Interpretação

ISO 27001:2022

Agosto/2023
Todas as informações fornecidas neste documento são protegidas por direitos autorais e
são de propriedade do BUREAU VERITAS CERTIFICATION (BVQI do Brasil), salvo indica-
ção em contrário por escrito. Nenhuma parte do documento pode ser reproduzida, copia-
da, transmitida a qualquer pessoa, de qualquer forma e por qualquer meio, sem o prévio
consentimento por escrito da BUREAU VERITAS CERTIFICATION (BVQI do Brasil).
"BUREAU VERITAS" e o BUREAU VERITAS 1828 são marcas registradas e de propriedade
da BUREAU VERITAS SA. Nenhuma licença ou direito explícito ou implícito de qualquer
tipo é concedido em relação a quaisquer marcas registradas ou outros direitos de propri-
edade intelectual da BUREAU VERITAS CERTIFICATION HOLDING ou BUREAU VERITAS
SA.
 #2

INTERPRETAÇÃO #8

#7
ISO/IEC
27001:2022
#E

A G O S T O 2 0 2 3

SOBRE O
BUREAU VERITAS
Líder global em testes, inspeções e
certificações
BUREAU VERITAS

1
COM +75.000 PROFISSIONAIS AO REDOR DO MUNDO, O BUREAU VERITAS PODE
AJUDAR VOCÊ EM MAIS DE 140 PAÍSES

15 %
35 % 31 %

AMÉRICA DO NORTE ÁSIA OCIDENTAL

EUROPA

10 % 9%

AMÉRICA LATINA ÁFRICA & ORIENTE MÉDIO

DADOS RELEVANTES

Mais de

€5,7 400.000 1.500 3.500

Mais de

bilhões
82.000
Escritórios
Receita em 2022 Funcionários Clientes
e laboratórios em Acreditações e
140 países Acordos

2
NOSSAS LINHAS DE NEGÓCIOS

7%
8% 27%
14% 23%
21%
Marítimo
Certificação Indústria
& Offshore

Bens de Agri&Food & Infraestrutura

Consumo Commodities &Construção

ORIENTAÇÕES GERAIS

I N T E R V A L O S

L I G A Ç Õ E S
T E L E F Ô N I C A S

C E R T I F I C A D O D E
P A R T I C I P A Ç Ã O

Q U E S T I O N Á R I O D E
A V A L I A Ç Ã O

3
 INTRODUÇÃO À
SEGURANÇA DA
INFORMAÇÃO
1
M Ó D U L O

MÓDULO 1

O QUE É
INFORMAÇÃO ?

Conjunto de dados que, por sua vez,

poderá gerar novas informações,
consistindo num ativo valioso para a
organização.
Pode ser:
§ Criada;
§ Armazenada;
§ Processada;
§ Transmitida;
§ Utilizada;
§ Destruída;
§ Roubada;
§ Perdida.

4
 ATIVOS

Tipos de ativos Ativos digitais Infraestrutura

Tangíveis; Bases de dados; Geradores;
Intangíveis; Sistemas operacionais; Roteadores;

Pessoas. Código-fonte; Servidores;

E-mail Desktops;
CFTV.

O QUE
APRENDEMOS COM
O 11 DE SETEMBRO
1
M Ó D U L O

10

5
 O QUE APRENDEMOS
COM O 11 DE
SETEMBRO?

Empresas começaram a agir: E se fosse

na minha empresa?

§ Investimento no físico;
§ Planejamento para backup efetivo e eficiente;
§ Fitas backup enviadas para outras filiais.

11

SEGURANÇA DA INFORMAÇÃO

Acesse o link ou o QR Code:

https://www.menti.com/alc4vuwjz2fo
ATIVIDADE

12

6
 ERROS COMUNS NA
HORA DE REALIZAR
UM BACKUP

§ Não fazer backup;

§ Não ter controle sobre os arquivos de
backup;
§ Não executar o backup
periodicamente;
§ Não validar a integridade do backup;
§ Deixar o backup no mesmo
equipamento onde estão as
informações originais.

13

EVOLUÇÃO
CONCEITUAL DA
SEGURANÇA DE
INFORMAÇÃO
§ Partes interessadas;
1

§ Novos fatores críticos;

M Ó D U L O

§ A “pressão” sobre os negócios.

14

7
 OBJETIVOS DA SEGURANÇA DA INFORMAÇÃO

Integridade Confidencialidade Disponibilidade

Assegurar que dados pessoais Garantir que somente usuários ou Assegurar que dados e informação
não foram alterados nem sistemas homologados possam estejam disponíveis a titulares e
modificados por indivíduos ou acessar um determinado dado e para aplicações quando da
processos não autorizados. uma determinada informação. autorização positiva de acesso.

15

EM GRUPOS, CONSULTE O MATERIAL E

PRODUZA UM CONJUNTO DE PALAVRAS-CHAVE
QUE EXPLICAM OS SEGUINTES TÓPICOS:

§ GRUPO 1: CONFIDENCIALIDADE
ATIVIDADE

§ GRUPO 2: INTEGRIDADE
§ GRUPO 3: DISPONIBILIDADE

16

8
CICLO DE VIDA

CICLO DE VIDA DA INFORMAÇÃO

Adquirir/criar

Destruir Gravar

Armazenar Usar/processar

Compartilhar

17

AMEAÇAS EXTERNAS PARA SI

Humana

Rede Física

Ameaças Legal
Comunicação
EXTERNAS à SI

Software Outros

Social e
econômica

18
18

9
AMEAÇAS INTERNAS PARA SI

Falta de conhecimento

Ameaças de Engenharia Social

Tomadores de decisão super confiantes

AMEAÇAS
INTERNAS À SI Byod AmeaçaS

Funcionários descontentes

Mudar gestão Ameaças

Acidentes
19
19

VULNERABILIDADE E
USO INDEVIDO

01
Ameaças externas:

02
• Software mal intencionado;
• Crimes de informática.

Ameaças internas:
• Funcionários (erros);
• Defeitos nos sistemas.
1
M Ó D U L O

20

10
Notificações de Incidentes ao CERT.br

21

Categorias de Incidentes – Jan a Mai 2023

22

11
O BRASIL E A
CIBERSEGURANÇA

§ O Brasil está na 18ª posição no ranking mundial de

cibersegurança;
§ O Brasil é o país da América Latina que mais sofre
ataques cibernéticos;
§ O phishing é um mal que afeta o país de forma mais
relevante;
§ Houve 70% de aumento do número de ataques de
phishing durante os meses iniciais da pandemia;
§ O Brasil é líder mundial em golpes de phishing.

Ranking mundial de cibersegurança é organizado pela União Internacional de

Telecomunicações (UIT), agência ligada à Organização das Nações Unidas (ONU).

23

AMEAÇAS

TIPOS DE AMEAÇAS EXEMPLOS

Fogo
Dano físico
Danos causados pela água
Terremoto
Desastres naturais
Inundação
Falha no ar-condicionado
Perda de serviços essenciais
Falha de energia
Radiação eletromagnética
Interrupção causada por radiação
Radiação térmica
Falha de equipamento
Falhas técnicas
Sobrecarga de rede
Acesso não autorizado
Ações não autorizadas
Utilização de software falsificado

24

12
 PHISHING
Técnica de engenharia social usada
para enganar usuários.

RANSOMWARE
Malware de sequestro de dados, feito
por meio de criptografia.

DDOS
Tentativa de tornar os recursos de um
sistema indisponíveis.

PORT SCAN
Tática utilizada para identificar e
explorar vulnerabilidades de rede.

PRINCIPAIS
AMEAÇAS ATUAIS
25

CONSEQUÊNCIAS
DA NEGLIGÊNCIA
COM A SEGURANÇA
DA INFORMAÇÃO

§ Danos à reputação da empresa;

§ Prejuízos financeiros;
§ Custos de causas trabalhistas e
indenizações;
§ Perda de informação valiosa;
§ Credibilidade.

26

13
 A ESTRUTURA
DAS NORMAS DE
GESTÃO
2
M Ó D U L O

MÓDULO 2

27

HISTORICO DAS NORMAS 27000

§ BS7799-1 (1995): Referência para a implantação de “Boas Práticas” de Segurança da Informação.

§ BS7799-2 (1998): Base para a criação de Sistema de Gestão da Segurança da Informação (SGSI).
§ A ISO/IEC 17799:2000: Versão internacional da BS7799, homologada pela ISO.
§ ABNT NBR ISO/IEC 17799:2001: Versão brasileira da norma ISO, homologada pela ABNT.
§ ISO/IEC 27001, publicada em 15 de outubro de 2005.
§ ABNT ISO/IEC 27002:2005, substitui a norma ABNT NBR ISO/IEC 17799:2001.
§ ABNT ISO/IEC 27001:2013, publicada 8 de novembro de 2013.
§ ABNT ISO/IEC 27002:2013, publicada 8 de novembro de 2013.
§ ISO/IEC 27001:2022, publicada em outubro de 2022.
§ ABNT ISO/IEC 27001:2022, versão corrigida, publicada em 31 de março de 2023.

28

14
 NORMAS ISO 27000

ISO/IEC
Visão Geral & Vocabulário 27000:2015

ISO/IEC
Requisitos para ISO/IEC
27006:2015/ Técnicas de Segurança – Código de Prática
27002:2022
Organismos de Certificação Amd1:2020

ISO/IEC 27001:2022

ISO/IEC ISO/IEC
27005:2018 27003:2017
Gestão de Riscos Técnicas de Segurança - Guia

ISO/IEC
27004:2016
Monitoramento, medição, análise e avaliação
ISO/IEC ISO
27007:2020 19011:2018

Guias
29

O PDCA DAS NORMAS

A organização e seu Sistema de gestão

contexto
1. Escopo

Apoio e 2. Referências normativas

operação
3. Termos e definições
PLAN DO
4. Contexto da organização

5. Liderança
específicas
Entradas

Avaliação de
Planejamento Liderança desempenho Resultados 6. Planejamento
pretendidos
7. Apoio

8. Operação

ACT CHECK
9. Avaliação de desempenho
Melhoria
Necessidades e 10. Melhoria
expectativas das
partes interessadas
relevantes

30

15
DOCUMENTOS GUIA

§ ABNT NBR ISO/IEC 27032:2015 – Diretrizes para Segurança Cibernética.

§ ISO/IEC 27033-2:2012 - Information technology - Security techniques -- Network security--
Part 2: Guidelines for the design and implementation of network security.
§ ISO/IEC 27034-7:2018 - Information technology -- Application security -- Part 7: Assurance
prediction framework.
§ ISO/IEC 27035-1:2016 - Information technology -- Security techniques -- Information security
incident management -- Part 1: Principles of incident management.
§ ISO 27799:2016 - Health informatics -- Information security management in health using
ISO/IEC 27002.

31

NORMA ISO/IEC
ANEXO A E 27001:2022
CAPA DA
NORMA

32

16
BENEFÍCIOS DA ISO 27001

Estruturada | Assistência para gestão | Promoção de boas

práticas de segurança da informação aceitas globalmente
Provisão de linguagem comum
Maior confiança das partes interessadas
Melhores necessidades e expectativas satisfatórias
Gestão econômica, comercial e de investimentos mais eficaz
§ Melhorar sua vantagem competitiva;
§ Evite ou reduza as penalidades financeiras
e perdas associadas a violações de dados;
§ Criação de uma cultura de segurança da
informação;
§ Compromisso de liderança reforçado;
§ Aumenta a capacidade de atender aos
requisitos legais, contratuais e
regulatórios;
§ Reputação aprimorada;
§ Moral da equipe melhorada;
§ Melhorar a estrutura e o processo.

33

TERMOS E
DEFINIÇÕES

ABNT ISO 27001:2022

3
M Ó D U L O

MÓDULO 3

34

17
TERMOS E DEFINIÇÕES

35

TERMOS E DEFINIÇÕES
Partes interessadas e segurança da informação

§ Clientes;
§ Consumidores;
§ Autoridade Nacional de Proteção de
Dados (ANPD);
§ Fornecedores de serviços;
§ Terceirizados.

36

18
TERMOS E DEFINIÇÕES

Risco Vulnerabilidades Tratamento

Podem ser gerenciados em Podem ser identificadas e, até Ação ou efeito de tratar um
relação às vulnerabilidades ou mesmo, eliminadas com a aplicação determinado problema.
a impactos que acarretam de ações proativas para correção
quando se realizam. das vulnerabilidades.

37

TERMOS E DEFINIÇÕES

RISCO VULNERABILIDADE

Acesso não autorizado Permissões indevidas a um ambiente físico ou lógico.

Coleta de dados pessoais em quantidade superior ao mínimo necessário à

Coleta excessiva
finalidade do tratamento ou atividade que fará uso do dado pessoal.

Compartilhar ou distribuir dados pessoais com terceiros sem o Organização não atende sua finalidade legal e compartilha os dados sem
consentimento do titular consentimento do titular dos dados pessoais (LGPD, artigo 27).
Falha da garantia de atendimento dos direitos do titular, conforme descrito
Falha em considerar os direitos do titular dos dados pessoais.
nos artigos 17 a 22 da LGPD.
O tratamento de dados pessoais realizado de forma eletrônica ou
Informação insuficiente ou inadequada sobre a finalidade do
documento em papel não atende a uma finalidade e não foi exposto de
tratamento
forma transparente e clara ao titular dos dados pessoais.

Perdas provocadas por ações intencionais de usuários oriundas de uma

Perda exclusão indevida e não comunicada. Ações não intencionais provenientes
de falhas em aplicações, sobrescrita de dados e falhas de hardware.
Dados roubados nas dependências interna do controlador/operador. Falhas
Roubo nos controles de segurança (a ausência de ou de criptografia fraca . Falha
que permita escalonamento de privilégio ou de tratamentos indevidos).

Dados Pessoais: Riscos & Vulnerabilidades

38

19
 EXERCÍCIO 1 - VULNERABILIDADE

Leia a tabela no próximo slide e identifique os pontos corretos e incorretos.

ATIVIDADE

39

EXERCÍCIO 1 –
VULNERABILIDADE
Situação Vulnerabilidade Ameaças Impactos potenciais

O gerente de RH recebe e-mails

contendo “spoofing” diariamente e Fraude e perda de
Colaborador sem orientação sobre Exposição de dados da empresa e
não possui treinamento sobre confidencialidade, disponibilidade
a segurança da informação. do colaborador.
e integridade da informação.
riscos e ameaças à segurança da
informação.
Perda de confidencialidade da
O diretor de vendas, insatisfeito, Comprometimento Exposição da base de dados de informação, litígio vinculado à
duvidoso do colaborador. clientes. quebra de privacidade e de
foi trabalhar numa concorrente.
relações comerciais.

O notebook do presidente foi

esquecido no aeroporto, ele não Mecanismo de Atrasos na realização de serviços
Perda de receita.
autenticação obsoleto. pendentes.
gosta de usar senha para acessar
o computador.

O departamento de TI não realizou Perda de confidencialidade,

Indisponibilidade e vulnerável a disponibilidade e integridade da
a atualização mensal dos Softwares desatualizados.
ameaças. informação além da perda de
softwares da organização. receita.

40

20
 PRINCÍPIOS DE
GESTÃO E
ABORDAGEM DE
PROCESSOS
4
M Ó D U L O

MÓDULO 4

41

MENTALIDADE DE RISCO Passo a passo para abordar riscos

e oportunidades:

Avaliá-los com base

Identificar os riscos e
em critérios Priorizá-los
as oportunidades
predeterminados

Planejar ações para

Avaliar a eficácia das Integrar as ações aos minimizar os riscos e
ações implementadas processos do negócio implementar as
oportunidades

42

21
MENTALIDADE DE RISCO

STRENGTH (FORÇA) WEAKNESS (FRAQUEZA)

S W
AMBIENTE INTERNO – Vantagens
da empresa frente ao mercado.
Diferenciais competitivos, aptidões
mais fortes do seu negócio.
AMBIENTE INTERNO – Pontos que
podem interferir negativamente no
andamento da empresa.
THREAT (AMEAÇA)

OPPORTUNITY (OPORTUNIDADE)
O T
AMBIENTE EXTERNO – Forças
externas que impactam
positivamente a empresa.
AMBIENTE EXTERNO – Forças
externas que impactam
negativamente a empresa. Possíveis
eventos que prejudicariam o lucro e a
imagem da empresa. (ransomware,
DDoS, phishing, eventos naturais).

43

QUIZ ISO

Enquete Zoom.
Identifique as afirmativas verdadeiras.

44

22
 COFFEE BREAK
45

SGSI E
CONHECENDO A
NORMA
5
M Ó D U L O

MÓDULO 5

46

23
SGSI SISTEMA DE
GESTÃO DA
Abordagem estruturada e
sistemática para proteger SEGURANÇA DA
as informações sensíveis INFORMAÇÃO
de uma organização contra
ameaças internas e
externas.

Benefícios
§ Atendimento a legislação
aplicável;
§ Imagem;
§ Segurança;
§ Vantagem competitiva;
§ Proteção estruturada de ativos.

47

POR QUE TER UM SISTEMA DE

GESTÃO DE SEGURANÇA DA
INFORMAÇÃO?

Objetivo de um sistema de gestão de segurança da informação

§ Dar confiança às partes interessadas de que os riscos são gerenciados de forma

adequada;

§ O resultado pretendido é apoiar a organização para atingir os objetivos de negócios.

§ Proteção dos ativos de informação

§ Gerenciamento de riscos

§ Conformidade regulatória

48

24
 ABORDAGEM DE IMPLEMENTAÇÃO

Não há uma maneira certa ou
errada de projetar e implementar
os requisitos ISO 27001
Os requisitos ISO 27001
destinam-se a ser integrados aos
processos existentes da
organização
É improvável que a É muito mais provável que os
organização tenha um diversos procedimentos precisem
sistema de conformidade ser identificados nos diferentes
autônomo contendo todos processos de controle da
os requisitos organização (por exemplo:
financeiro, comercial, vendas, RH
etc.)

49

LEGISLAÇÃO E REQUISITOS REGULAMENTARES

01
União Europeia

§
§
Reino Unido
Alemanha
02
§ França
§ Romênia
Resto do mundo
§ Eslovênia
§ Países Baixos § EUA e Canadá
§ Hungria § África do Sul
§ Luxemburgo § Gana
§ Malta § Japão
§ Austrália
S G S I

§ Coréia do Sul
§ Nova Zelândia

50

25
LEGISLAÇÃO E
REQUISITOS
REGULAMENTARES Direitos da
LGPD
internet
BRASIL

Lei Carolina
Regulamentos NIS
Dieckmann

51

51
51

CONCEITOS RELEVANTES

Componente Descrição

Análise do impacto sobre os negócios
Avaliação e tratamento de riscos
Declaração de aplicabilidade
Gestão de incidentes
Gestão de mudanças
Plano de continuidade de negócios (PCN)
A BIA (Business Impact Analysis) é o resultado de análise dos requisitos de processo e das
consequências do rompimento da gestão de segurança de informação sobre o escopo de trabalho que
permite apontar (inclusive) quais medidas devem ser adotadas para mitigar e/ou sanar o referido
rompimento.
Refere-se ao detalhamento da metodologia adotada para avaliar e tratar os riscos associados a todos
os ativos (previamente inventariados) que participam do escopo da certificação em termos da
possibilidade de ocorrência, facilidade de detecção e impacto.
Utilizada para formalizar quais controles especificados do ANEXO A são ou não são aplicáveis ao
escopo da certificação.
Equivalente ao mecanismo de identificação e tratamento de não conformidades da norma ISO
9000. Detalha as regras utilizadas para dar início ao processo de ações corretivas.
Refere-se à sistematização dos métodos utilizados para assegurar a gestão do planejamento,
avaliação, aprovação, implantação das mudanças e liberações dos serviços e recursos de
tecnologia da informação, telecomunicações e de infraestrutura afetados.
Identifica (além dos eventos que ativam o plano) os responsáveis e escalonamentos que devem
ser observados para assegurar a continuidade dos processos de trabalho e operações . O PCN
está diretamente vinculado à BIA.

53

26
4 CONTEXTO

Requisito
4.1 Entendendo a organização e seu contexto.
4.2 Entendendo as necessidades e as expectativas das partes
interessadas.
4.3 Determinando o escopo do sistema de gestão da
segurança da informação.
4.4 Sistema de gestão da segurança da informação.
Interpretação
Aborda a contextualização da organização com referência às
necessidades e expectativas das partes interessadas, a
definição do escopo do Sistema de Gestão de Informação
(SGSI) e da formalização de uma estrutura documentada do
SGSI.

NORMA ISO/IEC 27001:2022

54

5 LIDERANÇA

Requisito Interpretação
5.1 Liderança e comprometimento Define o que se espera da liderança, especifica requisitos que
servem para formalizar o compromisso com a segurança da
5.2 Política informação.

Aponta a necessidade da definição de papéis e

5.3 Papéis, responsabilidades e autoridades organizacionais responsabilidades e de uma política abrangente de segurança
da informação.

NORMA ISO/IEC 27001:2022

55

27
6 PLANEJAMENTO

Requisito Interpretação

6.1 Ações para contemplar riscos e oportunidades

Requer a identificação e aplicação de metodologia para
identificar e tratar os riscos vinculados a todos os ativos que
6.1.2 Avaliação de riscos de segurança da informação participam do SGSI.

6.1.3 Tratamento de riscos de segurança da informação
6.2 Objetivos de segurança da informação e planos para
alcançá-los
6.3 Planejamento de mudanças
Requer a formalização de uma Declaração de Aplicabilidade
onde são identificados quais controles do ANEXO A são ou
não são aplicáveis e a identificação dos objetivos e
indicadores que pautam o funcionamento do SGSI.

NORMA ISO/IEC 27001:2022

56

7 APOIO

Requisito Interpretação

7.1 Recursos
7.2 Competência
7.3 Conscientização Trata dos requisitos vinculados à competência das pessoas,
7.4 Comunicação conscientização, comunicação e informação documentada.
Declarar a aplicabilidade de algum controle requer,
7.5 Informação documentada normalmente, a elaboração de um documento.

7.5.2 Criando e atualizando

7.5.3 Controle da informação documentada

NORMA ISO/IEC 27001:2022

57

28
8 OPERAÇÃO

Requisito Interpretação

8.1 Planejamento e controle operacionais
8.2 Avaliação de riscos da segurança da informação
8.3 Tratamento de riscos da segurança da informação
Requer a implantação de mecanismos de gestão para tratar,
entre outras coisas, da segurança patrimonial, dos
fornecedores críticos, do controle de acesso, da manutenção
preventiva e dos recursos humanos. Requer a coleta e o
armazenamento de registros que evidenciam o tratamento
dos riscos declarados.

NORMA ISO/IEC 27001:2022

58

9 AVALIAÇÃO DE
DESEMPENHO

Requisito Interpretação

9.1 Monitoramento, medição, análise e avaliação

9.2 Auditoria interna

9.2.2 Programa de auditoria interna Estabelece a obrigatoriedade de processos específicos para

realizar o monitoramento, medição, análise e avaliação do
SGSI, realização de auditorias internas e análise crítica da
9.3 Análise crítica pela Direção direção.

9.3.2 Entradas da análise crítica pela Direção

9.3.3 Resultados da análise crítica pela Direção

NORMA ISO/IEC 27001:2022

59

29
10 MELHORIA

Requisito Interpretação

10.1 Melhoria contínua Define as regras básicas para o registro e o tratamento de

não conformidades, bem como a obrigatoriedade da melhoria
10.2 Não conformidade e ação corretiva contínua do SGSI.

NORMA ISO/IEC 27001:2022

60

ANEXO A

NORMA ISO/IEC 27001:2022

61

30
“MIND MAP” ISO 27001:2022

Contexto &
Gestão de Riscos
Partes Interessadas

Políticas e Declaração de
Informação Objetivos KPI’s
Documentada Aplicabilidade (SoA)

Análise Crítica

Anexo A
Conscientização, (políticas de Segurança
Competências Não Conformidades
da Informação,
& Comunicação Planos de Ação
gestão de incidentes,
gestão de vulnerabilidades,
gestão de mudanças,
gestão de capacidade,
Auditorias Internas Continuidade de negocios)

62

PONTOS DE
REFLEXÃO

1. Os “processos e interações” mencionados

na cláusula 4.4 exigem a elaboração de
“mapas de processo”?

2. O que devemos considerar, de forma

prioritária, no processo de avaliação e
5. Qual a função de KPI’s nessa verificação?
tratamento de riscos?
6. Há alguma quantidade específica, método de tabulação ou
3. Qual é o principal critério vinculado ao atributos específicos de KPI’s que devem ser exigidos?
planejamento de mudanças?
7. Considerando-se que não são mais exigidos processos de
4. Qual é maneira mais prática de verificar comunicação, onde deveríamos encontrar evidência da
que os objetivos do Sistema de Gestão de
comunicação interna?
Segurança da Informação foram
adequadamente estabelecidos e
implantados?

63

31
 4 – CONTEXTO DA
ORGANIZAÇÃO

NORMA ISO/IEC 27001:2022

6
M Ó D U L O

MÓDULO 6

64

4.1 ENTENDENDO A ORGANIZAÇÃO E SEU

CONTEXTO

Identificar, monitorar e avaliar as questões internas e externas relevantes para o objetivo estratégico e para
a direção da organização.

Questões externas a considerar:

AMBIENTE DE NEGÓCIOS
§ Questões legais;
Cultura Valores
§ Tecnológicas; Tecnológico
QUESTÕES Cultural
§ Competitivas; Econômico
§ De mercado; RESULTADOS
Legal
Competitividade PRETENDIDOS
§ Culturais;
Mercado Social
§ Sociais; INTERNAS
Conhecimento Desempenho
§ Econômicas;
QUESTÕES
§ Custos. EXTERNAS

Questões internas a considerar: valores, cultura, infraestrutura, ativos,

atividades, conhecimento e desempenho da organização.

65

32
EVIDÊNCIAS

§ Relatos da alta direção sobre as

questões internas e externas;
§ Atas de reunião gerenciais –
análise crítica;
§ Manual SGSI;
§ Informações sobre o
monitoramento das questões;
§ Gestão de ações;
§ Monitoramento de indicadores.

66

4.2 ENTENDENDO AS NECESSIDADES E EXPECTATIVAS

DE PARTES INTERESSADAS

Todas as
Proprietários partes
Sindicatos

Partes
interessadas
Contratados e terceiros Bancos
Partes
interessadas
relevantes
Trabalhadores Comunidade

Requisitos
Fornecedores relevantes Clientes

Escopo e planejamento do SGSI

67

33
 EVIDÊNCIAS

§ Relatos da alta direção sobre as

partes interessadas;
§ Atas de reunião gerenciais –
análise crítica;
§ Informações sobre o
monitoramento das partes
interessadas;
§ Gestão de ações sobre as
necessidades e expectativas das
partes interessadas;
§ Monitoramento de indicadores

68

QUAIS EVIDÊNCIAS VOCÊ

BUSCARIA?
Acesse o link ou o QR Code:
ATIVIDADE

https://www.menti.com/3o424p9cpo

69

34
4.3 DETERMINANDO O ESCOPO DO SGSI

Partes
interessadas

Produtos e Localização
serviços (limites físicos)

Questões internas Escopo Requisitos legais

e externas SGSI (LGPD)

70

4.4 SISTEMA DE
Contexto da
GESTÃO DA organização
Liderança Planejamento

SEGURANÇA DA
INFORMAÇÃO

§ Foco na abordagem de processo;

P
§ Determinar e abordar riscos e
Melhoria A Suporte
oportunidades;
§ Atribuir responsabilidades e autoridades; D

§ Garantir a continuidade dos negócios; C

§ Não permitir o impacto de uma violação de
segurança.
Avaliação de
Operação
desempenho

71

35
 DEBATE – ESTUDO DE CASO

Quem seriam as partes interessadas e quais são suas expectativas?

ATIVIDADE

O que estaria dentro ou fora de escopo?

72

5 – Liderança

NORMA ISO/IEC 27001:2022

7
M Ó D U L O

MÓDULO 7

73

36
OS PAPÉIS DO LÍDER

Descobrir
caminho Criar uma visão, definir um objetivo.

Criar uma sistemática de trabalho

Alinhar direcionada, com base no contexto das
organizações.
LÍDER
Trazer à tona os talentos, as boas
Fortalecer práticas, a energia e o
comprometimento das pessoas.

Definir padrões, mas considerando as

Modelar realidades e possibilidades. Avaliar o
que agrega valor.

(Stephen R. Covey)

74

FUNDAMENTOS DA GESTÃO

Aprender com as
experiências

Tirar lições de experiências Estabelecer processos

Gerenciando
bem-sucedidas e estruturados para
mudanças
malsucedidas lições aprendidas

Aplicando processos
estruturados de
Dinâmica do PDCL –
Aprender para mudar – controle de mudanças
Planejar / Fazer /
Mudar para aprender e avaliando os
Verificar / Aprender impactos das
mudanças

75

37
5.1 LIDERANÇA E COMPROMETIMENTO

Generalidades:
§ Responsabilidade para a eficácia do SGSI;
§ Certificar-se de que os requisitos do SGSI se tornem parte integrante dos processos da organização;
§ Política e objetivos da SGSI compatíveis com a direção estratégica e com o contexto da
organização;
§ Assegurar que os recursos necessários para o sistema de gestão da segurança da informação
estejam disponíveis;
§ Assegurar que o sistema de gestão da segurança da informação alcance seus resultados
pretendidos.

76

QUAIS EVIDÊNCIAS VOCÊ

BUSCARIA?
Acesse o link ou o QR Code:
ATIVIDADE

https://www.menti.com/36s1f3bhr7

77

38
5.1 LIDERANÇA E
COMPROMETIMENTO

§ Responsabilidade para eficácia do SGSI;

§ Definição de sistemáticas de conscientização e
§ Integração dos requisitos do SGSI aos
comunicação;
processos de negócios.
§ Priorização de ações – planos de ação;
§ Relatos da alta direção sobre as estratégias
§ Disponibilização de recursos – centros de custo,
da organização;
budget, CAPEX.
§ Acompanhamento de indicadores;

78

5.2 POLÍTICA

Estabelecer uma política de segurança

da informação que deva:
§ Estar disponível como informação
documentada;
§ Ser comunicada dentro da organização;

§ Estar disponível para as partes

interessadas, conforme for apropriado.

79

39
 5.3 PAPÉIS, RESPONSABILIDADES E AUTORIDADES
ORGANIZACIONAIS

§ Responsabilidades e autoridades a serem atribuídas e compreendidas em toda a organização.

§ A alta direção deve atribuir responsabilidades e autoridades para manter a integridade e assegurar que
o sistema de gestão da segurança da informação está em conformidade.

§ Evidências de auditoria:
§ Matriz de atribuição de cargos;

§ Descrições de cargos;
§ Matriz de responsabilidades;
§ Organogramas (em conjunto com os anteriores);

§ Procedimentos e ITs contendo as responsabilidades e autoridades;

§ Divulgação das atribuições de competências (através de eventos, palestras, e-mails, reuniões com
equipe).

80

6 – Planejamento
NORMA ISO/IEC 27001:2022
8
M Ó D U L O

MÓDULO 8

81

40
 CONCEITOS
SOBRE RISCOS

§ Efeito da incerteza;
§ Efeitos potenciais adversos
(ameaças);
§ Efeitos potenciais benéficos
(oportunidades).

82

6.1 AÇÕES PARA CONTEMPLAR RISCOS E

OPORTUNIDADES

Riscos e oportunidades Ações Avaliação de eficácia –

estratégicos Monitoramento

§ Devem considerar § Analisar e priorizar os § Planejamento de como

questões internas e riscos e oportunidades; será feita a análise de
externas; partes § Planejar ações para eficácia.
interessadas e enfrentar os riscos.
escopo do SGSI. EVIDÊNCIA:
EVIDÊNCIAS: § Informação
§ Informação documentada
EVIDÊNCIAS:
documentada – planos contendo as formas de
§ Relato da alta de ação. avaliação de eficácia;
direção e lideranças; § Registros que
§ Informação demonstrem a
documentada realização da
mantida. avaliação (indicadores,
laudos, auditorias etc.).

83

41
CUIDADO COM O NÍVEL DOS RISCOS!

Conceito Nível estratégico Nível operacional

6.1.2 Avaliação de riscos de

segurança da informação.
Mentalidade de riscos Riscos e oportunidades 6.1.3 Tratamento de riscos
de segurança da
informação.

84

PROCESSO DE TRATAMENTO DE RISCOS

Estabelecimento do contexto
Monitoramento e análise crítica

Processo de avaliação de riscos

Identificação de riscos

Análise de riscos

Avaliação de riscos

Tratamento de riscos

85

42
 DADOS PESSOAIS: RISCOS
E VULNERABILIDADES

# Risco Vulnerabilidade

1 Acesso não autorizado Permissões indevidas a um ambiente físico ou lógico.

2 Coleta excessiva Coleta de dados pessoais em quantidade superior ao necessário à finalidade do

3 Compartilhar ou distribuir dados pessoais com terceiros sem
o consentimento do titular
4 Falha em considerar os direitos do titular dos dados pessoais.
5 Informação insuficiente sobre a finalidade do tratamento
6 Perda
7 Roubo
tratamento ou atividade que fará uso do dado pessoal.
Instituição não atende à sua finalidade legal e compartilha os dados sem
consentimento do titular dos dados pessoais (LGPD).
Falha da garantia de atendimento dos direitos do titular, conforme descrito na
LGPD.
O tratamento de dados pessoais realizado de forma eletrônica ou documento em
papel não atende a uma finalidade.
Perdas provocadas por ações intencionais de usuários oriundas de uma
exclusão indevida e não comunicada.
Dados roubados nas dependências internas do controlador/operador. Falhas nos
controles de segurança, ausência ou fraca criptografia. Falha de sistema que
permita escalonamento de privilégio ou tratamentos indevidos.

86

6.2 OBJETIVO DE SEGURANÇA DA INFORMAÇÃO E

PLANEJAMENTO PARA ALCANÇÁ-LOS

Os objetivos de segurança da informação devem:

§ Ser consistentes com a política de segurança da informação;

§ Mensuráveis, comunicados e atualizados. EVIDÊNCIAS:

O planejamento inclui: § Informação documentada mantida com os

objetivos, informando os indicadores de
O que será feito
desempenho (para garantir que são
mensuráveis), os planos de ação para
Quais recursos serão necessários
atingi-los, os prazos, metas e
Quando será concluído responsáveis;
§ Ex.: planilha, tabela, sistema.
Como os resultados serão avaliados

Quem será responsável

87

43
 6.3
PLANEJAMENTO
DE MUDANÇAS
Quando a organização determina
necessidade para mudanças do
M U D A N Ç A S

sistema de gestão da segurança da

informação, estas mudanças devem ser
conduzidas de uma forma planejada.

88

ATIVIDADE - OBJETIVOS DO SGSI

Trabalhando com o estudo de caso:
Que compatibilidade você pode ver entre os objetivos definidos e as atividades
operacionais?
ATIVIDADE

Qual é a relação entre as metas declaradas e as ações diárias?

89

44
 COFFEE BREAK
90

7 – APOIO

NORMA ISO/IEC 27001:2022

9
M Ó D U L O

MÓDULO 9

91

45
7.1 RECURSOS

EVIDÊNCIAS:
• Observação da infraestrutura (servidores,
27001 • Recursos (7.1)
•
equipamentos de rede, estrutura física, softwares etc.).
Planos de manutenção;
• Planos de investimento e alocação de recursos.

92

7.2 COMPETÊNCIA • Descrição de

Pessoas que cargo;
exercem Determinar
trabalho sob o competências • Matriz RACI.
controle da necessárias.
organização.
§ Aplicáveis a pessoas que • Certificados;
realizam trabalho sob o • Histórico
controle da organização; Assegurar que escolar;
as pessoas são • Listas de
§ Considerar impacto potencial competentes. presença;
no desempenho da segurança • Provas;
da informação; • Registros de • Currículo;
§ Requer informação avaliação de • CTPS;
Sim
documentada. competência; • Carta de
Competente?
• Testes; recomendação.
• Laudos de Não
observações e Adotar • Planos de
entrevistas; Verificar a
eficácia das
medidas para ação;
• Registro de medidas
adquirir a
• PDIs.
resultados. competência
tomadas.
necessária.

93

46
 QUAIS EVIDÊNCIAS VOCÊ
BUSCARIA?
ATIVIDADE

Acesse o link ou o QR Code:

https://www.menti.com/9bwubc3rws

94

7.3 CONSCIENTIZAÇÃO

Pontos importantes:

§ Aplicável a pessoas que exercem trabalho sob o controle da

organização;

§ Requisitos específicos – consciência sobre: Evidências:

§ Política de segurança da informação; § Entrevistas com
§ Objetivos SGSI; colaboradores (próprios ou
§ Contribuição para eficiência do SGSI; terceiros).

§ Implicações de não conformidade com os requisitos SGSI.

95

47
 7.3 CONSCIENTIZAÇÃO

Comunicação em diferentes níveis e direcionada para o

esclarecimento das razões das mudanças.
Comunicação

A aplicação de treinamento e ações de

Conscientização comunicação geram conscientização.

Treinamento
Treinamentos têm a função de levar as pessoas a agirem de
maneira coordenada para que as mudanças possam ser
eficazes.

96

VAMOS DISCUTIR?

Em grupo, discuta os seguintes pontos:

De quais treinamentos os funcionários precisarão para aumentar a conscientização sobre a
segurança da informação?
ATIVIDADE

Como você vai testar a compreensão dos funcionários?

Quais registros precisariam ser retidos?

97

48
 7.4 COMUNICAÇÃO

SGSI
O que Quando
comunicar comunicar

Comunicação
Quem Quem será
comunicar comunicado

Processo pelo qual a

comunicação será
COMUNICAÇÃO INTERNA:
realizada - Colaboradores e demais pessoas COMUNICAÇÃO EXTERNA:
envolvidas;
- Terceiros, provedores externos,
- Quadros, e-mail, intranet, clientes, órgãos regulamentadores,
EVIDÊNCIAS: procedimentos, treinamentos, DDSs, governo, mídia etc.
§ Plano de comunicação; reuniões, integração e sinalizações
§ Fluxo de comunicação; etc.
§ Procedimentos;
§ Entrevistas com responsáveis e autoridades
envolvidas nas comunicações.
Informação documentada retida das comunicações

98

VAMOS DISCUTIR?

Em grupo, discuta os seguintes pontos:

O que precisa ser comunicado, interna e externamente, sobre segurança da informação?
Quem precisa ser comunicado?
ATIVIDADE

99

49
7.5 INFORMAÇÃO DOCUMENTADA

Pontos Importantes:
Identificação
§ Informação documentada
§ A organização deve determinar uma maneira de identificar seus
exigida pela norma; documentos para diferenciá-los uns dos outros. Essa metodologia,
normalmente, envolve uma descrição na qual cada documento
§ Informação documentada recebe uma nomenclatura ou codificação única e individual.

considerada necessária para a Formato e meio

eficácia do SGSI; § Informações documentadas podem estar em meios físicos

(impressas), eletrônicos (arquivos no computador), em formato
§ Identificação adequada; gráfico (desenhos e imagens), textual ou, ainda, em áudio ou vídeo.

§ Descrição apropriada;
Análise e aprovação
§ Formato adequado;
§ As informações documentadas mantidas, ao serem criadas e/ou
§ Meios apropriados; atualizadas, devem ser discutidas, analisadas e aprovadas com
relação à sua suficiência e eficácia, bem como aprovadas por
pessoas com autoridade para tal (não necessariamente as mesmas
§ Revisão e aprovação. pessoas devem aprovar todos os documentos). As formas de
aprovação podem variar desde uma assinatura até uma aprovação
eletrônica (ex.: por e-mail ). O importante é que haja evidências da
aprovação.

100

7.5 INFORMAÇÃO DOCUMENTADA

Evidências de auditoria:
Aprovação
§ Relato sobre a sistemática definida
ou informação documentada Disponibilização

mantida contendo a sistemática (não

Proteção
obrigatória);

§ Verificação das informações

Distribuição e acesso
documentadas criadas e geradas
quanto a: Armazenamento e preservação

Controle de alterações

Retenção e disposição

101

50
 7.5 INFORMAÇÃO
DOCUMENTADA

§ As informações do documento são

cobertas em inúmeras cláusulas em
todo o padrão?
§ Que exemplos você tem em sua
organização?
§ Qual é o benefício da realização de
informações documentadas para a
organização?

102

INFORMAÇÃO DOCUMENTADA

MANTER RETER

§ Documentos; § Registros;
§ Procedimentos / ITs / • Evidências de realização
políticas. das atividades.

103

51
 8 – OPERAÇÃO

NORMA ISO/IEC 27001:2022

1 0
M Ó D U L O

MÓDULO 10

104

8.1 PLANEJAMENTO OPERACIONAL E CONTROLE

Planejar
§Planilha de levantamento de aspectos e riscos;
§Procedimentos e instruções de trabalho;
§Manuais;
§Planos de ação para mudanças e projetos;
§Requisitos para aquisição e contratação;
§Planos de manutenção e inspeção.
Implantar
§Observação das atividades;
§Observação das instalações;
§Entrevistas com trabalhadores;
§Registros.
Manter
§Observação das atividades;
§Observação das instalações;
§Entrevistas com trabalhadores;
§Ordens de manutenção.
Controlar
§Observação da execução das medições e monitoramentos: instrumentos em campo, realização de análises;
§Entrevista com trabalhadores que executam os controles.

105

52
8 - OPERAÇÃO

8.1 Planejamento e controle operacionais.

8.2 Avaliação de risco de segurança da informação.

8.3 Tratamento de risco de segurança da informação.

106

CONTROLES - EXEMPLOS

Controles Controles Controles

preventivos
Segregação de função
Contratação de colaboradores qualificados
Publicação da Política de Segurança da
Informação
Identificação de risco de fornecedores
detectivos
Alarme de detecção de intrusos
Avaliação de serviços de fornecedores
Análise crítica dos privilégios de usuários e
de acesso
corretivos
Ativação do Plano de Continuidade de
Negócios (PCN) após a ocorrência de
desastre físico ou lógico
Ação para corrigir uma vulnerabilidade
encontrada

Acordo de confidencialidade e não Análise de registro de auditoria

concorrência
Analise crítica das políticas na
Investigação forense para identificar Monitoria de utilização de recursos pelos ocorrência de incidente
vulnerabilidades técnicas sistemas

107

53
 GESTÃO DE MUDANÇAS

EVIDÊNCIAS:
Fontes de Processos e § Procedimento documentado
requisitos de mudanças;
mudança impactados § Registro de mudanças;
§ Revisão dos registros de
identificação de perigos e
avaliação de riscos.

Gestão de § Planos de ação;

§ Tecnologia; mudança § Revisão de perigos e aspectos;
§ Equipamentos/instalações; § Novos controles;
§ Procedimentos; § Novas competências.
§ Serviços e produtos;
§ Pessoas;
§ Normas e regulamentos.

108

NA PRÁTICA

CONHEÇA OS § Infraestrutura;
PROCESSOS!!! § Pessoas competentes;
§ Equipamentos/instrumentos confiáveis;
ENVOLVA AS § Informações documentadas;
PESSOAS.... § Formas de conscientização e comunicação;
§ Metodologias de operação;
§ Provedores externos aprovados.

Controles
Contexto | operacionais Mede |
Monitora |
Planejamento Operacionaliza
Analisa |
estratégico Avalia | Audita
Requisitos

§ Especificações de clientes (IDR - análise); § Realização conforme o planejado;

§ Especificações de matérias-primas;
§ Requisitos legais ou normativas (NBRs).
§ Liberação do produto/serviço.
É a PRATICA dos procedimentos por pessoas competentes, o uso
da infraestrutura de forma adequada, baseando-se nas
ATIVIDADES levantadas no mapeamento de processos.
109
109

54
8.2 AVALIAÇÃO DE RISCOS
DE SEGURANÇA DA
INFORMAÇÃO

Processo Dependência(s) Recursos Prioridade TMI RTO Impacto Ação imediata

Link de comunicação
Financeiro: Perda de receitas.
(internet, provedores de
nuvens). 1.Restaurar último
Legal: Litígio devido à
backup.
exposição de dados
Provedores de
Navegador pessoais. 2.Acionar o comitê de
hospedagem, tecnologia
Venda de (Google
da informação, crise.
passagens Chrome). 9 3 2 Imagem: Reputação,
disponibilidade de
on-line Nuvem credibilidade, reação dos
servidor e bases de 3.Iniciar ações
pública. clientes, indisposição dos
dados, linhas telefônicas imediatas de
acionistas. comunicação a
fixas, celulares.
usuários.
Operacional: Interrupção de
Equipe de manutenção,
toda a infraestrutura de TI.
segurança patrimonial.

Exemplo BIA (1)

110

BIA(BUSINESS
IMPACT ANALYSIS)

O objetivo da análise de impacto do negócio

é compreender e minimizar os impactos
gerados por algum incidente,
vulnerabilidade, desastre e/ou crise.

§ RPO (Objetivo do Ponto de Recuperação);

§ RTO (Objetivo de Tempo de
Recuperação);
§ MTPD (Período de Interrupção Mais
Tolerável).

111

55
 PRINCIPAIS
OBJETIVOS DA
ANÁLISE DE
IMPACTO DE
NEGÓCIOS (BIA)

§ A BIA está orientada aos processos

críticos do negócio e ao “que fazer”
quando esses processos ficarem
indisponíveis;

§ A BIA toma como principal referência a

integridade e a continuidade dos
processos de trabalho que viabilizam o
negócio:

§ A BIA deve ser realizada logo após a

análise de riscos.

112

ABRANGÊNCIA DA BIA

Incidente Tecnologias Processos de negócio Potencial perda Potencial perda Tempo mínimo até
afetadas afetados operacional financeira a recuperação
Todos os processos de
O funcionamento das R$ 150 mil a R$
Redes, servidores, negócio que dependem da De quatro (4) a vinte
Incêndio operações é totalmente 300 mil a cada
sistemas tecnologia da informação e quatro (24) horas
interrompido hora
(TI).
Não há perda se
Sistemas que
Processos de negócio Operações que assumir que a
Perda de bases requerem a Desde < 1 hora até
sustentados por essas exigem a disponibilidade equipe técnica
de dados utilização de bases 48 horas
bases de dados. das bases de dados encontra-se
de dados
disponível

113

56
 VAMOS DISCUTIR?

Demonstrando uma abordagem baseada em riscos

Discuta quais são os benefícios de operar como uma organização que pensa no risco.
Liste os tipos de resultados e de desempenho que você veria?
ATIVIDADE

11
4

PENSAMENTO BASEADO EM RISCOS

Claras expectativas,
Auditorias internas Compromisso com alta
objetivos e métricas de
gestão
desempenho

Realizar avaliações de Abordagem eficaz de

Identificar oportunidades
risco e atividades de gerenciamento de
para melhorar
tratamento de risco mudanças

115

115

57
 AVALIAÇÃO DE
RISCO

Avaliação de risco qualitativa -

qualidades subjetivas atribuídas a cada
risco.

Avaliação de risco quantitativa -

R I S C O

associar um montante financeiro

específico a cada risco.

116

IDENTIFICAÇÃO RISCOS

Severidade

Probabilidade 1 2 3
Levemente Extremamente
prejudicial Prejudicial prejudicial

1 - Baixa Trivial Tolerável Moderado

2 - Média Tolerável Moderado Substancial

3 - Alta Moderado Substancial Intolerável

117

58
 8.3 TRATAMENTO DE
RISCOS DE
SEGURANÇA DA
INFORMAÇÃO

Comprovar que o plano de tratamento de risco

descrito na cláusula 6.1 está sendo Evidências:
implementado: Informação documentada:
§ Controle do risco; § Procedimentos;
§ Tolerância do risco;
§ Planilhas de gestão de riscos;
§ Transferência do risco. § Planos de ação.

118

CONTROLES DE TRATAMENTO DE RISCO

Cláusula 8.3 Tratamento de risco de segurança

da informação

§ A organização implementará o plano de tratamento de risco de

segurança da informação;
§ A organização deve reter informações documentadas dos resultados
do tratamento de risco de segurança da informação.

Cláusula 6.1.3 Tratamento de risco de

segurança da informação

§ A organização definirá e aplicará um processo de tratamento de risco

de segurança da informação.

119

59
 DISCUSSÃO
Pense nos possíveis riscos internos e externos que sua organização pode
enfrentar em relação à segurança da informação.
Que pensamentos iniciais você tem sobre as possíveis recomendações
para resolver esses riscos?
DICUSSÃO

Acesse o link ou o QR Code:

https://www.menti.com/algh62m8e668

12
0

9 – AVALIAÇÃO
DO DESEMPENHO

NORMA ISO/IEC 27001:2022

1 1
M Ó D U L O

MÓDULO 11

121

60
 9 - AVALIAÇÃO DE
DESEMPENHO

9.1 Monitoramento, medição, análise e avaliação

9.2 Auditoria interna

9.3 Análise crítica pela Direção

122

DISCUSSÃO
SUA PRÓPRIA ORGANIZAÇÃO
Como e o que sua empresa monitora, mede, analisa e avalia para alcançar a
melhoria contínua em seus processos?
Como as decisões relacionadas a esse monitoramento e medição impactam a
DICUSSÃO

segurança da informação?

12
3

61
MÉTRICAS INTELIGENTES DE DESEMPENHO

5.22 Monitoramento, análise crítica e gestão de

mudanças dos serviços de fornecedores

Objetivo: manter um nível acordado de segurança da informação e prestação

de serviços em conformidade com os contratos de fornecedores.

Controle

§ A organização deve monitorar, analisar criticamente, avaliar e gerenciar

regularmente a mudança nas práticas da segurança da informação dos
fornecedores e na prestação de serviços.

124

9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO

Indicadores
Ações de
emergência
Laudos
Controles Certificados
operacionais Indicadores
Responsável Frequência Checklists

Objetivos

Como monitorar Informação

O que monitorar documentada retida

125

62
RECURSOS DE MONITORAMENTO E MEDIÇÃO

SGSI

Evidências
Informação
documentada e
relação dos
recursos de
Equipamentos monitoramento e
medição (tabela,
adequados e planilha Excel,
confiáveis para - Observação em campo dos equipamentos (adequação);
sistema eletrônico e
realizar as demonstração) - Registros de rastreabilidade do padrão.
medições e
monitoramentos

126

AUDITORIA INTERNA

Programar auditorias Quem audita Planejar Resultados (informação Correções e ações

• Critérios (normas e • Auditor competente e • Processos auditados; documentada retida) corretivas
• Evidências de
procedimentos); imparcial; • Quem auditará; • Conforme a
conformidade;
• Processos críticos e • Interno; • Quando; • Informações metodologia definida
com maior quantidade • Externo. em 10.2.
• Quem acompanhará; documentadas;
de desvios; • Observações, relatos de
• Critérios auditados entrevistas;
• Frequência. por processo. • Descrição das NCs.

EVIDÊNCIAS: EVIDÊNCIAS: EVIDÊNCIAS: EVIDÊNCIAS: EVIDÊNCIAS:

Programa de auditoria. Descrição de Plano de auditoria Relatório de auditoria Registro de tratativa de
competência dos contendo todos os com evidências de não conformidade.
auditores; processos e requisitos conformidade e registro
Registros com evidências (conforme o escopo). de não conformidades.
das competências.

127

63
QUALIFICAÇÃO DE AUDITORES

Comportamento pessoal.

Conhecimento e habilidades genéricos.

CRITÉRIOS MÍNIMOS

Conhecimento e habilidades genéricos de auditores de

sistema de gestão.

Conhecimento e habilidades de setores específicos.

Conhecimento e habilidades específicas para os líderes de

equipe.

Conhecimento e habilidades para auditar múltiplas normas.

128

CRITÉRIOS PARA SELEÇÃO

DE AUDITORES

Treinamento em Habilidade
Independência
técnicas de auditoria específica

Capacidade para
Experiência em Habilidade na
exame da
participação de comunicação oral e
documentação de
auditoria escrita
referência

Submetam-se à
Mantenham
formação
atualizados os seus AUDITEM
complementar,
conhecimentos
quando necessário

129

64
AUDITORIAS INTERNA

Sistemática

Independente

Documentado

Visando a obtenção de provas objetivas para avaliação

Uma atividade de validação e verificação em processos e sistemas

Auditorias internas devem ser:

§ Realizadas em intervalos planejados;
§ Imparciais;
§ Eficazes. 130

130

ISO 27007:2021
CONCEITOS E DEFINIÇÕES

§ Fornece orientações sobre

como gerenciar um programa
de auditoria de SGSI.
§ Fornece orientações para
executar as auditorias.
§ Fornece orientações sobre a
gestão de auditores do SGSI.
§ Complemento às orientações
descritas na ABNT NBR ISO
19011.

131

65
ISO 27007:2021
QUESTÕES ABORDADAS

§ Como analisar criticamente a

informação documentada ao
conduzir a auditoria?
§ Como determinar a
competência do auditor?
§ Quais devem ser os objetivos,
escopo, critérios e evidências
da auditoria?
§ Quais são os requisitos para
informação documentada na
NBR ISO/IEC 27001?

132

ISO ITENS

27007:2021 A.2 Generalidades

A.3 Diretrizes sobre os requisitos da ABNT NBR ISO/IEC 27001

A N E X O A ( I N F O R M A T I V O )
D I R E T R I Z P A R A A P R Á T I C A para informação documentada
D E A U D I T O R I A N O S G S I
A.4 Declaração de aplicabilidade

Fornece orientações genéricas de como A.5 Outras informações documentadas

auditar um SGSI.
A.6 Notas

A.7 Diretriz para auditoria do SGSI

133

66
 ISO
27007:2021
TABELA A.2 – DIRETRIZES
DE AUDITORIA PARA
ISO/IEC 27001

Apresenta quais evidências de auditoria

podem ser solicitadas para cada subseção da
ISO/IEC 27001.

134

9.3 ANÁLISE CRÍTICA

9.3 ANÁLISE
CRÍTICA

§ Ferramenta para que as organizações

revisem a adequação e a eficácia do
sistema de gestão para o
cumprimento das obrigações de
conformidade.
§ Uma perspectiva holística que olha
para o sistema através de muitos
aspectos.

135

67
9.3 – ANÁLISE CRÍTICA PELA DIREÇÃO

DADOS:
medições e
monitoramentos ENTRADAS: ações
anteriores,
mudanças nas
Indicadores SAÍDAS (registro):
questões internas e
externas, recursos, oportunidades de
resultados de melhoria,
auditorias, eficácia mudanças,
recursos
das ações – riscos e
oportunidades,
Análises e oportunidades de
Planos melhoria
avaliações
de ação

Dados do SGSI Análise crítica Saídas

INTERVALOS PLANEJADOS
Informação documentada retida: relatórios, atas, planos de ação.

136

COFFEE BREAK
137

68
 10 – Melhoria

NORMA ISO/IEC 27001:2022

1 2
M Ó D U L O

MÓDULO 12

138

10.1 MELHORIA CONTÍNUA

Cláusulas que promovem melhoria: Evidências:

Evidências de melhoria contínua da
§ 6.1 Ações para abordar riscos e adequação, suficiência e eficácia do SGSI,
oportunidades; tais como:
§ 6.2 Objetivos; § Aquisição de recursos;
§ 7.1 Recursos; § Projetos;
§ 9.1 Monitoramento, medição, análise e § Planos de ação com
avaliação; acompanhamento;
§ 9.2 Auditoria interna; § Mudança de procedimentos de
§ 9.3 Análise crítica; trabalho;
§ 10.2 Não conformidade e ação corretiva. § Implementação e efetividade dos
recursos;
§ Balanceamento financeiro.

139

69
 10.2 NÃO
CONFORMIDADE E
AÇÃO CORRETIVA

§ Tomar ações para controlar e corrigi-

la;
§ Tratar com as consequências;
§ Analisar criticamente a não
conformidade;
§ Determinar as causas da não
conformidade;
§ Implementar quaisquer ações
necessárias;
§ Analisar criticamente a eficácia de
quaisquer ações corretivas tomadas.

140

10.2 NÃO CONFORMIDADE E AÇÃO CORRETIVA

Existe Sim
PROBLEMA CORREÇÃO possibilidade
de novas
ocorrências?

Não
EVIDÊNCIAS:
§ Procedimento contendo a FIM
metodologia de investigação;
§ Relatórios de incidentes e sua
investigação;
§ Registros de não conformidades;
§ Registros de planos de ações
corretivas e preventivas com
análise de causa e avaliação da
eficácia.

141

70
10.2 NÃO CONFORMIDADE E AÇÃO CORRETIVA

§ Destaques:
§ As ações preventivas, que podem incluir ações preditivas, são aquelas tomadas para tratar a causa
raiz de potenciais não conformidades ou incidentes, como uma medida proativa, antes que tais
incidentes ocorram. Os elementos tipicamente auditados são:

§ Evidências típicas:

§ Sistemática de ação preventiva documentada contemplando mecanismos de:

§ Registro e tratamento de incidentes e potenciais não conformidades;

§ Estabelecimento de processo de potenciais não conformidades com a investigação e o suporte de
ferramentas de gestão de riscos (referência ABNT NBR ISO 31010).

§ Demonstração de ações preventivas implementadas.

142

ANEXO A - TABELA
A.1 – CONTROLES
DA SEGURANÇA
DA INFORMAÇÃO
1 3
M Ó D U L O

MÓDULO 13

143

71
 ANEXO A -
CURIOSIDADES
§ Nem todos os 93 controles são
obrigatórios;
§ Uma visão geral perfeita de quais
A

controles você pode aplicar;

A N E X O

§ ISO 27002 ajuda numa explicação

mais detalhada sobre como
implementar.

144

DECLARAÇÃO DE APLICABILIDADE: PESSOAS

R
# CONTROLE RL OC AR N/A Justificativa / Tratamento
N
Seleção, Termos e condições de contratação
6.1 Verificações de antecedentes de todos os candidatos a serem contratados devem ser
realizadas antes de ingressarem na organização e de modo contínuo, de acordo com as
X X GUIA Admissão Contratados
leis, os regulamentos e a ética aplicáveis, e devem ser proporcionais aos requisitos do
negócio, à classificação das informações a serem acessadas e aos riscos percebidos.
6.2 Os contratos trabalhistas devem declarar as responsabilidades do pessoal e da
X CLT, Contrato de Trabalho
organização para a segurança da informação.
Conscientização, educação e treinamento em segurança da informação
6.3 O pessoal da organização e partes interessadas relevantes devem receber treinamento,
educação e conscientização em segurança da informação apropriados e atualizações Política de Segurança da
X X
regulares da política de segurança da informação da organização, políticas específicas Informação
por tema e procedimentos, conforme pertinente para as suas funções.
Processo disciplinar, Responsabilidades após encerramento ou mudança da contratação, Acordos de confidencialidade ou não divulgação
6.4 Um processo disciplinar deve ser formalizado e comunicado, para tomar ações contra
pessoal e outras partes interessadas relevantes que tenham cometido uma violação da X X Contrato de Trabalho
política da segurança da informação.
6.5 As responsabilidades e funções de segurança da informação que permaneçam válidas
após o encerramento ou a mudança da contratação devem ser definidas, aplicadas e X Contrato de Trabalho
comunicadas ao pessoal e a outras partes interessadas pertinentes.
6.6 Acordos de confidencialidade ou não divulgação que reflitam as necessidades da
organização para a proteção das informações devem ser identificados, documentados,
X Termo de Confidencialidade
analisados criticamente em intervalos regulares e assinados pelo pessoal e por outras
partes interessadas OC = Obrigação
pertinentes.
RL = Requisito Legal RN = Requisito de Negócio AR = Produto da Análise de Risco N/A = Não Aplicável
Contratual

145

72
 DECLARAÇÃO DE
APLICABILDIADE (SoA)
DECLARAÇÃO DE APLICABILIDADE

Objetivo do controle Identificação do controle Aplicabilidade

Justificativa Documento Responsável
Descrição Objetivo de controle N° Descrição Controle Sim Não

A.6. Organização da segurança da informação

Uma política e
medidas que apoiam a
Política para
o uso de segurança da
É resultado da Resultado da
informação devem ser
6.2.1 dispositivo Sim análise de resolução GERÊNCIA
adotadas para
móvel risco administrativa
gerenciar os riscos
decorrentes do uso de
dispositivos móveis.
Dispositivos Garantir a segurança
móveis e das informações no Uma política e
trabalho trabalho remoto e no medidas que apoiam a
remoto uso de dispositivos segurança da
móveis informação devem ser
implementadas para É resultado da
Resultado da
Trabalho proteger as análise de
6.2.2 Sim resolução GERÊNCIA
remoto informações risco
administrativa
acessadas,
processadas ou
armazenadas em
locais de trabalho
remoto.

146

ATIVIDADE

Usando os conjuntos de controle do Anexo A em suas pastas de trabalho:

Que exemplos você tem em que os controles do Anexo A já estão em vigor em sua
organização?
ATIVIDADE

14
7

73
POLÍTICAS ISO/IEC 27001:2022
# Enunciado
Políticas de segurança
5.1
da informação
Responsabilidades da
5.4
direção
5.18 Direitos de acesso
Compliance com
5.36 políticas, regras e
normas para segurança
da informação
8.5 Autenticação segura
8.11 Mascaramento de dados
PROCEDIMENTOS ISO/IEC 27001:2022
# Requisito
5.10 Uso aceitável de informações e outros Regras para o uso aceitável e procedimentos para o manuseio de informações e
ativos associados
5.13 Rotulagem de informações
5.14 Transferência de informações
5.19 Segurança da informação nas
relações com fornecedores
5.21 Gestão da segurança da informação
na cadeia de fornecimento de
Tecnologia de Informação e
Comunicação (TIC)
Detalhamento
A política de segurança da informação e as políticas específicas por tema devem ser definidas,
aprovadas pela direção, publicadas, comunicadas e reconhecidas pelo pessoal pertinente e
pelas partes interessadas pertinentes, além de analisadas criticamente em intervalos
planejados e quando ocorrerem mudanças significativas.
A direção deve requerer que todo o pessoal aplique a segurança da informação de acordo
com a política da segurança da informação estabelecida, com as políticas específicas por
tema e com os procedimentos da organização.
Os direitos de acesso às informações e a outros ativos associados devem ser provisionados,
analisados criticamente, modificados e removidos de acordo com a política específica por
tema e com as regras da organização para o controle de acesso.
O compliance com a política de segurança da informação da organização, políticas específicas
por tema, regras e normas deve ser analisado criticamente a intervalos regulares.
Tecnologia e procedimentos de autenticação segura devem ser implementados com base em
restrições de acesso à informação e à política específica por tema de controle de acesso.
O mascaramento de dados deve ser usado de acordo com a política específica por tema da
organização sobre o controle de acesso e outras políticas específicas por tema relacionadas e
requisitos do negócio, levando em consideração a legislação aplicável.
148
Finalidade
outros ativos associados devem ser identificados, documentados e implementados.
Um conjunto adequado de procedimentos para rotulagem de informações deve ser
desenvolvido e implementado de acordo com o esquema de classificação de
informações adotado pela organização.
Regras, procedimentos ou acordos de transferência de informações devem ser
implementados para todos os tipos de recursos de transferência dentro da
organização e entre a organização e outras partes.
Processos e procedimentos devem ser definidos e implementados para gerenciar os
riscos da segurança da informação associados com o uso dos produtos ou serviços
dos fornecedores.
Processos e procedimentos devem ser definidos e implementados para gerenciar os
riscos da segurança da informação associados à cadeia de fornecimento de
produtos e serviços de TIC.
149
74
PROCEDIMENTOS ISO/IEC 27001:2022

# Requisito Finalidade
5.26 Resposta a incidentes da segurança Os incidentes da segurança da informação devem ser respondidos de acordo com os
da informação procedimentos documentados.
5.28 Coleta de evidências A organização deve estabelecer e implementar procedimentos para identificação,
coleta, aquisição e preservação de evidências relacionadas a eventos da segurança
da informação.
5.32 Direitos de propriedade intelectual A organização deve implementar procedimentos adequados para proteger os
direitos de propriedade intelectual.
5.37 Documentação dos procedimentos de Os procedimentos de operação dos recursos de processamento das informações
operação devem ser documentados e disponibilizados para o pessoal que necessite deles.
8.5 Autenticação segura Tecnologia e procedimentos de autenticação segura devem ser implementados com
base em restrições de acesso à informação e à política específica por tema de
controle de acesso.
8.19 Instalação de software em sistemas Procedimentos e medidas devem ser implementados para gerenciar com segurança
operacionais a instalação de software em sistemas operacionais.
8.32 Gestão de mudanças Mudanças nos recursos de tratamento de informações e sistemas de informação
devem estar sujeitas a procedimentos de gestão de mudanças.

150

INFORMAÇÃO
DOCUMENTADA (1)

NOVO CONTROLE Informação Documentada

5.7 Inteligência de
ameaças
5.23 Segurança da
informação para uso de
serviços em nuvem
5.30 Prontidão de TIC
para continuidade de
negócios
7.4 Monitoramento de
segurança física
8.9 Gestão de
configuração
8.10 Exclusão de
informações
Incluir as regras de inteligência contra ameaças na Política de Segurança do Fornecedor, no
procedimento de gerenciamento de incidentes e em procedimentos operacionais de coleta e
processamento de informações sobre ameaças.
Empresas de pequeno porte podem incluir regras de serviços em nuvem na Política de Segurança do
Fornecedor. As empresas de maior porte podem implementar uma outra política orientada
especificamente para a segurança dos serviços em nuvem.
Empresas de pequeno porte podem incluir a prontidão TIC no Plano de Recuperação de Desastres
(DRP) e nas auditorias internas dos testes de prontidão. As organizações de maior porte devem
documentar a prontidão na BIA, no Plano de Continuidade de Negócios (PCN) e no planejamento e
relatório de testes de continuidade de negócios.
Inclua o monitoramento da segurança física nos procedimentos de segurança física e gerenciamento
de incidentes.
A ISO 27001:2022 exige que o controle seja documentado. As empresas de menor porte podem
documentar as regras de configuração nos procedimentos operacionais. As empresas de maior porte
possuem (de forma geral) um procedimento específico de configuração. Todas as alterações de
configuração devem ser gerenciadas mediante o processo de gestão de mudanças.
Considere incluir regras de exclusão de informações na política de descarte e destruição, na política de
uso aceitável e nos procedimentos operacionais.

151

75
INFORMAÇÃO
DOCUMENTADA (2)

CONTROLE Informação documentada

8.11 Mascaramento de dados
8.12 Prevenção de vazamento de
dados
8.16 Atividades de monitoramento
8.23 Filtragem da web
8.28 Codificação segura
Considere a inclusão de regras de mascaramento de dados na Política de Classificação de
Informações, na Política de Controle de Acesso, na Política de Desenvolvimento Seguro, na
Política de Privacidade e Proteção de Dados Pessoais e na Política de Anonimização e
Pseudonimização.
Considere incluir regras de prevenção de vazamento de dados na política de classificação de
informação, nos procedimentos operacionais e na política de uso aceitável.
Empresas de menor porte podem incluir regras de monitoramento nos procedimentos
operacionais. As empresas de maior porte podem desenvolver um procedimento específico
que descreva como monitorar seus sistemas.
- Devem ser implementados procedimentos para responder a indicadores positivos do
sistema de monitoramento em tempo hábil com o intuito de minimizar o efeito de eventos
adversos na segurança da informação.
- Devem ser estabelecidos procedimentos para identificar e tratar de falsos positivos e
incluir o ajuste do software de monitoramento para reduzir o número de futuros falsos
positivos.
Empresas de menor porte podem incluir regras de codificação segura na Política de
Desenvolvimento Seguro. Empresas de maior porte podem desenvolver procedimentos de
codificação segura para cada projeto de desenvolvimento de software.

152

EXERCÍCIOS
CONTROLE DO ANEXO

A auditoria de acompanhamento foi realizada

na casa matriz da empresa Excursões &
Viagens (E&V) Ltda., localizada em Orlando,
Flórida.
Os serviços de “Contact Center” da E&V foram Considerando-se a criticidade dos serviços realizados pelo
terceirizados para uma empresa brasileira fornecedor, a diretoria da E&V decidiu convocar o comitê de
localizada em Parnamirim, Natal. crise e ativar o plano de continuidade de negócios.

No decorrer da auditoria, você toma
conhecimento de que, há seis meses, houve
um desastre natural (vendaval e inundação)
em Natal, sendo que nessa ocasião o
fornecimento de todos os serviços da E&V
(voz, dados) foram interrompidos pelo
fornecedor de Parnamirim.
Como solução imediata, foram contratados serviços de
“hosting” nuvem, num data center tier 3, instalado em Belo
Horizonte, MG.
Diante desse cenário, identifique quais controles do Anexo A
da norma ISO/IEC 27001:2022 são aplicáveis e que
evidências seriam buscadas e verificadas.

153

76
 ESTUDO DE CASO FINAL
Em grupo, você vai assumir o papel de auditor interno, revisando a operação da
MASTERCLASS LTD no que diz respeito à segurança da informação.
Como você resumiria a conformidade da organização com a ISO 27001, baseado nos
exercícios que completamos até agora?
ATIVIDADE

Quais não conformidades você identificou (caso existam) e por quê?

Que recomendações de ação você daria ao negócio?

15
4

PESQUISA DE
SATISFAÇÃO

Ajude-nos a melhorar!
Preencha a pesquisa através do
link:

https://forms.office.com/pages/r
esponsepage.aspx?id=FNT6_6
O2Mk-
pvULSj8gR8eQHH0YQzW9CuT
xuGKt3ppRUN09XNlcyMDROT
zNaS1k3VzFOWTk1TkxLTi4u

155

77
 OBRIGADO(A) PELA
PARTICIPAÇÃO

ESPERAMOS REVER
VOCÊ EM OUTROS
TREINAMENTOS!

SIGA-NOS EM NOSSAS
REDES SOCIAIS

78