Escolar Documentos
Profissional Documentos
Cultura Documentos
“
Não devemos pedir aos nossos clientes
que façam um equilibrio entre privaci-
dade e segurança. Precisamos ofere-
cer-lhes
o melhor de ambos. Em última análise,
proteger os dados de outra pessoa é
Tim Cook - Presidente da Apple
SETOR DE QUÍMICO
- Fórmulas de novos produtos
- Espionagem industrial
- Ataques terroristas
O QUE É A LGPD?
LEI GERAL DE PROTEÇÃO DE DADOS
Você já parou pra pensar em
Atua na proteção dos interesses dos titulares (donos)
de dados pessoais para evitar abusos por parte de
quantos dados pessoais seus
controladores e operadores estão por aí?
Lei Federal 13.709/2018
SEGURANÇA DA INFORMAÇÃO
É UMA PREOCUPAÇÃO ANCESTRAL
- Assírios (1.300 a.c. – 612 a.c)
Proteção da Proteção do
CONFIDENCIALIDADE
Propriedade da informação não ser tornada disponível ou divulgada a indivíduos,
entidades ou processos não autorizados
INTEGRIDADE
Propriedade de acuracidade e completeza da informação
DISPONIBILIDADE
Propriedade de a informação ser acessível e utilizável sob demanda de uma entidade autorizada
Sistemas de Integridade
Informação de TI
Confidencialidade Disponibilidade
Segurança da
Cibersecurity
informação
SEGURANÇA DA INFORMAÇÃO
Modelo de gestão
É para a empresa toda
Avaliação global de riscos
Informações em qualquer mídia
Políticas corporativas
Políticas operacionais Focada no ambiente de tecnologia
Continuidade de negócios Controle de acesso lógico
Atendimento à legislação Gestão de vulneabilidades técnicas
Privacidade de dados CYBERSECURITY Firewall, IDS/ IPS
Antivirus
Ferramenta de DLP
Backup e recuperação de desastres
Gestão de incidentes de TI
OBJETIVOS RESULTADOS
Modelo genérico de um
Sistema de Gestão
RISCO
Definição: Efeito da Incerteza
sobre os objetivos.
PERCEPÇÃO DE RISCO
- Valores/ experiência
- Momento atual
- Informação disponível
PERCEPÇÃO DE RISCO:
Ter contato com um fator de risco por meio dos sentidos (ouvir, tocar, ver, cheirar, sentir o
gosto), interpretar essa informação e então decidir o que fazer.
Aspecto
Gerenciamento
de Risco
Probabilidade baixa Probabilidade baixa
Controlar Ação Impacto alto Impacto muito alto
Monitorar
Risco
Risco
RISCO
Quantidade de risco que Quanto risco tenho?
alguém está disposto a tomar Nível de Risco
para alcançar seus objetivos.
Apetite ao Risco Quanto risco quero ter?
Decisão 1 Decisão 2
Liberar o software assim mesmo. Se aparecer algum problema Não liberar o software. Se os clientes questionarem, avisamos que
depois disso (falhas de segurança, reclamações de clientes, etc.) por questões de segurança, preferimos adiar o lançamento.
a gente resolve rapidamente.
Justifique a decisão escolhida por você, considerando questões como: nível de risco, tolerância ao risco e apetite ao risco.
Explique como você avaliou os riscos para tomar a decisão.
BS 7799-1
Melhores práticas para
gestão da segurança da 3° edição
informação ISO/ IEC 27001 Tecnologia da infor-
BS 7799-2 Tecnologia da mação, cibersegurança e
Sistemas de gestão de informação – Técnicas de proteção da privacidade
ISO/ IEC 17799 2ª EDIÇÃO
segurança da informação segurança – Sistemas de – Sistemas de gestão da
– especificação com gestão da segurança da segurança da informação
orientações para o uso informação – Requisitos – Requisitos
2000 2013
ISO/ IEC 17799 2° edição
Tecnologia da
BS 7799-1 informação – Código de
ISO/ IEC 27001 3ª EDIÇÃO
BS 7799-2 prática para gestão da
segurança da informação
TERMOS E DEFINIÇÕES
PARTE INTERESSADA: Pessoa ou organização que pode afetar, ser PROPRIETÁRIO DO RISCO: Pessoa ou entidade com responsabilidade
afetada ou se perceber afetada por uma decisão ou atividade. e autoridade para gerenciar um risco.
ALTA DIREÇÃO: Pessoa ou grupo de pessoas que dirigem e PII – PERSONAL IDENTIFIABLE INFORMATION: Qualquer informação que
controlam uma organização em seu mais alto nível. pode ser usada para identificar um titular de dados (PII principal) a
quem a informação se relaciona ou que possa ser diretamente ou
NÃO-REPÚDIO: Habilidade de provar a ocorrência de um evento ou indiretamente associado a um PII principal.
ação e suas entidades de origem.
PII PRINCIPAL (TITULAR DE DADOS PESSOAIS): Pessoa natural a quem
AUTENTICIDADE: Propriedade de que uma entidade é aquilo que alega uma PII se relaciona.
ser.
PII CONTROLER (CONTROLADOR): Entidade que determina os
OBJETIVO: Resultado a ser alcançado. Estratégico, tático e operacional. propósitos e os meios para tratar as PII além das próprias pessoas
naturais que usam os dados para propósitos pessoais.
GESTÃO DE RISCOS: Atividades coordenadas para dirigir e controlar
uma organização no que diz respeito ao risco. PII PROCESSOR (OPERADOR): Entidade que trata as PII em nome de
um controlador e de acordo com as instruções deste.
PARA QUEM A ISO/ IEC 27001 E ISO/ IEC 27701 É MAIS INDICADA?
EMPRESAS DE TI EMPRESAS DE TRADICIONAIS
Protegendo suas próprias informações, seus produtos de Protegendo suas próprias informações e os titulares de
tecnologia, seus clientes e os titulares de dados pessoais dados pessoais
BENEFÍCIOS DE UM SGSI/ SGPI COM BASE NA ISO/ IEC 27001 E ISO/ IEC 27701
- Aumento da resiliência organizacional - Gestão dos riscos da cadeia de fornecimento
BENEFÍCIOS DE UM SGSI/ SGPI COM BASE NA ISO/ IEC 27001 E ISO/ IEC 27701
Comitê de Segurança e Privacidade Avaliar e reavaliar riscos Criar e cumprir políticas Treinar continuamente
Fazer reuniões regulares Esteja atendo às ameaças Regras estabelecidas Conscientização sobre os
na documentação riscos e ameaças
1. Escopo
2. Referências normativas
3. Termos e definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio para o SGS
8. Operação do SGS
9. Avaliação de desempenho
10. Melhoria
Anexo A
Bibliografia
ISO/IEC 27001:2022
ESCOPO
A ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gestão da segurança da informação dentro do contexto da organização.
Os requisitos são genéricos e podem ser aplicados a todas as organizações, independente do tipo,
tamanho ou natureza.
Para fins de busca de conformidade ou certificação de conformidade, nenhum requisito das seções
de 4 a 10 pode ser excluído.
2. REFERÊNCIAS NORMATIVAS
ISO/IEC 27000, Information technology -- Security techniques -- Information security management
systems -- Overview and vocabulary.
3. TERMOS E DEFINIÇÕES
Ver ISO/ IEC 27000.
ISO/IEC 27001:2022
4 CONTEXTO DA ORGANIZAÇÃO
4.1 Entendendo a organização e seu contexto
4.2 Entendendo as necessidades e expectativas das partes interessadas
4.3 Determinando o escopo do sistema de gestão da segurança da informação
4.4 Sistema de gestão da segurança da informação
ISO/IEC 27001:2022
4 CONTEXTO DA ORGANIZAÇÃO
“O ambiente de negócios em que a Organização opera e como ele pode afetar o SGSI”
Ambiente Macroeconômico
Ambiente Regulatório
Mercado
Organização
ISO/IEC 27001:2022
Evidências possíveis incluem, mas não se limitam, a:
4 CONTEXTO DA ORGANIZAÇÃO
- Análises do ambiente interno e externo (SWOT)
4.1. ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO
- Planejamento estratégico
A organização deve determinar as questões internas e externas que são relevantes para o seu - Atas de reuniões de diretoria/ conselho
propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de - Mapas estratégicos
gestão da segurança da informação. - Canvas
- Procurar por uma abordagem consciente da
NOTA: A determinação destas questões refere-se ao estabelecimento do contexto interno e externo organização sobre como esses elementos podem afetar
da organização considerado na cláusula 5.4.1 da ISO 31000:2018. o SGSI – atentar que não há obrigatoriedade de existir
informação documentada
ISO/IEC 27001:2022
Evidências possíveis incluem, mas não se limitam, a:
4 CONTEXTO DA ORGANIZAÇÃO
- Tabelas identificando as partes interessadas e os seus
4.2 ENTENDENDO AS NECESSIDADES E EXPECTATIVAS DAS PARTES INTERESSADAS
requisitos
Determinar: - Mapeamento de partes interessadas
- Os requisitos podem ser assumidos pela Organização
a) as partes interessadas que são relevantes para o sistema de gestão da segurança da informação; - Não há obrigação de manifestação explícita das
b) os requisitos relevantes dessas partes interessadas; partes interessadas
quais desses requisitos serão atendidos por meio do sistema de gestão da segurança da informação. - Partes interessadas típicas incluem: clientes externos;
clientes internos; fornecedores; acionistas/ sócios;
NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulatórios, bem como funcionários; direção executiva; terceirizados; órgãos
obrigações contratuais. reguladores; parceiros de negócio; etc.
ISO/IEC 27001:2022
4 CONTEXTO DA ORGANIZAÇÃO
4.3 DETERMINANDO O ESCOPO DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Não está incluído neste escopo qualquer infraestrutura física de tecnologia provida por terceiros.”
ISO/IEC 27001:2022
4 CONTEXTO DA ORGANIZAÇÃO
4.4 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Processos Matéria,
Matéria, Processos
Antecedentes, energia,
energia, Antecedentes,
por exemplo, em informação,
informação, por exemplo, em
provedores por exemplo, na
por exemplo, na clientes (internos ou
(internos ou externos), forma de
forma de externos), em outras
clientes, em outras material,
produto, serviço, partes interessadas
partes interessadas recursos,
decisão pertinentes
pertinentes requisitos
Possíveis controles e
pontos para monitorar
e medir desempenho
ISO/IEC 27001:2022
5 LIDERANÇA
5.1 Liderança e comprometimento
5.2 Política
5.3 Papéis, responsabilidades e autoridades organizacionais
ISO/IEC 27001:2022
5 LIDERANÇA
5.1 LIDERANÇA E COMPROMETIMENTO Evidências possíveis incluem, mas não se
A alta Direção deve demonstrar liderança e comprometimento com relação ao SGSI, através de: limitam, a:
a) assegurando que a política de segurança da informação e os objetivos de segurança da informação - Entrevistas com a Alta Direção para
estão estabelecidos e são compatíveis com o direcionamento estratégico da organização; determinar o seu conhecimento sobre suas
b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro dos responsabilidades perante o SGSI
processos da organização; - Evidências de aprovação pela Alta Direção
c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação estejam da política do SGSI
disponíveis; - Evidências de aprovação pela Alta Direção
d) comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade com de recursos para implementação,
os requisitos do sistema de gestão da segurança da informação; manutenção e melhoria do SGSI (orçamentos
e) assegurando que o sistema de gestão da segurança da informação alcance os resultados pretendidos; para Opex e Capex, por exemplo)
f) orientando e apoiando pessoas para que contribuam para eficácia do sistema de gestão da segurança da - Conhecimento, pela Alta Direção, das
informação; questões internas e externas que podem
g) promovendo a melhoria contínua; e impactar o SGSI
h) apoiando outros papéis relevantes da gestão para demostrar como sua liderança se aplica às áreas sob - Evidências de envolvimento da Alta Direção
sua responsabilidade. nos processos de comunicação sobre temas
relevantes para o SGSI (por exemplo objetivos
NOTA: A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar do SGSI e resultados alcançados)
aquelas atividades que são essenciais para os propósitos da existência da organização.
ISO/IEC 27001:2022
5 LIDERANÇA
5.2 POLÍTICA Evidências possíveis incluem, mas
não se limitam, a:
A Alta Direção deve estabelecer uma política de segurança da Exemplo de declaração de política válida:
informação que: - Política declarada em um
“A Empresa XPTO S.A. , atuando na prestação de documento específico ou como
a) seja apropriada ao propósito da organização; serviços de segurança de aplicações, redes e parte integrante de um documento
b) inclua os objetivos de segurança da informação (ver 6.2) ou infraestrutura de TI, assegura a proteção e a de alto nível (por exemplo, um
forneça uma estrutura para estabelecer os objetivos de privacidade das informações utilizadas por ela, Manual do sistema de gestão da
segurança da informação; respeitando os seguintes princípios: segurança da informação)
c) inclua um comprometimento para satisfazer os requisitos - Política declarada em diferentes
aplicáveis relacionados com segurança da informação; e - Cumprimento de todos os requisitos de tipos de mídia, como documentos
d) inclua um comprometimento para a melhoria contínua do segurança e privacidade da informação eletrônicos ou impressos, gravações
sistema de gestão da segurança da informação. aplicáveis de áudio e gravações de vídeo
- Promoção da melhoria contínua do sistema de - Política comunicada à sua força
A política de segurança da informação deve: gestão da segurança da informação de trabalho através de diversos
- Redução dos riscos de segurança da infor- meios, como portais de intranet,
e) estar disponível como informação documentada; mação e-mail, canais de redes sociais
f) ser comunicada dentro da organização; e - Maximização da disponibilidade das internas, etc e disponível no website
g) estar disponível para as partes interessadas, como apropriado. informações, sistemas e infraestrutura” institucional
ISO/IEC 27001:2022
A Alta Direção deve assegurar que as responsabilidades e autoridades para papéis relevantes para o SGSI - Organogramas
sejam atribuídas e comunicadas. - Matrizes RACI
- Descrições de responsabilidades na
A Alta Direção deve atribuir responsabilidades e autoridades para: documentação do SGSI (políticas, normas,
procedimentos, instruções de trabalho, etc.)
a) Assegurar que o SGSI esteja em conformidade com os requisitos da ISO 27001; - Descrições de responsabilidades e tarefas
b) relatar o desempenho do SGSI e dos serviços para a Alta Direção. em descrições de cargos
- Conhecimento sobre responsabilidades
NOTA: A Alta Direção pode também atribuir responsabilidades e autoridades para relatar o desempenho do demonstrados pelas pessoas durante
sistema de gestão da segurança da informação dentro da organização. entrevistas de auditoria
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 Ações para abordar riscos e oportunidades
6.1.1 Generalidades
6.1.2 Avaliação dos riscos de segurança da informação
6.1.3 Tratamento dos riscos de segurança da informação
6.2 Objetivos de segurança da informação e planos para alcança-los
6.3 Planejamento de mudanças
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
6.1.1 Generalidades
Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar as questões referenciadas em 4.1 e os requisitos descritos
em 4.2 e determinar os riscos e oportunidades que precisam ser considerados para:
a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos;
b) prevenir ou reduzir os efeitos indesejados; e
c) alcançar a melhoria contínua.
1) integrar e implementar estas ações dentro dos processos do seu sistema de gestão da segurança da informação; e
2) avaliar a eficácia destas ações.
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
b) assegure que as repetidas avaliações de riscos de segurança da informação produzam resultados consistentes, válidos e comparáveis;
c) identifique os riscos de segurança da informação:
1) aplicando o processo de avaliação dos riscos de segurança da informação para identificar os riscos associados com a perda de confidencialidade, integridade
e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação; e
2) identifique os responsáveis pelos riscos.
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
1) avaliando as consequências potenciais que podem resultar se os riscos identificados em 6.1.2 c) 1) forem materializados
2) avaliando a probabilidade realística da ocorrência dos riscos identificados em 6.1.2 c) 1); e
3) determinando os níveis de risco;
1) comparando os resultados da análise dos riscos com os critérios de riscos estabelecidos em 6.1.2 a); e
2) priorizando os riscos analisados para tratamento.
A Organização deve reter informação documentada sobre o processo de avalição de riscos de segurança da informação.
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:
a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação dos riscos;
b) determinar todos os controles que são necessários para implementar as opções de tratamento dos riscos da segurança da informação escolhidas;
NOTA 1: As organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte.
c) comparar os controles determinados em 6.1.3 b) acima com aqueles no Anexo A e verificar que nenhum controle necessário tenha sido omitido;
NOTA 2: O Anexo A contém uma lista de possíveis controles de segurança da informação. Os usuários desta Norma são instruídos a utilizar o Anexo A para garantir que
nenhum controle necessário tenha sido omitido;
NOTA 3: Os controles de segurança da informação listados no Anexo A não são exaustivos e controles e controles adicionais de segurança da informação podem ser
incluídos, se necessário.
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da
informação;
A organização deve manter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação;
NOTA 4: O processo de tratamento e a avaliação dos riscos de segurança da informação desta norma está alinhado com os princípios e diretrizes gerais definidas na
ISO 31000.
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
I Cultura de conscientização em segurança da informação R Conscientização via plataforma Hacker Rangers Jan/ 20 Em andamento
I Melhoria da segurança da informação O Contratação de consultorias para projetos de expansão/ certificação 2° sem/ 19 Concluído
I Situação da governança interna R Realização das certificações e auditorias SI; Financeira; Compliance 2° sem/ 19 Em andamento
I Custo fixo operacional das ferramentas de SI O Redução do curso operacional via análise de despesas Nov/ 19 Concluído
I Fragilidades de segurança física R Aquisição e instalação de sistema de controle de acesso Nov/ 20 Em andamento
E LGPD - Lei Geral de Proteção de Dados R Realizar adequações com consultoria 1° sem/ 20 Em andamento
E Ataques externos ao ambiente (site/ blog/ plataforma) R Contratação de serviços/ parceiro para gestão de vulnerabilidades técnicas Set/ 19 Concluído
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
Funcionários Proteção das informações pessoais e de familiares fornecidas à Empresa R/O Atendimento aos requisitos da LGPD 1° sem/ 22 Concluído
R/O Obtenção das certificações ISO/IEC 27001 /27701; Adequação LGPD 1° sem/ 23 Em andamento
Acionistas Proteção da imagem e reputação da Organização e dos seus acionistas
O Adequação para homologação cadastro positivo 1° sem/ 22 Em andamento
Fornecedores (serviços de Continuidade dos serviços e proteção das informações de propriedade Definição de um “dono” para cada serviço de assinatura visando evitar
software) intelectual do fornecedor e sigilo de propostas comerciais R 2° sem/ 19 Concluído
interrupções de serviço); Acordos de confidencialidade; conscientização
Imprensa Informações transparentes para o mercado e público em geral O Contratação de assessoria de imprensa para relacionamento com a 2° sem/ 22 Concluído
mídia
Seção Nome do controle Descrição do controle Aplicável? Justificativa para ser aplicável/ não aplicável Implementado? Resumo da Implementação/ Referência aos Planos de Ação
As funções e responsabilidades
pela segurança da informação Aplicável, pois as pessoas necessitam conhecer
Papéis e responsabilidades pela Papéis e responsabilidades definidos e comunicados através das
A.5.2 devem ser definidas e alocadas Sim suas responsabilidades específicas em relação à Sim
segurança da informação descrições de cargo, políticas e procedimentos do SGSI
de acordo com as necessidades segurança.
da organização.
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.2 OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO E PLANOS PARA ALCANÇÁ-LOS
A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis relevantes.
A organização deve reter informação documentada dos objetivos de segurança da informação. Quando do planejamento para alcançar os seus objetivos de segurança
da informação, a organização deve determinar:
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.2 OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO E PLANOS PARA ALCANÇÁ-LOS (CONT.)
RISCOS DO SGSI 2022
Normalmente encontramos dois tipos de objetivos: Baixo Alto
Médio Crítico
- Objetivos finitos: baseados na implementação de programas e projetos.
- Objetivos recorrentes: ligados ao cumprimento de metas de revisão periódica do
desempenho. Os objetivos recorrentes levam ao desdobramento de indicadores
estratégicos – Precisa haver pelo menos um. 9%
10%
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.2 OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO E PLANOS PARA ALCANÇÁ-LOS
Compromisso da Política Objetivo Meta Indicador Ações Responsável Prazo Recursos necessários
Número de
Gerente de
Reduzir os riscos de SI Reduzir riscos não toleráveis Zerar riscos não toleráveis Riscos Não Implementar NGF 15/05/2022 R$ 85.000,00
Infraestrutura
Toleráveis
ISO/IEC 27001:2022
6 PLANEJAMENTO
6.3 PLANEJAMENTO DE MUDANÇAS
ISO/IEC 27001:2022
7 APOIO
7.1 Recursos
7.2 Competência
7.3 Conscientização
7.4 Comunicação
7.5 Informação documentada
7.5.1 Generalidades
7.5.2. Criando e atualizando informação documentada
7.5.3. Controle da informação documentada
ISO/IEC 27001:2022
7 APOIO
7.1 RECURSOS
ISO/IEC 27001:2022
7 APOIO
7.2 COMPETÊNCIA
ISO/IEC 27001:2022
7 APOIO
7.3 CONSCIENTIZAÇÃO
Pessoas que realizam trabalho sob o controle da organização devem estar conscientes:
ISO/IEC 27001:2022
7 APOIO
7.4 COMUNICAÇÃO
Evidências possíveis incluem, mas não se limitam, a:
A organização deve determinar as comunicações internas e externas relevantes
para o SGSI incluindo: - Existência de um “plano de comunicação” contemplando os itens da
Norma em que o verbo “comunicar” é conjugado
a) sobre o que ela irá comunicar; - Registros de comunicações realizadas
b) quando comunicar; - Entrevistar as pessoas para captar se as comunicações são eficazes
c) com quem se comunicar;
d) como comunicar;
e) quem vai ser responsável pela comunicação.
ISO/IEC 27001:2022
7 APOIO
7.4 COMUNICAÇÃO
Tipo O que comunicar Quando comunicar Quem comunica A quem comunica Como comunica
E Respostas a solicitações de clientes A cada ocorrência Gerente de relacionamento Clientes externos Email
I Resultados das avaliações de riscos Semestralmente CISO Diretoria e gestores Reunião semestral
ISO/IEC 27001:2022
7 APOIO
7.5 INFORMAÇÃO DOCUMENTADA
7.5.1. Generalidades
NOTA: A extensão da informação documentada para um sistema de gestão de Segurança da Informação pode diferir de uma organização para outra, devido:
- ao tamanho da organização e seu tipo de atividades, processos, produtos e serviços;
- à complexidade dos processos e suas interações;
- à competência das pessoas
ISO/IEC 27001:2022
7 APOIO
7.5 INFORMAÇÃO DOCUMENTADA
ISO/IEC 27001:2022
7 APOIO
7.5 INFORMAÇÃO DOCUMENTADA
A informação documentada requerida pelo SGSI e pela ISO/IEC 27001 deve ser controlada para assegurar que
a) ela esteja disponível e adequada para o uso, onde e quando ela for necessária;
b) ela esteja adequadamente protegida (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade).
ISO/IEC 27001:2022
7 APOIO
7.5 INFORMAÇÃO DOCUMENTADA
7.5.3. Controle de Informações documentadas (cont.) Exemplos de informações documentadas que devem ser controladas pela
Organização, e que afetam o SG:
Para o controle da informação documentada, a organização deve considerar as
seguintes atividades, conforme aplicável:
Internos Externos
a)distribuição, acesso, recuperação e uso;
b) armazenagem e preservação, incluindo a preservação da legibilidade; Instruções operacionais Diplomas legais
c) controle de mudanças (por exemplo, controle de versão); Procedimentos operacionais Licenças (se aplicável)
d) Retenção e disposição. Planejamento Estratégico Contratos de clientes
Formulários/ Check lists em Normas técnicas aplicáveis
A informação documentada de origem externa, determinada pela organização branco Projetos de clientes ou fornecedores
como necessária para o planejamento e operação do SGSI, deve ser identificada Playbooks/ Runbooks SLAs/ NDAs de fornecedores
como apropriada, e controlada. Certificados de treinamento
Atas de reuniões
NOTA: Acesso pode implicar uma decisão quanto à permissão para somente SLAs/ NDAs para clientes
ver a informação documentada, ou a permissão e autoridade para ver e alterar
a informação documentada.
ISO/IEC 27001:2022
7 APOIO
7.5 INFORMAÇÃO DOCUMENTADA
- Existência de um processo para a gestão da informação documentada, contendo os elementos de 7.5.1 a 7.5.4
- Existência de uma hierarquia de documentos internos
- Definição das responsabilidades e autoridades pela elaboração e aprovação de documentos internos
- Existência de templates para os diversos tipos de documentos existentes na organização
- Atentar para os diferentes formatos que um documento pode ter
- Atentar para formas mais modernas de documentação, como playbooks e runbooks em plataformas digitais de trabalho
- Workplaces digitais como MS 365, ClickUp, Google Workspace, entre outros, permitem que documentos sejam gerados com controle automático de versões e
manutenção do histórico detalhado de alterações sem necessidade de interferência do usuário, facilitando em muito a gestão de documentos
- Atentar para formas modernas de criação de documentos, como documentos colaborativos e flexibilidade de responsabilidades pela elaboração e
aprovação
- Existência de listas controladas de documentos de origem externa e atribuição de responsabilidades por manter tais listas atualizadas
ISO/IEC 27001:2022
8 OPERAÇÃO
8.1 Planejamento e controle operacional
8.2 Avaliação de riscos de segurança da informação
8.3 Tratamento dos riscos de segurança da informação
ISO/IEC 27001:2022
8 OPERAÇÃO
8.1 PLANEJAMENTO E CONTROLE OPERACIONAL
A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos, e para implementar as ações determinadas na cláusula 6,
por meio:
Informação documentada deve estar disponível na extensão necessária para gerar confiança de que os processos tenham sido conduzidos conforme planejado.
A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer
efeitos adversos, conforme necessário.
A organização deve assegurar que aqueles processos, produtos e serviços providos externamente que sejam relevantes para o sistema de gestão da segurança da
informação sejam controlados.
ISO/IEC 27001:2022
8 OPERAÇÃO
8.2 AVALIAÇÃO DOS RISCOS DE SEGURANÇA DA INFORMAÇÃO
Evidências possíveis incluem, mas não se limitam, a:
A organização deve realizar avaliações de riscos de segurança da informação a
intervalos planejados ou quando mudanças significativas forem propostas ou - Inventário de riscos de segurança da informação
ocorrerem, levando em conta os critérios estabelecidos em 6.1.2 a). atualizado conforme critérios definidos pela Organização
ISO/IEC 27001:2022
9 AVALIAÇÃO DO DESEMPENHO
9.1 Monitoramento, medição, análise e avaliação
9.2 Auditoria interna
9.3 Análise crítica pela direção
ISO/IEC 27001:2022
ISO/IEC 27001:2022
9 AVALIAÇÃO DO DESEMPENHO
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
Disponibilidade
Espaço em disco Relação de
do serviço
causa e efeito
ISO/IEC 27001:2022
9 AVALIAÇÃO DO DESEMPENHO
9.2 AUDITORIA INTERNA
9.2.1 Generalidades
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:
ISO/IEC 27001:2022
9 AVALIAÇÃO DO DESEMPENHO
9.2 AUDITORIA INTERNA
Organização deve planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamen-
to e relatórios.
Quando do estabelecimento do(s) programa(s) de auditoria interna, a organização deve considerar a importância dos processos pertinentes e os resultados de audito-
rias anteriores.
A organização deve:
Informação documentada deve estar disponível como evidência da implementação do(s) programa(s) de auditoria e dos resultados da auditoria.
ISO/IEC 27001:2022
9 AVALIAÇÃO DO DESEMPENHO
9.2 AUDITORIA INTERNA
ISO/IEC 27001:2022
9 AVALIAÇÃO DO DESEMPENHO
9.3 ANÁLISE CRÍTICA PELA DIREÇÃO
9.3.1 Generalidades
A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização a intervalos planejados para assegurar a sua contínua
adequação, pertinência e eficácia.
9 AVALIAÇÃO DO DESEMPENHO - Os temas da análise crítica não precisam estar cobertos em um único
evento;
9.3 ANÁLISE CRÍTICA PELA DIREÇÃO
- Identifique onde a Organização determinou a abordagem de cada item de
9.3.3 Saídas da análise crítica entrada exigido em 9.3.2;
- Verifique se, ao longo de um ciclo (tipicamente anual), se todos os temas
Os resultados da análise crítica pela Direção devem incluir decisões relativas foram abordados;
a oportunidades para melhoria contínua e quaisquer necessidades para - Verifique os registros de cada análise crítica anterior, para verificar que os
mudanças do sistema de gestão da segurança da informação. acompanhamentos de pendências estão sendo feitos;
- Evidencie que de fato houve a participação da alta direção em cada evento
Informação documentada deve estar disponível como evidência dos de análise crítica;
resultados das análises críticas pela direção. - Evidencie que são tomadas decisões e ações em função dos resultados da
análise crítica;
- Avalie se o intervalo determinado entre as análises críticas é suficiente para
que a Alta Direção se mantenha informada sobre o desempenho do SGSI e
ISO/IEC 27001:2022
10 MELHORIA
10.1. Melhoria contínua
10.2 Não-conformidade e ação corretiva
ISO/IEC 27001:2022
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
A organização deve reter informação documentada como evidência da:
f) natureza das não conformidades e quaisquer ações subsequentes tomadas; e
g) dos resultados de qualquer ação corretiva.
ISO/IEC 27001:2022
10 MELHORIA
10.2 NÃO CONFORMIDADE E AÇÃO CORRETIVA
ISO/IEC 27001:2022
10 MELHORIA
10.2 NÃO CONFORMIDADE E AÇÃO CORRETIVA
ISO/IEC 27001:2022
ANEXO A
Controles
ISO/IEC 27001:2022
ANEXO A
A auditoria sobre os controles de segurança é usualmente realizada cruzando-se as informações sobre os riscos e a Declaração de Aplicabilidade.
ATENÇÃO: Somente os controles aplicáveis devem ser auditados. Avalie as justificativas para os controles considerados não aplicáveis.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
Uma política de segurança da informação e políticas por tópicos específicos devem ser Evidências possíveis incluem, mas não se limitam, a:
definidas, aprovadas pela administração, publicadas, comunicadas e reconhecidas pelo
pessoal e partes interessadas relevantes, e revisadas em intervalos planejados e se - Existência de uma política de segurança da informação de
ocorrerem mudanças significativas. Alto Nível.
- Existência de outras políticas de segurança para tópicos
- É um controle preventivo; específicos, conforme for aplicável à organização (ligar com
- Resume a abordagem da Organização para segurança da informação; a análise e tratamento de riscos e a declaração de
- Levar em conta os requisitos de negócio, as estratégias, requisitos legais, regulatórios e aplicabilidade, conforme requisito 6.1.3 da ISO/ IEC 27001).
contratuais; - Existência e aplicação de um processo de análise crítica e
- Deve ser aprovada pela Alta Direção; revisão periódica das políticas, ou revisões motivadas por
- Pode ser desdobrada em políticas de tópicos específicos, conforme requeridas em outros mudanças importantes.
controles (p. ex. controle de acesso; segurança física e ambiental; gestão de ativos;
transferência de informações; configuração e manuseio seguro de dispositivos de endpoint
de usuários; segurança de redes; gestão de incidentes; backup e restore; criptografia;
desenvolvimento seguro; etc..);
- Não confundir com a política exigida no requisito 5.2.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
As funções e responsabilidades pela segurança da informação devem ser definidas e Evidências possíveis incluem, mas não se limitam, a:
alocadas de acordo com as necessidades da organização.
- Existência de um organograma destacando as funções
- É um controle preventivo; associadas à segurança da informação.
- Foca na definição e atribuição de responsabilidades específicas pela segurança da - Existência de funções de liderança e times específicos
informação, como por exemplo: proteção da informação e ativos associados à informação; focados em segurança da informação (CTO; CISO; Blue Team;
conduzir processos específicos de SI, como por exemplo revisão de direitos de acesso; Red Team; analistas de segurança da informação; etc..)
atividades da gestão de riscos de segurança da informação, em particular aceitação de - Descrição de responsabilidades na documentação do
riscos residuais pelos proprietários dos riscos; cumprimento das políticas e procedimentos sistema de gestão.
de segurança da informação; - Entrevistas com o pessoal em geral para obter
- Podem estar em diversas formas; entendimento sobre se elas entendem o seu papel com
- Liga-se ao requisito 5.3. relação à segurança da informação.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Evidências possíveis incluem, mas não se limitam, a:
A.5.3. Segregação de funções
- Existência e uso de fluxos de trabalho particionados em
Controle:
diversas etapas de criação, execução e aprovação
Deveres e áreas de responsabilidade conflitantes devem ser segregados.
- Existência de limites de alçada para tomada de decisões;
- Exigência de dupla aprovação para determinadas decisões
- É um controle preventivo;
ou ações;
- Seu propósito é reduzir o risco de fraudes, erros e by-pass dos controles de segurança;
- Existência de papéis e funções não conflitantes entre si
- Tipicamente a segregação é requerida para atividades como: gestão de mudanças;
para uma mesma pessoa;
gestão de direitos de acesso; desenvolvimento de software; instalação de softwares; gestão
- Automação de fluxos de trabalho e de processos de
de segurança da informação junto a fornecedores e parceiros; etc.
tomada de decisão com base em RBAC.
- Toma forma na definição de limites de ação para funções que podem interferir na
segurança, dividindo o trabalho a ser feitos em etapas de criação/ execução/ aprovação.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
A administração deve exigir que todo o pessoal aplique a segurança da informação de Evidências possíveis incluem, mas não se limitam, a:
acordo com a política de segurança da informação, políticas de tópicos específicos e os
procedimentos estabelecidos pela organização. - Evidências de aprovação das políticas de segurança de
alto nível por parte da alta direção;
- É um controle preventivo; - Evidências de que a Alta Direção promove internamente a
- Seu propósito é assegurar que a Alta Direção entenda e exerça seu papel em relação à SI Segurança da Informação (comunicados, eventos, etc..);
e seu poder de influência sobre as pessoas; - Evidência de que os processos de educação e treinamento
- Requer um papel ativo nas ações de educação conscientização em segurança da em segurança da informação estão planejados.
informação;
- Inclui a participação da Alta Direção na definição e aprovação das políticas de segurança
e aplicação das medidas disciplinares;
- A Alta Direção também demonstra esse controle através do planejamento e alocação de
recursos para que a segurança da informação seja efetivamente implementada;
- Trabalha em conjunto com o requisito 5.1;
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Evidências possíveis incluem, mas não se limitam, a:
A.5.5. Contato com autoridades
- Identificação das autoridades relevantes com as quais a
Controle: Organização pode ou deve se comunicar a respeito de
A organização deve estabelecer e manter contato com as autoridades relevantes. assuntos relacionados com a segurança da informação (por
exemplo: na própria declaração de aplicabilidade; ou no
- É um controle preventivo e corretivo; “plano de comunicações” eventualmente criado para atender
- Seu propósito é assegurar o adequado fluxo de informações sobre segurança da ao requisito 7.4 da Norma; ou nos planos de recuperação de
informação entre a organização e autoridades relevantes (legais ou regulatórias); desastres e/ou planos de continuidade de negócios; ou ainda
- Tais autoridades podem incluir forças policiais, autoridades regulatórias (como ANPD e através de canais estabelecidos por autoridades como a
BACEN), conforme aplicável; ANPD e o BACEN, conforme aplicável
- Estes contatos são esperados nos momentos de se comunicar incidentes de segurança - Autoridades típicas podem incluir as forças policiais, corpo
em tempo hábil e/ou manter-se informado sobre as expectativas das autoridades de bombeiros e outras.
relevantes, conforme aplicável.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Evidências de participação da organização em fóruns de
A organização deve estabelecer e manter contato com grupos de interesse especial ou
discussão especializados em segurança da informação e de
outros fóruns especializados em segurança e associações profissionais.
segurança cibernética;
- Acesso a informações divulgadas por fornecedores e
- É um controle preventivo e corretivo;
fabricantes de software e hardware utilizados pela
- Seu propósito é permitir que a Organização se mantenha informada a respeito de
Organização sobre novas ameaças ou novas
desenvolvimentos em segurança da informação, conhecimento sobre boas práticas e
vulnerabilidades;
informação nova e atualizada a respeito de alertas, avisos e atualizações contra ataques
- Acesso a atualizações de segurança de softwares e
e vulnerabilidades;
hardware liberadas para tratar novas ameaças conhecidas;
- Pode ser atendido de várias maneiras: participação ativa em fóruns especializados;
- Assinatura de serviços de notícias especializadas em
assinatura de serviços de informação especializados em segurança da informação e
segurança da informação.
segurança cibernética; recebimento de avisos e alertas de fornecedores de TIC a respeito
dos produtos utilizados pela Organização.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Registros, e-mails, banco de conhecimento e outras fontes
As informações relacionadas a ameaças à segurança da informação devem ser coletadas
de informação sobre tipos de ataques, metodologias
e analisadas para produzir inteligência sobre ameaças.
utilizadas pelos atacantes, recomendações de ação emitidas
por especialistas, entre outras;
- É um controle preventivo;
- Planos de ação ou GMUDs implementadas para mitigação
- Pode ser implementado em níveis estratégico, tático e operacional;
de ameaças identificadas;
- Profundidade da abordagem pode levar em conta riscos, recursos, porte e complexidade
- Revisão do processo de gestão de riscos, conforme
do ambiente da organização;
aplicável, caso a ameaça seja nova e não abordada em
- Usar em conjunto com controle “A.5.6 Grupos especiais de interesse”;
riscos já mapeados pela Organização.
- Criar um processo sistemático de coleta de informações sobre novas ameaças,
avaliação, decisão e implementação de ações;
- Fontes de informação: fabricantes das soluções utilizadas pela organização; fóruns de
discussão; sites de notícias especializadas em segurança; incidentes de segurança
noticiados pela mídia; ferramentas automatizadas; times de pesquisa da própria
organização.
Coletar
informações
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Especificações de requisitos de segurança em termos de
A segurança da informação deve ser integrada ao gerenciamento de projetos.
abertura de projetos;
- Análises críticas de riscos e ações tomadas ao longo da
- É um controle preventivo;
execução dos projetos;
- Assegurar que os riscos à segurança da informação são abordados no gerenciamento de
- GMUDs abordando riscos de segurança da informação na
projetos de qualquer natureza;
fase de planejamento das mudanças;
- Pode ser aplicado a projetos de processos de negócio, mudança de layouts físicos,
- Termos de encerramento de projetos que demonstrem que
construção de instalações e facilities, desenvolvimento de software, entre outros;
os riscos à segurança foram tratados ao longo do ciclo de
- Garantir que os riscos de segurança sejam abordados em estágios iniciais dos projetos e
vida do projeto.
revisados ao longo do ciclo de vida;
- Toma a forma tipicamente em especificações de requisitos de segurança em projetos e
abordagem a estes requisitos e riscos associados.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Inventários do ambiente tecnológico produzido e mantido
Um inventário de informações e outros ativos associados, incluindo proprietários, deve ser
através de ferramentas de inventário;
desenvolvido e mantido.
- Inventário de ativos em nuvem (lista de VM’s, bancos de
dados, instâncias em atividade, etc.);
- É um controle preventivo;
- Inventário centralizado ou descentralizado;
- O inventário a que se refere o controle vai além de inventário de dispositivos e softwares
- Processos usados pela Organização para manter os
instalados;
inventários atualizados;
- Convém que inclua uma lista dos sistemas, bancos de dados, pastas de arquivos e
- Processos utilizados pela organização para manter os
arquivos considerados críticos para a Organização em termos de segurança da informação;
ativos protegidos (controle de acesso, restrição de acesso às
- Pode incluir determinados insumos e informações impressas, hardware e dispositivos de
informações, entre outras).
armazenamento e processamento de informações;
- Pode ser uma lista única ou um conjunto de inventários implementados em diferentes
processos ou departamentos;
- Deve incluir o apontamento do proprietário do ativo;
- O nível de detalhamento dos inventários deve ser proporcional às necessidades da
Organização.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Existência de uma política aprovada e comunicada para
As regras para o uso aceitável e os procedimentos para lidar com informações e outros
uso aceitável de informações e outros ativos associados
ativos associados devem ser identificados, documentados e implementados.
(como um documento específico, como parte de um docu-
mento mais amplo ou mesmo como um conjunto de docu-
- É um controle preventivo;
mentos aplicados em diferentes contextos e circunstâncias,
- Tipicamente implementado através de uma política de uso aceitável de ativos
como NDA’s, termos de responsabilidade por ativos, acordos
(documento específico ou parte do conteúdo de outros documentos);
de confidencialidade, entre outros);
- O uso aceitável inclui regras para acessar, processar, armazenar, transferir ou descartar
- Conhecimento das pessoas a respeito do que pode e do
informações e outros ativos e deve ser comunicada internamente e para partes
que não pode ser feito com as informações e outros ativos
interessadas que possam ter acesso às informações e ativos relevantes;
associados (conscientização).
- A forma de comunicar pode incluir a divulgação da própria política de uso aceitável e/ou
a inclusão de regras em termos de responsabilidade e acordos de confidencialidade e não
divulgação;
- Inclui também as regras para uso de dispositivos de usuários, incluindo BYOD, se aplicável,
bem como informações da organização armazenadas em serviços de nuvem.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Termos de devolução de ativos assinados pelos usuários ou
O pessoal e outras partes interessadas, conforme apropriado, devem devolver todos os
custodiantes dos ativos;
ativos da organização em sua posse mediante mudança ou término de seu emprego,
- Evidências físicas dos ativos devolvidos.
contrato ou acordo.
- É um controle preventivo;
- Ativos em uso ou em posse de pessoas ou entidades devem ser devolvidos de forma
segura quando do término de contratos de trabalho ou de prestação de serviços;
- Esses ativos podem incluir dispositivos de endpoint de usuários, mídias de
armazenamento removíveis, dispositivos físicos de autenticação, equipamentos
especializados, entre outros;
- Informações ou conhecimento que sejam relevantes para as operações da organização
devem ser transferidos de volta para a Organização;
- Convém que sejam tomadas medidas de salvaguarda para evitar que informações
relevantes sejam copiadas antes da devolução dos ativos (proteção da propriedade
intelectual).
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Existência, comunicação e uso de uma política ou
As informações devem ser classificadas de acordo com as necessidades de segurança da
procedimento sobre classificação da informação;
informação da organização, com base na confidencialidade, integridade, disponibilidade e
- Pode estar associado com os procedimentos usados no
requisitos relevantes das partes interessadas.
requisito 7.5 para controle da informação documentada do
SGSI;
- É um controle preventivo;
- Testar o conhecimento das pessoas sobre o entendimento
- Seu objetivo é entender as necessidades de proteção das informações de acordo com a
dos diferentes graus de classificação/ sigilo e a quais
sua importância para a Organização e partes interessadas;
informações cada um se aplica;
- Convém que uma política específica para este tópico seja estabelecida;
- Buscar evidências da classificação das informações;
- Tipicamente encontramos três níveis de classificação das informações: pública, interna
- Normalmente é avaliado em conjunto com os controles
(acessível por todos na organização) e confidencial (acessível apenas por pessoas, grupos
associados ao “controle de acesso” e “restrição de acesso às
ou entidades autorizadas);
informações”, “transferência de informações”, entre outros.
- Os proprietários das informações e/ou riscos normalmente definem o nível de
classificação das informações.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Aplicação da rotulagem em documentos impressos e
Um conjunto apropriado de procedimentos para rotulagem de informações deve ser
arquivos eletrônicos;
desenvolvido e implementado de acordo com o esquema de classificação de informações
- Existência de ferramentas de software que gerenciam
adotado pela organização.
rótulos em arquivos eletrônicos e pastas de rede;
- Existência do procedimento de rotulagem (normalmente
- É um controle preventivo;
parte integrante do procedimento de classificação das
- As informações classificadas pela Organização devem ser rotuladas, sempre que isso for
informações)
técnica e economicamente viável;
- Regras claras nos procedimentos sobre quando os rótulo
- Os rótulos têm o objetivo de deixar claro para os usuários das informações o grau de sigilo
NÃO PODEM ou NÃO DEVEM ser usados (por exemplo, em
que elas possuem;
documentos públicos).
- Formas de rotular as informações podem incluir: rótulos físicos, cabeçalhos e rodapés,
metadados, marcas d’água, carimbos.
- Existem ferramentas de software que permitem aplicar rótulos também em arquivos e
pastas em rede, bem como aplicações e bancos de dados (avaliar custo benefício).
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Existência e uso de uma política ou procedimentos
Regras, procedimentos ou acordos de transferência de informações devem estar em vigor
contendo as regras para transferência de informações,
para todos os tipos de meios de transferência dentro da organização e entre a organização
incluindo os tipos de informação que podem (ou não podem)
e outras partes.
ser transferidas e os meios que podem (ou não podem) ser
usados para isso.
- É um controle preventivo;
- Proteger a segurança das informações transferidas tanto internamente quanto entre a
organização e partes externas contra interceptação, acesso não autorizado, cópia,
modificação, desvios de rota, destruição e negação de serviços;
- Assegurar a rastreabilidade e o não-repúdio das informações transferidas por qualquer
meio;
- Meios de transferência de informação a ser considerados incluem: e-mail; FTP; aplicativos
de mensageria; links de comunicação; aplicações de reuniões/ conferências; transferências
de informação em mídias físicas; transmissão verbal; etc.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Buscar por regras, práticas e procedimentos de controle de
Regras para controlar o acesso físico e lógico às informações e outros ativos associados
acesso;
devem ser estabelecidas e implementadas com base em requisitos de negócio e da
- Evidenciar juntos aos “donos” das informações as restrições
segurança da informação.
de acesso que eles próprios aplicam às informações sob sua
guarda;
- É um controle preventivo;
- Buscar evidenciar se a organização utiliza os princípios do
- O objetivo deste controle é o de garantir o acesso autorizado e prevenir o acesso não
need-to-know ou do RBAC;
autorizado a informações e outros ativos associados;
- Verificar quais são as regras para controle de acesso físico
- Uma boa prática geral é utilizar o princípio do “need-to-know”, ou seja, conceder acesso
(por funcionários, visitantes, terceiros, etc.);
apenas ao mínimo necessário que cada pessoa possa realizar o seu trabalho;
- Buscar evidenciar as regras para uso de direitos de acesso
- Este controle inclui práticas atribuídas através de outros controles como: segregação de
privilegiados e o uso de credenciais de
funções (A.5.3); controle de acesso privilegiado (A.8.2); controles de acesso físico (como por
“super-administradores”.
exemplo A.7.2; A.7.3; A.7.4), entre outros;
- Uma solução conceitualmente utilizada é o RBAC (Role Based Access Control);
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
Controle:
- Evidenciar um processo e respectivas regras de gestão de
O ciclo de vida completo das identidades deve ser gerenciado.
identidades (criação; atribuição; monitoramento; exclusão);
- Quando uma identidade pode ser criada? Quando deve ser
- É um controle preventivo;
eliminada? avaliar regras;
“identidade” é o conceito de identificar unicamente uma entidade (pessoas, grupos ou
- O ideal é uma identidade para cada pessoa ou entidade
entidades não-humanas);
individual, porém às vezes podem ser necessárias algumas
- Identidades costumem ser únicas, inequívocas e imutáveis entre o momento de sua
identidades de grupo; analisar pertinência;
criação e exclusão;
- Identidades para entidades não-humanas podem ser
- “Direitos de acesso” mudam; “identidades” não mudam;
necessárias em alguns casos; evidenciar e investigar;
- Exemplos de identidades: nomes de usuários; RG; CPF; Matrícula de funcionário;
- Verificar como as identidades são monitoradas e
- Minimizar o uso de identidades compartilhadas (por exemplo: usuário “marketing” que
eliminadas quando não forem mais necessárias;
pode ser compartilhado por todas as pessoas do departamento de marketing);
- Devem ser eliminadas quando não mais necessárias.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
A.5.21. Gerenciando a segurança da informação na cadeia de suprimentos de tecnologia da informação e comunicação (TIC)
Controle:
Processos e procedimentos devem ser definidos e implementados para gerenciar os riscos
de segurança da informação associados à cadeia de fornecimento de produtos e serviços Evidências possíveis incluem, mas não se limitam, a:
de TIC.
- Devem ser buscadas as mesmas evidências verificadas
- É um controle preventivo; nos dois controles anteriores;
- Uma categoria especial de fornecedores é aquela relacionada à cadeia de TIC da - Podem ser necessárias evidências adicionais, como a
Organização, por seu potencial impacto na segurança; inclusão destes nas análises de riscos de continuidade.
- Incluem-se nessa categoria: fornecedores de links de dados e voz; infraestrutura física de
TIC; serviços em nuvem; sistemas e bancos de dados; aplicações de segurança (firewall, IDS,
IPS, SIEM, soluções de backup, antivírus); sistemas operacionais; entre outros;
- Podem ser necessárias medidas de controle adicionais, como incluir tais fornecedores na
cadeia de dependências para gestão da continuidade da segurança da informação/
continuidade de negócios
- Implementar em conjunto com os demais controles de gestão de fornecedores.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
A.5.35. Análise crítica independente de segurança da informação Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
A.5.36. Conformidade com políticas, regras e normas de segurança da informação Evidências possíveis incluem, mas não se limitam, a:
- É um controle preventivo;
- Também pode ser atendido via a implementação do requisito 9.2 da ISO/IEC 27001;
- Ver controle A.5.35.
ISO/IEC 27001:2022
ANEXO A
A.5 CONTROLES ORGANIZACIONAIS
A.5.37. Procedimentos operacionais documentados Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
A.6.2. Termos e condições de emprego Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
A.6.3. Conscientização, educação e treinamento em segurança da informação Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
A.6.5. Responsabilidades após a rescisão ou mudança de emprego Evidências possíveis incluem, mas não se limitam, a:
- É um controle preventivo;
- Segurança da informação é uma obrigação que permanece válida mesmo após o
encerramento ou mudança nos contratos de trabalho;
- As pessoas precisam estar conscientes de que as obrigações de sigilo, confidencialidade
e de proteção da propriedade intelectual permanecem válidas mesmo após o término do
contrato de trabalho;
- Este controle é implementado via adoção de cláusulas nos contratos de trabalho ou de
prestação de serviços; pode ser abordado em termos específicos também;
- Implementado em conjunto com o controle A.6.2;
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
A.6.6. Acordos de confidencialidade ou não divulgação Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
ISO/IEC 27001:2022
ANEXO A
A.6 CONTROLES DE PESSOAS
A.6.8. Reportando eventos de segurança da informação Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.1. Perímetros de segurança física Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.3. Protegendo escritórios, salas e instalações Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.4. Monitoramento da segurança física Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.5. Proteção contra ameaças físicas ambientais Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.6. Trabalhando em áreas seguras Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.7. Mesa limpa e tela limpa Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.8. Localização e proteção de equipamentos Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.9. Segurança de ativos fora das instalações Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
ISO/IEC 27001:2022
ANEXO A
A.7 CONTROLES FÍSICOS
A.7.14. Descarte ou reutilização seguros de equipamentos Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.1. Dispositivos de endpoint de usuários Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.2. Direitos de acesso privilegiado Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.3. Restrição de acesso a informações Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.4. Acesso ao código fonte Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.7. Proteção contra malware Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.8. Gestão de vulnerabilidades técnicas Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.12. Prevenção contra vazamento de dados Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.13. Cópias de segurança das informações (backup) Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.14. Redundância de instalações de processamento de informações Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.15. Registros de atividade (logging)) Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.18. Uso de programas utilitários privilegiados Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.19. Instalação de software em sistemas operacionais Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.21. Segurança dos serviços de rede Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.25. Ciclo de vida de desenvolvimento seguro Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.26. Requisitos de segurança de aplicações Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.27. Princípios de engenharia e arquitetura de sistemas seguros Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.29. Testes de segurança no desenvolvimento e aceitação Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.31. Separação dos ambientes de desenvolvimento, testes e produção Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
ISO/IEC 27001:2022
ANEXO A
A.8 CONTROLES TECNOLÓGICOS
A.8.34. Proteção de sistemas de informação durante testes de auditoria Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ISO/IEC 27701:2019
3. TERMOS E DEFINIÇÕES
Ver ISO/ IEC 27000 e ISO/IEC 29100.
Outras terminologias:
- 3.1. Controlador em conjunto de PII (joint PII controller): Controlador de PII que determina os propósitos e meios de tratamento de PII em conjunto com um ou mais
controladores de PII.
- 3.2. Sistema de gestão da privacidade da informação – PIMS (Privacy Information Management System): Sistema de gestão de segurança da informação que aborda a
proteção da privacidade como potencialmente afetada pelo processamento de PII.
ISO/IEC 27701:2019
4. GENERALIDADES
- A ISO/IEC 27701 é um documento setorial específico
- A Seção 5 é a que deve ser levada em consideração como extensão para a ISO/ IEC 27001, assim como os anexos A e B, que estabelecem 49 potenciais controles de
privacidade da informação
- Apenas as cláusulas 4 e 6 da ISO/ IEC 27001 possuem complementos na seção 5 da ISO/ IEC 27701
- Para uma organização que adota a ISO/ IEC 27701 em conjunto com a ISO/ IEC 27001, onde se lê “Segurança da Informação”, passa-se a ler “Segurança e Privacidade
da Informação”
ISO/IEC 27701:2019
ISO/IEC 27701:2019
Quando a organização atua em ambas as funções (por exemplo, como controlador de PII e como processador de
PII), funções separadas devem ser determinadas, cada uma das quais sujeita a um conjunto separado de controles.
NOTA: O papel da organização pode ser diferente para cada instância de processamento de PII, pois depende de
quem determina os objetivos e meios do processamento.
ISO/IEC 27701:2019
NOTA 1: Outras partes interessadas podem incluir clientes (ver 4,4), autoridades de supervisão, outros controladores de PII, processadores de PII e seus subcontratados.
NOTA 2: Os requisitos relevantes para o processamento de PII podem ser determinados por requisitos legais e regulamentares, por obrigações contratuais e por objetivos
organizacionais autoimpostos. Os princípios de privacidade estabelecidos na ISO/ IEC 29100 fornecem orientação sobre o processamento de PII.
NOTA 3: Como um elemento para demonstrar a conformidade com as obrigações da organização, algumas partes interessadas podem esperar que a organização
esteja em conformidade com padrões específicos, tais como o Sistema de Gestão especificado neste documento e/ ou qualquer conjunto de especificações relevantes.
Essas partes podem exigir conformidade auditada de forma independente contra esses padrões.
ISO/IEC 27701:2019
NOTA: A determinação do escopo do PIMS pode exigir a revisão do escopo do sistema de gestão de segurança da informação, devido à interpretação estendida de
"segurança da informação" de acordo com 5.1.
“A Empresa XPTO S.A. aplica um Sistema de Gestão para proteger as informações relevantes para os seus negócios, a privacidade das informações pessoais e
aquelas associadas aos seguintes produtos e serviços:
Não está incluído neste escopo qualquer infraestrutura física de tecnologia provida por terceiros.”
ISO/IEC 27701:2019
A organização deve estabelecer, implementar, manter e melhorar continuamente um PIMS de acordo com os requisitos da ISO/ IEC 27001:2013, cláusulas 4 a 10, estendidas
pelos requisitos da Cláusula 5.
ISO/IEC 27701:2019
5.4 PLANEJAMENTO
5.4.1 Ações para Abordar Riscos e Oportunidades
5.4.1.2 Avaliação dos riscos de segurança da informação
5.4.1.3 Tratamento dos riscos de segurança da informação
ISO/IEC 27701:2019
5.4 PLANEJAMENTO
5.4.1 Ações para abordar riscos e oportunidades
5.4.1.2 Avaliação dos riscos de segurança da informação Evidências possíveis incluem, mas não se
ISO/IEC 27001:2013, 6.1.2 c) 1) é refinado como segue: limitam, a:
A organização deve aplicar o processo de avaliação de riscos de segurança da informação para identificar os riscos - Processo/ procedimento de gestão de
associados à perda de confidencialidade, integridade e disponibilidade, no âmbito do PIMS. riscos de segurança abordando
igualmente os riscos à privacidade;
A organização deve aplicar processo de avaliação de riscos de privacidade para identificar riscos relacionados ao
processamento de PII, no âmbito do PIMS. - Evidências de que riscos específicos à
privacidade foram identificados,
A organização deve assegurar, ao longo dos processos de avaliação de riscos, que a relação entre a segurança da analisados e avaliados no inventário de
informação e a proteção de PII seja gerenciada de forma adequada. riscos de segurança e privacidade da
informação;
NOTA: A organização pode aplicar um processo integrado de avaliação de riscos de privacidade e segurança da
informação ou dois processos separados para segurança da informação e os riscos relacionados ao
processamento de PII.
A organização deve avaliar as consequências potenciais para a organização e para os titulares de PII que
resultariam se os riscos identificados na ISO/ IEC 27001:2013, 6.1.2 c), conforme refinado acima, se materializassem.
ISO/IEC 27701:2019
5.4 PLANEJAMENTO
5.4.1 Ações para abordar riscos e oportunidades
Os controles determinados na ISO/ IEC 27001:2013 6.1.3 b) devem ser comparados com os controles do Anexo A e/ ou Anexo B e o Anexo A da ISO/ IEC 27001:2013, para
verificar se nenhum controle necessário foi omitido.
Ao avaliar a aplicabilidade dos objetivos de controle e controles do Anexo A da ISO/ IEC 27001:2013 para o tratamento de riscos, os objetivos de controle e controles devem
ser considerados no contexto de ambos os riscos para a segurança da informação, bem como riscos relacionados ao processamento de PII, incluindo riscos para os
titulares de PII.
ISO/IEC 27701:2019
5.4 PLANEJAMENTO
5.4.1 Ações para abordar riscos e oportunidades
Nem todos os objetivos de controle e controles listados nos anexos precisam ser incluídos em uma implementação de PIMS. A justificativa para a exclusão pode incluir
quando os controles não são considerados necessários pela avaliação de riscos e quando não são exigidos (ou estão sujeitos a exceções) pela legislação e/ ou
regulamentação, incluindo aquelas aplicáveis ao titular de PII.
- Evidenciar na DA a abordagem aos controles dos Anexos A e B da ISO/ IEC 27701, além dos controles da ISO/ IEC 27001
ISO/IEC 27701:2019
6 PLANEJAMENTO
6.1 Ações para abordar riscos e oportunidades
Exemplo de boa prática de atendimento – Declaração de Aplicabilidade incluindo 27701
A organização deve determinar e documentar um processo pelo qual Contemplado na Política de Governança em Privacidade de Dados,
A.7.2.3 Determinar quando e como o consentimento possa demonstrar se, quando e como, o consentimento para os Sim Política de Tratamento de Dados e no ROPA. Apesar disso, há
deve ser obtido oportunidade de deixar mais claro em que situações o consentimento Não
processadores de PII foi obtido dos titulares de PII
deve ser obtido
A Organização deve possuir um contrato por escrito com qualquer A XPTO possui acordos formais com seus parceiros estratégicos
A.7.2.6 processador de PII que usa, e deve garantir que seus contratos com Sim no que fiz respeito à obtenção e processamento/ tratamento
Contratos com processadores de PII os processadores de PII abordem a implementação dos controles Sim
de dados pessoais.
apropriados em Anexo B.
ISO/IEC 27701:2019
ISO/IEC 27701:2019
A maioria dos controles do Anexo A e Anexo B são idênticos – apenas o “Quem aplica” é que muda
ATENÇÃO, AUDITOR!
SOMENTE os controles aplicáveis devem ser auditados.
Avalie as justificativas para os controles considerados não aplicáveis.
Anexo A
PIMS – Objetivos de Controle e Controles Específicos para Controladores de PII
31 Controles
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.1. Identificar e documentar o propósito Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.2. Identificar a base legal Evidências possíveis incluem, mas não se limitam, a:
- “Base Legal” é a hipótese existente na legislação aplicável que permite o tratamento dos - Avaliar se a hipótese legal escolhida pode ser usada para
dados pessoais; justificar cada tratamento de dados (atentar especialmente
- No Brasil, isso é tratado no Art. 7º da LGPD, onde são estabelecidas 10 hipóteses legais para para o “consentimento”- ver próximo controle).
o tratamento de dados pessoais;
- Para empresas, há quatro hipóteses legais que podem ser usadas pelo controlador:
- Consentimento;
- Cumprimento de obrigação legal/ regulatória;
- Execução de contratos;
- Legítimo interesse;
- Sempre que possível, utilizar o “legítimo interesse”;
- Usar o “consentimento” apenas se não houver alternativa.
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.3. Determinar quando e como o consentimento deve ser obtido Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.4. Obter e registrar o consentimento Evidências possíveis incluem, mas não se limitam, a:
- Para aquelas situações em que o consentimento for a base legal aplicável, este deve ser - Opções de consentimento “pré-marcadas” formulários são
obtido de forma clara, inequívoca e através da manifestação livre do titular de dados; considerados “vícios de consentimento”;
- No caso de o controlador necessitar compartilhar os dados obtidos por consentimento
com terceiros, um consentimento específico para isso deve ser também obtido (Art. 7º LGPD) - Cláusulas de consentimento devem ser destacadas em
– isso pode ser parte do pedido de consentimento como um todo; formulários na web, contratos, etc.
- Consentimentos devem ser específicos; consentimentos genéricos são nulos (Art. 8º da
LGPD);
- Modificação ou retirada do consentimento: ver controle A.7.3.4.
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.5. Avaliação do impacto à privacidade Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.6. Contratos com processadores (operadores) de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.7. Controladores em conjunto de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.2. CONDIÇÕES PARA COLETA E PROCESSAMENTO
A.7.2.8. Registros relacionados ao processamento de PII Evidências possíveis incluem, mas não se limitam, a:
- Registros relacionados ao processamento de PII são aqueles que demonstram com - Logs de transações em sistemas e bancos de dados;
transparência que os tratamentos de dados seguem as finalidades pretendidas, com
segurança; - Estruturas de dados e bancos de dados de sistemas como
- Exemplos incluem: o próprio ROPA; logs de processamento de transações em bancos de ERP; Cadastros de clientes; Cadastro de funcionários; etc.
dados de sistemas; estruturas de dados e de bancos de dados (campos de uma tabela,
por exemplo).
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.1. Determinar e cumprir obrigações com os titulares de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.2. Determinar informações para titulares PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.3. Fornecer de informações aos titulares de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.4. Fornecer mecanismo para modificar ou retirar o consentimento Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.5. Fornecer mecanismo objetar ao processamento de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.6. Acesso, correção e / ou eliminação Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.7. Obrigações dos controladores de PII de informar terceiros Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.8. Fornecer cópia de PII processada Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
ISO/IEC 27701:2019
ANEXO A
A.7.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
A.7.3.10. Tomada de decisão automatizada Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
A.7.4.4. Objetivos de minimização de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
A.7.4.5. Desidentificação de PII e exclusão no final do processamento Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
ISO/IEC 27701:2019
ANEXO A
A.7.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
A.7.4.9. Controles de transmissão de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
A.7.5.1. Identificar a base para transferência de PII entre jurisdições Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
A.7.5.2. Países e organizações internacionais para os quais as PII podem ser transferidas Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
A.7.5.3. Registros de transferência de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO A
A.7.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
A.7.5.4. Registros de divulgação de PII a terceiros Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.2. CONDIÇÕES PARA COLETA E O PROCESSAMENTO
B.8.2.1. Acordo com o Cliente Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.2. CONDIÇÕES PARA COLETA E O PROCESSAMENTO
ISO/IEC 27701:2019
ANEXO B
B.8.2. CONDIÇÕES PARA COLETA E O PROCESSAMENTO
B.8.2.3. Uso em marketing e propaganda Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.2. CONDIÇÕES PARA COLETA E O PROCESSAMENTO
ISO/IEC 27701:2019
ANEXO B
B.8.2. CONDIÇÕES PARA COLETA E O PROCESSAMENTO
ISO/IEC 27701:2019
ANEXO B
B.8.2. CONDIÇÕES PARA COLETA E O PROCESSAMENTO
B.8.2.6. Registros relacionados ao processamento de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.3. OBRIGAÇÕES PARA COM OS TITULARES DE PII
B.8.3.1. Obrigações para com os titulares de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
- Valem as mesmas observações feitas para o controle A.7.4.6, porém implementando sob
a ótica do operador.
ISO/IEC 27701:2019
ANEXO B
B.8.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
B.8.4.2. Devolução, transferência ou eliminação de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.4. PRIVACIDADE DESDE O PROJETO E PRIVACIDADE POR PADRÃO
B.8.4.3. Controles de transmissão PII Evidências possíveis incluem, mas não se limitam, a:
- Valem as mesmas observações feitas para o controle A.7.4.9, porém implementando sob
a ótica do operador.
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.1. Base para transferência de PII entre jurisdições Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.2. Países e organizações internacionais para os quais as PII podem ser transferidas Evidências possíveis incluem, mas não se limitam, a:
- Valem as mesmas observações feitas para o controle A.7.5.2, porém implementando sob
a ótica do operador.
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.3. Registros de divulgação de PII a terceiros Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.4. Notificação de solicitações de divulgação de PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.5. Divulgações de PII legalmente vinculantes Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.6. Divulgação de subcontratados usados para processar PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.7. Contratação de um subcontratado para processar PII Evidências possíveis incluem, mas não se limitam, a:
ISO/IEC 27701:2019
ANEXO B
B.8.5. COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO DE PII
B.8.5.8. Mudança de subcontratados para processamento de PII Evidências possíveis incluem, mas não se limitam, a:
info@qacademy.co
www.qacademy.co
+55 11 2628-6095