Norm ma NP

ISO//IEC 270001
2013
3

Poortuugu
uesaa
Tecnoologia dee inform
mação
Técniicas de segurançça
Sistem
mas de gestão
g dee seguran
nça da in
nformaçção – Req
quisitos

Technoologies dee l’informaation

Techniiques de sécurité
Systèm
mes de gesstion de séécurité de ll’informattion – Exigences

Inform
mation techhnology
Securitty techniqques
Inform
mation secuurity manaagement ssystems – Requirem
ments

ICS HOMMOLOGAÇÃO O
35.040 Term
mo de Homologação n.º 282/20013, de 2013-09
9-25

ELA
ABORAÇÃO
CT 163 (itSMF)
CORRESP PONDÊNCIA
Versão porttuguesa da ISO IEC 27001:201
13 EDIÇÇÃO
setem
mbro de 2013

CÓDDIGO DE PRE
EÇO
X008
8

 IPQ
Q reprodução proibid
da

Rua António
A Gião, 2
2829-5
513 CAPARICA PORTUGAL

Tel. + 351-212 948 100 Fax + 351-212 94 948 101

E-maill: ipq@ipq.pt Inte
ernet: www.ipq.pt
Preâmbulo nacional
A presente Norma é idêntica à versão inglesa da ISO/IEC 27001:2013, “Information technology – Security
techniques – Information security management systems – Requirements”.
A presente Norma foi preparada pela Comissão Técnica de Normalização CT 163 “Segurança em Sistemas
de Informação”, cuja coordenação é assegurada pelo Organismo de Normalização Sectorial, itSMF Portugal
– Associação Portuguesa de Gestores de Serviços de Tecnologias de Informação (ONS/ITSMF).
Chama-se a atenção para a possibilidade de que alguns elementos deste documento podem estar sujeitos a
direitos patenteados. A ISO e o IEC não devem ser considerados responsáveis pela identificação de parte ou
da totalidade de tais direitos patenteados.
A ISO/IEC 27001:2013 foi preparada pelo Comité Técnico Conjunto ISO/IEC JTC 1, “Tecnologia da
Informação, Subcomissão SC 27, Técnicas de Segurança.
Esta segunda edição cancela e substitui a primeira edição (ISO/IEC 27001:2005), a qual foi revista
tecnicamente.
O Anexo A faz parte integrante desta Norma. O Anexo B é apenas informativo.
 NP
ISO/IEC 27001
2013

p. 3 de 32

Sumário Página
Preâmbulo nacional.................................................................................................................................. 2 

0 Introdução .............................................................................................................................................. 5 

0.1 Generalidades ..................................................................................................................................... 5 

0.2 Compatibilidade com outras normas de sistemas de gestão ........................................................... 5 

1 Objetivo e campo de aplicação ............................................................................................................. 6 

2 Referências normativas ......................................................................................................................... 6 

3 Termos e definições ............................................................................................................................... 6 

4 Contexto da organização....................................................................................................................... 6 

4.1 Compreender a organização e o seu contexto ...................................................................................... 6 

4.2 Compreender as necessidades e expectativas das partes interessadas .................................................. 6 

4.3 Determinar o âmbito do sistema de gestão de segurança da informação ............................................. 6 

4.4 Sistema de gestão de segurança da informação .................................................................................... 7 

5 Liderança ............................................................................................................................................... 7 

5.1 Liderança e comprometimento ............................................................................................................. 7 

5.2 Política .................................................................................................................................................. 7 

5.3 Funções, responsabilidades e autoridades na organização ................................................................... 8 

6 Planeamento ........................................................................................................................................... 8 

6.1 Ações para endereçar riscos e oportunidades ....................................................................................... 8 

6.1.1 Generalidades .................................................................................................................................... 8 

6.1.2 Avaliação do risco de segurança da informação ............................................................................... 8 

6.1.3 Tratamento do risco de segurança da informação ............................................................................. 9 

6.2 Objetivos de segurança da informação e planeamento para os alcançar .............................................. 10 

7 Suporte ................................................................................................................................................... 10 

7.1 Recursos ............................................................................................................................................... 10 

7.2 Competência ......................................................................................................................................... 10 

7.3 Consciencialização ............................................................................................................................... 11 

7.4 Comunicação ........................................................................................................................................ 11 

NP
ISO/IEC 27001
2013

p. 4 de 32

7.5 Informação documentada..................................................................................................................... 11 

7.5.1 Generalidades ................................................................................................................................... 11 

7.5.2 Criação e atualização ........................................................................................................................ 11 

7.5.3 Controlo da informação documentada .............................................................................................. 12 

8 Operação................................................................................................................................................ 12 

8.1 Planeamento e controlo operacional .................................................................................................... 12 

8.2 Avaliação do risco de segurança da informação .................................................................................. 12 

8.3 Tratamento do risco de segurança da informação ............................................................................... 12 

9 Avaliação de desempenho .................................................................................................................... 13 

9.1 Monitorização, medição, análise e avaliação....................................................................................... 13 

9.2 Auditoria interna .................................................................................................................................. 13 

9.3 Revisão pela gestão ............................................................................................................................. 14 

10 Melhoria .............................................................................................................................................. 14 

10.1 Não conformidade e ação corretiva ................................................................................................... 14 

10.2 Melhoria contínua .............................................................................................................................. 15 

Anexo A (normativo) Objetivos de controlo e controlos de referência ................................................ 16 

Anexo B (informativo) Correspondência entre os termos em inglês e em português ......................... 30 

Bibliografia ............................................................................................................................................... 32 

 NP
ISO/IEC 27001
2013

p. 5 de 32

0 Introdução

0.1 Generalidades
Esta Norma foi preparada para proporcionar os requisitos para estabelecer, implementar, manter e melhorar
de forma contínua um sistema de gestão de segurança da informação. A adoção de um sistema de gestão de
segurança da informação é uma decisão estratégica da organização. O estabelecimento e a implementação de
um sistema de gestão de segurança da informação de uma organização são influenciados pelas necessidades
e objetivos da organização, pelos requisitos de segurança, pelos processos organizacionais utilizados e pela
dimensão e estrutura da organização. É expectável que estes fatores influenciadores mudem ao longo do
tempo.
O sistema de gestão de segurança da informação preserva a confidencialidade, integridade e disponibilidade
da informação através da aplicação de um processo de gestão do risco e dá confiança às partes interessadas
de que os riscos são geridos adequadamente.
É importante que o sistema de gestão de segurança da informação faça parte de e esteja integrado com os
processos da organização e com a estrutura de gestão global e que a segurança da informação seja
considerada na conceção de processos, sistemas de informação e controlos. É expectável que uma
implementação de um sistema de gestão de segurança da informação seja dimensionada de acordo com as
necessidades da organização.
Esta Norma pode ser utilizada pelas partes internas e externas para avaliar a capacidade da organização para
cumprir os seus próprios requisitos de segurança da informação.
A sequência pela qual os requisitos são apresentados nesta Norma não reflete a sua importância nem indica a
sequência pela qual os mesmos devem ser implementados. Os itens da lista estão numerados unicamente
para efeitos de referência.
A ISO/IEC 27000 descreve a visão geral, o vocabulário de sistemas de gestão de segurança da informação,
tendo como referência a família de normas do sistema de gestão de segurança da informação (incluindo
ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005), com termos e definições relacionados.

0.2 Compatibilidade com outras normas de sistemas de gestão

Esta Norma aplica a estrutura de alto nível, os títulos de secções e texto idênticos, os termos comuns e as
definições essenciais definidos no Anexo SL do ISO/IEC Directives, Part 1, Consolidated ISO Supplement,
e, portanto, mantém a compatibilidade com outras normas de sistemas de gestão que adotaram o Anexo SL.
Esta abordagem comum definida no Anexo SL será útil para as organizações que optam por operar um único
sistema de gestão que cumpra os requisitos de duas ou mais normas de sistemas de gestão.
NP
ISO/IEC 27001
2013

p. 6 de 32

1 Objetivo e campo de aplicação

Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar de forma contínua um
sistema de gestão de segurança da informação dentro do contexto da organização. Esta Norma também inclui
os requisitos para a avaliação e tratamento dos riscos de segurança da informação, ajustados às necessidades
da organização. Os requisitos definidos nesta Norma são genéricos e pretende-se que sejam aplicáveis a
todas as organizações, independentemente do seu tipo, dimensão ou natureza. A exclusão de quaisquer dos
requisitos especificados nas secções 4 a 10 não é aceitável para uma organização que reivindica a sua
conformidade face a esta Norma.

2 Referências normativas
Os seguintes documentos, na sua totalidade ou em parte, são referenciados normativamente neste documento
e são indispensáveis para a sua aplicação. Para referências datadas, aplica-se apenas a edição citada. Para
referências não datadas, aplica-se a última edição do documento normativo referido (incluindo qualquer
alteração).
ISO/IEC 27000 Information technology – Security techniques – Information security management
systems – Overview and vocabulary

3 Termos e definições
Para os fins do presente Documento Normativo, aplicam-se os termos e definições constantes na
ISO/IEC 27000.

4 Contexto da organização

4.1 Compreender a organização e o seu contexto

A organização deve determinar as questões internas e externas que são relevantes para a sua finalidade e que
afetam a sua capacidade para alcançar o(s) resultado(s) pretendido(s) do seu sistema de gestão de segurança
da informação.
NOTA: A determinação destas questões relaciona-se com o estabelecimento do contexto externo e interno da organização
considerado na secção 5.3 da NP ISO 31000:2012.

4.2 Compreender as necessidades e expectativas das partes interessadas

A organização deve determinar:
a) as partes interessadas que são relevantes para o sistema de gestão de segurança da informação;
b) os requisitos, destas partes interessadas, relevantes para a segurança da informação.
NOTA: Os requisitos das partes interessadas podem incluir requisitos legais, requisitos regulamentares e obrigações contratuais.

4.3 Determinar o âmbito do sistema de gestão de segurança da informação

A organização deve determinar os limites e aplicabilidade do sistema de gestão de segurança da informação
para estabelecer o seu âmbito.
Ao determinar este âmbito, a organização deve considerar:
 NP
ISO/IEC 27001
2013

p. 7 de 32

a) questões externas e internas referidas em 4.1;

b) requisitos referidos em 4.2;
c) interfaces e dependências entre as atividades desempenhadas pela organização, e aquelas que são
desempenhadas por outras organizações.
O âmbito deve estar disponível como informação documentada.

4.4 Sistema de gestão de segurança da informação

A organização deve estabelecer, implementar, manter e melhorar de forma contínua um sistema de gestão de
segurança da informação, de acordo com os requisitos desta Norma.

5 Liderança

5.1 Liderança e comprometimento

A gestão de topo deve demonstrar liderança e comprometimento para com o sistema de gestão de segurança
da informação:
a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão
estabelecidos e são compatíveis com a orientação estratégica da organização;
b) assegurando a integração dos requisitos do sistema de gestão de segurança da informação nos processos
da organização;
c) assegurando que os recursos necessários para o sistema de gestão de segurança da informação estão
disponíveis;
d) comunicando a importância de uma gestão de segurança da informação eficaz e em conformidade com
os requisitos do sistema de gestão de segurança da informação;
e) assegurando que o sistema de gestão de segurança da informação atinge os resultados pretendidos;
f) orientando e apoiando as pessoas para contribuir para a eficácia do sistema de gestão de segurança da
informação;
g) promovendo a melhoria contínua;
h) apoiando outras funções de gestão relevantes a demonstrarem a sua liderança, conforme aplicável às suas
áreas de responsabilidade.

5.2 Política
A gestão de topo deve estabelecer uma política de segurança da informação que:
a) é apropriada ao propósito da organização;
b) inclui os objetivos de segurança da informação (ver 6.2) ou proporcione um modelo de referência para a
definição dos objetivos de segurança da informação;
c) inclui um comprometimento para satisfazer os requisitos aplicáveis que são relacionados com a
segurança da informação;
d) inclui um comprometimento para a melhoria contínua do sistema de gestão de segurança da informação.
A política de segurança da informação deve:
NP
ISO/IEC 27001
2013

p. 8 de 32

e) estar disponível, como informação documentada;

f) ser comunicada dentro da organização;
g) estar disponível para as partes interessadas, conforme apropriado.

5.3 Funções, responsabilidades e autoridades na organização

A gestão de topo deve assegurar que são atribuídas e comunicadas as responsabilidades e autoridades para
funções que são relevantes para a segurança da informação.
A gestão de topo deve atribuir a responsabilidade e a autoridade para:
a) assegurar que o sistema de gestão de segurança da informação está em conformidade com os requisitos
desta Norma;
b) reportar à gestão de topo o desempenho do sistema de gestão de segurança da informação.
NOTA: A gestão de topo pode também atribuir responsabilidades e autoridades para reportar o desempenho do sistema de gestão
de segurança da informação dentro da organização.

6 Planeamento

6.1 Ações para endereçar riscos e oportunidades

6.1.1 Generalidades
Aquando do planeamento do sistema de gestão de segurança da informação, a organização deve considerar
as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e as oportunidades que
têm de ser endereçados, de forma a:
a) assegurar que o sistema de gestão de segurança da informação possa atingir os resultados pretendidos;
b) evitar ou reduzir os efeitos indesejáveis;
c) atingir a melhoria contínua.
A organização deve planear:
d) ações para endereçar esses riscos e oportunidades;
e) como irá:
1) integrar e implementar as ações nos seus processos do sistema de gestão de segurança da
informação;
2) avaliar a eficácia dessas ações.

6.1.2 Avaliação do risco de segurança da informação

A organização deve definir e aplicar um processo de avaliação do risco de segurança da informação que:
a) estabeleça e mantenha os critérios do risco de segurança da informação, incluindo:
1) os critérios de aceitação do risco;
2) os critérios para realizar avaliações do risco de segurança da informação;
b) garanta que as sucessivas avaliações do risco de segurança da informação produzem resultados
consistentes, válidos e comparáveis;
 NP
ISO/IEC 27001
2013

p. 9 de 32

c) identifique os riscos de segurança da informação:

1) aplicando o processo de avaliação do risco de segurança da informação para identificar os riscos
associados com a perda de confidencialidade, integridade e disponibilidade da informação, no
âmbito do sistema de gestão de segurança da informação;
2) identificando os responsáveis pelos riscos;
d) analise os riscos de segurança da informação:
1) avaliando as consequências potenciais que resultariam, caso os riscos identificados em 6.1.2.c.1 se
materializassem;
2) avaliando a probabilidade realista de ocorrência dos riscos identificados em 6.1.2.c.1;
3) determinando os níveis do risco;
e) avalie os riscos de segurança da informação:
1) comparando os resultados da análise do risco com os critérios do risco estabelecidos em 6.1.2 a;
2) estabelecendo as prioridades dos riscos analisados para o seu tratamento.
A organização deve manter informação documentada sobre o processo de avaliação do risco de segurança da
informação.

6.1.3 Tratamento do risco de segurança da informação

A organização deve definir e aplicar um processo de tratamento do risco de segurança da informação para:
a) selecionar as opções apropriadas de tratamento do risco de segurança da informação, tendo em
consideração os resultados da avaliação do risco;
b) determinar todos os controlos que são necessários para implementar as opções escolhidas de tratamento
do risco de segurança da informação;
NOTA: As organizações podem conceber controlos, conforme necessário ou identificá-los a partir de qualquer fonte.

c) comparar os controlos determinados em 6.1.3.b com os controlos do Anexo A e verificar se não foram
omitidos controlos que sejam necessários;
NOTA 1: O Anexo A contém uma lista abrangente de objetivos de controlo e controlos. Os utilizadores desta Norma são
direcionados para o Anexo A, de modo a assegurar que nenhum controlo importante é negligenciado.
NOTA 2: Os objetivos de controlo estão incluídos implicitamente nos controlos escolhidos. Os objetivos de controlo e controlos
listados no Anexo A não são exaustivos e podem ser necessários objetivos de controlo e controlos adicionais.

d) produzir uma Declaração de Aplicabilidade que contenha os controlos necessários (ver 6.1.3.b e 6.1.3.c)
e a justificação para as inclusões dos controlos, estejam eles implementados ou não, bem como a
justificação para as exclusões dos controlos do Anexo A;
e) elaborar um plano de tratamento do risco de segurança da informação;
f) obter por parte dos responsáveis pelos riscos a aprovação do plano de tratamento do risco de segurança
da informação e a aceitação dos riscos residuais de segurança da informação.
A organização deve manter informação documentada sobre o processo de tratamento do risco de segurança
da informação.
NOTA: O processo de avaliação e tratamento do risco de segurança da informação nesta Norma está alinhado com os princípios e
diretrizes genéricas disponibilizadas na NP ISO 31000:2012.
NP
ISO/IEC 27001
2013

p. 10 de 32

6.2 Objetivos de segurança da informação e planeamento para os alcançar

A organização deve estabelecer objetivos de segurança da informação para níveis e funções relevantes.
Os objetivos de segurança da informação devem:
a) ser consistentes com a política de segurança da informação;
b) ser mensuráveis (se exequível);
c) ter em consideração os requisitos de segurança da informação aplicáveis e os resultados da avaliação do
risco e do tratamento do risco;
d) ser comunicados;
e) ser atualizados, conforme apropriado.
A organização deve manter informação documentada dos objetivos de segurança da informação.
A organização ao planear como os seus objetivos de segurança da informação serão atingidos, deve
determinar:
f) o que será feito;
g) que recursos serão necessários;
h) quem será responsável;
i) quando estará concluído;
j) como os resultados serão avaliados.

7 Suporte

7.1 Recursos
A organização deve determinar e proporcionar os recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do sistema de gestão de segurança da informação.

7.2 Competência
A organização deve:
a) determinar as competências necessárias das pessoas que, trabalhando sob o seu controlo, influenciam o
seu desempenho de segurança da informação;
b) assegurar que essas pessoas são competentes, com base numa apropriada educação, formação ou
experiência;
c) quando aplicável, empreender ações para adquirir as competências necessárias e avaliar a eficácia das
ações empreendidas;
d) manter a informação documentada que seja apropriada como evidência de competência.
NOTA: Ações aplicáveis podem incluir, por exemplo: proporcionar formação, orientação, ou reafectação de colaboradores
existentes; ou a contratação de pessoas com competências.
 NP
ISO/IEC 27001
2013

p. 11 de 32

7.3 Consciencialização
As pessoas que realizam trabalho sob o controlo da organização devem estar cientes:
a) da política de segurança da informação;
b) da sua contribuição para a eficácia do sistema de gestão de segurança da informação, incluindo os
benefícios de um melhor desempenho de segurança da informação;
c) das implicações da não conformidade com os requisitos do sistema de gestão de segurança da
informação.

7.4 Comunicação
A organização deve determinar a necessidade para as comunicações internas e externas relevantes para o
sistema de gestão de segurança da informação, incluindo:
a) o que comunicar;
b) quando comunicar;
c) com quem comunicar;
d) quem deve comunicar;
e) os processos pelos quais a comunicação deve ser efetuada.

7.5 Informação documentada

7.5.1 Generalidades
O sistema de gestão de segurança da informação da organização deve incluir a:
a) informação documentada requerida por esta Norma;
b) informação documentada determinada pela organização como sendo necessária para a eficácia do
sistema de gestão de segurança da informação.
NOTA: A extensão da informação documentada de um sistema de gestão de segurança da informação pode ser diferente de uma
organização para outra devido a:

c) dimensão da organização e o seu tipo de atividades, processos, produtos e serviços;

d) complexidade dos processos e suas interações;
e) competência das pessoas.

7.5.2 Criação e atualização

Ao criar e atualizar informação documentada, a organização deve assegurar de forma apropriada:
a) uma identificação e descrição (por exemplo, título, data, autor ou número de referência);
b) um formato (por exemplo, idioma, versão do software, gráficos) e suporte de dados (por exemplo, papel,
eletrónico);
c) uma revisão e aprovação da sua aplicabilidade e adequação.
NP
ISO/IEC 27001
2013

p. 12 de 32

7.5.3 Controlo da informação documentada

A informação documentada requerida pelo sistema de gestão de segurança da informação e por esta Norma
deve ser controlada para assegurar que:
a) está disponível e é adequada para utilização, onde e quando necessário;
b) está adequadamente protegida (por exemplo, da perda de confidencialidade, utilização indevida, ou
perda de integridade).
Para controlo da informação documentada, a organização deve considerar as seguintes atividades, como
aplicáveis:
c) distribuição, acesso, obtenção e utilização;
d) armazenamento e conservação, incluindo a preservação da legibilidade;
e) controlo de alterações (por exemplo, controlo de versão);
f) retenção e eliminação.
A informação documentada de origem externa, que seja determinada pela organização como necessária para
o planeamento e operação do sistema de gestão de segurança da informação, deve ser identificada como
apropriada, e controlada.
NOTA: O acesso implica uma decisão sobre a permissão para apenas visualizar a informação documentada, ou a permissão e
autoridade para visualizar e alterar a informação documentada, etc.

8 Operação

8.1 Planeamento e controlo operacional

A organização deve planear, implementar e controlar os processos necessários para cumprir os requisitos de
segurança da informação, e implementar as ações definidas em 6.1. A organização deve também
implementar planos para atingir os objetivos de segurança da informação definidos em 6.2.
A organização deve manter a informação documentada, na extensão necessária para poder ter confiança que
os processos foram executados conforme planeado.
A organização deve controlar as alterações planeadas e rever as consequências das alterações imprevistas,
tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.
A organização deve assegurar que os processos subcontratados estão determinados e controlados.

8.2 Avaliação do risco de segurança da informação

A organização deve realizar avaliações do risco de segurança da informação em intervalos planeados ou
quando são propostas ou ocorrem alterações significativas, tomando em consideração os critérios definidos
em 6.1.2.a.
A organização deve manter informação documentada dos resultados das avaliações do risco de segurança da
informação.

8.3 Tratamento do risco de segurança da informação

A organização deve implementar um plano de tratamento do risco de segurança da informação.
 NP
ISO/IEC 27001
2013

p. 13 de 32

A organização deve manter informação documentada dos resultados do tratamento do risco de segurança da
informação.

9 Avaliação de desempenho

9.1 Monitorização, medição, análise e avaliação

A organização deve avaliar o desempenho de segurança da informação e a eficácia do sistema de gestão de
segurança da informação.
A organização deve determinar:
a) O que necessita de ser monitorizado e medido, incluindo os processos e controlos de segurança da
informação;
b) Os métodos para monitorizar, medir, analisar e avaliar, conforme aplicável, para garantir resultados
válidos;
NOTA: Os métodos selecionados, para serem considerados válidos, devem produzir resultados comparáveis e reproduzíveis.

c) Quando deve ser realizada a monitorização e medição;

d) Quem deve monitorizar e medir;
e) Quando os resultados da monitorização e medição devem ser analisados e avaliados;
f) Quem deve analisar e avaliar estes resultados.
A organização deve manter informação documentada que seja apropriada como evidência dos resultados da
monitorização e das medições efetuadas.

9.2 Auditoria interna

A organização deve conduzir auditorias internas em intervalos planeados para disponibilizar informação
sobre se o sistema de gestão de segurança da informação:
a) está conforme com
1) os requisitos da própria organização para o seu sistema de gestão de segurança da informação;
2) os requisitos desta Norma;
b) está implementado e mantido com eficácia.
A organização deve:
c) planear, estabelecer, implementar e manter programa(s) de auditorias, incluindo frequência, métodos,
responsabilidades, requisitos de planeamento e reporte. O(s) programa(s) de auditoria deve(m) ter em
consideração a importância do processo em questão e os resultados de auditorias anteriores.
d) definir os critérios de auditoria e o âmbito de cada auditoria;
e) selecionar auditores e conduzir auditorias que assegurem a objetividade e imparcialidade do processo de
auditoria;
f) garantir que os resultados das auditorias são reportados aos gestores adequados;
g) manter informação documentada como evidência da existência do(s) programa(s) de auditoria e dos
resultados das auditorias.
NP
ISO/IEC 27001
2013

p. 14 de 32

9.3 Revisão pela gestão

A gestão de topo deve rever o sistema de gestão de segurança da informação em intervalos planeados para
assegurar a sua contínua aplicabilidade, adequabilidade e eficácia.
A revisão pela gestão deve ter em consideração:
a) o estado das ações de anteriores revisões pela gestão;
b) alterações em questões internas e externas que sejam relevantes para o sistema de gestão de segurança da
informação;
c) informação recebida sobre o desempenho de segurança da informação, incluindo tendências de:
1) não conformidades e ações corretivas;
2) resultados da monitorização e medições;
3) resultados das auditorias;
4) cumprimento dos objetivos de segurança da informação;
d) informação recebida das partes interessadas;
e) resultados da avaliação do risco e o estado do plano de tratamento do risco;
f) oportunidades para melhoria contínua.
As saídas da revisão pela gestão devem incluir decisões relativas a oportunidades de melhoria contínua e
qualquer necessidade de alterações ao sistema de gestão de segurança da informação.
A organização deve manter informação documentada como evidência dos resultados da revisão pela gestão.

10 Melhoria

10.1 Não conformidade e ação corretiva

Quando uma não conformidade ocorre a organização deve:
a) reagir à não conformidade e, quando aplicável:
1) empreender ações para a controlar e corrigir;
2) lidar com as suas consequências;
b) avaliar a necessidade de ações para eliminar as causas da não conformidade, de forma que as mesmas
não se repitam ou ocorram noutra situação:
1) revendo a não conformidade;
2) determinando as causas da não conformidade;
3) determinando se existem ou se podem potencialmente ocorrer não conformidades similares;
c) implementar qualquer ação necessária;
d) rever a eficácia de quaisquer ações corretivas empreendidas;
e) proceder, se necessário, a alterações ao sistema de gestão de segurança da informação.
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
 NP
ISO/IEC 27001
2013

p. 15 de 32

A organização deve manter informação documentada como evidência:

f) da natureza das não conformidades e de quaisquer ações subsequentes que sejam empreendidas;
g) dos resultados de qualquer ação corretiva.

10.2 Melhoria contínua

A organização deve melhorar de forma contínua a aplicabilidade, adequabilidade e eficácia do sistema de
gestão de segurança da informação.
NP
ISO/IEC 27001
2013

p. 16 de 32

Anexo A
(normativo)

Objetivos de controlo e controlos de referência

Os objetivos de controlo e controlos listados no Quadro A.1 são derivados diretamente de e são alinhados
com os listados na ISO/IEC 27002:2013 secções 5 a 18 e devem ser usados no contexto da secção 6.1.3.

Quadro A.1 – Objetivos de Controlo e Controlos

A.5 Políticas de segurança da informação

A.5.1 Diretrizes da gestão para a segurança da informação
Objetivo: Proporcionar diretrizes e apoio da gestão para a segurança da informação, de acordo com os requisitos de negócio, leis e
regulamentações relevantes.

A.5.1.1 Políticas para a segurança da Controlo

informação Um conjunto de políticas para a segurança da informação deve ser
definido, aprovado pela gestão, publicado e comunicado aos
colaboradores e partes externas relevantes.

A.5.1.2 Revisão das políticas para a segurança Controlo

da informação As políticas para a segurança da informação devem ser revistas em
intervalos planeados ou quando ocorrerem alterações significativas, de
modo a assegurar a sua contínua aplicabilidade, adequabilidade e
eficácia.

A.6 Organização de segurança da informação

A.6.1 Organização interna
Objetivo: Estabelecer um modelo de referência de gestão para iniciar e controlar a implementação e operação de segurança da
informação dentro da organização.

A.6.1.1 Papéis e responsabilidades de segurança Controlo

da informação Todas as responsabilidades de segurança da informação devem ser
definidas e alocadas.

A.6.1.2 Segregação de funções Controlo

As funções e áreas de responsabilidades conflituantes devem ser
segregadas para reduzir oportunidades para a modificação não autorizada
ou não intencional, ou a utilização indevida dos ativos da organização.

A.6.1.3 Contacto com autoridades competentes Controlo

Devem ser mantidos contactos apropriados com as autoridades
competentes que sejam relevantes.

A.6.1.4 Contacto com grupos de interesse Controlo

especial Devem ser mantidos contactos apropriados com grupos de interesse
especial ou outros fóruns de especialistas de segurança e associações de
profissionais.

(continua)
 NP
ISO/IEC 27001
2013

p. 17 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.6.1.5 Segurança da informação na gestão de Controlo
projeto A segurança da informação deve ser endereçada na gestão de projeto,
independentemente do tipo de projeto.

A.6.2 Dispositivos móveis e teletrabalho

Objetivo: Assegurar a segurança no teletrabalho e na utilização de dispositivos móveis.

A.6.2.1 Política de dispositivos móveis Controlo

Deve ser adotada uma política e as respetivas medidas de segurança para
gerir os riscos introduzidos pela utilização de dispositivos móveis.

A.6.2.2 Teletrabalho Controlo

Deve ser implementada uma política e as respetivas medidas de
segurança para proteger a informação acedida, processada ou
armazenada em locais de teletrabalho.

A.7 Segurança na gestão de recursos humanos

A.7.1 Antes da relação contratual
Objetivo: Assegurar que os colaboradores e prestadores de serviço compreendem as suas responsabilidades, e que são adequados
para as funções para as quais estão a ser considerados.

A.7.1.1 Verificação de credenciais e referências Controlo

Devem ser realizadas verificações de credenciais e referências de todos
os candidatos a uma relação contratual, de acordo com as leis,
regulamentações e códigos de ética relevantes, e de forma proporcional
aos requisitos de negócio, à classificação da informação que será acedida
e aos riscos percecionados.

A.7.1.2 Termos e condições da relação Controlo

contratual Os acordos contratuais com os colaboradores e prestadores de serviço
devem estabelecer as suas responsabilidades e as da organização
relativamente à segurança da informação.

A.7.2 Durante a relação contratual

Objetivo: Assegurar que os colaboradores e prestadores de serviço estão conscientes e cumprem as suas responsabilidades de
segurança da informação.

A.7.2.1 Responsabilidades da gestão Controlo

A gestão deve requerer a todos os colaboradores e prestadores de serviço
que apliquem a segurança da informação, de acordo com os
procedimentos e políticas estabelecidos pela organização.

A.7.2.2 Consciencialização, educação e Controlo

formação em segurança da informação
Todos os colaboradores da organização e, quando relevante, os
prestadores de serviço devem ser destinatários de acções de
consciencialização, educação e formação apropriadas, bem como de
atualizações regulares nas políticas e procedimentos da organização que
sejam relevantes para o desempenho da sua função.

A.7.2.3 Procedimento disciplinar Controlo

Deve existir e ser comunicado um procedimento disciplinar formal que
seja acionável em relação aos colaboradores que tenham cometido uma
violação de segurança da informação.

(continua)
NP
ISO/IEC 27001
2013

p. 18 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.7.3 Cessação e alteração da relação contratual
Objetivo: Proteger os interesses da organização no processo de cessação ou alteração da relação contratual.

A.7.3.1 Responsabilidades na cessação ou Controlo

alteração da relação contratual Devem ser definidas, comunicadas e asseguradas as responsabilidades e
deveres de segurança da informação que permaneçam válidas após a
cessação ou alteração da relação contratual com os colaboradores ou
prestadores de serviço.
A.8 Gestão de ativos
A.8.1 Responsabilidade pelos ativos
Objetivo: Identificar os ativos da organização e definir responsabilidades de proteção apropriadas.

A.8.1.1 Inventário de ativos Controlo

Devem ser identificados os ativos associados com a informação e os
recursos de processamento de informação e deve ser criado e mantido
um inventário destes ativos.

A.8.1.2 Responsabilidade pelos ativos Controlo

Os ativos registados no inventário devem ter um responsável.

A.8.1.3 Utilização aceitável de ativos Controlo

Devem ser identificadas, documentadas e implementadas regras para a
utilização aceitável da informação, dos ativos associados com a
informação e dos recursos de processamento de informação.

A.8.1.4 Devolução de ativos Controlo

Todos os colaboradores e utilizadores de entidades externas devem
devolver os ativos da organização que estejam na sua posse no momento
da cessação da relação contratual ou acordo.

A.8.2 Classificação da informação

Objetivo: Assegurar que a informação recebe um nível adequado de proteção, de acordo com a sua importância para a organização.

A.8.2.1 Classificação da informação Controlo

A informação deve ser classificada com base nos requisitos legais, valor,
importância e sensibilidade em caso de divulgação ou modificação não
autorizada.

A.8.2.2 Etiquetagem da informação Controlo

Deve ser desenvolvido e implementado um conjunto de procedimentos
apropriados para a etiquetagem da informação, de acordo com o esquema
de classificação da informação adotado pela organização.

A.8.2.3 Manuseamento de ativos Controlo

Devem ser desenvolvidos e implementados procedimentos para o
manuseamento de ativos, de acordo com o esquema de classificação da
informação adotado pela organização.

A.8.3 Manuseamento de suportes de dados

Objetivo: Prevenir a divulgação não autorizada, modificação, remoção ou eliminação da informação armazenada em suportes de
dados.

(continua)
 NP
ISO/IEC 27001
2013

p. 19 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.8.3.1 Gestão de suportes de dados amovíveis Controlo
Devem ser implementados procedimentos para a gestão de suportes de
dados amovíveis, de acordo com o esquema de classificação adotado
pela organização.

A.8.3.2 Eliminação de suportes de dados Controlo

Os suportes de dados devem ser eliminados de forma segura, quando
deixarem de ser necessários, através da utilização de procedimentos
formais.

A.8.3.3 Transporte de suportes de dados Controlo

Os suportes de dados devem ser protegidos contra acessos não
autorizados, utilização indevida ou corrupção durante o seu transporte.

A.9 Controlo de acesso

A.9.1 Requisitos de negócio para controlo de acesso
Objetivo: Limitar o acesso à informação e aos recursos de processamento de informação.

A.9.1.1 Política de controlo de acesso Controlo

Deve ser estabelecida, documentada e revista uma política de controlo de
acesso, tendo como base os requisitos de negócio e de segurança da
informação.

A.9.1.2 Acesso a redes e a serviços de rede Controlo

Aos utilizadores apenas deve ser atribuído acesso à rede e a serviços de
rede para os quais tenham sido especificamente autorizados a utilizar.

A.9.2 Gestão de acesso de utilizadores

Objetivo: Assegurar o acesso de utilizadores autorizados e prevenir o acesso não autorizado a sistemas e serviços.

A.9.2.1 Registo e cancelamento de utilizador Controlo

Deve ser implementado um processo formal de registo e cancelamento
de utilizadores para assegurar a atribuição de direitos de acesso.

A.9.2.2 Disponibilização de acesso aos Controlo

utilizadores
Deve ser implementado um processo formal de disponibilização de
acesso aos utilizadores para atribuir ou revogar os direitos de acesso para
todos os tipos de utilizadores em todos os sistemas e serviços.

A.9.2.3 Gestão de direitos de acesso Controlo

privilegiado
A atribuição e utilização de direitos de acesso privilegiado devem ser
restritas e controladas.

(continua)
NP
ISO/IEC 27001
2013

p. 20 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.9.2.4 Gestão da informação secreta para Controlo
autenticação de utilizadores
A atribuição da informação secreta para autenticação deve ser controlada
através de um processo formal de gestão.
A.9.2.5 Revisão de direitos de acesso de Controlo
utilizadores
Os responsáveis pelos ativos devem rever os direitos de acesso dos
utilizadores em intervalos regulares.

A.9.2.6 Remoção ou ajuste de direitos de acesso Controlo

Os direitos de acesso à informação e aos recursos de processamento de
informação, de todos os colaboradores e utilizadores de entidades
externas, devem ser removidos após a cessação de relação contratual ou
acordo, ou ajustados em caso de alteração destes.

A.9.3 Responsabilidades dos utilizadores

Objetivo: Tornar os utilizadores responsáveis pela proteção da sua informação de autenticação.

A.9.3.1 Utilização da informação secreta para Controlo

autenticação
Deve ser exigido aos utilizadores o cumprimento das práticas da
organização na utilização da informação secreta para autenticação.

A.9.4 Controlo de acesso a sistemas e aplicações

Objetivo: Prevenir o acesso não autorizado a sistemas e aplicações.

A.9.4.1 Restrição de acesso à informação Controlo

O acesso à informação e funções de sistema das aplicações deve ser
limitado de acordo com a política de controlo de acesso.

A.9.4.2 Procedimentos seguros de início de Controlo

sessão
Quando exigido pela política de controlo de acesso, o acesso a sistemas e
aplicações deve ser controlado por um procedimento seguro de início de
sessão.

A.9.4.3 Sistema de gestão de senhas Controlo

Os sistemas para gestão de senhas devem ser interativos e devem
assegurar a qualidade da senha.

A.9.4.4 Utilização de programas utilitários Controlo

privilegiados
A utilização de programas utilitários que se possam sobrepor aos
controlos dos sistemas e aplicações deve ser restringida e controlada de
forma rígida.

A.9.4.5 Controlo de acesso ao código fonte de Controlo

programas
O acesso ao código fonte de programas deve ser restrito.

(continua)
 NP
ISO/IEC 27001
2013

p. 21 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.10 Criptografia
A.10.1 Controlos criptográficos
Objetivo: Assegurar a utilização adequada e eficaz de criptografia para proteger a confidencialidade, autenticidade e/ou integridade
da informação.

A.10.1.1 Política sobre a utilização de controlos Controlo

criptográficos Deve ser desenvolvida e implementada uma política sobre a utilização de
controlos criptográficos para proteção da informação.

A.10.1.2 Gestão de chaves Controlo

Deve ser desenvolvida e implementada uma política sobre a utilização,
proteção e vida útil das chaves criptográficas ao longo de todo o seu
ciclo de vida.

A.11 Segurança física e ambiental

A.11.1 Áreas seguras
Objetivo: Prevenir o acesso físico não autorizado, os danos e as interferências na informação e nos recursos de processamento de
informação da organização.

A.11.1.1 Perímetro de segurança física Controlo

Devem ser definidos e utilizados perímetros de segurança para proteger
as áreas que contenham informação sensível ou crítica e recursos de
processamento de informação.

A.11.1.2 Controlos de entrada física Controlo

As áreas seguras devem ser protegidas através de controlos de entrada
apropriados que assegurem que apenas é permitido o acesso a pessoas
autorizadas.

A.11.1.3 Segurança em escritórios, salas e Controlo

instalações Devem ser concebidas e aplicadas medidas de segurança física para
escritórios, salas e instalações.

A.11.1.4 Proteção contra ameaças externas e Controlo

ambientais Devem ser concebidas e aplicadas medidas de proteção física contra
desastres naturais, ataques maliciosos ou acidentes.

A.11.1.5 Trabalhar em áreas seguras Controlo

Devem ser concebidos e aplicados procedimentos para trabalhar em
áreas seguras.

A.11.1.6 Áreas de carga e descarga Controlo

Os pontos de acesso, tais como as áreas de carga e descarga e outros
pontos onde pessoas não autorizadas possam entrar nas instalações,
devem ser controlados e, se possível, isolados dos recursos de
processamento de informação para evitar o acesso não autorizado.
A.11.2 Equipamento
Objetivo: Prevenir a perda, dano, furto ou comprometimento de ativos e interrupção das operações da organização.

A.11.2.1 Colocação e proteção de equipamentos Controlo

Os equipamentos devem ser colocados e protegidos de forma a reduzir os
riscos de ameaças e perigos ambientais, e as oportunidades para acesso
não autorizado.
(continua)
NP
ISO/IEC 27001
2013

p. 22 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.11.2.2 Serviços básicos de suporte Controlo
Os equipamentos devem ser protegidos contra interrupções de energia
elétrica e outras falhas causadas pelos serviços básicos de suporte.

A.11.2.3 Segurança da cablagem Controlo

A cablagem elétrica e de telecomunicações que transporta dados ou que
suporta os serviços de informação deve ser protegida contra interceção,
interferência ou dano.

A.11.2.4 Manutenção de equipamentos Controlo

Os equipamentos devem ser mantidos de forma correta para assegurar a
sua contínua disponibilidade e integridade.

A.11.2.5 Remoção de ativos Controlo

Os equipamentos, informação ou software não devem ser retirados das
instalações sem autorização prévia.

A.11.2.6 Segurança de equipamentos e ativos Controlo

fora das instalações Devem ser aplicadas medidas de segurança aos ativos fora das
instalações, tendo em consideração os diferentes riscos decorrentes do
trabalho fora das instalações da organização.

A.11.2.7 Eliminação e reutilização seguras de Controlo

equipamentos Todos os itens de equipamentos contendo suporte de dados devem ser
verificados antes da sua eliminação ou reutilização para assegurar que
qualquer dado sensível e software licenciado é removido ou eliminado
através de reescrita segura.

A.11.2.8 Equipamento de utilizador não vigiado Controlo

Os utilizadores devem assegurar que os equipamentos não vigiados têm
uma proteção adequada.

A.11.2.9 Política de secretária limpa e ecrã limpo Controlo

Deve ser adotada uma política de secretária limpa de papéis e suportes de
dados amovíveis e uma política de ecrã limpo para os recursos de
processamento de informação.

A.12 Segurança de operações

A.12.1 Procedimentos e responsabilidades operacionais

Objetivo: Assegurar a operação correta e segura dos recursos de processamento de informação.

A.12.1.1 Procedimentos de operação Controlo

documentados
Os procedimentos de operação devem ser documentados e
disponibilizados a todos os utilizadores que deles necessitem.
A.12.1.2 Gestão de alterações Controlo
As alterações na organização, processos de negócio, recursos de
processamento de informação e nos sistemas que afetem a segurança da
informação devem ser controladas.

(continua)
 NP
ISO/IEC 27001
2013

p. 23 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.12.1.3 Gestão da capacidade Controlo
A utilização dos recursos deve ser monitorizada e ajustada e devem ser
elaboradas projeções para os requisitos de capacidade futura, de modo a
assegurar o necessário desempenho dos sistemas.

A.12.1.4 Separação entre ambientes de Controlo

desenvolvimento, teste e de produção
Os ambientes de desenvolvimento, teste e de produção devem ser
separados para reduzir os riscos de acesso não autorizado ou alterações
no ambiente de produção.

A.12.2 Proteção contra código malicioso

Objetivo: Assegurar que a informação e os recursos de processamento de informação estão protegidos contra código malicioso.

A.12.2.1 Controlos contra código malicioso Controlo

Devem ser implementados controlos de deteção, prevenção e recuperação
para proteger contra código malicioso, em conjugação com ações
apropriadas de consciencialização dos utilizadores.

A.12.3 Salvaguarda de dados

Objetivo: Proteger contra a perda de dados.

A.12.3.1 Salvaguarda de informação Controlo

Devem ser efetuadas e testadas, de forma regular, as cópias de
salvaguarda de informação, softwares e imagens de sistemas, conforme a
política de salvaguarda de informação.

A.12.4 Registos de eventos e monitorização

Objetivo: Registar eventos e gerar evidências.

A.12.4.1 Registos de eventos Controlo

Devem ser produzidos, mantidos e revistos de forma regular os registos
de eventos que contenham informação sobre as atividades dos
utilizadores, exceções, falhas e eventos de segurança da informação.

A.12.4.2 Proteção da informação registada Controlo

Os recursos de registo e as informações registadas devem ser protegidas
contra a adulteração e acesso não autorizado.
A.12.4.3 Registos de administrador e de operador Controlo
As atividades dos administradores e dos operadores de sistema devem ser
registadas e os registos ser protegidos e revistos regularmente.

(continua)
NP
ISO/IEC 27001
2013

p. 24 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.12.4.4 Sincronização de relógio Controlo
Os relógios de todos os sistemas relevantes de processamento de
informação numa organização ou num domínio de segurança devem ser
sincronizados, de acordo com uma única referência horária.

A.12.5 Controlo de software em sistemas de produção

Objetivo: Assegurar a integridade dos sistemas de produção.

A.12.5.1 Instalação de software nos sistemas de Controlo

produção
Devem ser implementados procedimentos para controlar a instalação de
software nos sistemas de produção.

A.12.6 Gestão de vulnerabilidades técnicas

Objetivo: Prevenir a exploração de vulnerabilidades técnicas.

A.12.6.1 Gestão de vulnerabilidades técnicas Controlo

A informação sobre as vulnerabilidades técnicas dos sistemas de
informação em utilização deve ser obtida de forma atempada, a
exposição da organização a estas vulnerabilidades deve ser avaliada, e ser
tomadas medidas apropriadas para endereçar os riscos associados.

A.12.6.2 Restrições sobre a instalação de Controlo

software Devem ser estabelecidas e implementadas regras sobre a instalação de
software pelos utilizadores.

A.12.7 Considerações para auditorias a sistemas de informação

Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas de produção.

A.12.7.1 Controlos de auditoria nos sistemas de Controlo

informação
Os requisitos e atividades de auditoria que envolvam verificações nos
sistemas de produção devem ser planeados de forma cuidada e acordados
para minimizar as interrupções nos processos de negócio.

A.13 Segurança de comunicações

A.13.1 Gestão de segurança da rede
Objetivo: Assegurar a proteção da informação nas redes e nos seus recursos de processamento de informação.

A.13.1.1 Controlos da rede Controlo

As redes devem ser geridas e controladas para proteger a informação nos
sistemas e nas aplicações.

A.13.1.2 Segurança de serviços de rede Controlo

Os mecanismos de segurança, níveis de serviço e requisitos de gestão
para todos os serviços de rede devem ser identificados e incluídos nos
acordos para serviços de rede, independentemente desses serviços
prestados serem internos ou externos.

(continua)
 NP
ISO/IEC 27001
2013

p. 25 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.13.1.3 Segregação das redes Controlo
Os grupos de serviços de informação, utilizadores e sistemas de
informação devem ser segregados em redes.

A.13.2 Transferência de informação

Objetivo: Manter a segurança da informação transferida dentro da organização e para qualquer entidade externa.

A.13.2.1 Políticas e procedimentos de Controlo

transferência de informação Devem existir políticas, procedimentos e controlos formais para proteger
a transferência da informação através da utilização de qualquer tipo de
meio de comunicação.

A.13.2.2 Acordos sobre transferência de Controlo

informação Os acordos devem endereçar a transferência segura de informação de
negócio entre a organização e entidades externas.

A.13.2.3 Mensagens eletrónicas Controlo

A informação contida nas mensagens eletrónicas deve ser protegida de
forma apropriada.

A.13.2.4 Acordos de confidencialidade ou de não Controlo

divulgação Devem ser identificados, revistos regularmente e documentados os
requisitos para acordos de confidencialidade ou de não divulgação que
reflitam as necessidades da organização para proteção da informação.

A.14 Aquisição, desenvolvimento e manutenção de sistemas

A.14.1 Requisitos de segurança de sistemas de informação
Objetivo: Assegurar que a segurança da informação é uma parte integrante dos sistemas de informações ao longo do todo o seu
ciclo de vida. Isto inclui também os requisitos para sistemas de informação que prestam serviços através de redes públicas.

A.14.1.1 Especificação e análise de requisitos de Controlo

segurança da informação Os requisitos relacionados com a segurança da informação devem ser
incluídos nos requisitos para novos sistemas de informação ou para
melhorias nos sistemas de informação existentes.

A.14.1.2 Proteger serviços aplicacionais nas Controlo

redes públicas A informação envolvida em serviços aplicacionais transmitida nas redes
públicas deve ser protegida contra atividades fraudulentas, disputas
contratuais e divulgação e modificação não autorizadas.

A.14.1.3 Proteger transações de serviços Controlo

aplicacionais A informação envolvida nas transações de serviços aplicacionais deve ser
protegida para prevenir a transmissão incompleta, encaminhamento
incorreto, alteração não autorizada, divulgação não autorizada,
duplicação ou repetição não autorizada da mensagem.

A.14.2 Segurança no desenvolvimento e nos processos de suporte

Objetivo: Assegurar que a segurança da informação é concebida e implementada no âmbito do ciclo de vida do desenvolvimento de
sistemas de informação.

A.14.2.1 Política de desenvolvimento seguro Controlo

Devem ser estabelecidas regras para o desenvolvimento de software e de
sistemas e aplicadas ao desenvolvimento realizado na organização.

(continua)
NP
ISO/IEC 27001
2013

p. 26 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.14.2.2 Procedimentos de controlo de Controlo
alterações aos sistemas As alterações aos sistemas no ciclo de vida do desenvolvimento devem
ser controladas através da utilização de procedimentos formais de
controlo de alterações.

A.14.2.3 Revisão técnica de aplicações após Controlo

alterações na plataforma de produção Quando as plataformas de produção são alteradas, as aplicações críticas
de negócios devem ser revistas e testadas para assegurar que não há
nenhum impacto adverso sobre as operações ou segurança da
organização.

A.14.2.4 Restrições sobre alterações em pacotes Controlo

de software As alterações nos pacotes de software devem ser desencorajadas,
limitadas às mudanças necessárias e todas as alterações devem ser
estritamente controladas.

A.14.2.5 Princípios de engenharia de sistemas Controlo

seguros Devem ser estabelecidos, documentados, mantidos e aplicados princípios
de engenharia de sistemas seguros para todas as iniciativas de
implementação de sistemas de informação.

A.14.2.6 Ambiente de desenvolvimento seguro Controlo

As organizações devem estabelecer e proteger, de forma apropriada,
ambientes de desenvolvimento seguro para as iniciativas de
desenvolvimento e integração de sistemas, que abranjam todo o ciclo de
vida do desenvolvimento de sistemas.

A.14.2.7 Desenvolvimento subcontratado Controlo

A organização deve supervisionar e monitorizar a atividade
subcontratada de desenvolvimento de sistemas.

A.14.2.8 Testes de segurança de sistemas Controlo

Devem ser realizados testes das funcionalidades de segurança durante o
desenvolvimento.

A.14.2.9 Testes de aceitação de sistemas Controlo

Devem ser estabelecidos programas de testes de aceitação e respetivos
critérios de aceitação para novos sistemas de informação, atualizações e
novas versões.

A.14.3 Dados de teste

Objetivo: Assegurar a proteção dos dados usados para testes.

A.14.3.1 Proteção de dados de teste Controlo

Os dados de teste devem ser selecionados cuidadosamente, protegidos e
controlados.

A.15 Relações com fornecedores

A.15.1 Segurança da informação nas relações com os fornecedores
Objetivo: Assegurar a proteção dos ativos da organização que estão acessíveis aos fornecedores.

A.15.1.1 Política de segurança da informação Controlo

para as relações com fornecedores Os requisitos de segurança da informação para a mitigação dos riscos
associados ao acesso de fornecedores aos ativos da organização devem
ser acordados com os fornecedores e documentados.

(continua)
 NP
ISO/IEC 27001
2013

p. 27 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.15.1.2 Endereçar a segurança nos acordos com Controlo
os fornecedores Todos os requisitos de segurança da informação relevantes devem ser
estabelecidos e acordados com cada fornecedor que possa aceder,
processar, armazenar, comunicar ou fornecer componentes de
infraestrutura de TI para a informação da organização.

A.15.1.3 Cadeia de fornecimento de tecnologias Controlo

de informação e comunicação Os acordos com fornecedores devem incluir requisitos para endereçar os
riscos de segurança da informação associados aos serviços de tecnologias
da informação e comunicação e à cadeia de fornecimento de produtos.

A.15.2 Gestão da entrega de serviços pelos fornecedores

Objetivo: Manter o nível acordado de segurança da informação e de disponibilização de serviços, alinhado com os acordos com
fornecedores.

A.15.2.1 Monitorizar e rever serviços de Controlo

fornecedores As organizações devem, de forma regular, monitorizar, rever e auditar a
disponibilização de serviços pelos fornecedores.

A.15.2.2 Gerir alterações aos serviços de Controlo

fornecedores As alterações ao fornecimento dos serviços pelos fornecedores, incluindo
a manutenção e melhoria das políticas de segurança da informação, dos
procedimentos e controlos existentes, devem ser geridas, tendo em
consideração a criticidade da informação, dos sistemas e dos processos
de negócio envolvidos e a reavaliação dos riscos.

A.16 Gestão de incidentes de segurança da informação

A.16.1 Gestão de incidentes de segurança da informação e melhorias
Objetivo: Assegurar uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação, incluindo a
comunicação de eventos e pontos fracos de segurança.

A.16.1.1 Responsabilidades e procedimentos Controlo

Devem ser estabelecidos procedimentos e responsabilidades de gestão
para assegurar uma resposta célere, eficaz e ordenada aos incidentes de
segurança da informação.

A.16.1.2 Reportar eventos de segurança da Controlo

informação Os eventos de segurança da informação devem ser reportados através dos
canais de gestão apropriados, o mais rapidamente possível.

A.16.1.3 Reportar pontos fracos de segurança da Controlo

informação Os colaboradores e os prestadores de serviço que utilizam os serviços e
os sistemas de informação da organização devem ser instruídos a detetar
e reportar qualquer ponto fraco de segurança da informação, observado
ou suspeito, nos sistemas ou serviços.

A.16.1.4 Avaliação e decisão sobre eventos de Controlo

segurança da informação Os eventos de segurança da informação devem ser avaliados e deve ser
decidido se os mesmos serão classificados como incidentes de segurança
da informação.

A.16.1.5 Resposta a incidentes de segurança da Controlo

informação Os incidentes de segurança da informação devem ser respondidos de
acordo com os procedimentos documentados.

(continua)
NP
ISO/IEC 27001
2013

p. 28 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (continuação)

A.16.1.6 Aprender com os incidentes de Controlo
segurança da informação O conhecimento obtido através da análise e resolução de incidentes de
segurança da informação deve ser empregue de forma a reduzir a
probabilidade ou o impacto de futuros incidentes.

A.16.1.7 Recolha de evidências Controlo

A organização deve definir e aplicar procedimentos para a identificação,
recolha, obtenção e preservação da informação, que possa servir como
evidência.

A.17 Aspetos de segurança da informação na gestão da continuidade do negócio

A.17.1 Continuidade de segurança da informação
Objetivo: A continuidade de segurança da informação deve ser contemplada nos sistemas de gestão da continuidade do negócio da
organização.

A.17.1.1 Planeamento da continuidade de Controlo

segurança da informação A organização deve determinar os seus requisitos de segurança da
informação e a continuidade da gestão de segurança da informação em
situações adversas, por exemplo durante uma crise ou um desastre.

A.17.1.2 Implementação da continuidade de Controlo

segurança da informação
A organização deve estabelecer, documentar, implementar e manter
processos, procedimentos e controlos para assegurar o nível requerido de
continuidade para a segurança da informação durante uma situação
adversa.

A.17.1.3 Verificar, rever e avaliar a continuidade Controlo

de segurança da informação
A organização deve verificar os controlos de continuidade de segurança
da informação estabelecidos e implementados em intervalos regulares,
para assegurar que estes são válidos e eficazes em situações adversas.

A.17.2 Redundâncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação.

A.17.2.1 Disponibilidade dos recursos de Controlo

processamento da informação Os recursos de processamento da informação devem ser implementados
com a redundância necessária para cumprir os requisitos de
disponibilidade.

A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo: Evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais relacionadas com a segurança da
informação e de quaisquer requisitos de segurança.

A.18.1.1 Identificação da legislação aplicável e Controlo

de requisitos contratuais
Todos os requisitos legais, estatutários, regulamentares, contratuais
relevantes bem como a abordagem da organização para cumprir esses
requisitos devem ser identificados explicitamente, documentados e
mantidos atualizados, para cada sistema de informação e para a
organização.

(continua)
 NP
ISO/IEC 27001
2013

p. 29 de 32

Quadro A.1 – Objetivos de Controlo e Controlos (conclusão)

A.18.1.2 Direitos de propriedade intelectual Controlo
Devem ser implementados procedimentos apropriados para assegurar a
conformidade com os requisitos legais, regulamentares e contratuais
relativos aos direitos de propriedade intelectual e à utilização de produtos
de software proprietário.

A.18.1.3 Proteção de registos Controlo

Os registos devem ser protegidos contra a perda, eliminação, falsificação,
acesso não autorizado e divulgação não autorizada, de acordo com os
requisitos legais, regulamentares, contratuais e de negócio.

A.18.1.4 Privacidade e proteção de dados Controlo

pessoais A privacidade e a proteção de dados pessoais devem ser asseguradas
conforme estabelecido pela legislação e regulamentação relevante, onde
aplicável.

A.18.1.5 Regulamentação de controlos Controlo

criptográficos Os controlos criptográficos devem ser utilizados em conformidade com
todos os acordos, leis e regulamentos relevantes.

A.18.2 Revisões de segurança da informação

Objetivo: Assegurar que a segurança da informação é implementada e operada de acordo com as políticas e procedimentos
organizacionais.

A.18.2.1 Revisão independente de segurança da Controlo

informação A abordagem da organização para gerir a segurança da informação e a
sua implementação (ou seja, objetivos de controlo, controlos, políticas,
processos e procedimentos de segurança da informação) devem ser
revistos de forma independente, em intervalos planeados ou quando
ocorrerem alterações significativas.

A.18.2.2 Conformidade com as políticas e Controlo

normas de segurança Os gestores devem rever regularmente a conformidade do processamento
da informação e dos procedimentos dentro da sua área de
responsabilidade com as políticas de segurança, normas e quaisquer
outros requisitos de segurança apropriados.

A.18.2.3 Revisão da conformidade técnica Controlo

Os sistemas de informação devem ser revistos regularmente quanto à sua
conformidade com as políticas e normas de segurança da informação da
organização.
NP
ISO/IEC 27001
2013

p. 30 de 32

Anexo B
(informativo)

Correspondência entre os termos em inglês e em português

Os termos em Português apresentados no Quadro B.1 foram definidos com base nas Normas indicadas, no
Glossário da Sociedade da Informação (APDSI, Lisboa, 2007) e no Glossário de Termos Informáticos do
Instituto Informática, Versão 4.0 (II, Alfragide, 2008).

Quadro B.1 – Correspondência entre os termos em inglês e em português

Termo em Inglês Termo em Português Fonte
Authorities Autoridades competentes
Backup Salvaguarda NP 3003-8:2003
Clear desk Secretária limpa
Contractor Prestador de serviço
Criticality Criticidade
Employee Colaborador
Employment Relação contratual
Feedback Informação recebida NP EN ISO 9001:2008
Framework Modelo de referência
Handling (of media) Manuseamento (de suportes de dados)
Human resource security Segurança na gestão de recursos humanos
Information processing facilities Recursos de processamento de informação
Management review Revisão pela gestão NP EN ISO 9001:2008
Media Suporte de dados
Outsourced development Desenvolvimento subcontratado
Overwrite Reescrever
Owner Responsável
Password Senha NP 3003-8:2003
Removable media Suporte de dados amovível
Replay Repetição
Reporting Reportar NP EN ISO 9001:2008
(continua)
 NP
ISO/IEC 27001
2013

p. 31 de 32

Quadro B.1 – Correspondência entre os termos em inglês e em português (conclusão)

Retain Manter
Review Revisão
Role Função
Saídas Outputs NP EN ISO 9001:2008
Scope Âmbito
Standard Norma NP EN ISO 9001:2008
Supporting utilities Serviços públicos de suporte
Teleworking Teletrabalho APDSI, 2007
Treatment (of risk) Tratamento do risco
Weaknesses Pontos fracos
NP
ISO/IEC 27001
2013

p. 32 de 32

Bibliografia

[1] ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for
information security management

[2] ISO/IEC 27003 Information technology – Security techniques – Information security

management system implementation guidance

[3] ISO/IEC 27004 Information technology – Security techniques – Information security

management – Measurement

[4] ISO/IEC 27005 Information technology – Security techniques – Information security risk
management
[5] NP ISO 31000:2012 Gestão do risco – Princípios e linhas de orientação
[6] ISO/IEC Directives, Consolidated ISO Supplement – Procedures specific to ISO, 2012
Part 1