Escolar Documentos
Profissional Documentos
Cultura Documentos
D
folha de statu
Introdução
Este modelo de folha ou planilha é usado para registrar e monitorar o status de sua organização à medida que i
O corpo principal da ISO/IEC 27001 especifica formalmente uma série de requisitos obrigatórios que devem ser
relacionados ao sistema de gestão e não aos riscos de informação e aos controles de segurança que são aplica
serão tratados, trate-os e supervisione-os, usando as políticas e procedimentos definidos no SGSI. A norma não
De qualquer forma, o Anexo A de 27001 fornece diretrizes para um conjunto de controles de segurança da infor
uma vez que são de fato aplicáveis à organização (que depende de seus riscos de segurança da informação). Os
Instruções
1. Projetar e implementar um SGSI em conformidade com todos os elementos obrigatórios especificados no cor
base em cada um dos requisitos.
2. Identifique e faça uma avaliação dos riscos de segurança da informação enfrentados pelas partes da organiza
opções na coluna de status na folha "Controles do Anexo A". Nota: não se sinta limitado pelo Anexo A! Adapte
segurança da informação. (e.g. ISO 22301, leis de privacidade, PCI-DSS etc.) O Anexo A é apenas um guia, um p
3. Sistematicamente revise e registre o status de seus riscos e controles de segurança, atualizando a coluna de
4. Quando seu SGSI estiver operando normalmente, as métricas parecerem boas e você tiver acumulado evidê
Certification Body em inglês). Eles verificarão se o seu SGSI está em conformidade com os requisitos obrigatório
disso, as folhas deste documento de trabalho devem ser mantidas, ou seja, atualizados quando os riscos ou con
Este trabalho é copyright © 2022, ISO27k Forum, todos os direitos reservados. Está licenciado sob a licença Com
incorporado a um produto comercial, (b) seja apropriadamente atribuível dando crédito ao Fórum ISO27k em w
Nota: você precisará de cópias compradas legalmente com licenças correspondentes da ISO/IEC 27001 e 2700
parafraseamos e resumimos o texto das normas de maneiras que podem não satisfazer ou cumprir totalmente
Por favor visite a página ISO27001security.com para obter mais dicas e diretrizes sobre os padrões ISO27k, inclu
ORIGIN
St
Con
Introduction
This spreadsheet is used to record and track the status of your organization as you implement the mandatory an
The main body of ISO/IEC 27001 formally specifies a number of mandatory requirements that must be fulfilled i
rather than the information risks and the security controls being managed. For example, the standard require
and procedures defined in the ISMS. The standard does not mandate specific information security controls: the
However, Annex A to '27001 outlines a suite of information security controls that the management system wou
much more detail in ISO/IEC 27002:2022, and in various other standards, laws, regulations etc.
Instructions
1. Design and implement an ISMS complying with all the mandatory elements specified in the main body of ISO
2. Identify and assess the information security risks facing those parts of the organization that are declared in s
constrained by Annex A! Adapt the sheet, modifying the wording and adding-in additional rows if you determin
point.
3. Systematically check and record the status of your security risks and controls, updating the status column of
4. Once your ISMS is operating normally, the metrics are looking good and you have amassed sufficient evidenc
requirements, and that your in-scope information security risks are being identified, treated and monitored acc
periodically reviewed/audited.
Copyright
This work is copyright © 2022, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons
incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum at www.ISO27001secu
Note: you need licensed copies of both ISO/IEC 27001 and 27002 to make much sense of this, and other ISO27
may not entirely fulfill their meaning or intent. The definitive references are the ISO27k standards, not this wor
Please visit ISO27001security.com for further advice and guidance on the ISO27k standards, including the ISO27
Status de implementação da Norma ISO/IEC 27001
Seção Requisito ISO/IEC 27001 Status Notas
4 Contexto da organização
4.1 Contexto organizacional
Determinar os objetivos do SGSI da organização e quaisquer problemas que possam comprometer sua
4.1
eficácia. Inicial
4.4 SGSI
Estabelecer, implementar, manter e continuamente melhorar um SGSI de acordo com os requisitos
desta Norma! Inexistente
4.4
5 Liderança
5.1 Liderança e comprometimento
5.1 A Alta Direção deve demostrar sua liderança e comprometimento em relação ao SGSI Definido
5.2 Política
5.2 Estabelecer a política de segurança da informação Inexistente
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Projetar / planejar o SGSI para atender aos requisitos, lidando os riscos e oportunidades Inicial
7 Apoio
7.1 Recursos
7.1 Determinar e prover recursos necessários para o SGSI Inicial
7.2 Competências
7.2 Determinar, documentar e deixar disponível as competências necessárias Inicial
7.3 Conscientização
7.3 Estabelecer um programa de conscientização de segurança Inicial
7.4 Comunicação
7.4 Determinar as necessidades para as comunicações internas e externas relevantes ao SGSI Inicial
8 Operação
8.1 Planejamento operacional e controle
Planejar, implementar, controlar e manter a informação documentada do processo do SGSI para
8.1
gerenciar os riscos (i.e. o plano de tratamento de riscos) Inicial
9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
9.1 Monitorar, medir, analisar e avaliar o SGSI e os controles Inicial
10 Melhoria
10.1 Melhoria contínua
10.1 Melhorar continuamente o SGSI Inicial
06/16/2023 Page4 of 7
Declaração de Aplicabilidade (SoA) e status dos controles de segurança da informação
Seção Control de segurança da informação Status Notas
A5 Controles organizacionais
A.5.1 Políticas para segurança da informação ? Desconhecido
A.5.2 Responsabilidades e papéis pela segurança da informação ? Desconhecido
A.5.3 Segregação de funções ? Desconhecido
A.5.4 Responsabilidades da direção ? Desconhecido
A.5.5 Contato com autoridades ? Desconhecido
A.5.6 Contato com grupos especiais ? Desconhecido
A.5.7 Inteligência de ameaças ? Desconhecido
A.5.8 Segurança da informação no gerenciamento de projetos ? Desconhecido
A.5.9 Inventário de ativos de informação e outros ativos associados ? Desconhecido
A.5.10 Uso aceitável dos ativos de informação e outros ativos associados ? Desconhecido
A.5.11 Devolução de ativos ? Desconhecido
A.5.12 Classificação da informação ? Desconhecido
A.5.13 Rótulos e tratamento da informação ? Desconhecido
A.5.14 Transferência de informação ? Desconhecido
A.5.15 Controle de acesso ? Desconhecido
A.5.16 Gestão da identidade ? Desconhecido
A.5.17 Informação de autenticação ? Desconhecido
A.5.18 Direitos de acesso ? Desconhecido
A.5.19 Segurança da informação no relacionamento com os fornecedores ? Desconhecido
A.5.20 Requisitos de segurança da informação nos acordos com fornecedores ? Desconhecido
A6 Controles pessoais
A.6.1 Verificação de historico ? Desconhecido
A.6.2 Termos e condições de contratação Inexistente
A7 Controles físicos
A.7.1 Perímetros de segurança física ? Desconhecido
A.7.2 Entrada física ? Desconhecido
A.7.3 Segurança em escritórios, salas e instalações ? Desconhecido
A.7.4 Monitoramento de segurança física ? Desconhecido
A.7.5 Proteção contra ameaças físicas e do meioambiente ? Desconhecido
06/16/2023 Page 5 of 7
Declaração de Aplicabilidade (SoA) e status dos controles de segurança da informação
Seção Control de segurança da informação Status Notas
A.7.6 Trabalhando em áreas seguras ? Desconhecido
A.7.7 Mesa limpa e tela limpa ? Desconhecido
A.7.8 Escolha de local e proteção do equipamento ? Desconhecido
A.7.9 Segurança de equipamentos e ativos fora das dependências da organização ? Desconhecido
A.7.10 Mídias de armazenamento ? Desconhecido
A.7.11 Utilidades (serviços) ? Desconhecido
A.7.12 Segurança do cabeamento ? Desconhecido
A.7.13 Manutenção dos equipamentos ? Desconhecido
A.7.14 Alienação e reutilização seguras de equipamentos ? Desconhecido
A8 Controles tecnológicos
A.8.1 Dispositivos finais (endpoint) do usuário ? Desconhecido
A.8.2 Direitos de acesso privilégiados ? Desconhecido
A.8.3 Restrição de acesso à informação ? Desconhecido
A.8.4 Acesso ao código-fonte ? Desconhecido
A.8.5 Autenticação segura ? Desconhecido
A.8.6 Gestão de capacidade ? Desconhecido
A.8.7 Proteção contra malware ? Desconhecido
A.8.8 Gestão de vulnerabilidades técnicas ? Desconhecido
A.8.9 Gerência de configuração ? Desconhecido
A.8.10 Supressão de informação ? Desconhecido
A.8.11 Mascaramento de dados ? Desconhecido
A.8.12 Prevenção de fugas de dados ? Desconhecido
A.8.13 Cópias de segurança das informações ? Desconhecido
A.8.14 Redundância dos recursos de processamento da informação ? Desconhecido
A.8.15 Registros (logs) ? Desconhecido
A.8.16 Atividades de monitoramento ? Desconhecido
A.8.17 Sincronização dos relógios ? Desconhecido
A.8.18 Uso de programas utilitários privilegiados ? Desconhecido
A.8.19 Instalação de software nos sistemas operacionais ? Desconhecido
A.8.20 Segurança em redes ? Desconhecido
A.8.21 Segurança dos serviços de rede ? Desconhecido
A.8.22 Segregação de redes ? Desconhecido
A.8.23 Filtragem da web ? Desconhecido
A.8.24 Uso da criptografia ? Desconhecido
A.8.25 Desenvolvimento seguro do ciclo de vida ? Desconhecido
A.8.26 Requisitos de segurança nas aplicações ? Desconhecido
A.8.27 Princípios seguros de engenharia e arquitetura de sistemas ? Desconhecido
A.8.28 Codificação segura ? Desconhecido
A.8.29 Testes de segurança em desenvolvimento e aceitação ? Desconhecido
A.8.30 Desenvolvimento terceirizado ? Desconhecido
A.8.31 Separação dos ambientes de desenvolvimento, teste e de produção ? Desconhecido
A.8.32 Gestão de mudanças ? Desconhecido
A.8.33 Informações de teste ? Desconhecido
A.8.34 Proteção de sistemas de informação durante testes da auditoria ? Desconhecido
93 Número de controles
06/16/2023 Page 6 of 7
Relação de
Relação de
controles para
segurança da
Status implementação SGSI
Status Significado Requisitos SGSI informação
? Desconhecido
Inexistente
Inicial
Limitado
Definido
Gerenciado
Otimizado
Não se aplica