Escolar Documentos
Profissional Documentos
Cultura Documentos
com
INTERNACIONAL ISO
PADRÃO 14298
Segunda edição
2021-08
Número de referência
ISO 14298:2021(E)
©ISO 2021
ISO 14298:2021(E)
Todos os direitos reservados. A menos que especificado de outra forma ou exigido no contexto de sua implementação, nenhuma parte
desta publicação pode ser reproduzida ou utilizada de qualquer outra forma ou por qualquer meio, eletrônico ou mecânico, incluindo
fotocópia ou publicação na Internet ou intranet, sem autorização prévia permissão escrita. A permissão pode ser solicitada à ISO no
endereço abaixo ou ao órgão membro da ISO no país do solicitante.
escritório de direitos autorais ISO
Conteúdo Página
h STUMA NDUMA
RD PREV.......
EU C
6.3 Planejamento do sistema de gerenciamento de impressão de segurança................................................ ................................................ ..9
7.5 Documento s
httepn:/t/estdumeudnumafrodsr.m
eu teumah.tumaeueuo/cnno uma eu o g / s t uma n ..
. . . ..
.. . .. ... . .. .
d uma r d s / s eu s t / d 6 c f c 7 5 f - e 0 4 7 - 4 c e d - 9 d 4 4 -
... . ... .. . ..
..
11
. .. . .. .. ... .. . ... .. ... . .. .. ... ... .. .. ... .. .. ... .. ... .. ... .. ................................................ .............
Prefácio
ISO (International Organization for Standardization) é uma federação mundial de organismos nacionais de
normalização (órgãos membros da ISO). O trabalho de preparação de Normas Internacionais é normalmente
realizado por meio de comitês técnicos da ISO. Cada órgão membro interessado em um assunto para o qual
um comitê técnico foi estabelecido tem o direito de ser representado nesse comitê. Organizações
internacionais, governamentais e não governamentais, em articulação com a ISO, também participam dos
trabalhos. A ISO colabora estreitamente com a Comissão Eletrotécnica Internacional (IEC) em todos os
assuntos de padronização eletrotécnica.
Os procedimentos usados para desenvolver este documento e aqueles destinados à sua manutenção posterior
são descritos nas Diretivas ISO/IEC, Parte 1. Em particular, os diferentes critérios de aprovação necessários para os
diferentes tipos de documentos ISO devem ser observados. Este documento foi elaborado de acordo com as regras
editoriais das Diretivas ISO/IEC, Parte 2 (verwww.iso.org/directives ).
Chama-se a atenção para a possibilidade de alguns dos elementos deste documento poderem ser objecto de direitos de
patente. A ISO não será responsabilizada pela identificação de nenhum ou de todos esses direitos de patente. Os detalhes
de quaisquer direitos de patente identificados durante o desenvolvimento do documento estarão na Introdução e/ou na
lista ISO de declarações de patentes recebidas (consultewww.iso.org/patents ).
Qualquer nome comercial usado neste documento é uma informação fornecida para conveniência dos usuários e
não constitui um endosso.
T ND R
Para obter uma explicação sobre a natureza voluntária dos padrões, o significado dos termos e expressões específicos da
ISO relacionados a confo r eu T
miteyhComo S
ses
Princípio da Organização Mundial do Comércio (OMC) ip le s
smUMA
D P atitudeV
pt t, ComoUMA
nós
pecado
eu sou um
( s t umadentronºdeumaTercd
ut adesão da ISO ao porm RE boE
EUuma C
. umarseut)o Comércio (TBT), consultewww.iso.org/
rri e
n
iso/prefácio.html. s.
hn ic uma eueutBeumah
revisado. 2f2eefae86e7/iso-14298-2021
— as definições foram atualizadas de acordo com a versão mais recente das Diretivas ISO/IEC, Parte 1,
Suplemento Consolidado da ISO;
Uma lista de todas as peças da série ISO 14298 pode ser encontrada no site da ISO.
Quaisquer comentários ou perguntas sobre este documento devem ser direcionados ao organismo nacional de normalização do usuário.
Uma lista completa desses órgãos pode ser encontrada emwww.iso.org/members.html .
Introdução
0.1 Geral
Este documento especifica os requisitos para um sistema de gerenciamento de impressão de segurança para impressoras de segurança.
As práticas atuais de gerenciamento de impressão de segurança carecem de garantias suficientes de que controles
de segurança eficazes sejam mantidos para proteger os interesses do cliente e do público em geral. Usando este
documento, a organização estabelece, documenta, implementa e mantém um sistema de gerenciamento de
impressão de segurança. Este sistema de gerenciamento de impressão de segurança é revisado regularmente para
melhorar continuamente sua eficácia. Reconhece-se que os requisitos do cliente às vezes excedem os requisitos
deste documento, portanto, o sistema de gerenciamento de impressão de segurança também atende aos
requisitos do cliente que estão além do escopo deste documento.
A adoção de um sistema de gerenciamento de impressão de segurança é uma decisão estratégica de uma organização. O
design e a implementação do sistema de gerenciamento de impressão de segurança de uma organização são
influenciados por várias necessidades, objetivos específicos, produtos fornecidos, processos empregados, ambiente de
segurança, questões culturais, limitações legais, avaliação de risco e pelo tamanho e estrutura da organização.
Para atingir os objetivos deste padrão de sistema de gerenciamento de impressão de segurança, são tomadas medidas
para mitigar todas as ameaças de segurança determinadas por uma avaliação de risco organizacional. Tais controles
visam reduzir, eliminar e prevenir atos que comprometam o sistema de gerenciamento de impressão de segurança da
organização.
e h T ND R D EV C
Não é intenção deste documento obter uniformidade na estrutura do sistema de gerenciamento de
o nse form
impressão de segurança ru isto Eu nted emPform
doFazcuUMA
SidadeUMA RatisobreEU
º .Egerenciamento de impressão de segurança eletrônica
( s t umalan
sistema está em conformidade com as leis e ré g você er.eumaqeuvocê)os requisitos especificados neste documento são
rnsdrc.eeu.tTehh
tiodnsumaeufo
suplementar aos requisitos para produtos e processos de uma organização e permitir
requisitos específicos do cliente.
ISO 14298:2021
Este documento éheutn
tptse:/n
/stdumaendardtso.eu teumahp d-t9umadeu4n4s-requisitos
. umapeu/clyataltoog/stsumaencdavocêrrdeust/syist/pdr6eucnFCt7e5rf-se.04EU7t-4ccoen que quando
implementado por uma impressora de segurança m2umaf2yeebfaee8o6bej7e/cétoeu-v1e4eu2y98uma-você2d0eu2t1ed para fins de certificação/registro.
Este documento promove a adoção de uma abordagem de processo ao desenvolver, implementar e melhorar a
eficácia de um sistema de gerenciamento de impressão de segurança.
b) é utilizado para continuar a satisfazer comprovadamente os requisitos e, naturalmente, as necessidades dos clientes;
d) oferece aos clientes a confiança de que a natureza e o grau de segurança acordados são ou serão
alcançados.
Este documento prescreve quais elementos um sistema de gerenciamento de impressão de segurança contém e não
como uma organização específica implementa esses elementos.
1 Escopo
Este documento especifica os requisitos para um sistema de gerenciamento de impressão de segurança para impressoras de segurança.
Este documento especifica um conjunto mínimo de requisitos do sistema de gerenciamento de impressão de segurança. As
organizações garantem que os requisitos de segurança do cliente sejam atendidos conforme apropriado, desde que não entrem
em conflito com os requisitos deste documento.
2 Referências normativas
3 Termos e definições
Para efeitos deste documento, aplicam-se os seguintes termos e definições.
Nota 1 para entrada: O conceito de organização inclui, mas não está limitado a empresário individual, empresa, corporação,
firma, empresa, autoridade, parceria, instituição de caridade ou instituição, ou parte ou combinação dos mesmos, incorporada ou
não, pública ou privada.
3.2
parte interessada
parte interessada
pessoa ouorganização(3.1 ) que pode afetar, ser afetado ou perceber-se afetado por uma decisão ou
atividade
3.3
requerimento
necessidade ou expectativa declarada, geralmente implícita ou obrigatória
Nota 1 à seção: “Geralmente implícito” significa que é costume ou prática comum para a organização e partes
interessadas que a necessidade ou expectativa em consideração esteja implícita.
Nota 2 para entrada: Um requisito especificado é aquele que é declarado, por exemplo, em informações documentadas.
3.4
Sistema de gestão
conjunto de elementos inter-relacionados ou interativos de umorganização(3.1 ) para estabelecerpolíticas(3.7 ) e
Objetivos(3.8 ), eprocessos(3.12 ) para alcançar esses objetivos
Nota 1 de entrada: Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
Nota 2 de entrada: Os elementos do sistema incluem a estrutura da organização, papéis e responsabilidades, planejamento e
operação.
Nota 3 de entrada: O escopo de um sistema de gestão pode incluir toda a organização, funções específicas e
identificadas da organização, seções específicas e identificadas da organização ou uma ou mais funções em
um grupo de organizações.
3.5
gestão de topo
pessoa ou grupo de pessoas que dirige e controla umaorganização(3.1 ) no mais alto nível
Nota 1 de entrada: A alta administração tem o poder de delegar autoridade e fornecer recursos dentro da
organização.
Nota 2 de entrada: Se o escopo doSistema de gestão(3.4 ) abrange apenas parte de uma organização, então a alta
administração se refere àqueles que dirigem e controlam essa parte da organização.
3.6
eficácia
medida em que as atividades planejadas são realizadas e os resultados planejados alcançados
3.7
política
intenções e direção de umorganização(3.1 ) expressa formalmente por seugestão de topo(3.5 )
3.8
objetivo
resultado a ser alcançado
VISÃO PADRÃO iTeh
(standards.iteh.ai)
Nota 1 para entrada: Um objetivo pode ser estratégico, tático ou operacional.
Nota 2 para entrada: Os objetivos podem estar relacionados a diferentesÉtOd1é4c2eu9p8eu:eu2n0e2s1(como metas financeiras, de saúde e segurança e ambientais) e podemhumattpsp
d4Eu
:/eu/ystumantddumaeurfdfse.ristoehn.taieu/ecvnoeumaeueusog[/ssvocêtacnhdumarsds/tsréumat/tde6gceufc,7o5rf-geuma0n4eu7z-uma 4tceu eo4-
iria dne,
--9projeto,
W produto e
processo(3.12 )]. 2f2eefae86e7/iso-14298-2021
Nota 3 de entrada: Um objetivo pode ser expresso de outras formas, por exemplo, como um resultado pretendido, um propósito, um
critério operacional, como umobjetivo de segurança(3.32 ) ou pelo uso de outras palavras com significado semelhante (por exemplo, aim,
goal ou target).
Nota 4 de entrada: No contexto de sistemas de gerenciamento de impressão de segurançaobjetivos de segurança(3.32 ) são definidos pela
organização, consistentes com a política de segurança, para alcançar resultados específicos.
3.9
risco
efeito da incerteza
Nota 2 de entrada: Incerteza é o estado, mesmo que parcial, de deficiência de informação relacionada, compreensão ou
conhecimento de um evento, sua consequência ou probabilidade.
Nota 3 para entrada: O risco é frequentemente caracterizado por referência a “eventos potenciais”(ver ISO Guia 73:2009, 3.5.1.3) e
“consequências”(ver ISO Guia 73:2009, 3.6.1.3), ou uma combinação destes.
Nota 4 para entrada: O risco é frequentemente expresso em termos de uma combinação das consequências de um evento
(incluindo mudanças nas circunstâncias) e a “probabilidade”(ver ISO Guia 73:2009, 3.6.1.1) de ocorrência.
3.10
competência
capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos
3.11
informação documentada
informações necessárias para serem controladas e mantidas por umorganização(3.1 ) e o meio em
que está contido
Nota 1 para entrada: As informações documentadas podem estar em qualquer formato e mídia e de qualquer fonte.
Nota 2 à entrada: As informações documentadas podem referir-se aoSistema de gestão(3.4 ), incluindo relacionadosprocessos (
3.12 ); informações criadas para o funcionamento da organização (documentação); e comprovação dos resultados alcançados
(registros).
3.12
processo
conjunto de atividades inter-relacionadas ou interativas que transforma entradas em saídas
3.13
atuação
resultado mensurável
Nota 2 de entrada: O desempenho pode estar relacionado ao gerenciamento de atividades,processos(3.12 ), produtos (incluindo
serviços), sistemas ouorganizações(3.1 ).
3.14
anizR
atíD
onP
terceirizar(verbo)
fazer um arranjo rnN D
euWTsuaehumSeTUMA UMA xte
(3.1R
) pEerVEU parte
tudoorg E C da função de uma organização
por m s
ouprocesso(3.12 )
(standards.iteh.ai)
Nota 1 para entrada: Uma organização externa está fora do escopo doSistema de gestão(3.4 ), embora a função ou
processo terceirizado esteja dentro do escopo.
ISO 14298:2021
3.15 https://standards.iteh.ai/catalog/standards/sist/d6cfc75f-e047-4ced-9d44-
monitoramento 2f2eefae86e7/iso-14298-2021
determinar o status de um sistema, umprocesso(3.12 ) ou uma atividade
Nota 1 à entrada: Para determinar o estado pode ser necessário verificar, medir, supervisionar ou observar criticamente.
3.16
medição
processo(3.12 ) para determinar um valor
3.17
auditoria
Nota 1 de entrada: Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa (segunda parte ou terceira parte), ou
pode ser uma auditoria combinada (combinando duas ou mais disciplinas).
Nota 2 de entrada: Uma auditoria interna é conduzida pela própria organização ou por uma parte externa em seu nome.
Nota 3 para entrada: “Evidência de auditoria” e “critérios de auditoria” (ver ISO 19011).
3.18
conformidade
cumprimento de umrequerimento(3.3 )
3.19
inconformidade
não cumprimento de umarequerimento(3.3 )
3.20
correção
ação para eliminar um detectadoinconformidade(3.19 )
3.21
ação corretiva
ação para eliminar a causa de uminconformidade(3.19 ) e para prevenir a recorrência
3.22
melhoria contínua
atividade recorrente para melhoraratuação(3.13 )
3.23
avaliação de risco
processo geral de identificação de riscos, análise de riscos e avaliação de riscos
3.24
impressora de segurança
produtor de documentos impressos ou produtos de valor ou direito, documentos de identificação oulâminas de segurança(3.26 )
que são fisicamente protegidos contra falsificação, falsificação e alteração porrecursos de segurança(3.27 )
3.25
impressão de segurança
ND R PR EV C
conjunto deprocessos(3.12 ) que transformam matérias-primas em documentos ou produtos de valor ou direito,
documentos de identificação ou s
ecu eu Te h
r
idade
ls(UMA 6)
fSoiT3.2
sictudoeDpr otected porEUecu
phyUMA
sE
recursos de qualidade(3.27 )
3.26 (standards.iteh.ai)
folha de segurança
material de filme fino que contém uma variedade ópticaEUumaSbOle14e2le98m:2e0n2t1ou similarrecurso de segurança(
3.27 ), que é aplicado em documentos
://rstoumad 7-s4tcefo
75umaf-ge0uma4dentro d-r9gde4r4y-, falsificação e
hondvocêumacterceirotssentarteohapeu/hcynosumaeuolhacguma/euseutyepumarrodst/escétt/dt6hceFCm
ttprsp
alteração 2f2eefae86e7/iso-14298-2021
3.27
recurso de segurança
componente integrado no produto para proteção contra falsificação, falsificação e alteração
3.28
segurança
proteção de produtos, processos, informações, meios de produção, recursos de segurança e cadeia de suprimentos
3.29
ameaça
ação ou ocorrência potencial, maliciosa ou não, para violar osegurança(3.28 ) do sistema
3.30
falha de segurança
infração ou violação de segurança
3.31
procedimento documentado
maneira estabelecida de trabalhar, documentada, implementada e mantida
3.32
objetivo de segurança
resultado a ser alcançado em relaçãosegurança(3.28 )
Nota 1 de entrada: Os objetivos de segurança são geralmente baseados na política de segurança da organização.
Nota 2 de entrada: Os objetivos de segurança são geralmente especificados para funções e níveis relevantes na organização.
3.33
gerenciamento de segurança
atividades coordenadas para dirigir e controlar uma organização no que diz respeito asegurança(3.28 )
Nota 1 de entrada: “Direção e controle” em geral implica o estabelecimento da política, objetivos, planejamento, controle,
garantia de segurança e melhorias com relação asegurança(3.28 ). A garantia de segurança representa todas as ações
planejadas e sistemáticas necessárias para dar um grau de confiança suficiente de que um produto ouprocesso(3.12 )
atende aos requisitos de segurança.
3.34
plano de segurança
informação documentada que especifica os procedimentos e recursos para satisfazer os requisitos de
segurança da organização
3.35
controle de segurança
aspecto degerenciamento de segurança(3.33 ) visando o cumprimento dos requisitos de segurança
3.36
ação preventiva
ação para prevenir a causa de uminconformidade(3.19 )
3.37
rastreabilidade
capacidade de rastrear o histórico, aplicação ou localização de um objeto
euoTe h ST N
oddutoDUMA
UMA DP R EV C
R gelo,traceabilidadeEUncaErelacionados com a origem dos materiais e
erv
( )
Nota 1 à entrada: Quando c nsi de ringa pr Como
ou
3.39
cadeia de mantimentos
Nota 1 para entrada: As cadeias de suprimentos incluem produtores, fornecedores, fabricantes, distribuidores, atacadistas,
fornecedores e provedores de logística. Eles incluem instalações, fábricas, escritórios, armazéns e filiais e podem ser internos e
externos a uma organização.
Nota 2 de entrada: O gerenciamento da cadeia de suprimentos relacionado a este documento inclui a verificação de fornecedores
e clientes a partir do valor de segurança inicial, que é o ponto em que a segurança é adicionada ao produto.
4 Contexto da organização