Curso de segurança da informação e priv

práticas conforme a ISO-IE

Exercicio 04- Declaração de

XPTO Declaração de aplicabilidade

Declaração de Esta declaração tem o objetivo de mostrar quais os con

que são aplicáveis ao Sistema de Gestão da Segurança d
Aplicabilidade Além disso, esta declaração apresenta a
mação e privacidade metodologia e boas
orme a ISO-IEC 27701:2019

eclaração de Aplicabilidade

Código Revisão Data

SOA 1 9/1/2020
plicabilidade
Classificação da informação Página
Confidencial 01 de 04

tivo de mostrar quais os controles das normas NBR ISO/ IEC 27001:2013 e NBR ISO/IEC 27701:2019
ma de Gestão da Segurança da Informação e Privacidade da Empresa XPTO , as razões para a seleção.
esta declaração apresenta as ações que comprovam a implementação dos controles.
 Controle (ISO/IEC 27001:2013) Número Seleção Justificati

Iníci
o
A XPTO S.A. entende qu
Seleção (Seg em RH) A.7.1.1 Sim necessário para a contrataçã
para a função

A.5.1.1 Políticas para segurança da

informação
A.7.2.2 Conscientização, educação e A 5.1.1 A empresa entende que a p
treinamento em segurança da A 7.2.2 conter politicas de utiliz
A 7.2.3 trabalh
informação
A.7.2.3 Processo disciplinar

A.5.1.1 Políticas para segurança da A 5.1.1

informação A 11.1.1
A.11.1.1Perímetro de segurança física A 11.1.2
A 11.1.3
A.11.1.2Controles de entrada física A 11.1.5
 Justificativa Objetivos do controle (ISO) Documento
Verificações do histórico devem ser
realizadas para todos os candidatos a
emprego, de acordo com a ética,
A XPTO S.A. entende que o controle se faz regulamentações e leis relevantes, e Procedimento de
ecessário para a contratação de pessoal adequado Recrutamento e Seleção de
para a função desejada deve ser proporcional aos requisitos do Colaboradores
negócio, aos riscos percebidos e à
classificação das informações a serem
acessadas."
Controle A 5.1.1
Um conjunto de políticas de segurança
da informação deve ser definido,
aprovado pela Direção, publicado e
comunicado para os funcionários e
partes externas relevantes.
Controle ( A 7.2.2)
Todos os funcionários da organização e,
empresa entende que a politica de seg info deve onde pertinente, as partes externas
devem receber treinamento, educação e
conter politicas de utilização de estação de conscientização apropriados, e as PSI 001
trabalho
atualizações regulares das políticas e
procedimentos organizacionais
relevantes para asA suas
Controle 5.1.1funções.
Um conjunto Controle ( A 7.2.3)
de políticas de segurança
Deve existir um processo
da informação disciplinar
deve ser definido,
formal, implantado
aprovado e comunicado,
pela Direção, publicadopara
e
tomar ações contra
comunicado para osfuncionários
funcionáriosque
e
tenham
partescometido
externas uma violação de
relevantes.
segurança
Controle da(Ainformação.
11.1.1)
Perímetros de segurança devem ser
definidos e usados para proteger tanto PSI 001
as instalações de processamento da
informação como as áreas que
contenham informações críticas ou
sensíveis.
As áreas seguras devem ser protegidas
por controles apropriados de entrada
para assegurar que somente pessoas
autorizadas tenham acesso permitido.
 Documento

Procedimento de
crutamento e Seleção de
Colaboradores

Não

PSI 001

PSI 001
 Controle (ISO/IEC 27701:2019) Número Seleção Justificativa Objetivos do controle (ISO)
A XPTO S.A. entende que o controle se
Iníci Identificação e documentação de faz necessário para manutenção do Identificar e documentar os propó
A.7.2.1 Sim
o Propósito sistema de gestão de segurança da específicos pelos quais os DP serão tr
informação e privacidade

Países e organizações internacionais A XPTO S.A. entende que o controle

para os quais os DP podem ser A.7.5.2 Não não se faz necessário, pois não existem N/A
transferências internacionais de Dados
transferidos
Pessoais
tivos do controle (ISO) Documento
Procedimento do
e documentar os propósitos Jurídico e Planilha de
los quais os DP serão tratados Identificação do
Propósito
Não

N/A N/A
 Controle (ISO/IEC 27001:2013) Número Seleção Justificativa Objetivos do controle (ISO)

Iníci Assegurar, onde pertinente, que o co

o A XPTO S.A. entende que o controle se
faz necessário para manutenção do
Condições para coleta e tratamento B.8.2.1 Sim
sistema de gestão de segurança da
informação e privacidade
trato para tratar DP considera os pap
organização em fornecer assistência c
obrigações do cliente (conside-
rando a natureza do tratamento e a
informação disponível para a organiza

A XPTO S.A. entende que o controle

Países e organizações internacionais não se faz necessário, pois não existem
para os quais os DP podem ser B.8.5.2 Não N/A
transferências internacionais de Dados
transferidos
Pessoais
tivos do controle (ISO) Documento

de pertinente, que o con-

tar DP considera os papéis da Contrato com os
m fornecer assistência com as clientes e
cliente (conside- Procedimento
eza do tratamento e a Jurídico
sponível para a organização).
Não

N/A N/A