Escolar Documentos
Profissional Documentos
Cultura Documentos
*Para os efeitos da norma ISO/IEC 27701, aplicam-se os termos e definições das normas ISO/IEC
27000 e ISO/IEC 29100.
Principais termos e definições relacionados com
segurança da informação (ISO/IEC 27000)
• Ativo
• Algo que tenha valor para a organização e que, portanto, requer proteção.
• Ameaça
• Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou
organização.
• Incidente de Segurança da Informação e Privacidade
• Um ou mais eventos de segurança da informação e privacidade indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar
a segurança da informação.
Principais termos e definições relacionados com
segurança da informação (ISO/IEC 27000)
• Segurança da Informação e privacidade
• Preservação da confidencialidade, integridade e disponibilidade da informação.
• Confidencialidade
• Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou
processos não autorizados.
• Integridade
• Propriedade da exatidão e completeza de ativos.
• Disponibilidade
• Propriedade de estar acessível e utilizável sob demanda, por uma entidade autorizada.
Principais termos e definições relacionados com
segurança da informação (ISO/IEC 27000)
• Vulnerabilidade
• Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
• Risco de Segurança da Informação e Privacidade
• Potencial de que ameaças possam explorar vulnerabilidades de um ativo da informação ou
grupo de ativos de informação, causando assim dano para a organização.
• Risco Residual
• Risco remanescente após o tratamento do risco.
• Tratamento do Risco
• Processo para modificar um risco.
• Controle
• Medida que está modificando o risco.
Principais termos e definições relacionados com
privacidade (ISO/IEC 29100)
• Anonimização
• processo pelo qual dados pessoais (DP) são irreversivelmente alterados, de forma que um
titular de DP não mais pode ser identificado, direta ou indiretamente, seja por um
controlador de DP apenas ou em colaboração com qualquer outra parte.
• Avaliação de impacto de privacidade AIP
• Avaliação de risco de privacidade
• processo geral de identificação, análise, avaliação, consulta, comunicação e planejamento do
tratamento de impactos potenciais da privacidade em relação à operação de informação de
identificação pessoal (DP), estruturado dentro de um sistema de gestão de riscos mais
abrangente da organização.
Principais termos e definições relacionados com
privacidade (ISO/IEC 29100)
• Controlador de DP
• parte(s) interessada(s) na privacidade que determina(m) os objetivos e os meios para o
tratamento dos dados pessoais (DP) e que não é(são) pessoa(s) natural(is) que usa(m) os
dados para objetivos pessoais.
• Controles de privacidade
• medidas que tratam os riscos de privacidade por meio da redução de sua probabilidade ou
de suas consequências.
• Consentimento
• concordância, específica e informada, dada livremente pelo titular de dados pessoais (DP)
para o tratamento de seus DP.
Principais termos e definições relacionados com
privacidade (ISO/IEC 29100)
• Dado anonimizado
• dado que tenha sido produzido como resultado de um processo de anonimização dos dados
pessoais.
• Dados pessoais (DP)
• qualquer informação que (a) possa ser usada para identificar a pessoa natural à qual tal
informação se relaciona ou (b) pode estar direta ou indiretamente vinculada a uma pessoa
natural.
• DP sensíveis
• categoria de dados pessoais (DP) cuja natureza é sensível, como aqueles que se relacionam à
esfera mais íntima do titular de DP ou que podem ter um impacto significativo sobre o titular
de DP.
Principais termos e definições relacionados com
privacidade (ISO/IEC 29100)
• Operador de DP
• parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) em
benefício e de acordo com as instruções de um controlador de DP.
• Política de privacidade
• intenção e orientação geral, regras e compromissos, formalmente expressos pelo
controlador de dados pessoais (DP), relativos ao tratamento de DP em uma
configuração específica.
• Preferências de privacidade
• escolhas específicas, feitas por um titular de dados pessoais (DP), sobre como convém
que os seus DP sejam tratados para uma finalidade específica.
Principais termos e definições relacionados com
privacidade (ISO/IEC 29100)
• Pseudonimização
• processo aplicado aos dados pessoais (DP) que substitui informação identificável por um
pseudônimo.
• Requisitos de salvaguarda da privacidade
• conjunto de requisitos que uma organização precisa levar em conta ao tratar dados pessoais
(DP) em relação à proteção de privacidade de DP.
• Risco de privacidade
• efeito da incerteza sobre a privacidade.
Principais termos e definições relacionados com
privacidade (ISO/IEC 29100)
• Tratamento de DP
• operação ou conjunto de operações realizadas sobre dados pessoais (DP).
• Exemplo: coleta, armazenamento, alteração, recuperação, consulta, divulgação,
anonimização, pseudonimização, disseminação ou disponibilização, exclusão ou
destruição de DP.
• Terceiro
• parte interessada na privacidade que não o titular de dados pessoais (DP), o controlador
de DP e o operador de DP, e as pessoas naturais que são autorizadas a tratar os dados
sob direta autoridade do controlador de DP ou do operador de DP.
• Titular de DP
• pessoa natural a quem se referem os dados pessoais (DP).
• Uso secundário
• tratamento de dados pessoais (DP) em condições que diferem das iniciais.
• Violação de privacidade
• situação onde os dados pessoais são tratados em violação de um ou mais requisitos
pertinentes de salvaguarda da privacidade.
Principais termos e definições relacionados com
Sistema de Gestão
• Competência
• Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.
• Melhoria Contínua
• Atividade recorrente para melhorar o desempenho
• Alta direção
• Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.
• Ação corretiva
• Ação para eliminar a causa de uma não conformidade para prevenir a repetição.
• Informação documentada
• Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela
está contida.
• Parte interessada
• Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão
ou atividade.
Principais termos e definições relacionados com
Sistema de Gestão
• Política
• Intenções e direção de uma organização formalmente expressa pela sua alta direção.
• Análise crítica
• Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo
examinado para alcançar os objetivos estabelecidos.
• Auditoria
• Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la
objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos.
• Requisito
• Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.
• Conformidade
• Atendimento a um requisito.
• Não conformidade
• Não atendimento a um requisito.
Principais termos e definições relacionados com
segurança da informação e privacidade (ISO/IEC 27701)
• Controlador conjunto de DP
• controlador de DP que determina os propósitos e formas do tratamento de DP, junto com um
ou mais controladores de DP.
• A Seção 5 apresenta os requisitos específicos de um SGPI e outras informações relacionadas aos requisitos de
segurança da informação da ISO/IEC 27001, apropriados para uma organização que atue como um controlador de
DP ou como um operador de DP.
• A Seção 6 apresenta as diretrizes específicas de um SGPI e outras informações relacionadas aos controles de
segurança da informação contidos na ISO/IEC 27002 e diretrizes específicas de um SGPI para uma organização que
esteja atuando como um controlador de DP ou como um operador de DP.
• A Seção 7 apresenta as diretrizes adicionais da ISO/IEC 27002 para os controladores de DP.
• A Seção 8 fornece as diretrizes adicionais contidas na ISO/IEC 27002 para os operadores de DP.
• O Anexo A apresenta os controles e objetivos de controles específicos de um SGPI para uma organização que atue
como um controlador de DP.
• O Anexo B apresenta os controles e objetivos de controles específicos para uma organização que atue como um
operador de DP.
• O Anexo C apresenta um mapeamento com a ISO/IEC 29100.
• O Anexo D apresenta um mapeamento dos controles da ISO/IEC 27701 com a GDPR.
• Anexo E apresenta um mapeamento com a ISO/IEC 27018 e com a ISO/IEC 29151.
• O Anexo F explica como as ISO/IEC 27001 e ISO/IEC 27002 são estendidas à proteção da privacidade, quando do
tratamento de DP.
Aplicação dos requisitos da ISO/IEC 27001:2013
Seção da Subseção
ISO/IEC 27001:2013 Título neste Comentários
documento
4 Contexto da organização 5.2 Requisitos adicionais
5 Liderança 5.3 Sem requisitos específicos
de SGPI
6 Planejamento 5.4 Requisitos adicionais
7 Apoio 5.5 Sem requisitos específicos
de SGPI
8 Operação 5.6 Sem requisitos específicos
de SGPI
9 Avaliação de desempenho 5.7 Sem requisitos específicos
de SGPI
10 Melhoria 5.8 Sem requisitos específicos
de SGPI
Aplicação das diretrizes da ISO/IEC 27002:2013
Seção da
ISO/IEC 27002 Título Subseção Comentários
5 Políticas de segurança da informação 6.2 Diretrizes adicionais
17 Aspectos da segurança da informação na gestão da continuidade do negócio 6.14 Sem diretrizes adicionais
• 5.1 Geral
• Os requisitos da ISO/IEC 27001:2013 mencionando “segurança da informação” devem ser
estendidos para a proteção de privacidade, caso esta seja potencialmente afetada pelo
tratamento de DP.
5.2 Contexto da organização
• A diretriz na Seção 6 e os acréscimos nesta Seção criam diretrizes específicas para o SGPI para
controladores de DP. As diretrizes de implementação documentadas nesta Seção se relacionam
aos controles listados no Anexo A.
7.2 Condições para coleta e tratamento
Objetivo: Determinar e documentar que o tratamento é lícito, com bases legais, conforme as
jurisdições aplicáveis, e com propósitos legítimos e claramente estabelecidos.
• Outras informações
• Diretrizes sobre avaliações de impacto da privacidade relativas ao tratamento de DP podem
ser encontradas na ISO/IEC 29134.
7.2 Condições para coleta e tratamento
Objetivo: Assegurar que os titulares de DP sejam providos com informações apropriadas sobre o
tratamento de seus DP e para atender quaisquer outras obrigações aplicáveis aos titulares de DP,
relativas aos tratamentos de seus DP.
Objetivo: Assegurar que os processos e sistemas sejam projetados de tal forma que a coleta e o
tratamento (incluindo o uso, divulgação, retenção, transmissão e descarte) estejam limitados ao
que é necessário para o propósito identificado.
• 7.4.7 Retenção
• Controle
• Convém que a organização não retenha DP por um tempo maior do que é necessário para os
propósitos para os quais o DP é tratado.
• 7.4.8 Descarte
• Controle
• Convém que a organização tenha políticas, procedimentos e/ou mecanismos documentados
para o descarte de DP.
• As diretrizes na Seção 6 e os acréscimos desta Seção criam diretrizes específicas do SGPI para os
operadores de DP. As diretrizes de implementação documentadas nesta Seção estão relacionadas
aos controles listados no Anexo B.
8.2 Condições para coleta e tratamento
Objetivo: Documentar e determinar que o tratamento é lícito, com base legal, conforme as jurisdições
aplicáveis e com propósitos legítimos e claramente definidos.
Objetivo: Assegurar que os titulares de DP sejam providos com informações apropriadas sobre o
tratamento de seus DP, e que estejam de acordo com quaisquer outras obrigações aplicáveis para
os titulares de DP relativas ao tratamento de seus DP.
• Controle
• Convém que a organização forneça ao cliente meios para estar em compliance com suas
obrigações relativas aos titulares de DP.
Objetivo: Assegurar que processos e sistemas sejam projetados de forma que a coleta e o
tratamento de DP (incluindo o uso, divulgação, retenção, transmissão e descarte) estejam
limitados ao que é necessário para o propósito identificado.
• ABNT NBR ISO/IEC 27701 Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT
NBR ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e diretrizes.