Traduzido do Inglês para o Português - www.onlinedoctranslator.

com

INTERNACIONAL ISO/IEC
PADRÃO 27001

Terceira edição
2022-10

Segurança da informação, cibersegurança e

proteção da privacidade — Sistemas de
gestão de segurança da informação —
Requisitos
Segurança da informação, segurança cibernética e proteção da vida privada —
Sistemas de gerenciamento da segurança da informação — Requisitos

Número de referência
ISO/IEC 27001:2022(E)

- - ``,,,,,``````,,,,,`,` , `, `,,`,-`-`,,`,,`,`,,`---

© ISO/IEC 2022
ISO/IEC 27001:2022(E)

DOCUMENTO PROTEGIDO POR DIREITOS AUTORAIS

© ISO/IEC 2022
Todos os direitos reservados. A menos que especificado de outra forma ou exigido no contexto de sua implementação, nenhuma parte desta
publicação pode ser reproduzida ou utilizada de qualquer outra forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia ou
publicação na Internet ou intranet, sem autorização prévia permissão escrita. A permissão pode ser solicitada à ISO no endereço abaixo ou ao órgão
membro da ISO no país do solicitante.
escritório de direitos autorais ISO

CP 401 • Cap. de Blandonnet 8

CH-1214 Vernier, Genebra
Telefone: +41 22 749 01 11 E-
mail: copyright@iso.org Site:
www.iso.org
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

Publicado na Suíça

ii © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

Conteúdo Página

Prefácio................................................ ................................................ ................................................ ................................................ ................................iv

Introdução................................................ ................................................ ................................................ ................................................ .........................v

1 Escopo................................................ ................................................ ................................................ ................................................ .........................1

2 referências normativas................................................ ................................................ ................................................ .............................1

3 Termos e definições................................................ ................................................ ................................................ .............................1

4 Contexto da organização................................................ ................................................ ................................................ ................1
4.1 Entendendo a organização e seu contexto................................................ ................................................ .1
4.2 Compreensão das necessidades e expectativas das partes interessadas................................................ .........1
4.3 Determinando o escopo do sistema de gerenciamento de segurança da informação.........................................2
4.4 Sistema de gerenciamento de segurança da informação................................................ ................................................ ..............2

5 Liderança................................................ ................................................ ................................................ ................................................ ..........2

5.1 Liderança e comprometimento................................................ ................................................ ................................................2
5.2 Política................................................ ................................................ ................................................ ................................................ .......3
5.3 Papéis, responsabilidades e autoridades organizacionais................................................ .........................................3
6 Planejamento................................................ ................................................ ................................................ ................................................ ................3
6.1 Ações para lidar com riscos e oportunidades................................................ ................................................ .............3
6.1.1 Geral................................................ ................................................ ................................................ .................................3
6.1.2 Avaliação de risco de segurança da informação................................................ ................................................ ........4
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

6.1.3 Tratamento de riscos de segurança da informação................................................ ................................................ ............4

6.2 Objetivos de segurança da informação e planejamento para alcançá-los................................................ ..............5

7 Apoiar................................................ ................................................ ................................................ ................................................ ...................6

7.1 Recursos................................................ ................................................ ................................................ .............................................6
7.2 Competência................................................ ................................................ ................................................ .........................................6
7.3 Conscientização................................................ ................................................ ................................................ ................................................6
7.4 Comunicação................................................ ................................................ ................................................ ................................6
7.5 Informação documentada................................................ ................................................ ................................................ ........6
7.5.1 Geral................................................ ................................................ ................................................ .................................6
7.5.2 Criação e atualização................................................ ................................................ .............................................7
7.5.3 Controle de informações documentadas................................................ ................................................ .............7

8 Operação................................................ ................................................ ................................................ ................................................ .............7

8.1 Planejamento e controle operacional................................................ ................................................ .........................................7
8.2 Avaliação de risco de segurança da informação................................................ ................................................ ..........................8
8.3 Tratamento de riscos de segurança da informação................................................ ................................................ .............................8

9 Avaliação de desempenho................................................ ................................................ ................................................ .......................8

9.1 Monitoramento, medição, análise e avaliação................................................ .........................................8
9.2 Auditoria interna................................................ ................................................ ................................................ .........................................8
9.2.1 Geral................................................ ................................................ ................................................ .................................8
9.2.2 Programa de auditoria interna................................................ ................................................ .........................................9
9.3 Revisão da gestão................................................ ................................................ ................................................ .....................9
9.3.1 Geral................................................ ................................................ ................................................ .................................9
9.3.2 Entradas de revisão de gestão................................................ ................................................ .................................9
9.3.3 Resultados da revisão da gestão................................................ ................................................ ................................9

10 Melhoria................................................ ................................................ ................................................ ................................................ .10

10.1 Melhoria contínua................................................ ................................................ ................................................ .........10
10.2 Não conformidade e ação corretiva................................................ ................................................ .........................10
Anexo A(normativo)Referência de controles de segurança da informação................................................ .........................................11

Bibliografia................................................ ................................................ ................................................ ................................................ .....................19

© ISO/IEC 2022 – Todos os direitos reservados iii

ISO/IEC 27001:2022(E)

Prefácio
ISO (Organização Internacional para Padronização) e IEC (Comissão Eletrotécnica Internacional) formam
o sistema especializado para padronização mundial. Organismos nacionais membros da ISO ou IEC
participam do desenvolvimento de Normas Internacionais por meio de comitês técnicos estabelecidos
pela respectiva organização para lidar com campos específicos de atividade técnica. Os comitês técnicos
ISO e IEC colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais
e não governamentais, em articulação com a ISO e IEC, também participam dos trabalhos.

Os procedimentos usados para desenvolver este documento e aqueles destinados à sua manutenção
posterior são descritos nas Diretivas ISO/IEC, Parte 1. Em particular, os diferentes critérios de aprovação
necessários para os diferentes tipos de documento devem ser observados. Este documento foi elaborado de
acordo com as regras editoriais das Diretivas ISO/IEC, Parte 2 (verwww.iso.org/directives ou www.iec.ch/
members_experts/refdocs ).

Chama-se a atenção para a possibilidade de alguns dos elementos deste documento poderem ser objecto de direitos de
patente. A ISO e a IEC não serão responsabilizadas pela identificação de nenhum ou de todos esses direitos de patente. Os
detalhes de quaisquer direitos de patente identificados durante o desenvolvimento do documento estarão na Introdução
e/ou na lista ISO de declarações de patentes recebidas (consultewww.iso.org/patents ) ou a lista IEC de declarações de
patentes recebidas (verhttps://patents.iec.ch ).

Qualquer nome comercial usado neste documento é uma informação fornecida para conveniência dos usuários e
não constitui um endosso.

Para obter uma explicação sobre a natureza voluntária dos padrões, o significado dos termos e expressões
específicos da ISO relacionados à avaliação de conformidade, bem como informações sobre a adesão da ISO
aos princípios da Organização Mundial do Comércio (OMC) nas Barreiras Técnicas ao Comércio (TBT),
consulte www.iso.org/iso/foreword.html . No IEC, verwww.iec.ch/understanding-standards .

Este documento foi preparado pelo Comitê Técnico Conjunto ISO/IEC JTC 1,Tecnologia da Informação, Subcomitê
SC 27,Segurança da informação, cibersegurança e proteção da privacidade.

Esta terceira edição cancela e substitui a segunda edição (ISO/IEC 27001:2013), que foi revisada
tecnicamente. Também incorpora a Corrigenda Técnica ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC
27001:2013/Cor 2:2015.

As principais alterações são as seguintes:

— o texto foi alinhado com a estrutura harmonizada para normas de sistemas de gestão e ISO/IEC
27002:2022.

Quaisquer comentários ou perguntas sobre este documento devem ser direcionados ao organismo nacional de
normalização do usuário. Uma lista completa desses órgãos pode ser encontrada emwww.iso.org/members.html e
www.iec.ch/national-committees .

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

4 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

Introdução
0.1 Geral

Este documento foi preparado para fornecer requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gerenciamento de segurança da informação. A adoção de um sistema de gestão da
segurança da informação é uma decisão estratégica para uma organização. O estabelecimento e a implementação
de um sistema de gerenciamento de segurança da informação de uma organização são influenciados pelas
necessidades e objetivos da organização, requisitos de segurança, processos organizacionais usados e tamanho e
estrutura da organização. Espera-se que todos esses fatores de influência mudem com o tempo.

O sistema de gestão da segurança da informação preserva a confidencialidade, a integridade e a disponibilidade das informações
por meio da aplicação de um processo de gestão de riscos e transmite às partes interessadas a confiança de que os riscos são
gerenciados adequadamente.

É importante que o sistema de gestão da segurança da informação seja parte e integrado aos processos da
organização e à estrutura geral de gestão e que a segurança da informação seja considerada no desenho de
processos, sistemas de informação e controles. Espera-se que a implantação de um sistema de gestão de
segurança da informação seja dimensionada de acordo com as necessidades da organização.

Este documento pode ser usado por partes internas e externas para avaliar a capacidade da organização de atender aos
requisitos de segurança da informação da própria organização.

A ordem em que os requisitos são apresentados neste documento não reflete sua importância ou
implica a ordem em que devem ser implementados. Os itens da lista são enumerados apenas para fins
de referência.

A ISO/IEC 27000 descreve a visão geral e o vocabulário dos sistemas de gerenciamento de segurança da
informação, referenciando a família de sistemas de gerenciamento de segurança da informação (incluindo
ISO/IEC 27003[2], ISO/IEC 27004[3]e ISO/IEC 27005[4]), com termos e definições relacionados.

0.2 Compatibilidade com outros padrões de sistema de gestão

Este documento aplica a estrutura de alto nível, títulos de subcláusulas idênticos, texto idêntico, termos
comuns e definições básicas definidas no Anexo SL das Diretivas ISO/IEC, Parte 1, Suplemento ISO
Consolidado e, portanto, mantém a compatibilidade com outros padrões de sistema de gestão que adotaram
o Anexo SL.

Essa abordagem comum definida no Anexo SL será útil para aquelas organizações que optam por
operar um único sistema de gestão que atenda aos requisitos de dois ou mais padrões de sistema de
gestão.

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

© ISO/IEC 2022 – Todos os direitos reservados v

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
PADRÃO INTERNACIONAL ISO/IEC 27001:2022(E)

Segurança da informação, segurança cibernética e proteção da privacidade —

Sistemas de gerenciamento de segurança da informação
— Requisitos

1 Escopo
Este documento especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de
gerenciamento de segurança da informação dentro do contexto da organização. Este documento também inclui
requisitos para avaliação e tratamento de riscos de segurança da informação adequados às necessidades da organização.
Os requisitos estabelecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações,
independentemente do seu tipo, dimensão ou natureza. Excluindo qualquer um dos requisitos especificados emCláusulas
4 para10 não é aceitável quando uma organização afirma estar em conformidade com este documento.

2 Referências normativas

Os seguintes documentos são referidos no texto de tal forma que parte ou todo o seu conteúdo constitui
requisitos deste documento. Para referências datadas, aplica-se apenas a edição citada. Para referências não
datadas, aplica-se a edição mais recente do documento referenciado (incluindo quaisquer alterações).

ISO/IEC 27000,Tecnologia da informação — Técnicas de segurança — Sistemas de gerenciamento de segurança da

informação — Visão geral e vocabulário

3 Termos e definições
Para os fins deste documento, aplicam-se os termos e definições fornecidos na ISO/IEC 27000.

ISO e IEC mantêm bancos de dados de terminologia para uso em padronização nos seguintes endereços:

— Plataforma de navegação ISO Online: disponível emhttps://www.iso.org/obp

— IEC Electropedia: disponível emhttps://www.electropedia.org/

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

4 Contexto da organização

4.1 Entendendo a organização e seu contexto

A organização deve determinar questões externas e internas que sejam relevantes para o seu propósito e que afetem sua
capacidade de alcançar o(s) resultado(s) pretendido(s) de seu sistema de gestão da segurança da informação.

OBSERVAÇÃO Determinar essas questões refere-se a estabelecer o contexto externo e interno da organização
considerado na Cláusula 5.4.1 da ISO 31000:2018[5].

4.2 Compreensão das necessidades e expectativas das partes interessadas

A organização deve determinar:

a) partes interessadas relevantes para o sistema de gestão da segurança da informação;

b) os requisitos relevantes dessas partes interessadas;

c) quais desses requisitos serão atendidos por meio do sistema de gestão da segurança da
informação.

© ISO/IEC 2022 – Todos os direitos reservados 1

ISO/IEC 27001:2022(E)

OBSERVAÇÃO Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares e requisitos contratuais
obrigações.

4.3 Determinando o escopo do sistema de gerenciamento de segurança da informação

A organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da

informação para estabelecer seu escopo.

Ao determinar este escopo, a organização deve considerar:

a) as questões externas e internas referidas no4.1 ;

b) os requisitos referidos no n.4.2 ;

c) interfaces e dependências entre as atividades realizadas pela organização e aquelas realizadas

por outras organizações.

O escopo deve estar disponível como informação documentada.

4.4 Sistema de gerenciamento de segurança da informação

A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de

segurança da informação, incluindo os processos necessários e suas interações, de acordo com os requisitos
deste documento.

5 Liderança

5.1 Liderança e comprometimento

A alta direção deve demonstrar liderança e comprometimento com relação ao sistema de gestão
de segurança da informação:

a) garantir que a política de segurança da informação e os objetivos de segurança da informação sejam

estabelecidos e compatíveis com o direcionamento estratégico da organização;

b) assegurar a integração dos requisitos do sistema de gestão da segurança da informação nos

processos da organização;

c) assegurar que os recursos necessários ao sistema de gestão da segurança da informação estejam disponíveis;

d) comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os

requisitos do sistema de gestão da segurança da informação;

e) garantir que o sistema de gestão da segurança da informação alcance o(s) resultado(s) pretendido(s);

f) dirigir e apoiar as pessoas para contribuir para a eficácia do sistema de gestão da segurança da
informação;

g) promover a melhoria contínua; e

h) apoiar outras funções de gerenciamento relevantes para demonstrar sua liderança conforme se aplica às suas áreas de
responsabilidade.

OBSERVAÇÃO A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar as atividades que são
fundamental para os propósitos da existência da organização.

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

2 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

5.2 Política

A alta direção deve estabelecer uma política de segurança da informação que:

a) seja adequado ao propósito da organização;

b) inclui objetivos de segurança da informação (ver6.2 ) ou fornece a estrutura para definir objetivos de segurança
da informação;

c) inclua o compromisso de atender aos requisitos aplicáveis relacionados à segurança da informação;

d) inclui um compromisso com a melhoria contínua do sistema de gestão da segurança da informação.

A política de segurança da informação deve:

e) estar disponível como informação documentada;

f) ser comunicado dentro da organização;

g) estar à disposição dos interessados, conforme o caso.

5.3 Papéis, responsabilidades e autoridades organizacionais

A alta direção deve assegurar que as responsabilidades e autoridades para funções relevantes para a segurança da
informação sejam atribuídas e comunicadas dentro da organização.

A alta administração deve atribuir a responsabilidade e autoridade para:

a) garantir que o sistema de gestão da segurança da informação esteja em conformidade com os requisitos deste
documento;

b) relatar o desempenho do sistema de gestão da segurança da informação à alta administração.

OBSERVAÇÃO A alta administração também pode atribuir responsabilidades e autoridades para relatar o desempenho do
sistema de gerenciamento de segurança da informação dentro da organização.

6 Planejamento

6.1 Ações para lidar com riscos e oportunidades

6.1.1 Geral

Ao planejar o sistema de gestão da segurança da informação, a organização deve considerar as

questões referidas no4.1 e os requisitos referidos no4.2 e determinar os riscos e oportunidades
que precisam ser abordados para:

a) garantir que o sistema de gestão da segurança da informação possa alcançar o(s) resultado(s) pretendido(s);

b) prevenir ou reduzir efeitos indesejados;

c) alcançar a melhoria contínua.

A organização deve planejar:

d) ações para lidar com esses riscos e oportunidades; e

e) como

1) integrar e implementar as ações em seus processos de sistema de gestão de segurança da

informação; e

2) avaliar a efetividade dessas ações.

© ISO/IEC 2022 – Todos os direitos reservados

--

v̀̀ ed
,
, , , , ````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
3
ISO/IEC 27001:2022(E)

6.1.2 Avaliação de risco de segurança da informação

A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

a) estabelece e mantém critérios de risco de segurança da informação que incluem:

1) os critérios de aceitação do risco; e

2) critérios para realizar avaliações de risco de segurança da informação;

b) garante que avaliações repetidas de riscos de segurança da informação produzam resultados consistentes,
válidos e comparáveis;

c) identifica os riscos de segurança da informação:

1) aplicar o processo de avaliação de riscos de segurança da informação para identificar riscos

associados à perda de confidencialidade, integridade e disponibilidade de informações no escopo do
sistema de gestão de segurança da informação; e

2) identificar os proprietários do risco;

d) analisa os riscos de segurança da informação:

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

1) avaliar as consequências potenciais que resultariam se os riscos identificados em6.1.2 c) 1) se

concretizassem;

2) avaliar a probabilidade realista de ocorrência dos riscos identificados no6.1.2 c) 1); e

3) determinar os níveis de risco;

e) avalia os riscos de segurança da informação:

1) comparar os resultados da análise de risco com os critérios de risco estabelecidos em6.1.2 a); e

2) priorizar os riscos analisados para tratamento de riscos.

A organização deve reter informações documentadas sobre o processo de avaliação de riscos de segurança da
informação.

6.1.3 Tratamento de riscos de segurança da informação

A organização deve definir e aplicar um processo de tratamento de riscos de segurança da informação para:

a) selecionar opções apropriadas de tratamento de riscos de segurança da informação, levando em conta os resultados da
avaliação de riscos;

b) determinar todos os controles necessários para implementar a(s) opção(ões) de tratamento de riscos de segurança da
informação escolhida(s);

NOTA 1 As organizações podem projetar controles conforme necessário ou identificá-los de qualquer fonte.

c) comparar os controles determinados em6.1.3 b) acima com os deAnexo A e verifique se nenhum

controle necessário foi omitido;

NOTA 2 Anexo A contém uma lista de possíveis controles de segurança da informação. Os usuários deste documento são
direcionado àAnexo A para garantir que nenhum controle de segurança da informação necessário seja negligenciado.

NOTA 3 Os controles de segurança da informação listados emAnexo A não são exaustivas e informações adicionais
controles de segurança podem ser incluídos, se necessário.

d) produzir uma Declaração de Aplicabilidade que contenha:

— os controles necessários (ver6.1.3 b) e c));

4 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

— justificação para a sua inclusão;

— se os controles necessários são implementados ou não; e

— a justificação para excluir qualquer um dosAnexo A controles.

e) formular um plano de tratamento de riscos de segurança da informação; e

f) obter a aprovação dos proprietários do risco para o plano de tratamento dos riscos de segurança da informação e aceitação dos riscos
residuais de segurança da informação.

A organização deve reter informações documentadas sobre o processo de tratamento de riscos de segurança da
informação.

NOTA 4 O processo de avaliação e tratamento de riscos de segurança da informação neste documento está alinhado com o
princípios e diretrizes genéricas fornecidas na ISO 31000[5].

6.2 Objetivos de segurança da informação e planejamento para alcançá-los

A organização deve estabelecer objetivos de segurança da informação em funções e níveis relevantes.

Os objetivos de segurança da informação devem:

a) estar de acordo com a política de segurança da informação;

b) ser mensurável (se praticável);

c) levar em consideração os requisitos de segurança da informação aplicáveis e os resultados da avaliação e

tratamento de riscos;

d) ser monitorado;

e) ser comunicado;

f) ser atualizado conforme apropriado;

g) estar disponível como informação documentada.

A organização deve reter informações documentadas sobre os objetivos de segurança da informação.

Ao planejar como atingir seus objetivos de segurança da informação, a organização deve determinar:

h) o que será feito;

i) quais recursos serão necessários;

j) quem será o responsável;

k) quando será concluído; e

l) como os resultados serão avaliados.

6.3 Planejamento de mudanças

Quando a organização determina a necessidade de mudanças no sistema de gestão da segurança da

informação, as mudanças devem ser realizadas de forma planejada.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

© ISO/IEC 2022 – Todos os direitos reservados 5

ISO/IEC 27001:2022(E)

7 Suporte

7.1 Recursos
A organização deve determinar e fornecer os recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do sistema de gestão da segurança da
informação.

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
7.2 Competência

A organização deve:

a) determinar a competência necessária da(s) pessoa(s) realizando trabalho sob seu controle que afete seu
desempenho de segurança da informação;

b) garantir que essas pessoas sejam competentes com base em educação, treinamento ou experiência
apropriados;

c) quando aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia das
ações tomadas; e

d) reter informações documentadas apropriadas como prova de competência.

OBSERVAÇÃO As ações aplicáveis podem incluir, por exemplo: o fornecimento de treinamento, orientação ou re-
cessão de funcionários atuais; ou a contratação ou contratação de pessoas competentes.

7.3 Conscientização

As pessoas que trabalham sob o controle da organização devem estar cientes de:

a) a política de segurança da informação;

b) sua contribuição para a eficácia do sistema de gestão da segurança da informação, incluindo os benefícios
do melhor desempenho da segurança da informação; e

c) as implicações da não conformidade com os requisitos do sistema de gestão da segurança da

informação.

7.4 Comunicação
A organização deve determinar a necessidade de comunicações internas e externas relevantes para o
sistema de gestão da segurança da informação, incluindo:

a) sobre o que comunicar;

b) quando comunicar;

c) com quem se comunicar;

d) como se comunicar.

7.5 Informação documentada

7.5.1 Geral

O sistema de gestão da segurança da informação da organização deve incluir:

a) informações documentadas exigidas por este documento; e

6 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

b) informações documentadas determinadas pela organização como necessárias para a eficácia do

sistema de gestão da segurança da informação.

OBSERVAÇÃO A extensão das informações documentadas para um sistema de gerenciamento de segurança da informação pode diferir
de uma organização para outra devido a:

1) o tamanho da organização e seu tipo de atividades, processos, produtos e serviços;

2) a complexidade dos processos e suas interações; e

3) a competência das pessoas.

7.5.2 Criação e atualização

Ao criar e atualizar informações documentadas, a organização deve assegurar que:

a) identificação e descrição (por exemplo, título, data, autor ou número de referência);

b) formato (por exemplo, linguagem, versão de software, gráficos) e mídia (por exemplo, papel, eletrônico); e

c) revisão e aprovação para adequação e adequação.

7.5.3 Controle de informações documentadas

As informações documentadas exigidas pelo sistema de gestão da segurança da informação e por este documento
devem ser controladas para garantir:

a) esteja disponível e adequado para uso, onde e quando for necessário; e

b) está adequadamente protegido (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade).

Para o controle de informações documentadas, a organização deve abordar as seguintes atividades, conforme
aplicável:

c) distribuição, acesso, recuperação e uso;

d) armazenamento e preservação, incluindo a preservação da legibilidade;

e) controle de mudanças (eg controle de versão); e

f) retenção e alienação.

As informações documentadas de origem externa, determinadas pela organização como necessárias para o
planejamento e operação do sistema de gestão da segurança da informação, devem ser identificadas conforme
apropriado e controladas.

OBSERVAÇÃO O acesso pode implicar uma decisão sobre a permissão para visualizar apenas as informações documentadas, ou
a permissão e autoridade para visualizar e alterar as informações documentadas, etc.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

8 Operação

8.1 Planejamento e controle operacional

A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e
implementar as ações determinadas na Cláusula 6, por meio de:

— estabelecer critérios para os processos;

— implementar o controle dos processos de acordo com os critérios.

As informações documentadas devem estar disponíveis na medida necessária para ter a confiança de que os
processos foram executados conforme planejado.

© ISO/IEC 2022 – Todos os direitos reservados 7

ISO/IEC 27001:2022(E)

A organização deve controlar as mudanças planejadas e revisar as consequências de mudanças não intencionais, tomando
medidas para mitigar quaisquer efeitos adversos, conforme necessário.

A organização deve assegurar que processos, produtos ou serviços fornecidos externamente que sejam relevantes para o
sistema de gestão da segurança da informação sejam controlados.

8.2 Avaliação de risco de segurança da informação

A organização deve realizar avaliações de risco de segurança da informação em intervalos planejados ou quando
mudanças significativas forem propostas ou ocorrerem, levando em conta os critérios estabelecidos em6.1.2 a).

A organização deve reter informações documentadas dos resultados das avaliações de risco de segurança da
informação.

8.3 Tratamento de riscos de segurança da informação

A organização deve implementar o plano de tratamento de riscos de segurança da informação.

A organização deve reter informações documentadas dos resultados do tratamento do risco de segurança da
informação.

9 Avaliação de desempenho

9.1 Monitoramento, medição, análise e avaliação

A organização deve determinar:

a) o que precisa ser monitorado e medido, incluindo processos e controles de segurança da informação;

b) os métodos de monitoramento, medição, análise e avaliação, conforme aplicável, para garantir resultados
válidos. Os métodos selecionados devem produzir resultados comparáveis e reprodutíveis para serem
considerados válidos;

c) quando o monitoramento e a medição devem ser realizados;

d) quem deve monitorar e medir;

e) quando os resultados do monitoramento e medição devem ser analisados e avaliados;

f) quem deve analisar e avaliar esses resultados.

Informações documentadas devem estar disponíveis como prova dos resultados.

A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de

gestão da segurança da informação.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

9.2 Auditoria interna

9.2.1 Geral

A organização deve conduzir auditorias internas em intervalos planejados para fornecer informações sobre se o
sistema de gestão da segurança da informação:

a) está de acordo com

1) os próprios requisitos da organização para seu sistema de gerenciamento de segurança da informação;

8 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

2) os requisitos deste documento;

b) seja efetivamente implementado e mantido.

9.2.2 Programa de auditoria interna

A organização deve planejar, estabelecer, implementar e manter programa(s) de auditoria, incluindo

frequência, métodos, responsabilidades, requisitos de planejamento e relatórios.

Ao estabelecer o(s) programa(s) de auditoria interna, a organização deve considerar a importância de

os processos em causa e os resultados de auditorias anteriores.

A organização deve:

a) definir os critérios de auditoria e escopo para cada auditoria;

b) selecionar auditores e conduzir auditorias que assegurem a objetividade e a imparcialidade do processo de auditoria;

c) garantir que os resultados das auditorias sejam relatados à administração relevante;

As informações documentadas devem estar disponíveis como prova da implementação do(s) programa(s) de auditoria e dos
resultados da auditoria.

9.3 Revisão da gestão

9.3.1 Geral
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

A alta administração deve revisar o sistema de gerenciamento de segurança da informação da organização em intervalos
planejados para garantir sua adequação, suficiência e eficácia contínuas.

9.3.2 Entradas de revisão de gestão

A revisão da gestão deve incluir a consideração de:

a) o status das ações de análises anteriores da administração;

b) mudanças em questões externas e internas relevantes para o sistema de gestão da segurança da

informação;

c) mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o sistema de gestão da
segurança da informação;

d) feedback sobre o desempenho da segurança da informação, incluindo tendências em:

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados da auditoria;

4) cumprimento dos objetivos de segurança da informação;

e) feedback das partes interessadas;

f) resultados da avaliação de risco e estado do plano de tratamento de risco;

g) oportunidades de melhoria contínua.

9.3.3 Resultados da revisão da gestão

Os resultados da revisão gerencial devem incluir decisões relacionadas a oportunidades de melhoria contínua e
quaisquer necessidades de mudanças no sistema de gerenciamento de segurança da informação.

© ISO/IEC 2022 – Todos os direitos reservados 9

ISO/IEC 27001:2022(E)

As informações documentadas devem estar disponíveis como evidência dos resultados das análises gerenciais.

10 Melhoria

10.1 Melhoria contínua

A organização deve melhorar continuamente a adequação, suficiência e eficácia do sistema de gestão da
segurança da informação.

10.2 Não conformidade e ação corretiva

Quando ocorrer uma não conformidade, a organização deve:

a) reagir à não conformidade, e conforme o caso:

1) tomar medidas para controlá-lo e corrigi-lo;

2) lidar com as consequências;

b) avaliar a necessidade de ação para eliminar as causas da não conformidade, a fim de que ela não se repita ou ocorra em outro
lugar, por meio de:

1) revisão da não conformidade;

2) determinação das causas da não conformidade; e

3) determinar se não conformidades semelhantes existem ou podem ocorrer;

c) implementar qualquer ação necessária;

d) revisar a eficácia de qualquer ação corretiva tomada; e

e) fazer alterações no sistema de gestão da segurança da informação, se necessário.

As ações corretivas devem ser adequadas aos efeitos das não conformidades encontradas.

As informações documentadas devem estar disponíveis como prova de:

f) a natureza das não conformidades e quaisquer ações subsequentes tomadas,

g) os resultados de qualquer ação corretiva.

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

10 © ISO/IEC 2022 – Todos os direitos reservados


Referência de controles de segurança da informação
Os controles de segurança da informação listados emTabela A.1 são diretamente derivados e alinhados com aqueles
listados na ISO/IEC 27002:2022[1], Cláusulas 5 a 8, e deve ser usado em contexto com6.1.3 .
Tabela A.1 — Controles de segurança da informação
5 Controles organizacionais
5.1 Políticas de segurança da
informação
5.2 Papéis e responsabilidades de
segurança da informação
5.3 Segregação de deveres
5.4 Responsabilidades de gestão
5.5 Contato com autoridades
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
5.6 Contato com grupos de interesse
especiais
5.7 Inteligência de ameaças
5.8 Segurança da informação na gestão
de projetos
5.9 Inventário de informações e
outros ativos associados
5.10 Uso aceitável de informações e
outros ativos associados
5.11 Devolução de ativos
© ISO/IEC 2022 – Todos os direitos reservados
ISO/IEC 27001:2022(E)
Anexo A
(normativo)
Ao controle
A política de segurança da informação e as políticas de tópicos específicos devem ser
definidas, aprovadas pela administração, publicadas, comunicadas e reconhecidas
pelo pessoal relevante e partes interessadas relevantes, e revisadas em intervalos
planejados e se ocorrerem mudanças significativas.
Ao controle
As funções e responsabilidades de segurança da informação devem ser definidas e alocadas
de acordo com as necessidades da organização.
Ao controle
Deveres conflitantes e áreas conflitantes de responsabilidade devem ser
segregadas.
Ao controle
A administração deve exigir que todo o pessoal aplique a segurança da
informação de acordo com a política de segurança da informação estabelecida,
políticas específicas de tópicos e procedimentos da organização.
Ao controle
A organização deve estabelecer e manter contato com as autoridades
relevantes.
Ao controle
A organização deve estabelecer e manter contato com grupos de interesses
especiais ou outros fóruns especializados em segurança e associações
profissionais.
Ao controle
As informações relacionadas às ameaças à segurança da informação devem ser coletadas e
analisadas para produzir informações sobre ameaças.
Ao controle
A segurança da informação deve ser integrada ao gerenciamento do projeto.
Ao controle
Um inventário de informações e outros ativos associados, incluindo
proprietários, deve ser desenvolvido e mantido.
Ao controle
Regras para o uso aceitável e procedimentos para lidar com informações e outros
ativos associados devem ser identificados, documentados e implementados.
Ao controle
O pessoal e outras partes interessadas, conforme apropriado, devem
devolver todos os ativos da organização em sua posse após a mudança ou
rescisão de seu emprego, contrato ou acordo.
11
ISO/IEC 27001:2022(E)

Tabela A.1(contínuo)
5.12 Classificação das informações Ao controle

As informações devem ser classificadas de acordo com as necessidades de segurança da

informação da organização com base na confidencialidade, integridade, disponibilidade e
requisitos relevantes das partes interessadas.

5.13 Rotulagem de informações Ao controle

Um conjunto apropriado de procedimentos para rotulagem de informações

deve ser desenvolvido e implementado de acordo com o esquema de
classificação de informações adotado pela organização.
5.14 Transferência de informação Ao controle

Regras, procedimentos ou acordos de transferência de informações devem estar em

vigor para todos os tipos de instalações de transferência dentro da organização e
entre a organização e outras partes.

5.15 Controle de acesso Ao controle

Regras para controlar o acesso físico e lógico às informações e outros ativos

associados devem ser estabelecidas e implementadas com base nos requisitos
de segurança do negócio e da informação.
5.16 Gerenciamento de identidade Ao controle

O ciclo de vida completo das identidades deve ser gerenciado.

5.17 Informações de autenticação Ao controle

A atribuição e gestão de informações de autenticação devem ser controladas

por um processo de gestão, incluindo o aconselhamento do pessoal sobre o
tratamento adequado das informações de autenticação.
5.18 Direitos de acesso Ao controle

Os direitos de acesso às informações e outros ativos associados devem ser

provisionados, revisados, modificados e removidos de acordo com a política
específica do tópico da organização e regras para controle de acesso.
- - `` , , , , , ``````,,,,,`,`,`,`,,`,-`-

5.19 Segurança da informação no relacionamento Ao controle

com fornecedores
Processos e procedimentos devem ser definidos e implementados para
gerenciar os riscos de segurança da informação associados ao uso de produtos
ou serviços do fornecedor.
`,,`,,`,`,,`---

5.20 Abordar a segurança da informação Ao controle

nos acordos com fornecedores
Os requisitos relevantes de segurança da informação devem ser estabelecidos e acordados
com cada fornecedor com base no tipo de relacionamento com o fornecedor.

5.21 Gerenciando a segurança da Ao controle

informação na cadeia de suprimentos
Devem ser definidos e implementados processos e procedimentos para gerir os
de tecnologia da informação e
riscos de segurança da informação associados à cadeia de abastecimento de
comunicação (TIC)
produtos e serviços TIC.
5.22 Monitoramento, revisão e gerenciamento de Ao controle
mudanças de serviços de fornecedores
A organização deve monitorar, revisar, avaliar e gerenciar regularmente as mudanças nas
práticas de segurança da informação do fornecedor e na prestação de serviços.

5.23 Segurança da informação para uso de Ao controle

serviços em nuvem
Os processos de aquisição, uso, gerenciamento e saída de serviços em nuvem
devem ser estabelecidos de acordo com os requisitos de segurança da
informação da organização.
5.24 Planejamento e preparação do Ao controle
gerenciamento de incidentes de segurança
A organização deve planejar e se preparar para o gerenciamento de incidentes de
da informação
segurança da informação, definindo, estabelecendo e comunicando processos, papéis e
responsabilidades de gerenciamento de incidentes de segurança da informação.

12 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

5.25 Avaliação e decisão sobre eventos
de segurança da informação
Tabela A.1(contínuo)
Ao controle
A organização deve avaliar os eventos de segurança da informação e decidir se eles
devem ser categorizados como incidentes de segurança da informação.

5.26 Resposta a incidentes de segurança da Ao controle

informação
Os incidentes de segurança da informação devem ser respondidos de acordo com os
procedimentos documentados.

5.27 Aprender com os incidentes de Ao controle

segurança da informação
O conhecimento adquirido de incidentes de segurança da informação deve ser usado
para fortalecer e melhorar os controles de segurança da informação.

5.28 Coleta de evidências Ao controle

A organização deve estabelecer e implementar procedimentos para a

identificação, coleta, aquisição e preservação de evidências relacionadas a
eventos de segurança da informação.
5.29 Segurança da informação durante a Ao controle
interrupção
A organização deve planejar como manter a segurança da informação em um
nível apropriado durante a interrupção.
5.30 Prontidão de TIC para a continuidade dos Ao controle
negócios
A prontidão de TIC deve ser planejada, implementada, mantida e testada com base
nos objetivos de continuidade de negócios e nos requisitos de continuidade de TIC.

5.31 Requisitos legais, estatutários, Ao controle

regulamentares e contratuais
Os requisitos legais, estatutários, regulamentares e contratuais relevantes para a
segurança da informação e a abordagem da organização para atender a esses
requisitos devem ser identificados, documentados e mantidos atualizados.

5.32 Direito de propriedade intelectual Ao controle

A organização deve implementar procedimentos apropriados para proteger os

direitos de propriedade intelectual.

5.33 Proteção de registros Ao controle

Os registros devem ser protegidos contra perda, destruição, falsificação, acesso

não autorizado e liberação não autorizada.

,`,,`---
5.34 Privacidade e proteção de informações Ao controle
pessoais identificáveis (PII)
A organização deve identificar e atender aos requisitos relativos à

````,,,,,`,`,`,`,,`,-`-`,,`,,`
preservação da privacidade e proteção de PII de acordo com as leis e
regulamentos aplicáveis e requisitos contratuais.
5.35 Revisão independente de segurança Ao controle
- - ``,,,,,``

da informação
A abordagem da organização para gerenciar a segurança da informação e sua
implementação, incluindo pessoas, processos e tecnologias, deve ser revisada
independentemente em intervalos planejados ou quando ocorrerem mudanças
significativas.
5.36 Conformidade com políticas, regras Ao controle
e padrões de segurança da
A conformidade com a política de segurança da informação da organização, políticas
informação
específicas de tópicos, regras e padrões deve ser revisada regularmente.

5.37 Procedimentos operacionais Ao controle

documentados
Os procedimentos operacionais para instalações de processamento de informações devem
ser documentados e disponibilizados ao pessoal que deles necessitar.

© ISO/IEC 2022 – Todos os direitos reservados 13

ISO/IEC 27001:2022(E)

Tabela A.1(contínuo)
6 controles de pessoas

6.1 Triagem Ao controle

As verificações de antecedentes de todos os candidatos a se tornar

funcionários devem ser realizadas antes de ingressar na organização e de
forma contínua, levando em consideração as leis, regulamentos e ética
aplicáveis e ser proporcional aos requisitos de negócios, a classificação das
informações a serem acessadas e o riscos percebidos.
6.2 Termos e condições de Ao controle
emprego
Os acordos contratuais de trabalho devem estabelecer as responsabilidades do
pessoal e da organização pela segurança da informação.
6.3 Conscientização, educação e treinamento Ao controle
em segurança da informação
O pessoal da organização e as partes interessadas relevantes devem receber
conscientização, educação e treinamento adequados sobre segurança da informação e
atualizações regulares da política de segurança da informação da organização, políticas e
procedimentos específicos de tópicos, conforme relevante para sua função de trabalho.

6.4 Processo disciplinar Ao controle

Um processo disciplinar deve ser formalizado e comunicado para tomar

medidas contra o pessoal e outras partes interessadas relevantes que
cometeram uma violação da política de segurança da informação.
6.5 Responsabilidades após rescisão Ao controle
ou mudança de emprego
As responsabilidades e deveres de segurança da informação que permanecem
válidos após a rescisão ou mudança de emprego devem ser definidos, aplicados
e comunicados ao pessoal relevante e outras partes interessadas.
6.6 Acordos de confidencialidade ou Ao controle
não divulgação
Os acordos de confidencialidade ou não divulgação que reflitam as necessidades
da organização para a proteção de informações devem ser identificados,
documentados, revisados regularmente e assinados pelo pessoal e outras
partes interessadas relevantes.
6.7 Trabalho remoto Ao controle

Medidas de segurança devem ser implementadas quando o pessoal estiver trabalhando

remotamente para proteger as informações acessadas, processadas ou armazenadas fora
das instalações da organização.

6.8 Relatórios de eventos de segurança da Ao controle

informação
A organização deve fornecer um mecanismo para que o pessoal relate eventos
de segurança da informação observados ou suspeitos por meio de canais
apropriados em tempo hábil.
7 Controles físicos
7.1 Perímetros de segurança física Ao controle

Perímetros de segurança devem ser definidos e usados para proteger áreas

que contenham informações e outros ativos associados.
7.2 entrada física Ao controle

As áreas seguras devem ser protegidas por controles de entrada e pontos de acesso
apropriados.

7.3 Protegendo escritórios, salas e Ao controle

instalações
A segurança física de escritórios, salas e instalações deve ser projetada e
implementada.
7.4 Monitoramento de segurança física Ao controle

As instalações devem ser continuamente monitoradas para acesso físico não

autorizado.

14
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

© ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

Tabela A.1(contínuo)
7.5 Proteção contra ameaças Ao controle
físicas e ambientais
A proteção contra ameaças físicas e ambientais, como desastres
naturais e outras ameaças físicas intencionais ou não intencionais à
infraestrutura, deve ser projetada e implementada.
7.6 Trabalhar em áreas seguras Ao controle

Medidas de segurança para trabalhar em áreas seguras devem ser projetadas e

implementadas.

7.7 Mesa limpa e tela limpa Ao controle

Regras claras de mesa para papéis e mídias de armazenamento removíveis e regras claras
de tela para instalações de processamento de informações devem ser definidas e aplicadas
adequadamente.

7.8 Localização e proteção de equipamentos Ao controle

Os equipamentos devem estar instalados de forma segura e protegida.

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
7.9 Segurança de ativos fora do local Ao controle

Os ativos externos devem ser protegidos.

7.10 Mídia de armazenamento Ao controle

A mídia de armazenamento deve ser gerenciada durante seu ciclo de vida de

aquisição, uso, transporte e descarte de acordo com o esquema de classificação
da organização e os requisitos de manuseio.
7.11 Utilitários de suporte Ao controle

As instalações de processamento de informações devem ser protegidas contra falhas de

energia e outras interrupções causadas por falhas nos serviços públicos de suporte.

7.12 segurança de cabeamento Ao controle

Os cabos que transportam energia, dados ou serviços de informação de suporte

devem ser protegidos contra interceptação, interferência ou danos.

7.13 Manutenção de Equipamento Ao controle

Os equipamentos devem ser mantidos corretamente para garantir a disponibilidade,

integridade e confidencialidade das informações.

7.14 Descarte seguro ou reutilização de Ao controle

equipamentos
Itens de equipamento contendo mídia de armazenamento devem ser verificados para
garantir que quaisquer dados confidenciais e software licenciado tenham sido removidos
ou substituídos com segurança antes do descarte ou reutilização.

8 controles tecnológicos
8.1 Dispositivos de ponto final do usuário Ao controle

As informações armazenadas, processadas ou acessíveis por meio de dispositivos de ponto final do

usuário devem ser protegidas.

8.2 Direitos de acesso privilegiado Ao controle

A alocação e o uso de direitos de acesso privilegiado devem ser restritos e

gerenciados.
8.3 Restrição de acesso à informação Ao controle

O acesso às informações e outros ativos associados deve ser restrito de

acordo com a política específica de controle de acesso estabelecida.
8.4 Acesso ao código-fonte Ao controle

O acesso de leitura e gravação ao código-fonte, ferramentas de desenvolvimento e bibliotecas de

software deve ser gerenciado adequadamente.

© ISO/IEC 2022 – Todos os direitos reservados 15

ISO/IEC 27001:2022(E)

Tabela A.1(contínuo)
8.5 autenticação segura Ao controle

As tecnologias e procedimentos de autenticação segura devem ser implementados com

base nas restrições de acesso à informação e na política específica do tópico sobre controle
de acesso.

8.6 Gerenciamento de capacidade Ao controle

O uso de recursos deve ser monitorado e ajustado de acordo com os requisitos

de capacidade atuais e esperados.
8.7 Proteção contra malware Ao controle

A proteção contra malware deve ser implementada e apoiada pela

conscientização apropriada do usuário.
8.8 Gerenciamento de Ao controle
vulnerabilidades técnicas
Informações sobre vulnerabilidades técnicas dos sistemas de informação em
uso devem ser obtidas, a exposição da organização a tais vulnerabilidades deve
ser avaliada e medidas apropriadas devem ser tomadas.
8.9 Gerenciamento de configurações Ao controle

Configurações, incluindo configurações de segurança, de hardware, software,

serviços e redes devem ser estabelecidas, documentadas, implementadas,
monitoradas e revisadas.
8.10 Exclusão de informações Ao controle

As informações armazenadas em sistemas de informação, dispositivos ou em qualquer outro meio de

armazenamento devem ser excluídas quando não forem mais necessárias.

8.11 Mascaramento de dados Ao controle

O mascaramento de dados deve ser usado de acordo com a política específica de

tópico da organização sobre controle de acesso e outras políticas relacionadas a
tópicos específicos e requisitos de negócios, levando em consideração a legislação
aplicável.

8.12 Prevenção de vazamento de dados Ao controle

Medidas de prevenção de vazamento de dados devem ser aplicadas a sistemas, redes e

quaisquer outros dispositivos que processem, armazenem ou transmitam informações
confidenciais.

8.13 Backup de informações Ao controle

Cópias de backup de informações, software e sistemas devem ser mantidas e

testadas regularmente de acordo com a política específica de tópico acordada sobre - - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

backup.

8.14 Redundância de instalações de Ao controle

processamento de informações
As instalações de processamento de informações devem ser implementadas com redundância
suficiente para atender aos requisitos de disponibilidade.

8.15 Exploração madeireira Ao controle

Logs que registram atividades, exceções, falhas e outros eventos relevantes devem
ser produzidos, armazenados, protegidos e analisados.

8.16 Atividades de monitoramento Ao controle

Redes, sistemas e aplicativos devem ser monitorados quanto a comportamento

anômalo e ações apropriadas devem ser tomadas para avaliar possíveis incidentes de
segurança da informação.

8.17 Sincronização do relógio Ao controle

Os relógios dos sistemas de processamento de informações usados pela organização

devem ser sincronizados com fontes de tempo aprovadas.

16 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

Tabela A.1(contínuo)
8.18 Uso de programas utilitários privilegiados Ao controle

O uso de programas utilitários que podem ser capazes de substituir os controles

do sistema e do aplicativo deve ser restrito e rigorosamente controlado.
8.19 Instalação de software em Ao controle
sistemas operacionais
Procedimentos e medidas devem ser implementados para gerenciar com segurança a
instalação de software em sistemas operacionais.

8.20 segurança de redes Ao controle

Redes e dispositivos de rede devem ser protegidos, gerenciados e controlados

para proteger informações em sistemas e aplicativos.
8.21 Segurança de serviços de rede Ao controle

Mecanismos de segurança, níveis de serviço e requisitos de serviço de serviços de

rede devem ser identificados, implementados e monitorados.

8.22 Segregação de redes Ao controle

Grupos de serviços de informação, usuários e sistemas de informação

devem ser segregados nas redes da organização.
8.23 filtragem da web Ao controle

O acesso a sites externos deve ser gerenciado para reduzir a exposição a

conteúdo malicioso.
8.24 Uso de criptografia Ao controle

Regras para o uso efetivo da criptografia, incluindo gerenciamento de chaves

criptográficas, devem ser definidas e implementadas.
8.25 Ciclo de vida de desenvolvimento seguro Ao controle

Devem ser estabelecidas e aplicadas regras para o desenvolvimento seguro

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
de software e sistemas.
8.26 Requisitos de segurança do Ao controle
aplicativo
Os requisitos de segurança da informação devem ser identificados, especificados e
aprovados no desenvolvimento ou aquisição de aplicativos.

8.27 Arquitetura de sistema seguro e Ao controle

princípios de engenharia
Os princípios para a engenharia de sistemas seguros devem ser estabelecidos,
documentados, mantidos e aplicados a quaisquer atividades de desenvolvimento de
sistemas de informação.

8.28 Codificação segura Ao controle

Princípios de codificação segura devem ser aplicados ao desenvolvimento de software.

8.29 Testes de segurança em Ao controle

desenvolvimento e aceitação
Os processos de teste de segurança devem ser definidos e implementados no ciclo de vida
do desenvolvimento.

8h30 Desenvolvimento terceirizado Ao controle

A organização deve dirigir, monitorar e revisar as atividades relacionadas ao

desenvolvimento de sistemas terceirizados.

8.31 Separação dos ambientes de Ao controle

desenvolvimento, teste e produção
Os ambientes de desenvolvimento, teste e produção devem ser separados e
protegidos.
8.32 Mudar a gestão Ao controle

Alterações nas instalações de processamento de informações e sistemas de informação devem

estar sujeitas a procedimentos de gerenciamento de alterações.

8.33 informações de teste Ao controle

As informações de teste devem ser adequadamente selecionadas, protegidas e gerenciadas.

© ISO/IEC 2022 – Todos os direitos reservados 17

ISO/IEC 27001:2022(E)

8.34 Proteção de sistemas de informação
durante testes de auditoria
Tabela A.1(contínuo)
Ao controle
Testes de auditoria e outras atividades de garantia envolvendo avaliação de
sistemas operacionais devem ser planejados e acordados entre o testador e
a gerência apropriada.

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

18 © ISO/IEC 2022 – Todos os direitos reservados

 ISO/IEC 27001:2022(E)

Bibliografia

[1] ISO/IEC 27002:2022,Segurança da informação, segurança cibernética e proteção de privacidade — Controles de segurança da
informação

[2] ISO/IEC 27003,Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação

sistemas — Orientação

[3] ISO/IEC 27004,Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação

— Monitorização, medição, análise e avaliação
[4] ISO/IEC 27005,Segurança da informação, segurança cibernética e proteção da privacidade — Orientação sobre gerenciamento
de riscos de segurança da informação

[5] ISO 31000:2018,Gestão de riscos - Diretrizes

- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

© ISO/IEC 2022 – Todos os direitos reservados 19

ISO/IEC 27001:2022(E)
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

ICS 03.100.70; 35.030

Preço baseado em 19 páginas

© ISO/IEC 2022 – Todos os direitos reservados