Escolar Documentos
Profissional Documentos
Cultura Documentos
INTERNACIONAL ISO/IEC
PADRÃO 27001
Terceira edição
2022-10
Segurança da informação,
cibersegurança e proteção da privacidade
— Sistemas de gestão da segurança da informa
Requisitos
Segurança da informação, segurança cibernética e proteção da
vida privada — Sistemas de gestão da segurança da informação —
Exigências
Número de referência
ISO/IEC 27001:2022(E)
©ISO/IEC 2022
Machine Translated by Google
ISO/IEC 27001:2022(E)
© ISO/IEC 2022
Todos os direitos reservados. Salvo especificação em contrário, ou exigido no contexto da sua implementação, nenhuma parte desta publicação pode ser
reproduzida ou utilizada de outra forma, em qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia ou publicação na Internet ou
intranet, sem autorização prévia. permissão escrita. A permissão pode ser solicitada à ISO no endereço abaixo ou ao órgão membro da ISO no país do solicitante.
Escritório de direitos
autorais ISO CP 401 • Cap. de
Blandonnet 8 CH-1214 Vernier,
Genebra Telefone: +41 22 749
01 11 E-mail: copyright@iso.org
Site: www.iso.org
Publicado na Suíça
ISO/IEC 27001:2022(E)
Conteúdo Página
ISO/IEC 27001:2022(E)
Prefácio
ISO (Organização Internacional para Padronização) e IEC (Comissão Eletrotécnica Internacional) formam o
sistema especializado para padronização mundial. Os organismos nacionais que são membros da ISO ou IEC
participam no desenvolvimento de Normas Internacionais através de comités técnicos estabelecidos pela
respectiva organização para lidar com campos específicos de actividade técnica. Os comitês técnicos ISO e IEC
colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais e não
governamentais, em ligação com a ISO e a IEC, também participam no trabalho.
Os procedimentos utilizados para desenvolver este documento e aqueles destinados à sua manutenção posterior
estão descritos nas Diretivas ISO/IEC, Parte 1. Em particular, devem ser observados os diferentes critérios de
aprovação necessários para os diferentes tipos de documento. Este documento foi elaborado de acordo com as
regras editoriais das Diretivas ISO/IEC, Parte 2 (ver www.iso.org/directives ou www.iec.ch/members_experts/
refdocs).
Chama-se a atenção para a possibilidade de alguns dos elementos deste documento poderem ser objeto de
direitos de patente. A ISO e a IEC não serão responsabilizadas pela identificação de qualquer ou todos esses
direitos de patente. Detalhes de quaisquer direitos de patente identificados durante o desenvolvimento do
documento estarão na Introdução e/ou na lista ISO de declarações de patentes recebidas (ver www.iso.org/
patents) ou a lista IEC de declarações de patentes recebidas (ver https://patents.iec.ch).
Qualquer nome comercial utilizado neste documento é informação fornecida para conveniência dos usuários e
não constitui um endosso.
Para obter uma explicação sobre a natureza voluntária das normas, o significado dos termos e expressões
específicos da ISO relacionados à avaliação da conformidade, bem como informações sobre a adesão da ISO
aos princípios da Organização Mundial do Comércio (OMC) nas Barreiras Técnicas ao Comércio (TBT), consulte
www . .iso.org/iso/foreword.html. Na IEC, consulte www.iec.ch/understanding-standards.
Este documento foi preparado pelo Comitê Técnico Conjunto ISO/IEC JTC 1, Tecnologia da Informação,
Subcomitê SC 27, Segurança da informação, segurança cibernética e proteção de privacidade.
Esta terceira edição cancela e substitui a segunda edição (ISO/IEC 27001:2013), que foi revisada tecnicamente.
Também incorpora a Corrigenda Técnica ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC 27001:2013/Cor 2:2015.
— o texto foi alinhado com a estrutura harmonizada das normas de sistemas de gestão e com a norma ISO/IEC
27002:2022.
Qualquer feedback ou dúvida sobre este documento deve ser direcionado ao órgão nacional de padronização do
usuário. Uma lista completa desses órgãos pode ser encontrada em www.iso.org/members.html e www.iec.ch/
national-committees.
ISO/IEC 27001:2022(E)
Introdução
0.1 Geral
Este documento foi preparado para fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gestão de segurança da informação. A adoção de um sistema de gestão de segurança da informação é uma decisão
estratégica para uma organização. O estabelecimento e implementação de um sistema de gestão de segurança da informação
de uma organização são influenciados pelas necessidades e objetivos da organização, pelos requisitos de segurança, pelos
processos organizacionais utilizados e pelo tamanho e estrutura da organização. Espera-se que todos esses fatores de influência
mudem com o tempo.
É importante que o sistema de gestão da segurança da informação faça parte e esteja integrado nos processos da organização
e na estrutura geral de gestão e que a segurança da informação seja considerada na concepção de processos, sistemas de
informação e controlos. Espera-se que a implementação de um sistema de gestão de segurança da informação seja dimensionada
de acordo com as necessidades da organização.
Este documento pode ser usado por partes internas e externas para avaliar a capacidade da organização de atender aos seus
próprios requisitos de segurança da informação.
A ordem em que os requisitos são apresentados neste documento não reflete a sua importância nem implica a ordem em que
devem ser implementados. Os itens da lista são enumerados apenas para fins de referência.
A ISO/IEC 27000 descreve a visão geral e o vocabulário dos sistemas de gerenciamento de segurança da informação,
referenciando a família de padrões de sistemas de gerenciamento de segurança da informação (incluindo ISO/IEC 27003[2], ISO/
IEC 27004[3] e ISO/IEC 27005 [ 4 ] ), com termos e definições relacionados.
Este documento aplica a estrutura de alto nível, títulos de subcláusulas idênticos, texto idêntico, termos comuns e definições
básicas definidas no Anexo SL das Diretivas ISO/IEC, Parte 1, Suplemento ISO Consolidado e, portanto, mantém a compatibilidade
com outros padrões de sistema de gestão que adotaram o Anexo SL.
Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que optam por operar um único sistema de
gestão que atenda aos requisitos de dois ou mais sistemas de gestão
padrões.
1 Escopo
Este documento especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema
de gestão de segurança da informação no contexto da organização. Este documento também inclui requisitos para
avaliação e tratamento de riscos de segurança da informação adaptados às necessidades da organização. Os requisitos
estabelecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente
do tipo, dimensão ou natureza. A exclusão de qualquer um dos requisitos especificados nas Cláusulas 4 a 10 não é
aceitável quando uma organização reivindica conformidade com este documento.
2 Referências normativas
Os documentos a seguir são mencionados no texto de forma que parte ou todo o seu conteúdo constitua requisitos
deste documento. Para referências datadas, aplica-se apenas a edição citada. Para referências não datadas, aplica-se
a edição mais recente do documento referenciado (incluindo quaisquer alterações).
3Termos e definições
Para os fins deste documento, aplicam-se os termos e definições fornecidos na ISO/IEC 27000.
ISO e IEC mantêm bancos de dados terminológicos para uso em padronização nos seguintes endereços:
4 Contexto da organização
A organização deve determinar questões externas e internas que sejam relevantes para o seu propósito e que afetem
a sua capacidade de alcançar o(s) resultado(s) pretendido(s) do seu sistema de gestão de segurança da informação.
NOTA A determinação destas questões refere-se ao estabelecimento do contexto externo e interno da organização
considerado na Cláusula 5.4.1 da ISO 31000:2018[5].
ISO/IEC 27001:2022(E)
NOTA Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares e obrigações contratuais.
c) interfaces e dependências entre as atividades executadas pela organização e aquelas que são
realizados por outras organizações.
5 Liderança
a) garantir que a política de segurança da informação e os objetivos de segurança da informação sejam estabelecidos
e sejam compatíveis com o direcionamento estratégico da organização;
c) garantir que os recursos necessários ao sistema de gestão da segurança da informação estejam disponíveis;
e) garantir que o sistema de gestão da segurança da informação atinja o(s) resultado(s) pretendido(s);
f) orientar e apoiar pessoas para contribuir para a eficácia do sistema de gestão da segurança da informação;
h) apoiar outras funções de gestão relevantes para demonstrar a sua liderança no que se aplica às suas áreas de
responsabilidade.
NOTA A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar aquelas atividades que são
essenciais para os propósitos da existência da organização.
ISO/IEC 27001:2022(E)
5.2 Política
A alta administração deve estabelecer uma política de segurança da informação que:
b) inclui objetivos de segurança da informação (ver 6.2) ou fornece a estrutura para definir
objetivos de segurança;
a) garantir que o sistema de gestão de segurança da informação esteja em conformidade com os requisitos deste
documento;
NOTA A alta administração também pode atribuir responsabilidades e autoridades para reportar o desempenho do
sistema de gestão de segurança da informação dentro da organização.
6 Planejamento
6.1.1 Geral
Ao planejar o sistema de gestão da segurança da informação, a organização deve considerar as questões referidas em 4.1 e
os requisitos referidos em 4.2 e determinar os riscos e oportunidades que precisam ser abordados para:
a) garantir que o sistema de gestão da segurança da informação possa alcançar o(s) resultado(s) pretendido(s);
e) como fazer
ISO/IEC 27001:2022(E)
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
b) garante que avaliações repetidas de riscos de segurança da informação produzam resultados consistentes, válidos e
resultados comparáveis;
1) aplicar o processo de avaliação de riscos de segurança da informação para identificar riscos associados à perda de
confidencialidade, integridade e disponibilidade de informações no âmbito do sistema de gestão de segurança da
informação; e
1) comparar os resultados da análise de risco com os critérios de risco estabelecidos em 6.1.2 a); e
A organização deve reter informações documentadas sobre o processo de avaliação de riscos de segurança da informação.
A organização deve definir e aplicar um processo de tratamento de riscos de segurança da informação para:
a) selecionar opções apropriadas de tratamento de riscos de segurança da informação, levando em consideração o risco
resultados da avaliação;
b) determinar todos os controles necessários para implementar o tratamento de riscos de segurança da informação
opção(ões) escolhida(s);
NOTA 1 As organizações podem projetar controles conforme necessário ou identificá-los de qualquer fonte.
c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A e verificar se não
os controlos necessários foram omitidos;
NOTA 2 O Anexo A contém uma lista de possíveis controles de segurança da informação. Os usuários deste documento são
direcionados ao Anexo A para garantir que nenhum controle necessário de segurança da informação seja negligenciado.
NOTA 3 Os controles de segurança da informação listados no Anexo A não são exaustivos e controles adicionais de segurança da
informação podem ser incluídos, se necessário.
ISO/IEC 27001:2022(E)
f) obter a aprovação dos proprietários do risco para o plano de tratamento de riscos de segurança da informação e a aceitação do
riscos residuais de segurança da informação.
A organização deve reter informações documentadas sobre o processo de tratamento de riscos de segurança da informação.
NOTA 4 O processo de avaliação e tratamento de riscos de segurança da informação neste documento está alinhado com
os princípios e diretrizes genéricas fornecidos na ISO 31000[5].
d) ser monitorado;
e) ser comunicado;
Ao planear como atingir os seus objetivos de segurança da informação, a organização deve determinar:
Quando a organização determinar a necessidade de alterações no sistema de gestão da segurança da informação, as alterações
devem ser realizadas de forma planejada.
ISO/IEC 27001:2022(E)
7 Suporte
7.1 Recursos
7.2 Competência
A organização deve:
a) determinar a competência necessária da(s) pessoa(s) que realizam trabalho sob seu controle que afeta seu
desempenho de segurança da informação;
b) garantir que essas pessoas sejam competentes com base em educação, treinamento ou
experiência;
c) quando aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia
das ações tomadas; e
NOTA As ações aplicáveis podem incluir, por exemplo: a oferta de formação, a orientação ou a re-
atribuição dos funcionários atuais; ou a contratação ou contratação de pessoas competentes.
7.3 Conscientização
As pessoas que realizam trabalho sob o controle da organização devem estar cientes de:
b) sua contribuição para a eficácia do sistema de gestão da segurança da informação, incluindo os benefícios de um
melhor desempenho da segurança da informação; e
7.4 Comunicação
A organização deve determinar a necessidade de comunicações internas e externas relevantes para o sistema de
gestão da segurança da informação, incluindo:
b) quando comunicar;
d) como se comunicar.
7.5.1 Geral
ISO/IEC 27001:2022(E)
b) informações documentadas determinadas pela organização como necessárias para a eficácia do sistema de
gestão da segurança da informação.
NOTA A extensão da informação documentada para um sistema de gestão de segurança da informação pode diferir de
uma organização para outra devido a:
b) formato (por exemplo, idioma, versão de software, gráficos) e mídia (por exemplo, papel, eletrônico); e
As informações documentadas exigidas pelo sistema de gestão de segurança da informação e por este documento
devem ser controladas para garantir:
b) esteja adequadamente protegido (por exemplo, contra perda de confidencialidade, uso indevido ou perda de integridade).
Para o controle da informação documentada, a organização deve abordar as seguintes atividades, conforme aplicável:
f) retenção e disposição.
As informações documentadas de origem externa, determinadas pela organização como necessárias para o
planejamento e operação do sistema de gestão de segurança da informação, devem ser identificadas conforme
apropriado e controladas.
NOTA O acesso pode implicar uma decisão relativa à permissão para visualizar apenas as informações documentadas,
ou a permissão e autoridade para visualizar e alterar as informações documentadas, etc.
8 Operação
As informações documentadas devem estar disponíveis na medida necessária para garantir que os processos foram
executados conforme planejado.
ISO/IEC 27001:2022(E)
A organização deve controlar as alterações planeadas e rever as consequências das alterações não intencionais, tomando
medidas para mitigar quaisquer efeitos adversos, conforme necessário.
A organização deve garantir que os processos, produtos ou serviços fornecidos externamente que sejam relevantes para o
sistema de gestão da segurança da informação sejam controlados.
A organização deve realizar avaliações de riscos de segurança da informação em intervalos planejados ou quando
mudanças significativas forem propostas ou ocorrerem, levando em consideração os critérios estabelecidos em 6.1.2 a).
A organização deve reter informações documentadas dos resultados do risco de segurança da informação
avaliações.
A organização deve reter informações documentadas dos resultados do tratamento dos riscos de segurança da informação.
9 Avaliação de desempenho
a) o que precisa ser monitorado e medido, incluindo processos e controles de segurança da informação;
b) os métodos de monitoramento, medição, análise e avaliação, conforme aplicável, para garantir resultados válidos. Os
métodos selecionados devem produzir resultados comparáveis e reprodutíveis para serem considerados válidos;
A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da
informação.
9.2.1 Geral
A organização deve realizar auditorias internas em intervalos planejados para fornecer informações sobre se o sistema de
gestão da segurança da informação:
ISO/IEC 27001:2022(E)
A organização deve planejar, estabelecer, implementar e manter programa(s) de auditoria, incluindo a frequência, métodos,
responsabilidades, requisitos de planejamento e relatórios.
A organização deve:
b) selecionar auditores e realizar auditorias que garantam a objetividade e a imparcialidade do processo de auditoria;
As informações documentadas devem estar disponíveis como prova da implementação do(s) programa(s) de auditoria e dos
resultados da auditoria.
9.3.1 Geral
A gestão de topo deve rever o sistema de gestão de segurança da informação da organização em intervalos planeados para
garantir a sua adequação, adequação e eficácia contínuas.
b) mudanças em questões externas e internas que sejam relevantes para a gestão da segurança da informação
sistema;
c) mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o sistema de gestão de
segurança da informação;
3) resultados da auditoria;
Os resultados da revisão pela gestão devem incluir decisões relacionadas com oportunidades de melhoria contínua e
quaisquer necessidades de alterações no sistema de gestão da segurança da informação.
ISO/IEC 27001:2022(E)
Informações documentadas devem estar disponíveis como prova dos resultados das análises pela gestão.
10 Melhoria
10.1 Melhoria contínua
A organização deve melhorar continuamente a adequação, adequação e eficácia do sistema de gestão da segurança da
informação.
b) avaliar a necessidade de ação para eliminar as causas da não conformidade, para que ela não se repita ou ocorra em outro
lugar, por meio de:
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
ISO/IEC 27001:2022(E)
Anexo A
(normativo)
Os controles de segurança da informação listados na Tabela A.1 são diretamente derivados e alinhados com aqueles
listados na ISO/IEC 27002:2022[1], Cláusulas 5 a 8, e devem ser usados no contexto de 6.1.3.
5 Controles organizacionais
5.1 Políticas de segurança da informação Ao controle
ISO/IEC 27001:2022(E)
Regras para controlar o acesso físico e lógico às informações e outros ativos associados devem
ser estabelecidas e implementadas com base nos requisitos de negócios e de segurança da
informação.
5.16 Gerenciamento de identidade Ao controle
ISO/IEC 27001:2022(E)
Os registros devem ser protegidos contra perda, destruição, falsificação, acesso não autorizado e
divulgação não autorizada.
ISO/IEC 27001:2022(E)
Um processo disciplinar deverá ser formalizado e comunicado para tomar medidas contra o
pessoal e outras partes interessadas relevantes que tenham cometido uma violação da
política de segurança da informação.
6,5 Responsabilidades após a rescisão Ao controle
ou mudança de emprego
As responsabilidades e deveres de segurança da informação que permanecem válidos após
a rescisão ou mudança de emprego devem ser definidos, aplicados e comunicados ao pessoal
relevante e outras partes interessadas.
6.6 Confidencialidade ou não divulgação Ao controle
acordos
Acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização
para a proteção de informações devem ser identificados, documentados, revisados
regularmente e assinados pelo pessoal e outras partes interessadas relevantes.
7 Controles físicos
7.1 Controle de perímetros de segurança física
Os perímetros de segurança devem ser definidos e utilizados para proteger áreas que
contenham informações e outros ativos associados.
As áreas seguras serão protegidas por controles de entrada e pontos de acesso apropriados.
A segurança física dos escritórios, salas e instalações deve ser projetada e implementada.
ISO/IEC 27001:2022(E)
Devem ser concebidas e implementadas medidas de segurança para trabalhar em áreas seguras.
Devem ser definidas e aplicadas de forma adequada regras de secretária claras para papéis e
suportes de armazenamento removíveis e regras de ecrã claras para instalações de processamento
de informações.
7,8 Localização de equipamentos e controle de proteção
Os meios de armazenamento devem ser gerenciados durante seu ciclo de vida de aquisição, uso,
transporte e descarte de acordo com o esquema de classificação e requisitos de manuseio da
organização.
7.11 Utilitários de suporte Ao controle
Os cabos que transportam energia, dados ou serviços de informação de suporte devem ser
protegidos contra interceptação, interferência ou danos.
7.13 Manutenção de Equipamento Ao controle
ISO/IEC 27001:2022(E)
As tecnologias e procedimentos de autenticação seguros devem ser implementados com base nas
restrições de acesso à informação e na política específica sobre controle de acesso.
A utilização dos recursos deve ser monitorizada e ajustada em conformidade com os requisitos de
capacidade atuais e esperados.
8.7 Proteção contra malware Controle
A proteção contra malware deve ser implementada e apoiada pela conscientização adequada do
usuário.
8.8 Gestão de vulnerabilidades técnicas Ao controle
Devem ser obtidas informações sobre vulnerabilidades técnicas dos sistemas de informação em uso,
a exposição da organização a tais vulnerabilidades deve ser avaliada e medidas apropriadas devem
ser tomadas.
8,9 Controle de gerenciamento de configuração
O mascaramento de dados deve ser usado de acordo com a política específica do tópico da
organização sobre controle de acesso e outras políticas específicas do tópico relacionado, e requisitos
de negócios, levando em consideração a legislação aplicável.
As medidas de prevenção de fugas de dados serão aplicadas a sistemas, redes e quaisquer outros
dispositivos que processem, armazenem ou transmitam informações sensíveis.
Cópias de backup de informações, software e sistemas devem ser mantidas e testadas regularmente
de acordo com a política de backup específica acordada .
Devem ser produzidos, armazenados, protegidos e analisados registos que registem atividades,
exceções, falhas e outros eventos relevantes .
8.16 Atividades de monitoramento Ao controle
Os relógios dos sistemas de processamento de informação utilizados pela organização devem ser
sincronizados com fontes de tempo aprovadas.
ISO/IEC 27001:2022(E)
O uso de programas utilitários que possam substituir os controles do sistema e dos aplicativos
deve ser restrito e rigorosamente controlado.
8.19 Instalação de software em sistemas Ao controle
operacionais
Procedimentos e medidas devem ser implementados para gerenciar com segurança a
instalação de software em sistemas operacionais.
8h20 Segurança de redes Ao controle
O acesso a sítios Web externos deve ser gerido para reduzir a exposição a conteúdos
maliciosos.
Devem ser definidas e implementadas regras para a utilização eficaz da criptografia, incluindo
a gestão de chaves criptográficas .
8h25 Controle seguro do ciclo de vida de desenvolvimento
ISO/IEC 27001:2022(E)
ISO/IEC 27001:2022(E)
Bibliografia
[1] ISO/IEC 27002:2022, Segurança da informação, segurança cibernética e proteção da privacidade — Controles de
segurança da informação
[2] ISO/IEC 27003, Tecnologia da informação — Técnicas de segurança — Sistemas de gerenciamento de segurança da
informação — Orientação
[3] ISO/IEC 27004, Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação
— Monitoramento, medição, análise e avaliação
[4] ISO/IEC 27005, Segurança da informação, segurança cibernética e proteção da privacidade — Orientações sobre o
gerenciamento de riscos de segurança da informação
ISO/IEC 27001:2022(E)