recorrente para melhorar o desempenho (3.59).

3.16 Controle

Medida que modifica um risco (3.68).

[ISO Guia 73:2090]

NOTA 1: Os controles incluem qualquer processo, política, dispositivo, prática, ou outras ações que
modifiquem um risco.

NOTA 2: Os controles nem sempre podem proporcionar o efeito de modificação previsto ou assumido.

3.17 Objetivo do Controle

Declaração que descreve o que se deseja alcançar como resultado da implementação de controles
(3.16).

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.18 Correção

Ação para eliminar uma não conformidade (3.53) detectada.

3.19 Ação Corretiva

Ação para eliminar a causa de uma não conformidade (3.53) e prevenir que volte a ocorrer.

3.20 Ativos

Conjunto de valores associados à medidas básicas (3.10), medidas derivadas (3.22) e/ou indicadores
(3.30).

17
 [ISO/IEC 15939:2007]

NOTA: Esta definição só se aplica no contexto da Norma ISO/IEC 27004:2009.

3.21 Critérios de Decisão

Limites, objetivos ou padrões que se utilizam para determinar a necessidade de uma ação ou de uma
maior investigação, ou para descrever o nível de confiança em um determinado resultado.

[ISO/IEC 15939:2007]

3.22 Medida Derivada

Medida (3.47) que se define em função de dois ou mais valores de medidas básicas (3.10).

[ISO/IEC 15939:2007]

3.23 Informação Documentada

Informação que uma organização (3.57) tem que controlar, manter e a forma de mantê-la.

NOTA 1: A informação documentada pode estar em qualquer formato e método, e pode vir de qualquer
fonte.

NOTA 2: A informação documentada pode fazer referência:

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

●● O sistema de gestão (3.46), incluídos os processos (3.61) relacionados.

●● A informação criada para que a organização funcione (documentação).
●● A evidência dos resultados alcançados (registros).

3.24 Eficácia

Grau em que se realizam as atividades planejadas e se alcançam os resultados planejados.

3.25 Evento

Ocorrência ou mudança de um conjunto específico de circunstâncias.

[Equivalente a “incidente” no Guia ISO 73:2009]

18
NOTA 1: Um evento pode ser único ou se repetir, devido à várias causas.

NOTA 2: Um evento pode consistir em algo que nem chegue a acontecer.

NOTA 3: Algumas vezes, um evento se qualifica como um “incidente” ou “acidente”.

3.26 Direção Executiva

Pessoa ou grupo de pessoas de órgãos do governo (3.29) que delegam a responsabilidade de

implementar estratégias e políticas para alcançar a missão da organização (3.57).

NOTA: A direção executiva às vezes se chama alta direção e pode incluir diretores gerais, diretores
financeiros, diretores de informação e outras funções similares.

3.27 Contexto Externo

Ambiente externo no qual a organização busca alcançar seus objetivos.

[Guia ISO 73:2009]

NOTA: O ambiente externo pode incluir:

●● O ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e
competitivo, a nível internacional, nacional, regional ou local.
●● Os fatores e as tendências que tenham impacto sobre os objetivos (3.56) da organização (3.57).

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

●● As relações com as partes interessadas externas (3.82), suas percepções e seus valores.

3.28 Governança da Segurança da Informação

Conjunto de princípios e processos (3.61) diante dos quais uma organização (3.57) dirige e supervisiona
as atividades relacionadas com a segurança da informação.

3.29 Órgão do Governo

Conjunto de pessoas que respondem e prestam contas do desempenho (3.59) da organização (3.57).

NOTA: Em algumas jurisdições, o órgão do governo pode ser o conselho de administração.

19
 3.30 Indicador

Medida (3.47) que proporciona una estimativa ou avaliação de determinados recursos (3.4) usando
um modelo analítico (3.2) para satisfazer determinadas necessidades de informação (3.31).

3.31 Necessidades de Informação

Conhecimento necessário para gerenciar os objetivos, metas, riscos e problemas.

[ISO/IEC 15939:2007]

3.32 Recursos (estações) de Tratamento de Informação

Qualquer sistema de tratamento da informação, serviços ou infraestrutura, ou locais físicos que os

comportem.

3.33 Segurança da Informação

Preservação da confidencialidade (3.12), da integridade (3.40) e da disponibilidade (3.9) da informação.

NOTA: Podendo também, cobrir outros recursos, como a autenticidade (3.8), responsabilidade, a não
rejeição (3.54) e a confiabilidade (3.62).

3.34 Continuidade da Segurança da Informação

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

Processos (3.61) e procedimentos para garantir a continuidade das atividades relacionadas com a
segurança da informação (3.33).

3.35 Incidente ou Ocorrência de Segurança da Informação

Ocorrência detectada no estado de um sistema, serviço ou rede que indique uma possível violação
da política de segurança da informação, uma falha dos controles ou uma situação desconhecida até o
momento e que pode ser relevante para a segurança.

3.36 Incidente de Segurança da Informação

Evento isolado ou série de eventos de segurança da informação (3.35), inesperados ou não desejados,
que têm uma probabilidade significativa de comprometer as operações do negócio e de ameaçar a
segurança da informação (3.33).

20
3.37 Gestão de Incidentes de Segurança da Informação

Processos (3.61) para a detecção, notificação, avaliação, resposta, tratamento, e conhecimento de

incidentes de segurança da informação (3.36).

3.38 Grupo que Compartilha Informação

Grupo de organizações que acordam em compartilhar informação.

NOTA: Uma organização pode ser um indivíduo.

3.39 Sistema de Informação

Aplicações, serviços, recursos de tecnologia da informação e outros componentes para trabalhar a

informação.

3.40 Integridade

Capacidade de precisão e integridade.

3.41 Parte Interessada

Pessoa ou organização (3.57) que pode afetar, estar afetada, ou perceber que está afetada por uma
decisão ou atividade.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.42 Contexto Interno

Ambiente interno em que a organização busca alcançar seus objetivos.

[Guia ISO 73:2009]

NOTA: O contexto interno pode incluir:

●● O governo, a estrutura da organização, as funções e a obrigação de prestar contas.

●● As políticas, os objetivos e as estratégias que se estabelecem para consegui-los.
●● As capacidades, entendidas em termos de recursos e conhecimentos (por exemplo, capital, tempo,
pessoas, processos, sistemas e tecnologias).
●● Os sistemas de informação, os fluxos de informação e os processos de tomada de decisão (tanto
formais como informais).

21
 ●● As relações, percepções e os valores das partes internas interessadas.
●● A cultura da organização.
●● As normas, as diretrizes e os modelos adotados pela organização.
●● A forma e amplitude das relações contratuais.

3.43 Projeto de SGSI

Atividades estruturais levadas em consideração por uma organização (3.57) para implementar um
SGSI.

3.44 Nível de Risco

Importância de um risco (3.68) ou combinação de riscos, demonstrados em termos da combinação das

consequências (3.14) e de sua probabilidade (3.45).

[Guia ISO 73:2009]

3.45 Probabilidade (likehood)

Possibilidade de que algo feito se produza.

[Guia ISO 73:2009]

3.46 Sistema de Gestão

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

Conjunto de elementos de uma organização (3.57) inter-relacionados ou que interajam para definir
políticas (3.60), objetivos (3.56) e processos (3.61) para atingir estes objetivos.

NOTA 1: Um sistema de gestão pode tratar uma ou várias áreas.

NOTA 2: Os elementos do sistema incluem a estrutura da organização, os papeis e as responsabilidades,

o planejamento, a operação, etc.

NOTA 3: O escopo de um sistema de gestão pode incluir a totalidade da organização, funções

específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma
ou mais funções dentro de um grupo de organizações.

22
3.47 Medida

Variável na qual um valor é atribuído como resultado de uma medição (3.48).

[ISO/IEC 15939:2007]

NOTA: O termo “medida” é usado para se referir à medidas básicas, derivativos e indicadores.

3.48 Medição

Processo (3.61) para determinar um valor.

NOTA: No contexto de segurança da informação (3.33), o processo para determinar um valor requer
informação sobre a eficácia (3.24) de um sistema de gestão (3.46) de segurança da informação e seus
controles correspondentes (3.16) usando um método de medição (3.50), uma função de medição
(3.49), um modelo analítico (3.2), e critérios de decisão (3.21).

3.49 Função de Medição

Algoritmo ou cálculo realizado para combinar duas ou mais medidas básicas (3.10).

[ISO/IEC 15939:2007]

3.50 Método de Medição

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

Sequência lógica de operações descritas genericamente, usada na quantificação de um recurso (3.4)
em relação a uma escala (3.80) específica.

[ISO/IEC 15939:2007]

NOTA: O tipo de método de medição depende da natureza das operações usadas para quantificar um
recurso. Existem dois tipos:

●● Subjetivo: A quantificação se baseia no julgamento humano.

●● Objetivo: A quantificação se baseia em regras numéricas.

3.51 Resultados das Medições

Um ou mais indicadores (3.30) e suas correspondentes interpretações que se referem a necessidade

23
 de informação (3.31).

3.52 Supervisão, Rastreamento ou Monitoramento (monitoring)

Determinação do estado de um sistema, um processo (3.61) ou uma atividade.

NOTA: Para determinar o estado pode ser necessário verificar, supervisionar e observar de forma
crítica.

3.53 Não Conformidade

Não cumprimento de um requisito (3.63).

3.54 Não Rejeição

Capacidade para afirmar que está certa a reivindicação de que ocorreu algum incidente ou realizou-se
uma certa ação por parte das entidades que o originaram.

3.55 Objeto

Elemento caracterizado por meio da medição (3.48) de seus recursos (3.4).

3.56 Objetivo

Resultado a alcançar.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

NOTA 1: Um objetivo pode ser estratégico, tático ou operacional.

NOTA 2: Os objetivos podem referir-se a diferentes áreas como financeira, segurança, saúde e
ambiental e podem se aplicar em diferentes níveis como estratégicos, para toda a organização, para
projetos, produtos e processos (3.61).

NOTA 3: Um objetivo pode ser demonstrado de outras maneiras, por exemplo, como um resultado
previsto, um propósito, um critério operacional, um objetivo de segurança da informação, ou com
termos de significados similares (por exemplo, finalidade ou meta).

NOTA 4: No contexto de sistemas de gestão da segurança da informação, a organização estabelece

os objetivos de segurança da informação, de acordo com a política de segurança da informação, para
atingir resultados específicos.

24
3.57 Organização

Pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades, poderes e relações
para o alcance de seus objetivos (3.56).

NOTA: O conceito de organização inclui, mas não se limita a, empresários empresa individual,
corporações, empresas, autoridades, associações, etc., em si, parcialmente ou grupo de organizações,
sejam elas públicas ou privadas.

3.58 Contratar Externamente (Termo)

Estabelecer um acordo mediante o qual uma organização (3.57) externa realiza parte de uma função
ou processo (3.61) de uma organização.

NOTA 1: Uma organização externa está fora do escopo do sistema de gestão (3.46), ainda que a
função ou processo contratado externamente faça parte do negócio.

3.59 Desempenho

Resultado mensurável.

NOTA 1: O desempenho pode se relacionar com resultados quantitativos ou qualitativos.

NOTA 2: O desempenho pode se relacionar com a gestão de atividades, processos (3.61), produtos
(incluídos serviços), sistemas e organizações (3.57).

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.60 Política

Intenções e direcionamentos de uma organização (3.57), como as manifestam formalmente sua alta
direção (3.84).

3.61 Processo

Conjunto de atividades inter-relacionadas ou que interagem, que transforma elementos de entrada

em elementos de saída.

3.62 Confiabilidade

Recurso relativo à consistência no comportamento e nos resultados desejados.

25
 3.63 Requisito

Necessidade ou expectativa que está estabelecida, geralmente implícita e obrigatória.

NOTA 1: “Geralmente implícita” significa que é um costume ou prática comum na organização e pelas
partes interessadas, que a necessidade ou expectativa que se considera está implícita.

NOTA 2: Um requisito especificado é o que está declarado, por exemplo, na informação documentada.

3.64 Risco Residual

Risco (3.68) remanescente depois do tratamento de risco (3.79).

NOTA 1: O risco residual pode conter riscos não identificados.

NOTA 2: O risco residual também é conhecido como “risco retido”.

3.65 Revisão

Atividade que se realiza para determinar a idoneidade, a adequação e a eficácia (3.24) do tema
estudado para alcançar os objetivos estabelecidos.

[Guia ISO 73:2009]

3.66 Objeto em Revisão

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

Elemento específico que está sendo revisado.

3.67 Objetivo da Revisão

Declaração que descreve o que se deseja alcançar como resultado de uma revisão.

3.68 Risco

Efeito da incerteza sobre a realização dos objetivos.

[Guia ISO 73:2009]

NOTA 1: Um efeito é um desvio, positiva e/ou negativo, em relação ao previsto.

26
NOTA 2: A incerteza é o estado, incluso parcial, de falha na informação relativa a compreensão ou ao
conhecimento de um incidente (3.25), de suas consequências (3.14) ou de sua probabilidade (3.45).

NOTA 3: Com frequência, o risco se caracteriza por referência a incidentes (3.25) potenciais e a suas
consequências (3.14) ou uma combinação de ambos.

NOTA 4: Com frequência, o risco se manifesta em termos de combinação das consequências (3.14) de
um incidente (incluindo as mudanças nas circunstâncias) e de sua probabilidade (3.45).

NOTA 5: No contexto de sistema de gestão da segurança da informação, os riscos de segurança da

informação podem se manifestar como o efeito da incerteza sobre os objetivos de segurança da
informação.

NOTA 6: O risco de segurança da informação se relaciona com a possibilidade de que as ameaças

(3.83) explorem vulnerabilidades (3.89) de um dado ou grupo de ativos de informação e que causem
prejuízo à uma organização.

3.69 Aceitação de Risco

Decisão informada a favor de assumir um risco (3.68) particular.

[Guia ISO 73:2009]

NOTA 1: A aceitação de risco pode ocorrer sem que exista tratamento de risco (3.79) ou durante o
processo de tratamento de risco.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

NOTA 2: Os riscos aceitos são objeto de monitoramento (3.52) e de revisão (3.65).

3.70 Análise de Risco

Processo que permite compreender a natureza do risco (3.68) e determinar o nível de risco (3.44).

[Guia ISO 73:2009]

NOTA 1: A análise de risco proporciona as bases para a avaliação de risco (3.74) e para tomar as
decisões relativas ao tratamento de risco (3.79).

NOTA 2: A análise de risco inclui a sua estimativa.

27
 3.71 Verificação de Risco

Processo (3.61) global que compreende a identificação de risco (3.75), a análise de risco (3.70) e a
avaliação de risco (3.74).

[Guia ISO 73:2009]

3.72 Comunicação e Consulta de Risco

Processos iterativos e contínuos que uma organização realiza para proporcionar, compartilhar e obter
informação para estabelecer diálogo com as partes interessadas (3.82), em relação à gestão de risco
(3.68).

[Guia ISO 73:2009]

NOTA 1: A informação pode corresponder a existência, a natureza, a forma, a probabilidade, a

importância, a avaliação, a aceitação e o tratamento da gestão de risco.

NOTA 2: A consulta constitui um processo de comunicação em duas direções, entre a organização

e suas partes interessadas sobre uma questão antes de tomar uma decisão, ou determinar uma
orientação sobre tal questão. A consulta é:

●● Um processo que impacta sobre uma decisão através da influência; mais que pela autoridade.
●● Uma contribuição para uma tomada de decisão e não uma tomada de decisão conjunta.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.73 Critérios de Risco

Termos de referência em relação aos que se avaliam a importância de um risco (3.68).

[Guia ISO 73:2009]

NOTA 1: Os critérios de risco se baseiam nos objetivos da organização e no contexto externo e interno.

NOTA 2: Os critérios de risco são obtidos de normas, leis, políticas e outros requisitos.

3.74 Avaliação de Risco

Processo (3.61) de comparação dos resultados de análise de risco (3.70) com os critérios de risco
(3.73) para determinar se o risco (3.68) e/ou sua magnitude são aceitáveis ou toleráveis.

28
[Guia ISO 73:2009]

NOTA: A avaliação de risco ajuda na tomada de decisões sobre o tratamento de risco (3.79).

3.75 Identificação de Risco

Processo que abrange a busca, o reconhecimento e a descrição de riscos (3.68).

[Guia ISO 73:2009]

NOTA 1: A identificação de risco consiste na identificação das causas de riscos, os incidentes, suas
causas e suas potenciais consequências.

NOTA 2: A identificação de risco pode incluir dados históricos, análise teóricas, opiniões obtidas de
especialistas, assim como necessidades das partes interessadas.

3.76 Gestão de Risco

Atividades coordenadas para dirigir e controlar uma organização (3.57) em relação ao risco (3.68).

[Guia ISO 73:2009]

3.77 Processo de Gestão de Risco

Aplicação sistemática de políticas, procedimentos e práticas de gestão das atividades de comunicação,

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

consulta, estabelecimento do contexto, e identificação, análise, avaliação, tratamento, monitoramento
e revisão de risco (3.68).

[Guia ISO 73:2009]

NOTA: A Norma ISO/IEC 27005 utiliza o termo “processo” para descrever a gestão integral de risco.
Os elementos dentro do processo de gestão de risco se denominam “atividades”.

3.78 Proprietário do Risco

Pessoa ou entidade que tem a responsabilidade e autoridade para gerenciar um risco (3.68).

[Guia ISO 73:2009]

29
 3.79 Tratamento de Risco

Processo (3.61) destinado a modificar o risco (3.68).

[Guia ISO 73:2009]

NOTA 1: O tratamento de risco pode resultar em:

●● Evitar o risco, decidindo no início ou continuar com a atividade que leva ao risco.
●● Aceitar ou aumentar o risco com o objetivo de buscar uma oportunidade.
●● Eliminar a causa de risco.
●● Mudar a probabilidade.
●● Mudar as consequências.
●● Compartilhar o risco com outra ou outras partes (incluindo os contratos e o financiamento de risco).
●● Manter o risco com base em uma decisão informada.

NOTA 2: Os tratamentos de risco que levam à consequências negativas, em certos momentos são
citados como “mitigação de risco”, “eliminação de risco”, “prevenção de risco” e “redução de risco”.

NOTA 3: O tratamento de risco pode originar novos riscos ou modificar os riscos existentes.

3.80 Escala

Conjunto ordenado de valores, contínuo ou discreto, ou um conjunto de categorias às quais se

denominam recursos (3.4).
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

[ISO/IEC 15939:2007]

NOTA: O tipo de escala depende da natureza da relação entre os valores da escala.

Geralmente são identificadas quatro tipos de escala:

1. Nominal: Os valores de medição são categorias.

2. Ordinal: Os valores de medição são categorias ordenadas.
3. Intervalo: Os valores das medições se ajustam a faixas de valores quantitativos do atributo.
4. Proporção: Os valores das medições são relativos e proporcionais ao valor de outro atributo;
correspondendo o valor zero ao valor zero do atributo.

Estes são apenas exemplos de tipos de escala.

30
3.81 Norma de Implementação da Segurança

Documento que específica as formas autorizadas para satisfazer as necessidades de segurança.

3.82 Parte Interessada

Pessoa ou organização que pode afetar, ser afetada, ou perceber que foi afetada por uma decisão ou
atividade.

[ISO/IEC 73:2009]

3.83 Ameaça

Possível cause de um incidente não desejado, o qual pode ocasionar prejuízo em um sistema ou à uma
organização.

3.84 Alta Direção

Pessoa ou grupo de pessoas que dirigem e controlam uma organização (3.57) ao mais alto nível.

NOTA 1: A alta direção tem o poder para delegar poder e oferecer recursos dentro da organização.

NOTA 2: Se o escopo do sistema de gestão (3.46) corresponde apenas a uma parte da organização,
então “alta direção” se refere àqueles que dirigem e controlam essa parte da organização.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

3.85 Entidade de Confiança para a Comunicação da Informação

Organização independente que sustenta a troca de informação dentro de um grupo que compartilha
informação.

3.86 Unidade de Medida

Quantidade específica, definida e adotada por convenção, com a qual se comparam outras quantidades
da mesma natureza a fim de demonstrar sua dimensão em relação a determinada quantidade.

[ISO/IEC 15939:2007]

31
 3.87 Validação

Confirmação mediante ao fornecimento de evidência objetiva de que foram cumpridos os requisitos

para a utilização ou aplicação específica prevista.

[ISO/IEC 9000:2005]

3.88 Verificação

Confirmação mediante o fornecimento de evidência objetiva de que foram cumpridos os requisitos

especificados.

[ISO/IEC 9000:2005]

NOTA: Também poderia se chamar prova de conformidade.

3.89 Vulnerabilidade

Debilidade de um ativo ou de um controle (3.16) que pode ser explorado por uma ou mais ameaças
(3.83).
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

32
4. Contexto da Organização
 4.1 Compreensão da Organização e de
seu Contexto
A organização deve determinar as questões
externas e internas que são pertinentes ao seu
propósito e que afetam a sua capacidade para
alcançar os resultados previstos de seu sistema
de gestão da segurança da informação.

NOTA: A determinação destas questões se 4.3 Determinação do Escopo do

refere ao estabelecimento do contexto externo e
interno da organização considerando o parágrafo
5.3 da Norma ISO 31000:2009.
Sistema de Gestão de Segurança da
Informação
A organização deve determinar os límites e a
aplicabilidade do sistema de gestão de segurança
da informação para estabelecer seu escopo.

Quando se determina este escopo, a organização

deve considerar:

a) As questões externas e internas referidas

no parágrafo 4.1.
b) Os requisitos referidos no parágrafo 4.2.
c) As interfaces e a relação entre as atividades
realizadas pela organização com outras
organizações.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

4.2 Compreensão das Necessidades e

O escopo deve estar disponível como informação
Expectativas das Partes Interessadas
documentada.

A organização deve determinar:

4.4 Sistema de Gestão de Segurança
da Informação
a) As partes interessadas que são relevantes
para o sistema de gestão da segurança da
A organização deve estabelecer, implementar,
informação.
manter e melhorar de maneira contínua o sistema
b) Os requisitos das partes interessadas que são
de gestão de segurança da informação, de acordo
relevantes para a segurança da informação.
com os requisitos da norma internacional.

NOTA: Os requisitos das partes interessadas

podem incluir requisitos legais e regulatórios,
assim como obrigações contratuais.

34
5. Liderança
 5.1 Liderança e Compromisso

A alta direção deve demonstrar liderança e

compromisso com o sistema de gestão de
segurança da informação:

a) Garantindo que se estabeleçam a política e

os objetivos de segurança da informação e
que estes sejam compatíveis com a direção
estratégica da organização.
b) Garantindo a integração dos requisitos do
sistema de gestão de segurança da informação
nos processos da organização.
c) Garantindo que os recursos necessários para o
sistema de gestão de segurança da informação
estejam disponíveis.
d) Comunicando a importância da gestão de segurança da informação eficaz e em conformidade com
os requisitos do sistema de gestão de segurança da informação.
e) Garantindo que o sistema de gestão de segurança da informação consiga os resultados previstos.
f) Dirigindo e apoiando as pessoas, para contribuir com a eficácia do sistema de gestão de segurança
da informação.
g) Promovendo a melhoria contínua.
h) Apoiando outros papeis pertinentes à direção, para demonstrar sua liderança aplicada às áreas sob
sua responsabilidade.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

5.2 Política

A alta direção deve estabelecer uma política de segurança da informação que:

a) Seja adequada ao propósito da organização.

b) Inclua objetivos de segurança de informação (ver 6.2) ou crie um quadro de referência para o
estabelecimento dos objetivos de segurança da informação.
c) Inclua o compromisso de cumprir os requisitos aplicáveis à segurança da informação.
d) Inclua o compromisso de melhoria contínua do sistema de gestão de segurança da informação.

A política de segurança da informação deve:

e) Estar disponível como informação documentada.

f) Ser divulgada dentro da organização.

36
 g) Estar disponível para as partes interessadas,
conforme seja apropriado.

5.3 Papeis, Responsabilidades e

Poderes na Organização

A alta direção deve certificar-se que as

responsabilidades e poderes para os papeis
pertinentes a segurança da informação sejam
atribuídos e comunicados dentro da organização.

A alta direção deve atribuir a responsabilidade e

poder para:

a) Certificar-se que o sistema de gestão da

segurança da informação está conformidade
com os requisitos da norma internacional.
b) Informar a alta direção sobre o comportamento do sistema de gestão de segurança da informação.

NOTA: A alta direção também pode atribuir responsabilidades e poderes para informar sobre o
comportamento do sistema de gestão de segurança da informação dentro da organização.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

37
6. Planejamento
6.1 Ações para Tratar os Riscos e Oportunidades

6.1.1 Considerações Gerais

Ao planejar o sistema de gestão de segurança da informação, a organização deve considerar as questões

que fazem referência ao parágrafo 4.1 e os requisitos incluídos no parágrafo 4.2, e determinar os riscos
e oportunidades que deverão ser tratados com o fim de:

a) Certificar-se de que o sistema de gestão de segurança da informação atinja os resultados previstos.

b) Prevenir ou reduzir efeitos indesejados.
c) Buscar a melhoria contínua.

A organização deve planejar:

d) As ações para tratar estes riscos e oportunidades.

e) A maneira de:
1. Integrar e implementar as ações nos processos do sistema de gestão da segurança da informação.
2. Avaliar a eficácia das ações.

6.1.2 Verificação de Riscos de Segurança da Informação

A organização deve definir e aplicar um processo de verificação de riscos de segurança da informação

para:

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

a) Definir e manter critérios sobre riscos de segurança da informação incluindo:
1. Critérios de aceitação dos riscos.
2. Critérios para realizar a verificação de riscos de segurança da informação.
b) Certificar-se de que as sucessivas verificações de riscos de segurança da informação geram
resultados consistentes, válidos e comparáveis.
c) Identificar os riscos de segurança da informação:
1. Realizar o processo de verificação de riscos de segurança da informação para identificar os
riscos associados a perda de confidencialidade, integridade e disponibilidade da informação no
escopo do sistema de gestão de segurança da informação.
2. Identificar os responsáveis pelos riscos.
d) Analisar os riscos de segurança da informação:
1. Avaliar as possíveis consequências que ocorreriam se os riscos identificados no item 6.1.2 c) 1),
chegassem a acontecer.

39
 2. Avaliar de forma realista a probabilidade de ocorrência de riscos identificados no item 6.1.2 c) 1).
3. Determinar os níveis de risco.
e) Avaliar os riscos de segurança da informação:
1. Comparar os resultados da análise de riscos com os critérios de risco estabelecidos no item
6.1.2 a).
2. Priorizar o tratamento dos riscos analisados.

A organização deve manter a informação documentada do processo de verificação de riscos de

segurança da informação.

6.1.3 Tratamento de Riscos de Segurança da Informação

A organização deve definir e criar o processo de tratamento de riscos de segurança da informação

para:

a) Selecionar as opções adequadas de tratamento de riscos de segurança da informação considerando

os resultados da verificação de riscos.
b) Determinar todos os controles que sejam necessários para implementar a(s) opção(es) escolhida(s)
de tratamento de riscos de segurança da informação.

NOTA: As organizações podem criar controles conforme seja necessário, ou identificá-los a partir de
qualquer fonte.

c) Comparar os controles determinados no item 6.1.3 b) com os do anexo A e garantir que não sejam
omitidos controles necessários.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

NOTA 1: O anexo A contém uma ampla lista de objetivos de controle e controles. É indicado aos
usuários da norma internacional que se dirijam ao anexo A para garantir que não deixem de fazer os
controles necessários.

NOTA 2: Os objetivos de controle estão subentendidos nos controles selecionados. Os objetivos

de controle e os controles enumerados no anexo A não são estão completos, portanto, podem ser
necessário exigir objetivos de controle e controles adicionais.

d) Elaborar uma “Declaração de Aplicabilidade”

que contenha:
●● Controles necessários [ver 6.1.3 b) e c)].
●● A justificativa das inclusões.

40
●● Se os controles necessários estão implementados ou não.
●● A justificativa da exclusão de qualquer um dos controles do anexo A.

e) Criar um plano de tratamento de riscos de segurança da informação.

f) Obter a aprovação do plano de tratamento de riscos de segurança da informação e a aceitação de
riscos residuais de segurança da informação por parte dos responsáveis pelos riscos.

A organização deve manter a informação documentada do processo de tratamento de riscos de

segurança da informação.

NOTA: A verificação de riscos de segurança da informação e o processo de tratamento coletado nesta

norma internacional se alinham com os princípios e diretrizes genéricas definidos na Norma ISO 31000.

6.2 Objetivos de Segurança da Informação e Planejamento para sua Realização

A organização deve definir os objetivos de segurança da informação e as funções e níveis pertinentes.

Os objetivos de segurança da informação devem:

a) Ser coerentes com a política de segurança da informação.

b) Ser mensuráveis (se possível).
c) Considerar os requisitos de segurança da informação aplicáveis e os resultados da verificação e do
tratamento de riscos.
d) Ser divulgados.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

e) Ser atualizados, conforme a necessidade.

A organização deve manter a informação documentada sobre os objetivos de segurança da informação.

Quando se faz o planejamento para a realização dos objetivos de segurança da informação, a

organização deve determinar:

f) O que será realizado.

g) Quais recursos serão necessários.
h) Quem será o responsável.
i) Quando se finalizará.
j) Como serão avaliados os resultados.

41
7. Suporte
7.1 Recursos

A organização deve determinar e fornecer os

recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua
do sistema de gestão de segurança da informação.

7.2 Competência

A organização deve:

a) Determinar a competência necessária das pessoas que realizam, sob seu controle, o trabalho que
afeta o seu desempenho em segurança da informação.
b) Certificar-se de que estas pessoas sejam competentes, baseando-se na educação, formação ou
experiência compatível.
c) Quando aplicável, colocar em prática ações para aquisição da competência necessária e avaliar a
eficácia das ações tomadas.
d) Manter documentada a informação obtida, como evidência da competência.

NOTA: As ações aplicáveis podem incluir, por exemplo: a formação, a tutoria ou a realocação das
pessoas empregadas atualmente; ou a contratação de pessoas competentes.

7.3 Conscientização

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

As pessoas que trabalham sob o controle da organização devem estar conscientes sobre:
a) A política de segurança da informação.
b) Sua contribuição para a eficácia do sistema
de gestão da segurança da informação,
incluindo os benefícios de uma melhoria do
desempenho em segurança da informação.
c) As implicações em não cumprir os requisitos
do sistema de gestão de segurança da
informação.

43
 7.4 Comunicação

A organização deve determinar a necessidade de comunicação internas e externas pertinentes ao

sistema de gestão da segurança da informação, que inclua:

a) O conteúdo da comunicação.
b) Quando comunicar.
c) A quem comunicar.
d) Quem deve comunicar.
e) Por quais processos realizar a comunicação.

7.5 Informação Documentada

7.5.1 Considerações Gerais

O sistema de gestão de segurança da informação da organização deve incluir:

a) A informação documentada requerida pela norma internacional.

b) A informação documentada que a organização determinou ser necessária para a eficácia do sistema
de gestão da segurança da informação.

NOTA: O escopo da informação documentada para um sistema de gestão de segurança da informação

pode ser diferente de uma organização para outra, devido a:

1. O tamanho da organização, tipo de atividade, processos, produtos e serviços.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

2. A complexidade dos processos e suas interações.

3. A competência das pessoas.

7.5.2 Criação e Atualização

Quando se cria e atualiza a informação documentada, a organização deve garantir o atendimento das
seguintes situações:

a) A identificação e descrição (por exemplo, título, data, autor ou número de referência).

b) O formato (por exemplo, idioma, versão do software, gráficos) e meios de suporte (por exemplo,
papel, eletrônico).
c) A revisão e aprovação relativa a idoneidade e adequação.

44
7.5.3 Controle da Informação Documentada

A informação documentada exigida pelo sistema de gestão de segurança

da informação e pela norma internacional deve se controlada para garantir
que:

a) Esteja disponível e pronta para o uso, onde e quando se necessite.

b) Esteja protegida adequadamente (por exemplo, contra perda de
confidencialidade, uso inadequado, ou perda de integridade).

Para o controle da informação documentada, a organização deve tratar as

seguintes atividades, conforme seja aplicável:
c) Distribuição, acesso, recuperação e uso.
d) Armazenamento e preservação, incluída a preservação da leitura.
e) Controle de mudanças (por exemplo, controle de versão).
f) Retenção e disposição.

A informação documentada de origem externa, que a organização tenha determinado ser necessária
para o planejamento e operação do sistema de gestão da segurança da informação deve ser identificada
e controlada, adequadamente.

NOTA: O acesso depende de uma decisão relativa a permissão somente para consultar a informação
documentada, ou a permissão e autorização para consultar e modificar a informação documentada,
etc.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

45
8. Operação
8.1 Planejamento e Controle Operacional

A organização deve planejar, implementar e controlar os processos necessários para cumprir os

requisitos de segurança da informação e para implementar as ações determinadas no parágrafo 6.1. A
organização deve implementar também projetos para atingir os objetivos de segurança da informação
determinados no parágrafo 6.2.

È indispensável que a organização mantenha a informação documentada, para ter a confiança de que
os processos foram realizados conforme o planejado.

A organização deve controlar as mudanças planejadas e revisar as consequências das mudanças não
previstas, tomando ações para minimizar os efeitos negativos, quando for necessário.

A organização deve garantir que os processos contratados externamente estejam controlados.

8.2 Verificação de Riscos de Segurança da Informação

A organização deve realizar a verificação de
riscos de segurança da informação em intervalos
planejados, e quando se proponham ou sejam
feitas modificações importantes, considerando
os critérios estabelecidos no item 6.1.2 a).

A organização deve manter a informação

documentada dos resultados das verificações de
riscos de segurança da informação.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

8.3 Tratamento de Riscos de Segurança da Informação

A organização deve implementar o plano de

tratamento de riscos de segurança da informação.

A organização deve manter a informação

documentada dos resultados do tratamento de
riscos de segurança da informação.

47
9. Avaliação de Desempenho
9.1 Rastreamento, Medição, Análise e Avaliação

A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de

gestão de segurança da informação.

A organização deve determinar:

a) Onde é necessário fazer rastreamento e o que é necessário medir, incluindo processos e controles
de segurança da informação.
b) Os métodos de rastreamento, medição, análise e avaliação, conforme seja aplicável, para garantir
resultados válidos.
NOTA: Os métodos selecionados devem produzir
resultados comparáveis e reproduzíveis para ser
considerados válidos.

c) Quando devem ser realizados o rastreamento

e a medição.
d) Quem deve fazer o rastreamento e a medição.
e) Quando se deve analisar e avaliar os resultados
do rastreamento e da medição.
f) Quem deve analisar e avaliar estes resultados.

A organização deve manter a informação

documentada indicada como evidência dos
resultados.

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

9.2 Auditoria Interna

A organização deve realizar auditorias internas em

intervalos planejados, para fornecer informação se
o sistema de gestão de segurança da informação:

a) É feito com:
1. Os requisitos próprios da organização para
seu sistema de gestão de segurança da
informação.
2. Os requisitos da norma internacional.
b) Está implementado e mantido de maneira
correta.

49
 A organização deve:

c) Planejar, estabelecer, implementar e manter um ou vários programas de auditoria que incluam a

frequência, os métodos, as responsabilidades, os requisitos de planejamento, e a elaboração de
relatórios. Os programas de auditoria devem considerar a importância dos processos envolvidos e
os resultados das auditorias prévias.
d) Para cada auditoria, definir os critérios e seu escopo.
e) Selecionar os auditores e realizar auditorias para garantir a objetividade e a imparcialidade do
processo de auditoria.
f) Certificar-se de informar a direção apropriadamente sobre os resultados das auditorias.
g) Manter a informação documentada como evidência da implementação do programa de auditoria e
dos resultados desta.

9.3 Revisão da Direção

A alta direção deve revisar o sistema de gestão de segurança da informação da organização em

intervalos planejados, para ter certeza de sua conveniência, adequação e eficácia contínua.

A revisão feita pela direção deve incluir considerações sobre:

a) O estado das ações tomadas nas revisões anteriores pela direção.

b) As mudanças nas questões externas e internas que sejam apropriadas ao sistema de gestão de
segurança da informação.
c) A informação sobre o comportamento da segurança da informação, incluídas as tendências relativas
a:
1. Não conformidades e ações corretivas.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

2. Acompanhamento e resultados das medições.

3. Resultados de auditoria.
4. O cumprimento dos objetivos de segurança da informação.
d) Os comentários provenientes das partes interessadas.
e) Os resultados de verificação de riscos e o estado do plano de tratamento de riscos.
f) As oportunidades de melhora contínua.

Os elementos de saída da revisão feita pela direção devem incluir as decisões relacionadas com as
oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão de
segurança da informação.

A organização deve manter a informação documentada como evidência dos resultados das revisões
feitas pela direção.

50
10. Melhoria
 10.1 Não Conformidade e Ações Corretivas

Quando ocorre uma não conformidade, a organização deve:

a) Reagir a não conformidade, e conforme o caso:

1. Tomar ações de controle e correção.
2. Enfrentar as consequências.
b) Avaliar a necessidade de ações para eliminar as causas de não conformidade, a fim de que não volte
a ocorrer, nem ocorra em outra parte, mediante:
1. Revisar a não conformidade.
2. Determinar as causas de não conformidade.
3. Determinar se existem não conformidades similares, ou que potencialmente poderiam ocorrer.
c) Implementar qualquer ação necessária.
d) Revisar a eficácia das ações corretivas feitas.
e) Se necessário, fazer mudanças no sistema de gestão de segurança da informação.

As ações corretivas devem ser adoptadas aos efeitos das não conformidades encontradas.

A organização deve manter a informação documentada, com as seguintes de:

f) A natureza das não conformidades e qualquer ação posterior realizada.

g) Os resultados de qualquer ação corretiva.

10.2 Melhoria Contínua

CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

A organização deve melhorar de maneira contínua a idoneidade, adequação e eficácia do sistema de

gestão de segurança da informação.

52
Conclusões
 Conclusões

La Normal ISO 27001 pode ser implementada em qualquer tipo de organização pois fornece uma
metodologia para implementar um Sistema para a Gestão de Segurança da Informação, permitindo
também que uma empresa seja certificada em conformidade com esta norma, onde seu eixo central
é proteger a confidencialidade, integridade e disponibilidade de informações em uma empresa. Isso
é feito investigando quais são os possíveis problemas que poderiam afetar as informações (avaliação
de riscos) e, em seguida, definindo o que precisa ser feito para evitar que esses problemas ocorram
(tratamento de risco).

Portanto, a filosofia principal da norma ISO 27001 é baseada na gestão de riscos: investigar onde eles
estão, para trata-los sistematicamente.
CERTIPROF CERTIFIED ISO 27001 FOUNDATION (I27001F)

54