Machine Translated by Google

INTERNACIONAL ISO/IEC
PADRÃO 27001

Terceira edição
2022-10

Segurança da informação,
cibersegurança e proteção da privacidade
— Sistemas de gestão da segurança da informa
Requisitos
Segurança da informação, segurança cibernética e proteção da
vida privada — Sistemas de gestão da segurança da informação —
Exigências

Número de referência
ISO/IEC 27001:2022(E)

©ISO/IEC 2022
Machine Translated by Google

ISO/IEC 27001:2022(E)

DOCUMENTO PROTEGIDO POR DIREITOS AUTORAIS

© ISO/IEC 2022
Todos os direitos reservados. Salvo especificação em contrário, ou exigido no contexto da sua implementação, nenhuma parte desta publicação pode ser
reproduzida ou utilizada de outra forma, em qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia ou publicação na Internet ou
intranet, sem autorização prévia. permissão escrita. A permissão pode ser solicitada à ISO no endereço abaixo ou ao órgão membro da ISO no país do solicitante.

Escritório de direitos
autorais ISO CP 401 • Cap. de
Blandonnet 8 CH-1214 Vernier,
Genebra Telefone: +41 22 749
01 11 E-mail: copyright@iso.org
Site: www.iso.org
Publicado na Suíça

eu © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Conteúdo Página

Prefácio................................................. .................................................. .................................................. .................................................. .................................4

Introdução................................................. .................................................. .................................................. .................................................. ...........................v

1 Escopo................................................. .................................................. .................................................. .................................................. ...........................1

2 Referências normativas ................................................ .................................................. .................................................. ..................................1

3 Termos e definições............................................... .................................................. .................................................. ..................................1

4 Contexto da organização.................................................. .................................................. .................................................. ....................1

4.1 Compreendendo a organização e seu contexto......................................... .................................................. ......... 1
4.2 Compreender as necessidades e expectativas das partes interessadas........................................ ................... 1
4.3 Determinando o escopo do sistema de gestão de segurança da informação ........................................ 2
4.4 Sistema de gerenciamento de segurança da informação......................................... .................................................. ..................... 2

5 Liderança................................................. .................................................. .................................................. .................................................. ...........2

5.1 Liderança e comprometimento............................................. .................................................. .................................................. .... 2

5.2 Política................................................... .................................................. .................................................. .................................................. .......... 3
5.3 Papéis, responsabilidades e autoridades organizacionais ........................................... ............................................. 3

6 Planejamento................................................. .................................................. .................................................. .................................................. .................3

6.1 Ações para abordar riscos e oportunidades ........................................... .................................................. .................... 3

6.1.1 Geral............................................. .................................................. .................................................. ........................................ 3
6.1.2 Avaliação de riscos de segurança da informação......................................... .................................................. ................ 4
6.1.3 Tratamento de riscos de segurança da informação......................................... .................................................. .................... 4
6.2 Objetivos de segurança da informação e planejamento para alcançá -los........................................ ........................... 5

7 Apoiar................................................. .................................................. .................................................. .................................................. ....................6

7.1 Recursos ................................................ .................................................. .................................................. ................................................ 6
7.2 Competência................................................... .................................................. .................................................. ........................................... 6
7.3 Conscientização................................................ .................................................. .................................................. ................................................ 6
7.4 Comunicação................................................... .................................................. .................................................. ................................... 6
7.5 Informações documentadas............................................. .................................................. .................................................. ............ 6
7.5.1 Geral............................................. .................................................. .................................................. ........................................ 6
7.5.2 Criando e atualizando........................................... .................................................. .................................................. .... 7
7.5.3 Controle de informações documentadas......................................... .................................................. ..................... 7

8 Operação................................................. .................................................. .................................................. .................................................. ..............7

8.1 Planejamento e controle operacional ......................................... .................................................. ........................................... 7

8.2 Avaliação de riscos de segurança da informação......................................... .................................................. .................................. 8
8.3 Tratamento de riscos de segurança da informação......................................... .................................................. .................................... 8

9 Avaliação de desempenho ................................................ .................................................. .................................................. ...........................8

9.1 Monitoramento, medição, análise e avaliação......................................... .................................................. .. 8
9.2 Auditoria interna......................................... .................................................. .................................................. ........................................... 8
9.2.1 Geral................................................. .................................................. .................................................. .................................... 8
9.2.2 Programa de auditoria interna ......................................... .................................................. ........................................... 9
9.3 Revisão gerencial......................................... .................................................. .................................................. ........................ 9
9.3.1 Geral................................................. .................................................. .................................................. .................................... 9
9.3.2 Insumos da revisão gerencial ........................................... .................................................. ........................................ 9
9.3.3 Resultados da revisão pela gestão......................................... .................................................. ........................................ 9

10 Melhoria................................................. .................................................. .................................................. .................................................. ..10

10.1 Melhoria contínua............................................. .................................................. .................................................. ............. 10

10.2 Não conformidade e ação corretiva......................................... .................................................. ................................ 10

Anexo A (normativo) Referência aos controles de segurança da informação .................................. .................................................. 11

Bibliografia................................................. .................................................. .................................................. .................................................. ......................19

© ISO/IEC 2022 – Todos os direitos reservados iii

Machine Translated by Google

ISO/IEC 27001:2022(E)

Prefácio
ISO (Organização Internacional para Padronização) e IEC (Comissão Eletrotécnica Internacional) formam o
sistema especializado para padronização mundial. Os organismos nacionais que são membros da ISO ou IEC
participam no desenvolvimento de Normas Internacionais através de comités técnicos estabelecidos pela
respectiva organização para lidar com campos específicos de actividade técnica. Os comitês técnicos ISO e IEC
colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais e não
governamentais, em ligação com a ISO e a IEC, também participam no trabalho.

Os procedimentos utilizados para desenvolver este documento e aqueles destinados à sua manutenção posterior
estão descritos nas Diretivas ISO/IEC, Parte 1. Em particular, devem ser observados os diferentes critérios de
aprovação necessários para os diferentes tipos de documento. Este documento foi elaborado de acordo com as
regras editoriais das Diretivas ISO/IEC, Parte 2 (ver www.iso.org/directives ou www.iec.ch/members_experts/
refdocs).

Chama-se a atenção para a possibilidade de alguns dos elementos deste documento poderem ser objeto de
direitos de patente. A ISO e a IEC não serão responsabilizadas pela identificação de qualquer ou todos esses
direitos de patente. Detalhes de quaisquer direitos de patente identificados durante o desenvolvimento do
documento estarão na Introdução e/ou na lista ISO de declarações de patentes recebidas (ver www.iso.org/
patents) ou a lista IEC de declarações de patentes recebidas (ver https://patents.iec.ch).

Qualquer nome comercial utilizado neste documento é informação fornecida para conveniência dos usuários e
não constitui um endosso.

Para obter uma explicação sobre a natureza voluntária das normas, o significado dos termos e expressões
específicos da ISO relacionados à avaliação da conformidade, bem como informações sobre a adesão da ISO
aos princípios da Organização Mundial do Comércio (OMC) nas Barreiras Técnicas ao Comércio (TBT), consulte
www . .iso.org/iso/foreword.html. Na IEC, consulte www.iec.ch/understanding-standards.

Este documento foi preparado pelo Comitê Técnico Conjunto ISO/IEC JTC 1, Tecnologia da Informação,
Subcomitê SC 27, Segurança da informação, segurança cibernética e proteção de privacidade.

Esta terceira edição cancela e substitui a segunda edição (ISO/IEC 27001:2013), que foi revisada tecnicamente.
Também incorpora a Corrigenda Técnica ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC 27001:2013/Cor 2:2015.

As principais mudanças são as seguintes:

— o texto foi alinhado com a estrutura harmonizada das normas de sistemas de gestão e com a norma ISO/IEC
27002:2022.

Qualquer feedback ou dúvida sobre este documento deve ser direcionado ao órgão nacional de padronização do
usuário. Uma lista completa desses órgãos pode ser encontrada em www.iso.org/members.html e www.iec.ch/
national-committees.

4 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Introdução

0.1 Geral

Este documento foi preparado para fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gestão de segurança da informação. A adoção de um sistema de gestão de segurança da informação é uma decisão
estratégica para uma organização. O estabelecimento e implementação de um sistema de gestão de segurança da informação
de uma organização são influenciados pelas necessidades e objetivos da organização, pelos requisitos de segurança, pelos
processos organizacionais utilizados e pelo tamanho e estrutura da organização. Espera-se que todos esses fatores de influência
mudem com o tempo.

O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disponibilidade da informação

através da aplicação de um processo de gestão de riscos e dá confiança às partes interessadas de que os riscos são geridos de
forma adequada.

É importante que o sistema de gestão da segurança da informação faça parte e esteja integrado nos processos da organização
e na estrutura geral de gestão e que a segurança da informação seja considerada na concepção de processos, sistemas de
informação e controlos. Espera-se que a implementação de um sistema de gestão de segurança da informação seja dimensionada
de acordo com as necessidades da organização.

Este documento pode ser usado por partes internas e externas para avaliar a capacidade da organização de atender aos seus
próprios requisitos de segurança da informação.

A ordem em que os requisitos são apresentados neste documento não reflete a sua importância nem implica a ordem em que
devem ser implementados. Os itens da lista são enumerados apenas para fins de referência.

A ISO/IEC 27000 descreve a visão geral e o vocabulário dos sistemas de gerenciamento de segurança da informação,
referenciando a família de padrões de sistemas de gerenciamento de segurança da informação (incluindo ISO/IEC 27003[2], ISO/
IEC 27004[3] e ISO/IEC 27005 [ 4 ] ), com termos e definições relacionados.

0.2 Compatibilidade com outras normas de sistemas de gestão

Este documento aplica a estrutura de alto nível, títulos de subcláusulas idênticos, texto idêntico, termos comuns e definições
básicas definidas no Anexo SL das Diretivas ISO/IEC, Parte 1, Suplemento ISO Consolidado e, portanto, mantém a compatibilidade
com outros padrões de sistema de gestão que adotaram o Anexo SL.

Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que optam por operar um único sistema de
gestão que atenda aos requisitos de dois ou mais sistemas de gestão
padrões.

© ISO/IEC 2022 – Todos os direitos reservados v

Machine Translated by Google
Machine Translated by Google

PADRÃO INTERNACIONAL ISO/IEC 27001:2022(E)

Segurança da informação, cibersegurança e proteção

da privacidade — Sistemas de gestão da segurança da informação
— Requisitos

1 Escopo

Este documento especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema
de gestão de segurança da informação no contexto da organização. Este documento também inclui requisitos para
avaliação e tratamento de riscos de segurança da informação adaptados às necessidades da organização. Os requisitos
estabelecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente
do tipo, dimensão ou natureza. A exclusão de qualquer um dos requisitos especificados nas Cláusulas 4 a 10 não é
aceitável quando uma organização reivindica conformidade com este documento.

2 Referências normativas

Os documentos a seguir são mencionados no texto de forma que parte ou todo o seu conteúdo constitua requisitos
deste documento. Para referências datadas, aplica-se apenas a edição citada. Para referências não datadas, aplica-se
a edição mais recente do documento referenciado (incluindo quaisquer alterações).

ISO/IEC 27000, Tecnologia da informação — Técnicas de segurança — Sistemas de gerenciamento de segurança da

informação — Visão geral e vocabulário

3Termos e definições

Para os fins deste documento, aplicam-se os termos e definições fornecidos na ISO/IEC 27000.

ISO e IEC mantêm bancos de dados terminológicos para uso em padronização nos seguintes endereços:

— Plataforma de navegação ISO Online: disponível em https://www.iso.org/obp

— Eletropedia IEC: disponível em https://www.electropedia.org/

4 Contexto da organização

4.1 Compreender a organização e o seu contexto

A organização deve determinar questões externas e internas que sejam relevantes para o seu propósito e que afetem
a sua capacidade de alcançar o(s) resultado(s) pretendido(s) do seu sistema de gestão de segurança da informação.

NOTA A determinação destas questões refere-se ao estabelecimento do contexto externo e interno da organização
considerado na Cláusula 5.4.1 da ISO 31000:2018[5].

4.2 Compreender as necessidades e expectativas das partes interessadas

A organização deve determinar:

a) partes interessadas relevantes para o sistema de gestão de segurança da informação;

b) os requisitos relevantes dessas partes interessadas;

c) quais desses requisitos serão abordados através do gerenciamento de segurança da informação

sistema.

© ISO/IEC 2022 – Todos os direitos reservados 1

Machine Translated by Google

ISO/IEC 27001:2022(E)

NOTA Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares e obrigações contratuais.

4.3 Determinação do escopo do sistema de gestão de segurança da informação

A organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da informação para
estabelecer o seu âmbito.

Ao determinar este escopo, a organização deve considerar:

a) as questões externas e internas referidas em 4.1;

b) os requisitos referidos em 4.2;

c) interfaces e dependências entre as atividades executadas pela organização e aquelas que são
realizados por outras organizações.

O escopo deve estar disponível como informação documentada.

4.4 Sistema de gestão de segurança da informação

A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança
da informação, incluindo os processos necessários e suas interações, de acordo com os requisitos deste documento.

5 Liderança

5.1 Liderança e comprometimento

A alta direção deve demonstrar liderança e comprometimento com relação ao sistema de gestão de segurança da
informação:

a) garantir que a política de segurança da informação e os objetivos de segurança da informação sejam estabelecidos
e sejam compatíveis com o direcionamento estratégico da organização;

b) garantir a integração dos requisitos do sistema de gestão de segurança da informação no

processos da organização;

c) garantir que os recursos necessários ao sistema de gestão da segurança da informação estejam disponíveis;

d) comunicar a importância da gestão eficaz da segurança da informação e da conformidade com os requisitos do

sistema de gestão da segurança da informação;

e) garantir que o sistema de gestão da segurança da informação atinja o(s) resultado(s) pretendido(s);

f) orientar e apoiar pessoas para contribuir para a eficácia do sistema de gestão da segurança da informação;

g) promover a melhoria contínua; e

h) apoiar outras funções de gestão relevantes para demonstrar a sua liderança no que se aplica às suas áreas de
responsabilidade.

NOTA A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar aquelas atividades que são
essenciais para os propósitos da existência da organização.

2 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

5.2 Política
A alta administração deve estabelecer uma política de segurança da informação que:

a) é apropriado ao propósito da organização;

b) inclui objetivos de segurança da informação (ver 6.2) ou fornece a estrutura para definir
objetivos de segurança;

c) inclui o compromisso de satisfazer os requisitos aplicáveis relacionados à segurança da informação;

d) inclui o compromisso com a melhoria contínua do sistema de gestão da segurança da informação.

A política de segurança da informação deve:

e) estar disponível como informação documentada;

f) ser comunicado dentro da organização;

g) estar à disposição das partes interessadas, conforme o caso.

5.3 Funções organizacionais, responsabilidades e autoridades

A gestão de topo deve garantir que as responsabilidades e autoridades para funções relevantes para a segurança da
informação sejam atribuídas e comunicadas dentro da organização.

A alta direção deve atribuir a responsabilidade e autoridade para:

a) garantir que o sistema de gestão de segurança da informação esteja em conformidade com os requisitos deste
documento;

b) reportar à alta administração o desempenho do sistema de gestão de segurança da informação.

NOTA A alta administração também pode atribuir responsabilidades e autoridades para reportar o desempenho do
sistema de gestão de segurança da informação dentro da organização.

6 Planejamento

6.1 Ações para abordar riscos e oportunidades

6.1.1 Geral

Ao planejar o sistema de gestão da segurança da informação, a organização deve considerar as questões referidas em 4.1 e
os requisitos referidos em 4.2 e determinar os riscos e oportunidades que precisam ser abordados para:

a) garantir que o sistema de gestão da segurança da informação possa alcançar o(s) resultado(s) pretendido(s);

b) prevenir ou reduzir efeitos indesejados;

c) alcançar a melhoria contínua.

A organização deve planejar:

d) ações para enfrentar esses riscos e oportunidades; e

e) como fazer

1) integrar e implementar as ações em seu sistema de gestão de segurança da informação

processos; e

2) avaliar a eficácia dessas ações.

© ISO/IEC 2022 – Todos os direitos reservados

3
Machine Translated by Google

ISO/IEC 27001:2022(E)

6.1.2 Avaliação de riscos de segurança da informação

A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

a) estabelece e mantém critérios de risco de segurança da informação que incluem:

1) os critérios de aceitação de risco; e

2) critérios para realizar avaliações de riscos de segurança da informação;

b) garante que avaliações repetidas de riscos de segurança da informação produzam resultados consistentes, válidos e
resultados comparáveis;

c) identifica os riscos de segurança da informação:

1) aplicar o processo de avaliação de riscos de segurança da informação para identificar riscos associados à perda de
confidencialidade, integridade e disponibilidade de informações no âmbito do sistema de gestão de segurança da
informação; e

2) identificar os proprietários dos riscos;

d) analisa os riscos de segurança da informação:

1) avaliar as consequências potenciais que resultariam se os riscos identificados em 6.1.2 c) 1) fossem

materializar;

2) avaliar a probabilidade realista de ocorrência dos riscos identificados em 6.1.2 c) 1); e

3) determinar os níveis de risco;

e) avalia os riscos de segurança da informação:

1) comparar os resultados da análise de risco com os critérios de risco estabelecidos em 6.1.2 a); e

2) priorizar os riscos analisados para tratamento dos riscos.

A organização deve reter informações documentadas sobre o processo de avaliação de riscos de segurança da informação.

6.1.3 Tratamento de riscos de segurança da informação

A organização deve definir e aplicar um processo de tratamento de riscos de segurança da informação para:

a) selecionar opções apropriadas de tratamento de riscos de segurança da informação, levando em consideração o risco
resultados da avaliação;

b) determinar todos os controles necessários para implementar o tratamento de riscos de segurança da informação
opção(ões) escolhida(s);

NOTA 1 As organizações podem projetar controles conforme necessário ou identificá-los de qualquer fonte.

c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A e verificar se não
os controlos necessários foram omitidos;

NOTA 2 O Anexo A contém uma lista de possíveis controles de segurança da informação. Os usuários deste documento são
direcionados ao Anexo A para garantir que nenhum controle necessário de segurança da informação seja negligenciado.

NOTA 3 Os controles de segurança da informação listados no Anexo A não são exaustivos e controles adicionais de segurança da
informação podem ser incluídos, se necessário.

d) produzir uma Declaração de Aplicabilidade que contenha:

— os controles necessários (ver 6.1.3 b) ec));

4 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

— justificativa para sua inclusão;

— se os controlos necessários são implementados ou não; e

— a justificação para excluir qualquer um dos controlos do anexo A.

e) formular plano de tratamento de riscos de segurança da informação; e

f) obter a aprovação dos proprietários do risco para o plano de tratamento de riscos de segurança da informação e a aceitação do
riscos residuais de segurança da informação.

A organização deve reter informações documentadas sobre o processo de tratamento de riscos de segurança da informação.

NOTA 4 O processo de avaliação e tratamento de riscos de segurança da informação neste documento está alinhado com
os princípios e diretrizes genéricas fornecidos na ISO 31000[5].

6.2 Objetivos de segurança da informação e planejamento para alcançá-los

A organização deve estabelecer objetivos de segurança da informação nas funções e níveis relevantes.

Os objetivos de segurança da informação devem:

a) ser consistente com a política de segurança da informação;

b) ser mensurável (se praticável);

c) levar em consideração os requisitos de segurança da informação aplicáveis e os resultados da avaliação de risco

e tratamento de riscos;

d) ser monitorado;

e) ser comunicado;

f) ser atualizado conforme apropriado;

g) estar disponível como informação documentada.

A organização deve reter informações documentadas sobre os objetivos de segurança da informação.

Ao planear como atingir os seus objetivos de segurança da informação, a organização deve determinar:

h) o que será feito;

i) quais recursos serão necessários;

j) quem será o responsável;

k) quando será concluído; e

l) como os resultados serão avaliados.

6.3 Planejamento de mudanças

Quando a organização determinar a necessidade de alterações no sistema de gestão da segurança da informação, as alterações
devem ser realizadas de forma planejada.

© ISO/IEC 2022 – Todos os direitos reservados

5
Machine Translated by Google

ISO/IEC 27001:2022(E)

7 Suporte

7.1 Recursos

A organização deve determinar e fornecer os recursos necessários para o estabelecimento, implementação,

manutenção e melhoria contínua do sistema de gestão da segurança da informação.

7.2 Competência

A organização deve:

a) determinar a competência necessária da(s) pessoa(s) que realizam trabalho sob seu controle que afeta seu
desempenho de segurança da informação;

b) garantir que essas pessoas sejam competentes com base em educação, treinamento ou
experiência;

c) quando aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia
das ações tomadas; e

d) reter informações documentadas apropriadas como prova de competência.

NOTA As ações aplicáveis podem incluir, por exemplo: a oferta de formação, a orientação ou a re-
atribuição dos funcionários atuais; ou a contratação ou contratação de pessoas competentes.

7.3 Conscientização

As pessoas que realizam trabalho sob o controle da organização devem estar cientes de:

a) a política de segurança da informação;

b) sua contribuição para a eficácia do sistema de gestão da segurança da informação, incluindo os benefícios de um
melhor desempenho da segurança da informação; e

c) as implicações da não conformidade com o sistema de gestão de segurança da informação

requisitos.

7.4 Comunicação

A organização deve determinar a necessidade de comunicações internas e externas relevantes para o sistema de
gestão da segurança da informação, incluindo:

a) sobre o que comunicar;

b) quando comunicar;

c) com quem comunicar;

d) como se comunicar.

7.5 Informação documentada

7.5.1 Geral

O sistema de gestão da segurança da informação da organização deve incluir:

a) informações documentadas exigidas por este documento; e

6 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

b) informações documentadas determinadas pela organização como necessárias para a eficácia do sistema de
gestão da segurança da informação.

NOTA A extensão da informação documentada para um sistema de gestão de segurança da informação pode diferir de
uma organização para outra devido a:

1) o porte da organização e seu tipo de atividades, processos, produtos e serviços;

2) a complexidade dos processos e suas interações; e

3) a competência das pessoas.

7.5.2 Criando e atualizando

Ao criar e atualizar informações documentadas, a organização deve garantir:

a) identificação e descrição (por exemplo, título, data, autor ou número de referência);

b) formato (por exemplo, idioma, versão de software, gráficos) e mídia (por exemplo, papel, eletrônico); e

c) revisão e aprovação quanto à idoneidade e adequação.

7.5.3 Controle de informações documentadas

As informações documentadas exigidas pelo sistema de gestão de segurança da informação e por este documento
devem ser controladas para garantir:

a) está disponível e é adequado para uso, onde e quando for necessário; e

b) esteja adequadamente protegido (por exemplo, contra perda de confidencialidade, uso indevido ou perda de integridade).

Para o controle da informação documentada, a organização deve abordar as seguintes atividades, conforme aplicável:

c) distribuição, acesso, recuperação e uso;

d) armazenamento e preservação, inclusive a preservação da legibilidade;

e) controle de mudanças (ex. controle de versão); e

f) retenção e disposição.

As informações documentadas de origem externa, determinadas pela organização como necessárias para o
planejamento e operação do sistema de gestão de segurança da informação, devem ser identificadas conforme
apropriado e controladas.

NOTA O acesso pode implicar uma decisão relativa à permissão para visualizar apenas as informações documentadas,
ou a permissão e autoridade para visualizar e alterar as informações documentadas, etc.

8 Operação

8.1 Planejamento e controle operacional

A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e
implementar as ações determinadas na Cláusula 6, através de:

— estabelecer critérios para os processos;

— implementar o controle dos processos de acordo com os critérios.

As informações documentadas devem estar disponíveis na medida necessária para garantir que os processos foram
executados conforme planejado.

© ISO/IEC 2022 – Todos os direitos reservados

7
Machine Translated by Google

ISO/IEC 27001:2022(E)

A organização deve controlar as alterações planeadas e rever as consequências das alterações não intencionais, tomando
medidas para mitigar quaisquer efeitos adversos, conforme necessário.

A organização deve garantir que os processos, produtos ou serviços fornecidos externamente que sejam relevantes para o
sistema de gestão da segurança da informação sejam controlados.

8.2 Avaliação de riscos de segurança da informação

A organização deve realizar avaliações de riscos de segurança da informação em intervalos planejados ou quando
mudanças significativas forem propostas ou ocorrerem, levando em consideração os critérios estabelecidos em 6.1.2 a).

A organização deve reter informações documentadas dos resultados do risco de segurança da informação
avaliações.

8.3 Tratamento de riscos de segurança da informação

A organização deve implementar o plano de tratamento de riscos de segurança da informação.

A organização deve reter informações documentadas dos resultados do tratamento dos riscos de segurança da informação.

9 Avaliação de desempenho

9.1 Monitoramento, medição, análise e avaliação

A organização deve determinar:

a) o que precisa ser monitorado e medido, incluindo processos e controles de segurança da informação;

b) os métodos de monitoramento, medição, análise e avaliação, conforme aplicável, para garantir resultados válidos. Os
métodos selecionados devem produzir resultados comparáveis e reprodutíveis para serem considerados válidos;

c) quando o monitoramento e a medição serão realizados;

d) quem deverá monitorar e medir;

e) quando os resultados do monitoramento e medição serão analisados e avaliados;

f) quem analisará e avaliará esses resultados.

Informações documentadas devem estar disponíveis como evidência dos resultados.

A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da
informação.

9.2 Auditoria interna

9.2.1 Geral

A organização deve realizar auditorias internas em intervalos planejados para fornecer informações sobre se o sistema de
gestão da segurança da informação:

a) está em conformidade com

1) os próprios requisitos da organização para seu sistema de gestão de segurança da informação;

8 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

2) os requisitos deste documento;

b) seja efetivamente implementado e mantido.

9.2.2 Programa de auditoria interna

A organização deve planejar, estabelecer, implementar e manter programa(s) de auditoria, incluindo a frequência, métodos,
responsabilidades, requisitos de planejamento e relatórios.

Ao estabelecer o(s) programa(s) de auditoria interna, a organização deve considerar a importância de

os processos em causa e os resultados de auditorias anteriores.

A organização deve:

a) definir os critérios de auditoria e o escopo de cada auditoria;

b) selecionar auditores e realizar auditorias que garantam a objetividade e a imparcialidade do processo de auditoria;

c) assegurar que os resultados das auditorias sejam reportados à gestão relevante;

As informações documentadas devem estar disponíveis como prova da implementação do(s) programa(s) de auditoria e dos
resultados da auditoria.

9.3 Revisão gerencial

9.3.1 Geral

A gestão de topo deve rever o sistema de gestão de segurança da informação da organização em intervalos planeados para
garantir a sua adequação, adequação e eficácia contínuas.

9.3.2 Insumos da revisão gerencial

A revisão pela gestão deve incluir a consideração de:

a) o status das ações de revisões gerenciais anteriores;

b) mudanças em questões externas e internas que sejam relevantes para a gestão da segurança da informação
sistema;

c) mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o sistema de gestão de
segurança da informação;

d) feedback sobre o desempenho da segurança da informação, incluindo tendências em:

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados da auditoria;

4) cumprimento dos objetivos de segurança da informação;

e) feedback das partes interessadas;

f) resultados da avaliação de riscos e status do plano de tratamento de riscos;

g) oportunidades de melhoria contínua.

9.3.3 Resultados da revisão gerencial

Os resultados da revisão pela gestão devem incluir decisões relacionadas com oportunidades de melhoria contínua e
quaisquer necessidades de alterações no sistema de gestão da segurança da informação.

© ISO/IEC 2022 – Todos os direitos reservados

9
Machine Translated by Google

ISO/IEC 27001:2022(E)

Informações documentadas devem estar disponíveis como prova dos resultados das análises pela gestão.

10 Melhoria
10.1 Melhoria contínua
A organização deve melhorar continuamente a adequação, adequação e eficácia do sistema de gestão da segurança da
informação.

10.2 Não conformidade e ação corretiva

Quando ocorrer uma não conformidade, a organização deve:

a) reagir à não conformidade e, conforme aplicável:

1) tomar medidas para controlá-lo e corrigi-lo;

2) lidar com as consequências;

b) avaliar a necessidade de ação para eliminar as causas da não conformidade, para que ela não se repita ou ocorra em outro
lugar, por meio de:

1) revisão da não conformidade;

2) determinação das causas da não conformidade; e

3) determinar se existem ou poderiam ocorrer não conformidades semelhantes;

c) implementar qualquer ação necessária;

d) analisar a eficácia de quaisquer ações corretivas tomadas; e

e) fazer alterações no sistema de gestão da segurança da informação, se necessário.

As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.

Informações documentadas devem estar disponíveis como evidência de:

f) a natureza das não conformidades e quaisquer ações subsequentes tomadas,

g) os resultados de qualquer ação corretiva.

10 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Anexo A
(normativo)

Referência de controles de segurança da informação

Os controles de segurança da informação listados na Tabela A.1 são diretamente derivados e alinhados com aqueles
listados na ISO/IEC 27002:2022[1], Cláusulas 5 a 8, e devem ser usados no contexto de 6.1.3.

Tabela A.1 — Controles de segurança da informação

5 Controles organizacionais
5.1 Políticas de segurança da informação Ao controle

A política de segurança da informação e as políticas específicas de tópicos devem

ser definidas, aprovadas pela administração, publicadas, comunicadas e reconhecidas
pelo pessoal relevante e pelas partes interessadas relevantes, e revisadas em intervalos
planejados e se ocorrerem mudanças significativas.
5.2 Funções de segurança da informação e Ao controle
responsabilidades
As funções e responsabilidades de segurança da informação devem ser definidas e alocadas
de acordo com as necessidades da organização.
5.3 Segregação de deveres Ao controle

Deveres conflitantes e áreas de responsabilidade conflitantes serão segregadas.

5.4 Responsabilidades de gestão Controle

A administração deve exigir que todo o pessoal aplique a segurança da informação de

acordo com a política de segurança da informação estabelecida, políticas e procedimentos
específicos do tópico da organização.
5.5 Contato com autoridades Ao controle

A organização deve estabelecer e manter contacto com as autoridades relevantes.

5.6 Contato com interesse especial Ao controle

grupos
A organização deve estabelecer e manter contacto com grupos de interesses especiais ou
outros fóruns especializados em segurança e associações profissionais.

5.7 Inteligência de ameaças Ao controle

As informações relacionadas com ameaças à segurança da informação devem ser recolhidas

e analisadas para produzir informações sobre ameaças.
5.8 Segurança da informação no projeto Ao controle
gerenciamento
A segurança da informação deve ser integrada na gestão dos projetos.
5.9 Inventário de informações e Ao controle
outros ativos associados
Um inventário de informações e outros ativos associados, incluindo proprietários, deve ser
desenvolvido e mantido.
5.10 Uso aceitável de informações Ao controle
e outros ativos associados
As regras para o uso aceitável e os procedimentos para o tratamento de informações
e outros ativos associados devem ser identificados, documentados e implementados.
5.11 Retorno de ativos Ao controle

O pessoal e outras partes interessadas, conforme apropriado, devolverão todos os ativos

da organização em sua posse após mudança ou rescisão de seu emprego, contrato ou
acordo.

© ISO/IEC 2022 – Todos os direitos reservados 11

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

5.12 Classificação do controle da informação

As informações devem ser classificadas de acordo com as necessidades de segurança da

informação da organização com base na confidencialidade, integridade, disponibilidade e requisitos
relevantes das partes interessadas.
5.13 Rotulagem de informações Ao controle

Um conjunto apropriado de procedimentos para rotulagem de informações deve ser desenvolvido

e implementado de acordo com o esquema de classificação de informações adotado pela
organização.
5.14 Transferência de informação Ao controle

Devem existir regras, procedimentos ou acordos de transferência de informações para todos os

tipos de instalações de transferência dentro da organização e entre a organização e outras partes.

5.15 Controle de acesso Ao controle

Regras para controlar o acesso físico e lógico às informações e outros ativos associados devem
ser estabelecidas e implementadas com base nos requisitos de negócios e de segurança da
informação.
5.16 Gerenciamento de identidade Ao controle

O ciclo de vida completo das identidades deve ser gerenciado.

5.17 Informações de autenticação Ao controle

A alocação e o gerenciamento das informações de autenticação serão controlados por um processo

de gerenciamento, incluindo o aconselhamento ao pessoal sobre o tratamento adequado das
informações de autenticação.
5.18 Direitos de acesso Ao controle

Os direitos de acesso às informações e outros ativos associados devem ser provisionados,

revisados, modificados e removidos de acordo com a política específica do tópico da organização
e as regras para controle de acesso.
5.19 Segurança da informação no fornecedor Ao controle
relacionamentos
Processos e procedimentos devem ser definidos e implementados para gerenciar os riscos de
segurança da informação associados ao uso de produtos ou serviços do fornecedor.

5h20 Abordando o controle de segurança da informação

dentro de acordos com fornecedores
Requisitos relevantes de segurança da informação devem ser estabelecidos e acordados com cada
fornecedor com base no tipo de relacionamento com o fornecedor.
5.21 Gerenciando o controle de segurança da informação
na informação e comunicação Devem ser
definidos e implementados processos e procedimentos para gerenciar a tecnologia de comunicação
(TIC), fornecer os riscos de segurança da
informação associados aos produtos e cadeia de TIC
cadeia de fornecimento de serviços.

5.22 Monitoramento, revisão e controle de mudanças

gestão de serviços de fornecedores
5.23 Segurança da informação para uso de
serviços na nuvem
A organização deve monitorar, revisar, avaliar e gerenciar regularmente mudanças
nas práticas de segurança da informação dos fornecedores e na prestação de serviços.
Ao controle
Os processos de aquisição, utilização, gestão e saída de serviços em nuvem devem ser
estabelecidos de acordo com os requisitos de segurança da informação da organização.

5.24 Incidente de segurança da informação Ao controle

planejamento e preparação de gestão
A organização deve planear e preparar-se para a gestão de incidentes de segurança da informação,
definindo, estabelecendo e comunicando processos, funções e responsabilidades de gestão de
incidentes de segurança da informação.

12 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

5,25 Avaliação e decisão sobre eventos de Ao controle
segurança da informação
A organização deve avaliar os eventos de segurança da informação e decidir se devem ser
categorizados como incidentes de segurança da informação.
5.26 Resposta à segurança da informação Ao controle
incidentes
Os incidentes de segurança da informação devem ser respondidos de acordo com os procedimentos
documentados.
5.27 Aprendendo com incidentes de segurança Ao controle
da informação
O conhecimento adquirido em incidentes de segurança da informação deve ser utilizado para
fortalecer e melhorar os controles de segurança da informação.
5.28 Coleta de evidências Ao controle

A organização deve estabelecer e implementar procedimentos para a identificação , recolha,

aquisição e preservação de provas relacionadas com eventos de segurança da informação.

5.29 Segurança da informação durante Ao controle

perturbação
A organização deve planejar como manter a segurança da informação em um nível apropriado
durante interrupções.
17h30 Preparação das TIC para a continuidade Ao controle
dos negócios
A preparação das TIC deve ser planeada, implementada, mantida e testada com base nos objetivos
de continuidade das atividades e nos requisitos de continuidade das TIC.
5.31 Legal, estatutário, regulatório e Ao controle
requisitos contratuais
Os requisitos legais, estatutários, regulamentares e contratuais relevantes para a segurança da
informação e a abordagem da organização para atender a esses requisitos devem ser identificados,
documentados e mantidos atualizados.
5.32 Direito de propriedade intelectual Ao controle

A organização deve implementar procedimentos apropriados para proteger os direitos de propriedade

intelectual.
5.33 Proteção de registros Ao controle

Os registros devem ser protegidos contra perda, destruição, falsificação, acesso não autorizado e
divulgação não autorizada.

5,34 Privacidade e proteção de Ao controle

informações de identificação pessoal (PII)
A organização deve identificar e atender aos requisitos relativos à preservação da privacidade e
proteção de PII de acordo com as leis e regulamentos aplicáveis e requisitos contratuais.

5,35 Revisão independente da segurança da Ao controle

informação
A abordagem da organização para gerenciar a segurança da informação e sua implementação,
incluindo pessoas, processos e tecnologias, deve ser revisada de forma independente em intervalos
planejados ou quando ocorrerem mudanças significativas.

5,36 Conformidade com políticas, regras e padrões Ao controle

de informação Conformidade com a política
de segurança da informação da organização, segurança máxima
políticas, regras e padrões específicos serão revistos regularmente.
5,37 Procedimentos operacionais documentados Ao controle

Os procedimentos operacionais para instalações de processamento de informações devem ser

documentados e disponibilizados ao pessoal que deles necessita.

© ISO/IEC 2022 – Todos os direitos reservados

13
Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

6 Controles de pessoas
6.1 Triagem Ao controle

As verificações de antecedentes de todos os candidatos a se tornarem funcionários devem

ser realizadas antes de ingressar na organização e de forma contínua, levando em
consideração as leis, regulamentos e ética aplicáveis, e ser proporcionais aos requisitos de
negócios, à classificação das informações a serem acessadas e ao riscos percebidos.

6.2 Termos e condições de emprego Ao controle

Os acordos contratuais de trabalho devem indicar as responsabilidades do pessoal e da

organização pela segurança da informação.
6.3 Conscientização, educação e treinamento Ao controle
em segurança da informação
O pessoal da organização e as partes interessadas relevantes devem receber conscientização,
educação e treinamento adequados sobre segurança da informação e atualizações regulares
da política de segurança da informação da organização, políticas e procedimentos específicos
de tópicos, conforme relevante para sua função de trabalho.
6.4 Processo disciplinar Ao controle

Um processo disciplinar deverá ser formalizado e comunicado para tomar medidas contra o
pessoal e outras partes interessadas relevantes que tenham cometido uma violação da
política de segurança da informação.
6,5 Responsabilidades após a rescisão Ao controle
ou mudança de emprego
As responsabilidades e deveres de segurança da informação que permanecem válidos após
a rescisão ou mudança de emprego devem ser definidos, aplicados e comunicados ao pessoal
relevante e outras partes interessadas.
6.6 Confidencialidade ou não divulgação Ao controle
acordos
Acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização
para a proteção de informações devem ser identificados, documentados, revisados
regularmente e assinados pelo pessoal e outras partes interessadas relevantes.

6.7 Trabalho remoto Ao controle

Devem ser implementadas medidas de segurança quando o pessoal estiver trabalhando

remotamente para proteger as informações acessadas, processadas ou armazenadas fora
das instalações da organização.
6.8 Relatórios de eventos de segurança da Ao controle
informação
A organização deve fornecer um mecanismo para que o pessoal relate eventos de segurança
da informação observados ou suspeitos através de canais apropriados e em tempo hábil.

7 Controles físicos
7.1 Controle de perímetros de segurança física

Os perímetros de segurança devem ser definidos e utilizados para proteger áreas que
contenham informações e outros ativos associados.

7.2 Entrada física Ao controle

As áreas seguras serão protegidas por controles de entrada e pontos de acesso apropriados.

7.3 Protegendo escritórios, salas e instalações Ao controle

A segurança física dos escritórios, salas e instalações deve ser projetada e implementada.

7.4 Controle de monitoramento de segurança física

As instalações devem ser continuamente monitoradas em busca de atividades físicas não autorizadas.
acesso.

14 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

7,5 Protegendo contra danos físicos e Ao controle
ameaças ambientais
Deve ser concebida e implementada protecção contra ameaças físicas e ambientais, tais como
catástrofes naturais e outras ameaças físicas intencionais ou não intencionais às infra-estruturas.

7.6 Trabalhando em áreas seguras Ao controle

Devem ser concebidas e implementadas medidas de segurança para trabalhar em áreas seguras.

7.7 Mesa limpa e tela limpa Ao controle

Devem ser definidas e aplicadas de forma adequada regras de secretária claras para papéis e
suportes de armazenamento removíveis e regras de ecrã claras para instalações de processamento
de informações.
7,8 Localização de equipamentos e controle de proteção

Os equipamentos deverão estar localizados de forma segura e protegida.

7,9 Segurança de ativos Controle externo

Os ativos externos devem ser protegidos.

7.10 Mídia de armazenamento Ao controle

Os meios de armazenamento devem ser gerenciados durante seu ciclo de vida de aquisição, uso,
transporte e descarte de acordo com o esquema de classificação e requisitos de manuseio da
organização.
7.11 Utilitários de suporte Ao controle

As instalações de processamento de informações devem ser protegidas contra falhas de energia e

outras interrupções causadas por falhas nos serviços públicos de apoio.
7.12 Segurança de cabeamento Ao controle

Os cabos que transportam energia, dados ou serviços de informação de suporte devem ser
protegidos contra interceptação, interferência ou danos.
7.13 Manutenção de Equipamento Ao controle

Os equipamentos devem ser mantidos corretamente para garantir a disponibilidade, integridade e

confidencialidade das informações.
7.14 Descarte seguro ou reutilização de Ao controle
equipamento
Os itens do equipamento que contêm mídia de armazenamento devem ser verificados para
garantir que quaisquer dados confidenciais e software licenciado foram removidos ou substituídos
com segurança antes do descarte ou reutilização.
8 Controles tecnológicos
8.1 Dispositivos finais do usuário Ao controle

As informações armazenadas, processadas ou acessíveis através de dispositivos terminais de

utilizadores devem ser protegidas.
8.2 Direitos de acesso privilegiado Ao controle

A atribuição e utilização de direitos de acesso privilegiados serão restringidas e geridas.

8.3 Controle de restrição de acesso à informação

O acesso às informações e outros ativos associados será restrito de
acordo com a política específica estabelecida sobre controle de acesso.
8.4 Acesso ao código-fonte Ao controle

O acesso de leitura e gravação ao código-fonte, ferramentas de desenvolvimento e bibliotecas de

software deve ser gerenciado de forma adequada.

© ISO/IEC 2022 – Todos os direitos reservados 15

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

8,5 Autenticação segura Ao controle

As tecnologias e procedimentos de autenticação seguros devem ser implementados com base nas
restrições de acesso à informação e na política específica sobre controle de acesso.

8.6 Gerenciamento de capacidade Ao controle

A utilização dos recursos deve ser monitorizada e ajustada em conformidade com os requisitos de
capacidade atuais e esperados.
8.7 Proteção contra malware Controle

A proteção contra malware deve ser implementada e apoiada pela conscientização adequada do
usuário.
8.8 Gestão de vulnerabilidades técnicas Ao controle

Devem ser obtidas informações sobre vulnerabilidades técnicas dos sistemas de informação em uso,
a exposição da organização a tais vulnerabilidades deve ser avaliada e medidas apropriadas devem
ser tomadas.
8,9 Controle de gerenciamento de configuração

As configurações, incluindo configurações de segurança, de hardware, software, serviços e redes

devem ser estabelecidas, documentadas, implementadas, monitoradas e revisadas.

8.10 Exclusão de informações Ao controle

As informações armazenadas em sistemas de informação, dispositivos ou em qualquer outro meio

de armazenamento serão excluídas quando não forem mais necessárias.
8.11 Mascaramento de dados Ao controle

O mascaramento de dados deve ser usado de acordo com a política específica do tópico da
organização sobre controle de acesso e outras políticas específicas do tópico relacionado, e requisitos
de negócios, levando em consideração a legislação aplicável.

8.12 Prevenção de vazamento de dados Ao controle

As medidas de prevenção de fugas de dados serão aplicadas a sistemas, redes e quaisquer outros
dispositivos que processem, armazenem ou transmitam informações sensíveis.

8.13 Backup de informações Ao controle

Cópias de backup de informações, software e sistemas devem ser mantidas e testadas regularmente
de acordo com a política de backup específica acordada .

8.14 Redundância de instalações de Ao controle

processamento de informações
Os recursos de processamento de informações deverão ser implementados com redundância
suficiente para atender aos requisitos de disponibilidade.
8h15 Exploração madeireira
Ao controle

Devem ser produzidos, armazenados, protegidos e analisados registos que registem atividades,
exceções, falhas e outros eventos relevantes .
8.16 Atividades de monitoramento Ao controle

As redes, os sistemas e as aplicações devem ser monitorizados relativamente a comportamentos

anómalos e devem ser tomadas medidas adequadas para avaliar potenciais incidentes de segurança
da informação.
8.17 Sincronização de relógio Ao controle

Os relógios dos sistemas de processamento de informação utilizados pela organização devem ser
sincronizados com fontes de tempo aprovadas.

16 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

8.18 Uso de programas utilitários privilegiados Controle

O uso de programas utilitários que possam substituir os controles do sistema e dos aplicativos
deve ser restrito e rigorosamente controlado.
8.19 Instalação de software em sistemas Ao controle
operacionais
Procedimentos e medidas devem ser implementados para gerenciar com segurança a
instalação de software em sistemas operacionais.
8h20 Segurança de redes Ao controle

As redes e os dispositivos de rede devem ser protegidos, gerenciados e controlados para

proteger as informações em sistemas e aplicações.
8.21 Segurança do controle de serviços de rede

Os mecanismos de segurança, os níveis de serviço e os requisitos de serviço dos serviços de

rede devem ser identificados, implementados e monitorizados.
8.22 Segregação de redes Ao controle

Os grupos de serviços de informação, utilizadores e sistemas de informação devem ser

segregados nas redes da organização.

8.23 Filtragem da Web Ao controle

O acesso a sítios Web externos deve ser gerido para reduzir a exposição a conteúdos
maliciosos.

8.24 Uso de criptografia Ao controle

Devem ser definidas e implementadas regras para a utilização eficaz da criptografia, incluindo
a gestão de chaves criptográficas .
8h25 Controle seguro do ciclo de vida de desenvolvimento

Serão estabelecidas e aplicadas regras para o desenvolvimento seguro de software e sistemas.

8.26 Requisitos de segurança do aplicativo- Ao controle

comentários
Os requisitos de segurança da informação devem ser identificados, especificados e aprovados
durante o desenvolvimento ou aquisição de aplicações.
8.27 Arquitetura de sistema segura e Ao controle
princípios de engenharia
Os princípios para a engenharia de sistemas seguros devem ser estabelecidos, documentados ,
mantidos e aplicados a quaisquer atividades de desenvolvimento de sistemas de informação.

8.28 Codificação segura Ao controle

Os princípios de codificação segura devem ser aplicados ao desenvolvimento de software.

8.29 Testes de segurança em desenvolvimento Ao controle
e aceitação
Os processos de teste de segurança devem ser definidos e implementados no ciclo de vida de
desenvolvimento.
8h30 Desenvolvimento terceirizado Ao controle

A organização deve dirigir, monitorar e revisar as atividades relacionadas ao desenvolvimento

de sistemas terceirizados.
8h31 Separação de desenvolvimento, teste Ao controle
e ambientes de produção
Os ambientes de desenvolvimento, teste e produção devem ser separados e protegidos.

8.32 Mudar a gestão Ao controle

As alterações nos recursos de processamento de informações e nos sistemas de informação

estarão sujeitas a procedimentos de gestão de alterações.
8.33 Informações de teste Ao controle

As informações de teste devem ser adequadamente selecionadas, protegidas e gerenciadas.

© ISO/IEC 2022 – Todos os direitos reservados 17

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabela A.1 (continuação)

8.34 Proteção de sistemas de informação Ao controle
durante testes de auditoria
Os testes de auditoria e outras atividades de garantia que envolvam avaliação de sistemas
operacionais devem ser planejados e acordados entre o testador e a gestão apropriada.

18 © ISO/IEC 2022 – Todos os direitos reservados

Machine Translated by Google

ISO/IEC 27001:2022(E)

Bibliografia

[1] ISO/IEC 27002:2022, Segurança da informação, segurança cibernética e proteção da privacidade — Controles de
segurança da informação

[2] ISO/IEC 27003, Tecnologia da informação — Técnicas de segurança — Sistemas de gerenciamento de segurança da
informação — Orientação

[3] ISO/IEC 27004, Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação
— Monitoramento, medição, análise e avaliação

[4] ISO/IEC 27005, Segurança da informação, segurança cibernética e proteção da privacidade — Orientações sobre o
gerenciamento de riscos de segurança da informação

[5] ISO 31000:2018, Gestão de riscos – Diretrizes

© ISO/IEC 2022 – Todos os direitos reservados

19
Machine Translated by Google

ISO/IEC 27001:2022(E)

ICS 03.100.70; 35.030 Preço

baseado em 19 páginas

© ISO/IEC 2022 – Todos os direitos reservados