Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO//IEC 270001
2013
3
Poortuugu
uesaa
Tecnoologia dee inform
mação
Técniicas de segurançça
Sistem
mas de gestão
g dee seguran
nça da in
nformaçção – Req
quisitos
Inform
mation techhnology
Securitty techniqques
Inform
mation secuurity manaagement ssystems – Requirem
ments
ICS HOMMOLOGAÇÃO O
35.040 Term
mo de Homologação n.º 282/20013, de 2013-09
9-25
ELA
ABORAÇÃO
CT 163 (itSMF)
CORRESP PONDÊNCIA
Versão porttuguesa da ISO IEC 27001:201
13 EDIÇÇÃO
setem
mbro de 2013
CÓDDIGO DE PRE
EÇO
X008
8
IPQ
Q reprodução proibid
da
Rua António
A Gião, 2
2829-5
513 CAPARICA PORTUGAL
p. 3 de 32
Sumário Página
Preâmbulo nacional.................................................................................................................................. 2
0 Introdução .............................................................................................................................................. 5
4 Contexto da organização....................................................................................................................... 6
5 Liderança ............................................................................................................................................... 7
6 Planeamento ........................................................................................................................................... 8
p. 4 de 32
8 Operação................................................................................................................................................ 12
p. 5 de 32
0 Introdução
0.1 Generalidades
Esta Norma foi preparada para proporcionar os requisitos para estabelecer, implementar, manter e melhorar
de forma contínua um sistema de gestão de segurança da informação. A adoção de um sistema de gestão de
segurança da informação é uma decisão estratégica da organização. O estabelecimento e a implementação de
um sistema de gestão de segurança da informação de uma organização são influenciados pelas necessidades
e objetivos da organização, pelos requisitos de segurança, pelos processos organizacionais utilizados e pela
dimensão e estrutura da organização. É expectável que estes fatores influenciadores mudem ao longo do
tempo.
O sistema de gestão de segurança da informação preserva a confidencialidade, integridade e disponibilidade
da informação através da aplicação de um processo de gestão do risco e dá confiança às partes interessadas
de que os riscos são geridos adequadamente.
É importante que o sistema de gestão de segurança da informação faça parte de e esteja integrado com os
processos da organização e com a estrutura de gestão global e que a segurança da informação seja
considerada na conceção de processos, sistemas de informação e controlos. É expectável que uma
implementação de um sistema de gestão de segurança da informação seja dimensionada de acordo com as
necessidades da organização.
Esta Norma pode ser utilizada pelas partes internas e externas para avaliar a capacidade da organização para
cumprir os seus próprios requisitos de segurança da informação.
A sequência pela qual os requisitos são apresentados nesta Norma não reflete a sua importância nem indica a
sequência pela qual os mesmos devem ser implementados. Os itens da lista estão numerados unicamente
para efeitos de referência.
A ISO/IEC 27000 descreve a visão geral, o vocabulário de sistemas de gestão de segurança da informação,
tendo como referência a família de normas do sistema de gestão de segurança da informação (incluindo
ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005), com termos e definições relacionados.
p. 6 de 32
2 Referências normativas
Os seguintes documentos, na sua totalidade ou em parte, são referenciados normativamente neste documento
e são indispensáveis para a sua aplicação. Para referências datadas, aplica-se apenas a edição citada. Para
referências não datadas, aplica-se a última edição do documento normativo referido (incluindo qualquer
alteração).
ISO/IEC 27000 Information technology – Security techniques – Information security management
systems – Overview and vocabulary
3 Termos e definições
Para os fins do presente Documento Normativo, aplicam-se os termos e definições constantes na
ISO/IEC 27000.
4 Contexto da organização
p. 7 de 32
5 Liderança
5.2 Política
A gestão de topo deve estabelecer uma política de segurança da informação que:
a) é apropriada ao propósito da organização;
b) inclui os objetivos de segurança da informação (ver 6.2) ou proporcione um modelo de referência para a
definição dos objetivos de segurança da informação;
c) inclui um comprometimento para satisfazer os requisitos aplicáveis que são relacionados com a
segurança da informação;
d) inclui um comprometimento para a melhoria contínua do sistema de gestão de segurança da informação.
A política de segurança da informação deve:
NP
ISO/IEC 27001
2013
p. 8 de 32
6 Planeamento
6.1.1 Generalidades
Aquando do planeamento do sistema de gestão de segurança da informação, a organização deve considerar
as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e as oportunidades que
têm de ser endereçados, de forma a:
a) assegurar que o sistema de gestão de segurança da informação possa atingir os resultados pretendidos;
b) evitar ou reduzir os efeitos indesejáveis;
c) atingir a melhoria contínua.
A organização deve planear:
d) ações para endereçar esses riscos e oportunidades;
e) como irá:
1) integrar e implementar as ações nos seus processos do sistema de gestão de segurança da
informação;
2) avaliar a eficácia dessas ações.
p. 9 de 32
c) comparar os controlos determinados em 6.1.3.b com os controlos do Anexo A e verificar se não foram
omitidos controlos que sejam necessários;
NOTA 1: O Anexo A contém uma lista abrangente de objetivos de controlo e controlos. Os utilizadores desta Norma são
direcionados para o Anexo A, de modo a assegurar que nenhum controlo importante é negligenciado.
NOTA 2: Os objetivos de controlo estão incluídos implicitamente nos controlos escolhidos. Os objetivos de controlo e controlos
listados no Anexo A não são exaustivos e podem ser necessários objetivos de controlo e controlos adicionais.
d) produzir uma Declaração de Aplicabilidade que contenha os controlos necessários (ver 6.1.3.b e 6.1.3.c)
e a justificação para as inclusões dos controlos, estejam eles implementados ou não, bem como a
justificação para as exclusões dos controlos do Anexo A;
e) elaborar um plano de tratamento do risco de segurança da informação;
f) obter por parte dos responsáveis pelos riscos a aprovação do plano de tratamento do risco de segurança
da informação e a aceitação dos riscos residuais de segurança da informação.
A organização deve manter informação documentada sobre o processo de tratamento do risco de segurança
da informação.
NOTA: O processo de avaliação e tratamento do risco de segurança da informação nesta Norma está alinhado com os princípios e
diretrizes genéricas disponibilizadas na NP ISO 31000:2012.
NP
ISO/IEC 27001
2013
p. 10 de 32
7 Suporte
7.1 Recursos
A organização deve determinar e proporcionar os recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do sistema de gestão de segurança da informação.
7.2 Competência
A organização deve:
a) determinar as competências necessárias das pessoas que, trabalhando sob o seu controlo, influenciam o
seu desempenho de segurança da informação;
b) assegurar que essas pessoas são competentes, com base numa apropriada educação, formação ou
experiência;
c) quando aplicável, empreender ações para adquirir as competências necessárias e avaliar a eficácia das
ações empreendidas;
d) manter a informação documentada que seja apropriada como evidência de competência.
NOTA: Ações aplicáveis podem incluir, por exemplo: proporcionar formação, orientação, ou reafectação de colaboradores
existentes; ou a contratação de pessoas com competências.
NP
ISO/IEC 27001
2013
p. 11 de 32
7.3 Consciencialização
As pessoas que realizam trabalho sob o controlo da organização devem estar cientes:
a) da política de segurança da informação;
b) da sua contribuição para a eficácia do sistema de gestão de segurança da informação, incluindo os
benefícios de um melhor desempenho de segurança da informação;
c) das implicações da não conformidade com os requisitos do sistema de gestão de segurança da
informação.
7.4 Comunicação
A organização deve determinar a necessidade para as comunicações internas e externas relevantes para o
sistema de gestão de segurança da informação, incluindo:
a) o que comunicar;
b) quando comunicar;
c) com quem comunicar;
d) quem deve comunicar;
e) os processos pelos quais a comunicação deve ser efetuada.
7.5.1 Generalidades
O sistema de gestão de segurança da informação da organização deve incluir a:
a) informação documentada requerida por esta Norma;
b) informação documentada determinada pela organização como sendo necessária para a eficácia do
sistema de gestão de segurança da informação.
NOTA: A extensão da informação documentada de um sistema de gestão de segurança da informação pode ser diferente de uma
organização para outra devido a:
p. 12 de 32
8 Operação
p. 13 de 32
A organização deve manter informação documentada dos resultados do tratamento do risco de segurança da
informação.
9 Avaliação de desempenho
p. 14 de 32
10 Melhoria
p. 15 de 32
p. 16 de 32
Anexo A
(normativo)
Os objetivos de controlo e controlos listados no Quadro A.1 são derivados diretamente de e são alinhados
com os listados na ISO/IEC 27002:2013 secções 5 a 18 e devem ser usados no contexto da secção 6.1.3.
(continua)
NP
ISO/IEC 27001
2013
p. 17 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 18 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 19 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 20 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 21 de 32
p. 22 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 23 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 24 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 25 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 26 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 27 de 32
(continua)
NP
ISO/IEC 27001
2013
p. 28 de 32
A.17.2 Redundâncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação.
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo: Evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais relacionadas com a segurança da
informação e de quaisquer requisitos de segurança.
(continua)
NP
ISO/IEC 27001
2013
p. 29 de 32
p. 30 de 32
Anexo B
(informativo)
Os termos em Português apresentados no Quadro B.1 foram definidos com base nas Normas indicadas, no
Glossário da Sociedade da Informação (APDSI, Lisboa, 2007) e no Glossário de Termos Informáticos do
Instituto Informática, Versão 4.0 (II, Alfragide, 2008).
p. 31 de 32
p. 32 de 32
Bibliografia
[1] ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for
information security management
[4] ISO/IEC 27005 Information technology – Security techniques – Information security risk
management
[5] NP ISO 31000:2012 Gestão do risco – Princípios e linhas de orientação
[6] ISO/IEC Directives, Consolidated ISO Supplement – Procedures specific to ISO, 2012
Part 1