Escolar Documentos
Profissional Documentos
Cultura Documentos
com
INTERNACIONAL ISO/IEC
PADRÃO 27001
Terceira edição
2022-10
Número de referência
ISO/IEC 27001:2022(E)
- - ``,,,,,``````,,,,,`,` , `, `,,`,-`-`,,`,,`,`,,`---
© ISO/IEC 2022
ISO/IEC 27001:2022(E)
© ISO/IEC 2022
Todos os direitos reservados. A menos que especificado de outra forma ou exigido no contexto de sua implementação, nenhuma parte desta
publicação pode ser reproduzida ou utilizada de qualquer outra forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia ou
publicação na Internet ou intranet, sem autorização prévia permissão escrita. A permissão pode ser solicitada à ISO no endereço abaixo ou ao órgão
membro da ISO no país do solicitante.
escritório de direitos autorais ISO
Publicado na Suíça
Conteúdo Página
Prefácio
ISO (Organização Internacional para Padronização) e IEC (Comissão Eletrotécnica Internacional) formam
o sistema especializado para padronização mundial. Organismos nacionais membros da ISO ou IEC
participam do desenvolvimento de Normas Internacionais por meio de comitês técnicos estabelecidos
pela respectiva organização para lidar com campos específicos de atividade técnica. Os comitês técnicos
ISO e IEC colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais
e não governamentais, em articulação com a ISO e IEC, também participam dos trabalhos.
Os procedimentos usados para desenvolver este documento e aqueles destinados à sua manutenção
posterior são descritos nas Diretivas ISO/IEC, Parte 1. Em particular, os diferentes critérios de aprovação
necessários para os diferentes tipos de documento devem ser observados. Este documento foi elaborado de
acordo com as regras editoriais das Diretivas ISO/IEC, Parte 2 (verwww.iso.org/directives ou www.iec.ch/
members_experts/refdocs ).
Chama-se a atenção para a possibilidade de alguns dos elementos deste documento poderem ser objecto de direitos de
patente. A ISO e a IEC não serão responsabilizadas pela identificação de nenhum ou de todos esses direitos de patente. Os
detalhes de quaisquer direitos de patente identificados durante o desenvolvimento do documento estarão na Introdução
e/ou na lista ISO de declarações de patentes recebidas (consultewww.iso.org/patents ) ou a lista IEC de declarações de
patentes recebidas (verhttps://patents.iec.ch ).
Qualquer nome comercial usado neste documento é uma informação fornecida para conveniência dos usuários e
não constitui um endosso.
Para obter uma explicação sobre a natureza voluntária dos padrões, o significado dos termos e expressões
específicos da ISO relacionados à avaliação de conformidade, bem como informações sobre a adesão da ISO
aos princípios da Organização Mundial do Comércio (OMC) nas Barreiras Técnicas ao Comércio (TBT),
consulte www.iso.org/iso/foreword.html . No IEC, verwww.iec.ch/understanding-standards .
Este documento foi preparado pelo Comitê Técnico Conjunto ISO/IEC JTC 1,Tecnologia da Informação, Subcomitê
SC 27,Segurança da informação, cibersegurança e proteção da privacidade.
Esta terceira edição cancela e substitui a segunda edição (ISO/IEC 27001:2013), que foi revisada
tecnicamente. Também incorpora a Corrigenda Técnica ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC
27001:2013/Cor 2:2015.
— o texto foi alinhado com a estrutura harmonizada para normas de sistemas de gestão e ISO/IEC
27002:2022.
Quaisquer comentários ou perguntas sobre este documento devem ser direcionados ao organismo nacional de
normalização do usuário. Uma lista completa desses órgãos pode ser encontrada emwww.iso.org/members.html e
www.iec.ch/national-committees .
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
Introdução
0.1 Geral
Este documento foi preparado para fornecer requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gerenciamento de segurança da informação. A adoção de um sistema de gestão da
segurança da informação é uma decisão estratégica para uma organização. O estabelecimento e a implementação
de um sistema de gerenciamento de segurança da informação de uma organização são influenciados pelas
necessidades e objetivos da organização, requisitos de segurança, processos organizacionais usados e tamanho e
estrutura da organização. Espera-se que todos esses fatores de influência mudem com o tempo.
O sistema de gestão da segurança da informação preserva a confidencialidade, a integridade e a disponibilidade das informações
por meio da aplicação de um processo de gestão de riscos e transmite às partes interessadas a confiança de que os riscos são
gerenciados adequadamente.
É importante que o sistema de gestão da segurança da informação seja parte e integrado aos processos da
organização e à estrutura geral de gestão e que a segurança da informação seja considerada no desenho de
processos, sistemas de informação e controles. Espera-se que a implantação de um sistema de gestão de
segurança da informação seja dimensionada de acordo com as necessidades da organização.
Este documento pode ser usado por partes internas e externas para avaliar a capacidade da organização de atender aos
requisitos de segurança da informação da própria organização.
A ordem em que os requisitos são apresentados neste documento não reflete sua importância ou
implica a ordem em que devem ser implementados. Os itens da lista são enumerados apenas para fins
de referência.
A ISO/IEC 27000 descreve a visão geral e o vocabulário dos sistemas de gerenciamento de segurança da
informação, referenciando a família de sistemas de gerenciamento de segurança da informação (incluindo
ISO/IEC 27003[2], ISO/IEC 27004[3]e ISO/IEC 27005[4]), com termos e definições relacionados.
Este documento aplica a estrutura de alto nível, títulos de subcláusulas idênticos, texto idêntico, termos
comuns e definições básicas definidas no Anexo SL das Diretivas ISO/IEC, Parte 1, Suplemento ISO
Consolidado e, portanto, mantém a compatibilidade com outros padrões de sistema de gestão que adotaram
o Anexo SL.
Essa abordagem comum definida no Anexo SL será útil para aquelas organizações que optam por
operar um único sistema de gestão que atenda aos requisitos de dois ou mais padrões de sistema de
gestão.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
1 Escopo
Este documento especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de
gerenciamento de segurança da informação dentro do contexto da organização. Este documento também inclui
requisitos para avaliação e tratamento de riscos de segurança da informação adequados às necessidades da organização.
Os requisitos estabelecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações,
independentemente do seu tipo, dimensão ou natureza. Excluindo qualquer um dos requisitos especificados emCláusulas
4 para10 não é aceitável quando uma organização afirma estar em conformidade com este documento.
2 Referências normativas
Os seguintes documentos são referidos no texto de tal forma que parte ou todo o seu conteúdo constitui
requisitos deste documento. Para referências datadas, aplica-se apenas a edição citada. Para referências não
datadas, aplica-se a edição mais recente do documento referenciado (incluindo quaisquer alterações).
3 Termos e definições
Para os fins deste documento, aplicam-se os termos e definições fornecidos na ISO/IEC 27000.
ISO e IEC mantêm bancos de dados de terminologia para uso em padronização nos seguintes endereços:
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
4 Contexto da organização
OBSERVAÇÃO Determinar essas questões refere-se a estabelecer o contexto externo e interno da organização
considerado na Cláusula 5.4.1 da ISO 31000:2018[5].
c) quais desses requisitos serão atendidos por meio do sistema de gestão da segurança da
informação.
OBSERVAÇÃO Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares e requisitos contratuais
obrigações.
5 Liderança
A alta direção deve demonstrar liderança e comprometimento com relação ao sistema de gestão
de segurança da informação:
c) assegurar que os recursos necessários ao sistema de gestão da segurança da informação estejam disponíveis;
e) garantir que o sistema de gestão da segurança da informação alcance o(s) resultado(s) pretendido(s);
f) dirigir e apoiar as pessoas para contribuir para a eficácia do sistema de gestão da segurança da
informação;
h) apoiar outras funções de gerenciamento relevantes para demonstrar sua liderança conforme se aplica às suas áreas de
responsabilidade.
OBSERVAÇÃO A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar as atividades que são
fundamental para os propósitos da existência da organização.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
5.2 Política
b) inclui objetivos de segurança da informação (ver6.2 ) ou fornece a estrutura para definir objetivos de segurança
da informação;
A alta direção deve assegurar que as responsabilidades e autoridades para funções relevantes para a segurança da
informação sejam atribuídas e comunicadas dentro da organização.
a) garantir que o sistema de gestão da segurança da informação esteja em conformidade com os requisitos deste
documento;
OBSERVAÇÃO A alta administração também pode atribuir responsabilidades e autoridades para relatar o desempenho do
sistema de gerenciamento de segurança da informação dentro da organização.
6 Planejamento
6.1.1 Geral
a) garantir que o sistema de gestão da segurança da informação possa alcançar o(s) resultado(s) pretendido(s);
e) como
v̀̀ ed
,
, , , , ````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
3
ISO/IEC 27001:2022(E)
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
b) garante que avaliações repetidas de riscos de segurança da informação produzam resultados consistentes,
válidos e comparáveis;
1) comparar os resultados da análise de risco com os critérios de risco estabelecidos em6.1.2 a); e
A organização deve reter informações documentadas sobre o processo de avaliação de riscos de segurança da
informação.
A organização deve definir e aplicar um processo de tratamento de riscos de segurança da informação para:
a) selecionar opções apropriadas de tratamento de riscos de segurança da informação, levando em conta os resultados da
avaliação de riscos;
b) determinar todos os controles necessários para implementar a(s) opção(ões) de tratamento de riscos de segurança da
informação escolhida(s);
NOTA 1 As organizações podem projetar controles conforme necessário ou identificá-los de qualquer fonte.
NOTA 2 Anexo A contém uma lista de possíveis controles de segurança da informação. Os usuários deste documento são
direcionado àAnexo A para garantir que nenhum controle de segurança da informação necessário seja negligenciado.
NOTA 3 Os controles de segurança da informação listados emAnexo A não são exaustivas e informações adicionais
controles de segurança podem ser incluídos, se necessário.
f) obter a aprovação dos proprietários do risco para o plano de tratamento dos riscos de segurança da informação e aceitação dos riscos
residuais de segurança da informação.
A organização deve reter informações documentadas sobre o processo de tratamento de riscos de segurança da
informação.
NOTA 4 O processo de avaliação e tratamento de riscos de segurança da informação neste documento está alinhado com o
princípios e diretrizes genéricas fornecidas na ISO 31000[5].
d) ser monitorado;
e) ser comunicado;
Ao planejar como atingir seus objetivos de segurança da informação, a organização deve determinar:
7 Suporte
7.1 Recursos
A organização deve determinar e fornecer os recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do sistema de gestão da segurança da
informação.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
7.2 Competência
A organização deve:
a) determinar a competência necessária da(s) pessoa(s) realizando trabalho sob seu controle que afete seu
desempenho de segurança da informação;
b) garantir que essas pessoas sejam competentes com base em educação, treinamento ou experiência
apropriados;
c) quando aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia das
ações tomadas; e
OBSERVAÇÃO As ações aplicáveis podem incluir, por exemplo: o fornecimento de treinamento, orientação ou re-
cessão de funcionários atuais; ou a contratação ou contratação de pessoas competentes.
7.3 Conscientização
As pessoas que trabalham sob o controle da organização devem estar cientes de:
b) sua contribuição para a eficácia do sistema de gestão da segurança da informação, incluindo os benefícios
do melhor desempenho da segurança da informação; e
7.4 Comunicação
A organização deve determinar a necessidade de comunicações internas e externas relevantes para o
sistema de gestão da segurança da informação, incluindo:
b) quando comunicar;
d) como se comunicar.
7.5.1 Geral
OBSERVAÇÃO A extensão das informações documentadas para um sistema de gerenciamento de segurança da informação pode diferir
de uma organização para outra devido a:
b) formato (por exemplo, linguagem, versão de software, gráficos) e mídia (por exemplo, papel, eletrônico); e
As informações documentadas exigidas pelo sistema de gestão da segurança da informação e por este documento
devem ser controladas para garantir:
b) está adequadamente protegido (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade).
Para o controle de informações documentadas, a organização deve abordar as seguintes atividades, conforme
aplicável:
f) retenção e alienação.
As informações documentadas de origem externa, determinadas pela organização como necessárias para o
planejamento e operação do sistema de gestão da segurança da informação, devem ser identificadas conforme
apropriado e controladas.
OBSERVAÇÃO O acesso pode implicar uma decisão sobre a permissão para visualizar apenas as informações documentadas, ou
a permissão e autoridade para visualizar e alterar as informações documentadas, etc.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
8 Operação
A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e
implementar as ações determinadas na Cláusula 6, por meio de:
As informações documentadas devem estar disponíveis na medida necessária para ter a confiança de que os
processos foram executados conforme planejado.
A organização deve controlar as mudanças planejadas e revisar as consequências de mudanças não intencionais, tomando
medidas para mitigar quaisquer efeitos adversos, conforme necessário.
A organização deve assegurar que processos, produtos ou serviços fornecidos externamente que sejam relevantes para o
sistema de gestão da segurança da informação sejam controlados.
A organização deve realizar avaliações de risco de segurança da informação em intervalos planejados ou quando
mudanças significativas forem propostas ou ocorrerem, levando em conta os critérios estabelecidos em6.1.2 a).
A organização deve reter informações documentadas dos resultados das avaliações de risco de segurança da
informação.
A organização deve reter informações documentadas dos resultados do tratamento do risco de segurança da
informação.
9 Avaliação de desempenho
a) o que precisa ser monitorado e medido, incluindo processos e controles de segurança da informação;
b) os métodos de monitoramento, medição, análise e avaliação, conforme aplicável, para garantir resultados
válidos. Os métodos selecionados devem produzir resultados comparáveis e reprodutíveis para serem
considerados válidos;
9.2.1 Geral
A organização deve conduzir auditorias internas em intervalos planejados para fornecer informações sobre se o
sistema de gestão da segurança da informação:
A organização deve:
b) selecionar auditores e conduzir auditorias que assegurem a objetividade e a imparcialidade do processo de auditoria;
As informações documentadas devem estar disponíveis como prova da implementação do(s) programa(s) de auditoria e dos
resultados da auditoria.
9.3.1 Geral
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
A alta administração deve revisar o sistema de gerenciamento de segurança da informação da organização em intervalos
planejados para garantir sua adequação, suficiência e eficácia contínuas.
c) mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o sistema de gestão da
segurança da informação;
3) resultados da auditoria;
Os resultados da revisão gerencial devem incluir decisões relacionadas a oportunidades de melhoria contínua e
quaisquer necessidades de mudanças no sistema de gerenciamento de segurança da informação.
As informações documentadas devem estar disponíveis como evidência dos resultados das análises gerenciais.
10 Melhoria
b) avaliar a necessidade de ação para eliminar as causas da não conformidade, a fim de que ela não se repita ou ocorra em outro
lugar, por meio de:
As ações corretivas devem ser adequadas aos efeitos das não conformidades encontradas.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
Anexo A
(normativo)
Os controles de segurança da informação listados emTabela A.1 são diretamente derivados e alinhados com aqueles
listados na ISO/IEC 27002:2022[1], Cláusulas 5 a 8, e deve ser usado em contexto com6.1.3 .
5 Controles organizacionais
5.1 Políticas de segurança da Ao controle
informação
A política de segurança da informação e as políticas de tópicos específicos devem ser
definidas, aprovadas pela administração, publicadas, comunicadas e reconhecidas
pelo pessoal relevante e partes interessadas relevantes, e revisadas em intervalos
planejados e se ocorrerem mudanças significativas.
Tabela A.1(contínuo)
5.12 Classificação das informações Ao controle
Tabela A.1(contínuo)
5.25 Avaliação e decisão sobre eventos Ao controle
de segurança da informação
A organização deve avaliar os eventos de segurança da informação e decidir se eles
devem ser categorizados como incidentes de segurança da informação.
,`,,`---
5.34 Privacidade e proteção de informações Ao controle
pessoais identificáveis (PII)
A organização deve identificar e atender aos requisitos relativos à
````,,,,,`,`,`,`,,`,-`-`,,`,,`
preservação da privacidade e proteção de PII de acordo com as leis e
regulamentos aplicáveis e requisitos contratuais.
5.35 Revisão independente de segurança Ao controle
- - ``,,,,,``
da informação
A abordagem da organização para gerenciar a segurança da informação e sua
implementação, incluindo pessoas, processos e tecnologias, deve ser revisada
independentemente em intervalos planejados ou quando ocorrerem mudanças
significativas.
5.36 Conformidade com políticas, regras Ao controle
e padrões de segurança da
A conformidade com a política de segurança da informação da organização, políticas
informação
específicas de tópicos, regras e padrões deve ser revisada regularmente.
Tabela A.1(contínuo)
6 controles de pessoas
As áreas seguras devem ser protegidas por controles de entrada e pontos de acesso
apropriados.
14
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
Tabela A.1(contínuo)
7.5 Proteção contra ameaças Ao controle
físicas e ambientais
A proteção contra ameaças físicas e ambientais, como desastres
naturais e outras ameaças físicas intencionais ou não intencionais à
infraestrutura, deve ser projetada e implementada.
7.6 Trabalhar em áreas seguras Ao controle
Regras claras de mesa para papéis e mídias de armazenamento removíveis e regras claras
de tela para instalações de processamento de informações devem ser definidas e aplicadas
adequadamente.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
7.9 Segurança de ativos fora do local Ao controle
8 controles tecnológicos
8.1 Dispositivos de ponto final do usuário Ao controle
Tabela A.1(contínuo)
8.5 autenticação segura Ao controle
backup.
Logs que registram atividades, exceções, falhas e outros eventos relevantes devem
ser produzidos, armazenados, protegidos e analisados.
Tabela A.1(contínuo)
8.18 Uso de programas utilitários privilegiados Ao controle
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
de software e sistemas.
8.26 Requisitos de segurança do Ao controle
aplicativo
Os requisitos de segurança da informação devem ser identificados, especificados e
aprovados no desenvolvimento ou aquisição de aplicativos.
Tabela A.1(contínuo)
8.34 Proteção de sistemas de informação Ao controle
durante testes de auditoria
Testes de auditoria e outras atividades de garantia envolvendo avaliação de
sistemas operacionais devem ser planejados e acordados entre o testador e
a gerência apropriada.
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
Bibliografia
[1] ISO/IEC 27002:2022,Segurança da informação, segurança cibernética e proteção de privacidade — Controles de segurança da
informação
- - ``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---