Declaração de aplicabilidade

Legenda (para seleção de controles e justificativa da seleção)

LR: requerimentos legais, CO: obrigações contratuais, BR/BP: requerimentos de negócio/

ISO 27001:2013 Controles de Segurança

Clausula Secção

5.1
5 Políticas de segurança da
5.1.1
informação
5.1.2

6.1

6.1.1

6.1.2
6.1.3
6 Organização da segurança da
6.1.4
informação
6.1.5

6.2
6.2.1
6.2.2

7.1
7.1.1
7.1.2
7.2
7.2.1
7 Segurança em recursos humanos
7.2.2

7.2.3
7.3
7 Segurança em recursos humanos

7.3.1

8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.2
8 Gestão de ativos 8.2.1
8.2.2
8.2.3
8.3
8.3.1
8.3.2
8.3.3

9.1

9.1.1
9.1.2
9.2
9.2.1
9.2.2

9.2.3

9.2.4

9.2.5
9 Controle de acesso
9.2.6
9.3
9.3.1

9.4

9.4.1
 9.4.2

9.4.3
9.4.4

9.4.5

10.1

10 Criptografia 10.1.1

10.1.2

11.1
11.1.1
11.1.2

11.1.3

11.1.4

11.1.5
11.1.6
11.2
11 Segurança física e do ambiente 11.2.1
11.2.2
11.2.3
11.2.4
11.2.5

11.2.6

11.2.7

11.2.8
11.2.9

12.1
 12.1.1

12.1.2
12.1.3

12.1.4

12.2
12.2.1
12.3
12.3.1
12.4
12.4.1
12 Segurança nas operações
12.4.2

12.4.3

12.4.4
12.5

12.5.1

12.6
12.6.1
12.6.2

12.7

12.7.1

13.1
13.1.1
13.1.2
13.1.3
13.2
13 Segurança nas comunicações
13.2.1

13.2.2
13 Segurança nas comunicações

13.2.3

13.2.4

14.1

14.1.1

14.1.2

14.1.3

14.2

14.2.1
14 Aquisição, desenvolvimento e
14.2.2
manutenção de sistemas

14.2.3

14.2.4

14.2.5
14.2.6
14.2.7
14.2.8
14.2.9
14.3
14.3.1

15.1

15.1.1

15.1.2

15 Relacionamento na cadeia de
suprimento
15 Relacionamento na cadeia de
15.1.3
suprimento

15.2

15.2.1

15.2.2

16.1

16.1.1

16.1.2

16.1.3
16 Gestão de incidentes de
segurança da informação
16.1.4

16.1.5

16.1.6

16.1.7

17.1

17.1.1

17 Aspectos da segurança da 17.1.2

informação na gestão da
continuidade do negócio 17.1.3

17.2

17.2.1
 18.1

18.1.1

18.1.2
18.1.3

18.1.4
18 Conformidade
18.1.5

18.2

18.2.1

18.2.2

18.2.3

7.2
7.2.1
7.2.2

7.2.3

7.2.4
7.2.5
7.2.6
7.2.7

7.2.8

7.3

7.3.1

7.3.2

7.3.3

7.3.4

ISO 27701:2019
 7.3.5

7.3.6

7.3.7
ISO 27701:2019
Cláusula 7 / Anexo A 7.3.8
PII Controller 7.3.9
7.3.10
7.4
7.4.1
7.4.2
7.4.3

7.4.4

7.4.5

7.4.6
7.4.7
7.4.8
ISO

7.5

7.5.1

7.5.2

7.5.3

7.5.4

8.2
8.2.1
8.2.2
8.2.3
8.2.4
 8.2.5

8.2.6

8.3
8.3.1
8.4
8.4.1
8.4.2
8.4.3
ISO 27701:2019 8.5
Cláusula 8 / Anexo B
PII Processor
8.5.1

8.5.2

8.5.3

8.5.4

8.5.5

8.5.6

8.5.7

8.5.8
tiva da seleção)
tuais, BR/BP: requerimentos de negócio/melhores práticas adotadas, RRA: resultado da avaliação de risco;

Controles
ontroles de Segurança
atuais
Objetivo de controle / controle ISO27701
Orientação da direção para segurança da
informação
Políticas para segurança da informação 6.2.1.1
Análise crítica das políticas para
segurança da informação

Organização interna
Responsabilidades e papéis pela 6.3.1.1
segurança da informação
Segregação de funções
Contato com autoridades
Contato com grupos especiais
Segurança da informação no
gerenciamento de projetos
Dispositivos móveis e trabalho remoto
Política para o uso de dispositivo móvel 6.3.2.1
Trabalho remoto

Antes da contratação
Seleção
Termos e condições de contratação
Durante a contratação
Responsabilidades da direção
Conscientização, educação e treinamento 6.4.2.2
em segurança da informação
Processo disciplinar
Encerramento e mudança da contratação
Responsabilidades pelo encerramento ou
mudança da contratação

Responsabilidade pelos ativos

Inventário dos ativos
Proprietário dos ativos
Uso aceitável dos ativos
Devolução de ativos
Classificação da informação
Classificação da informação 6.5.2.1
Rótulos e tratamento da informação 6.5.2.2
Tratamento dos ativos
Tratamento de mídias
Gerenciamento de mídias removíveis 6.5.3.1
Descarte de mídias 6.5.3.2
Transferência física de mídias 6.5.3.3

Requisitos do negócio para controle de

acesso
Política de controle de acesso
Acesso às redes e aos serviços de rede
Gerenciamento de acesso do usuário
Registro e cancelamento de usuário 6.6.2.1
Provisionamento para acesso de usuário 6.6.2.2
Gerenciamento de direitos de acesso
privilegiados
Gerenciamento da informação de
autenticação secreta de usuários
Análise crítica dos direitos de acesso de
usuário
Retirada ou ajuste de direitos de acesso
Responsabilidades
Uso da informação dos usuários
de autenticação
secreta
Controle de acesso ao sistema e à
aplicação
Restrição de acesso à informação
Procedimentos seguros de entrada no 6.6.4.2
sistema (log-on)
Sistema de gerenciamento de senha
Uso de programas utilitários privilegiados
Controle de acesso ao código-fonte de
programas

Controles criptográficos
Política para o uso de controles 6.7.1.1
criptográficos
Gerenciamento de chaves

Áreas seguras
Perímetro de segurança física
Controles de entrada física
Segurança em escritórios, salas e
instalações
Proteção contra ameaças externas e do
meio-ambiente
Trabalhando em áreas seguras
Áreas de entrega e de carregamento
Equipamentos
Escolha do local e proteção do
equipamento
Utilidades
Segurança do cabeamento
Manutenção dos equipamentos
Remoção de ativos
Segurança de equipamentos e ativos fora
das dependências da organização
Reutilização e/ou descarte seguro de 6.8.2.7
equipamentos
Equipamento de usuário sem monitoração
Política de mesa limpa e tela limpa 6.8.2.9

Responsabilidades e procedimentos
operacionais
Documentação dos procedimentos de
operação
Gestão de mudanças
Gestão de capacidade
Separação dos ambientes de
desenvolvimento, teste e de produção
Proteção contra códigos maliciosos
Controles contra códigos maliciosos
Cópias de segurança
Cópias de segurança das informações 6.9.3.1
Registros e monitoramento
Registros de eventos 6.9.4.1
Proteção das informações dos registros de 6.9.4.2
eventos (logs)
Registros de eventos (log) de
administrador e operador
Sincronização dos relógios
Controle de software operacional
Instalação de software nos sistemas
operacionais
Gestão de vulnerabilidades técnicas
Gestão de vulnerabilidades
Restrições técnicas
quanto à instalação de
software
Considerações quanto à auditoria de
sistemas de informação
Controles de auditoria de sistemas de
informação

Gerenciamento da segurança em redes

Controles de redes
Segurança dos serviços de rede
Segregação de redes
Transferência de informação
Políticas e procedimentos para 6.10.2.1
transferência de informações
Acordos para transferência de
informações
Mensagens eletrônicas
Acordos de confidencialidade e não 6.10.2.4
divulgação

Requisitos de segurança de sistemas de

informação
Análise e especificação dos requisitos de
segurança da informação
Serviços de aplicação seguros em redes 6.11.1.2
públicas
Protegendo as transações nos aplicativos
de serviços
Segurança em processos de
desenvolvimento e de suporte
Política de desenvolvimento seguro 6.11.2.1
Procedimentos para controle de
mudanças de sistemas
Análise crítica técnica das aplicações após
mudanças nas plataformas operacionais
Restrições sobre mudanças em pacotes
de Software
Princípios para projetar sistemas seguros 6.11.2.5
Ambiente seguro para desenvolvimento
Desenvolvimento terceirizado 6.11.2.7
Teste de segurança do sistema
Teste de aceitação de sistemas
Dados para teste
Proteção dos dados para teste 6.11.3.1

Segurança da informação na cadeia de

suprimento
Política de segurança da informação no
relacionamento com os fornecedores
Identificando segurança da informação 6.12.1.2
nos acordos com fornecedores
Cadeia de suprimento na tecnologia da
comunicação e informação
Gerenciamento da entrega do serviço do
fornecedor
Monitoramento e análise crítica de
serviços com fornecedores
Gerenciamento de mudanças para
serviços com fornecedores

Gestão de incidentes de segurança da

informação e melhorias
Responsabilidades e procedimentos 6.13.1.1
Notificação de eventos de segurança da
informação
Notificando fragilidades de segurança da
informação
Avaliação e decisão dos eventos de
segurança da informação
Resposta aos incidentes de segurança da 6.13.1.5
informação
Aprendendo com os incidentes de
segurança da informação
Coleta de evidências

Continuidade da segurança da informação

Planejando a continuidade da segurança
da informação
Implementando a continuidade da
segurança da informação
Verificação, análise crítica e avaliação da
continuidade da segurança da informação
Redundâncias
Disponibilidade dos recursos de
processamento da informação
Conformidade com requisitos legais e
contratuais
Identificação da legislação aplicável e de 6.15.1.1
requisitos contratuais
Direitos de propriedade intelectual
Proteção de registros 6.15.1.3
Proteção e privacidade de informações de
identificação pessoal
Regulamentação de controles de
criptografia
Análise crítica da segurança da
informação
Análise crítica independente da segurança 6.15.2.1
da informação
Conformidade com as políticas e
procedimentos de segurança da
informação
Análise crítica da conformidade técnica 6.15.2.3

Condições para
Identificação coleta e processamento
e documentação de
propósito
Identificação de bases legais
Determinação de quando e como o
consentimento será obtido
Obtenção e registro do consentimento
Análise de impacto de privacidade
Contrato com processadores de PII
Joint PII controller
Registros relacionados ao processamento
de PII
Obrigações para com os PII principals
Determinando e cumprindo obrigações
legais para com os PII principals
Determinando informações para os PII
principals
Provendo informações para os PII
principals
Provendo mecanismos para modificar ou
retirar o consentimento
Provendo mecanismos para objeção de
processamento de PII
Acesso, correção e/ou exclusão
Obrigações do PII controller de informar
terceiros (third parties)
Provendo cópia de PII processada
Lidando com requisições
Tomada de decisção automatizada
Privacy by design e privacy by default
Limitação de coleta
Limitação de processamento
Exatidão e qualidade
Objetivos de minimização (anonimização e
peudominização)
Desidentificação (anonimização e
pseudonimização) e exclusão de PII ao
final do processamento
Arquivos temporários
Retenção
Descarte
Controles de transmissão (envio) de PII
Compartilhamento, transferência e
divulgação de PII
Identificação dos termos para
transferência de PII entre jurisdições
Países e organizações internacionais para
os quais PII podem ser transferidas
Registro de transferência de PII
Registro de divulgação de PII para
terceiros (third parties)

Condições para coleta e processamento

Acordo com cliente (customer)
Propósito da organização
Uso para propaganda e marketing
Informação de violação de direitos
Obrigações do cliente (customer)
Registros relacionados ao processamento
de PII
Obrigações para com os PII principals
Obrigações para com os PII principals
Privacy by design e privacy by default
Arquivos temporários
Retorno, transferência e descarte de PII
Controles de transmissão (envio) de PII
Compartilhamento, transferência e
divulgação de PII
Identificação dos termos para
transferência de PII entre jurisdições
Países e organizações internacionais para
os quais PII podem ser transferidas
Registro de divulgação de PII para
terceiros (third parties)
Notificação de requisições de divulgação
de PII
Divulgação de PII por obrigação legal
Divulgação de subcontratados utilizados
para processar PII
Envolvimento de um subcontratado no
processamento de PII
Mudança de subcontratado para
processamento de PII
 Vigente a partir de: dd/mm/aaaa

esultado da avaliação de risco; TSE: até certo ponto

Controles selecionados e
Comentários
razões da seleção Comentários (visão geral da
(justificativa de
LR CO BR/BP RRA implementação)
exclusão)