[ABNT NBR ISOIEC 27000_2018] Tecnologia Da Informação - Técnicas de Segurança - Sistemas de Gestão de Segurança Da Informação

Machine Translated by Google
INTERNACIONAL ISO/IEC
PADRÃO 27.000
Quinta edição
2018-02
Tecnologia da informação —
Técnicas de segurança — Sistemas
de gestão de segurança da informação
— Visão geral e vocabulário
Tecnologias da informação — Técnicas de segurança — Sistemas
de gestão da segurança da informação — Visão do conjunto e
vocabulário
Número de referência
ISO/IEC 27000:2018(E)
© ISO/IEC 2018
ISO/IEC 27000:2018(E)
DOCUMENTO PROTEGIDO POR DIREITOS AUTORAIS
©ISO/IEC 2018
Todos os direitos reservados. Salvo especificação em contrário, ou exigido no contexto da sua implementação, nenhuma parte desta
publicação pode ser reproduzida ou utilizada de outra forma, em qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo
fotocópia ou publicação na Internet ou intranet, sem autorização prévia. permissão escrita. A permissão pode ser solicitada à ISO no
endereço abaixo ou ao órgão membro da ISO no país do solicitante.
Escritório de direitos autorais ISO
CP 401 • Cap. de Blandonnet8
CH-1214 Vernier, Genebra, Suíça
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
Publicado na Suíça
eu © ISO/IEC 2018 – Todos os direitos reservados

ISO/IEC 27000:2018(E)
Conteúdo Página
Prefácio................................................. .................................................. .................................................. .................................................. .................................4
Introdução................................................. .................................................. .................................................. .................................................. ...........................v
1 Escopo................................................. .................................................. .................................................. .................................................. ...........................1
2 Referências normativas ................................................ .................................................. .................................................. ...................................1
3 Termos e definições................................................... .................................................. .................................................. ...................................1
4 Sistemas de gerenciamento de segurança da informação .................................. .................................................. .........................11

4.1 Em geral................................................. .................................................. .................................................. .................................................. .11
4.2 O que é um SGSI? .................................................. .................................................. .................................................. ...........................11
4.2.1 Visão geral e princípios .......................................... .................................................. ...........................................11
4.2.2 Informações............................................. .................................................. .................................................. ......................12
4.2.3 Segurança da informação............................................. .................................................. .................................................. .12

4.2.4 Gestão............................................. .................................................. .................................................. ...................12
4.2.5 Sistema de gestão............................................. .................................................. .................................................. .13

4.3 Abordagem do processo................................................. .................................................. .................................................. ............................13
4.4 Por que um SGSI é importante......................................... .................................................. .................................................. ..........13

4.5 Estabelecer, monitorar, manter e melhorar um SGSI........................................ ........................14
4.5.1 Visão geral............................................. .................................................. .................................................. ............................14
4.5.2 Identificando requisitos de segurança da informação...................................... ...................................14
4.5.3 Avaliando riscos de segurança da informação ........................................... .................................................. .............15
4.5.4 Tratando riscos de segurança da informação......................................... .................................................. .................15
4.5.5 Selecionando e implementando controles ......................................... .................................................. ............15
4.5.6 Monitorar, manter e melhorar a eficácia do SGSI.................................. .........16
4.5.7 Melhoria contínua............................................. .................................................. ...........................................16
4.6 Fatores críticos de sucesso do SGSI ............................................. .................................................. .................................................. ....17
4.7 Benefícios da família de padrões SGSI......................................... .................................................. ...........................17
5 Família de padrões SGSI ......................................... .................................................. .................................................. .........................18

5.1 Informações gerais................................................. .................................................. .................................................. ....................18
5.2 Norma que descreve uma visão geral e terminologia: ISO/IEC 27000 (este documento).........19
5.3 Normas especificando requisitos......................................... .................................................. ...................................19
5.3.1 ISO/IEC 27001........................................... .................................................. .................................................. .................19
5.3.2 ISO/IEC 27006......................................... .................................................. .................................................. .................20
5.3.3 ISO/IEC 27009......................................... .................................................. .................................................. .................20
5.4 Normas que descrevem diretrizes gerais ............................................. .................................................. ......................20
5.4.1 ISO/IEC 27002......................................... .................................................. .................................................. .................20
5.4.2 ISO/IEC 27003......................................... .................................................. .................................................. .................20
5.4.3 ISO/IEC 27004........................................... .................................................. .................................................. .................21
5.4.4 ISO/IEC 27005......................................... .................................................. .................................................. .................21
5.4.5 ISO/IEC 27007........................................... .................................................. .................................................. .................21
5.4.6 ISO/IEC TR 27008 .......................................... .................................................. .................................................. .........21
5.4.7 ISO/IEC 27013......................................... .................................................. .................................................. .................22
5.4.8 ISO/IEC 27014......................................... .................................................. .................................................. .................22
5.4.9 ISO/IEC TR 27016 ........................................... .................................................. .................................................. .........22
5.4.10 ISO/IEC 27021......................................... .................................................. .................................................. .................22
5.5 Normas que descrevem diretrizes específicas do setor ..................................... .................................................. ......23
5.5.1 ISO/IEC 27010........................................... .................................................. .................................................. .................23
5.5.2 ISO/IEC 27011........................................... .................................................. .................................................. .................23
5.5.3 ISO/IEC 27017........................................... .................................................. .................................................. .................23
5.5.4 ISO/IEC 27018........................................... .................................................. .................................................. .................24
5.5.5 ISO/IEC 27019......................................... .................................................. .................................................. .................24
5.5.6 ISO 27799......................................... .................................................. .................................................. ...........................25
Bibliografia................................................. .................................................. .................................................. .................................................. ......................26
© ISO/IEC 2018 – Todos os direitos reservados iii

ISO/IEC 27000:2018(E)
Prefácio
ISO (a Organização Internacional de Padronização) é uma federação mundial de organismos nacionais de padronização (órgãos
membros da ISO). O trabalho de preparação de Normas Internacionais é normalmente realizado através de comitês técnicos ISO.
Cada órgão membro interessado em um assunto para o qual tenha sido criado um comitê técnico tem o direito de ser representado
nesse comitê. Organizações internacionais, governamentais e não governamentais, em ligação com a ISO, também participam no
trabalho.
A ISO colabora estreitamente com a Comissão Eletrotécnica Internacional (IEC) em todos os assuntos de padronização eletrotécnica.
Os procedimentos utilizados para desenvolver este documento e aqueles destinados à sua manutenção
posterior estão descritos nas Diretivas ISO/IEC, Parte 1. Em particular, os diferentes critérios de aprovação
necessários para os diferentes tipos de documentos ISO devem ser observados. Este documento foi elaborado
de acordo com as regras editoriais das Diretivas ISO/IEC, Parte 2 (ver www.iso.org/directives).
Chama-se a atenção para a possibilidade de alguns dos elementos deste documento poderem ser objeto de direitos
de patente. A ISO não será responsabilizada pela identificação de qualquer ou todos esses direitos de patente.
Detalhes de quaisquer direitos de patente identificados durante o desenvolvimento do documento estarão na
Introdução e/ou na lista ISO de declarações de patentes recebidas (ver www.iso.org/patents).
Qualquer nome comercial utilizado neste documento é informação fornecida para conveniência dos usuários e não constitui um
endosso.
Para obter uma explicação sobre a natureza voluntária das normas, o significado dos termos e expressões específicos da ISO
relacionados à avaliação da conformidade, bem como informações sobre a adesão da ISO aos princípios da Organização Mundial
do Comércio (OMC) nas Barreiras Técnicas ao Comércio (TBT), consulte o seguinte URL: www.iso.org/iso/foreword.html.
Este documento foi preparado pelo Comitê Técnico ISO/IEC JTC 1, Tecnologia da Informação, SC 27, Técnicas de Segurança de
TI.
Esta quinta edição cancela e substitui a quarta edição (ISO/IEC 27000:2016), que foi revisada tecnicamente. As principais alterações
em relação à edição anterior são as seguintes:
— a introdução foi reformulada;
— alguns termos e definições foram removidos;
— A cláusula 3 foi alinhada com a estrutura de alto nível do MSS;
— A cláusula 5 foi atualizada para refletir as alterações nas normas em causa;
— Os anexos A e B foram suprimidos.
4 © ISO/IEC 2018 – Todos os direitos reservados

ISO/IEC 27000:2018(E)
Introdução
0.1 Visão geral
As Normas Internacionais para sistemas de gestão fornecem um modelo a seguir na criação e operação de um
sistema de gestão. Este modelo incorpora as características sobre as quais os especialistas na área chegaram a um
consenso como sendo o estado da arte internacional. ISO/IEC JTC 1/SC 27 mantém um comitê de especialistas
dedicado ao desenvolvimento de padrões internacionais de sistemas de gestão para segurança da informação,
também conhecidos como família de padrões de sistemas de gerenciamento de segurança da informação (ISMS).
Através do uso da família de padrões SGSI, as organizações podem desenvolver e implementar uma estrutura para
gerenciar a segurança de seus ativos de informação, incluindo informações financeiras, propriedade intelectual e
detalhes de funcionários, ou informações que lhes foram confiadas por clientes ou terceiros. Estas normas também
podem ser usadas para preparar uma avaliação independente do seu SGSI aplicado à proteção da informação.
0.2 Objetivo deste documento
A família de padrões do SGSI inclui padrões que:
a) definir requisitos para um SGSI e para aqueles que certificam tais sistemas;
b) fornecer suporte direto, orientação detalhada e/ou interpretação para o processo geral para estabelecer,
implementar, manter e melhorar um SGSI;
c) abordar diretrizes específicas do setor para SGSI; e
d) abordar a avaliação de conformidade para SGSI.
0.3 Conteúdo deste documento
Neste documento, são utilizadas as seguintes formas verbais:
— “deve” indica um requisito;
— “deveria” indica uma recomendação;
— “pode” indica uma permissão;
— “can” indica uma possibilidade ou capacidade.
As informações marcadas como "NOTA" são para orientação na compreensão ou esclarecimento do requisito
associado. As “Notas de entrada” utilizadas na Cláusula 3 fornecem informações adicionais que complementam os
dados terminológicos e podem conter disposições relativas ao uso de um termo.
© ISO/IEC 2018 – Todos os direitos reservados v

PADRÃO INTERNACIONAL ISO/IEC 27000:2018(E)
Tecnologia da informação — Técnicas de segurança —

Sistemas de gestão de segurança da informação — Visão geral
e vocabulário
1 Escopo
Este documento fornece uma visão geral dos sistemas de gerenciamento de segurança da informação (SGSI). Ele também
fornece termos e definições comumente usados na família de padrões SGSI. Este documento é aplicável a todos os tipos e
tamanhos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins
lucrativos).
Os termos e definições fornecidos neste documento
— cobrir termos e definições comumente usados na família de padrões SGSI;
— não cobrem todos os termos e definições aplicados dentro da família de normas SGSI; e
— não limitar a família de padrões do SGSI na definição de novos termos de uso.
2 Referências normativas
Não há referências normativas neste documento.
3Termos e definições
ISO e IEC mantêm bancos de dados terminológicos para uso em padronização nos seguintes endereços:
— Plataforma de navegação ISO Online: disponível em https://www.iso.org/obp
— Eletropedia IEC: disponível em https://www.electropedia.org/

3.1
controle de acesso
significa garantir que o acesso aos ativos seja autorizado e restrito com base nos requisitos comerciais e de segurança
(3.56)
3.2
ataque
tentar destruir, expor, alterar, desabilitar, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um ativo
3.3
auditoria
processo sistemático, independente e documentado (3.54) para obter evidência de auditoria e avaliá-la objetivamente para
determinar até que ponto os critérios de auditoria são atendidos
Nota 1 de entrada: Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa (segunda parte ou terceiro), e
pode ser uma auditoria combinada (combinando duas ou mais disciplinas).
Nota 2 de entrada: Uma auditoria interna é conduzida pela própria organização ou por uma parte externa em seu nome.
Nota 3 de entrada: “Evidência de auditoria” e “critérios de auditoria” são definidos na ISO 19011.
© ISO/IEC 2018 – Todos os direitos reservados 1

ISO/IEC 27000:2018(E)
3.4
Extensão do
escopo da auditoria e limites de uma auditoria (3.3)
[FONTE: ISO 19011:2011, 3.14, modificado — a nota 1 da entrada foi excluída.]
3.5
autenticação
fornecimento de garantia de que uma característica reivindicada de uma entidade está correta
3.6
propriedade de
autenticidade de que uma entidade é o que afirma ser
3.7
disponibilidade
propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada
3.8
medida básica
medida (3.42) definida em termos de um atributo e o método para quantificá-lo
Nota 1 de entrada: Uma medida básica é funcionalmente independente de outras medidas.
[FONTE: ISO/IEC/IEEE 15939:2017, 3.3, modificado — a nota 2 da entrada foi excluída.]
3.9
competência
capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos
3.10
propriedade de
confidencialidade de que as informações não são disponibilizadas ou divulgadas a indivíduos, entidades ou processos não
autorizados (3.54)
3.11
conformidade
cumprimento de um requisito (3.56)
3.12
consequência
resultado de um evento (3.21) que afeta os objetivos (3.49)
Nota 1 de entrada: Um evento pode levar a uma série de consequências.
Nota 2 de entrada: Uma consequência pode ser certa ou incerta e, no contexto da segurança da informação, geralmente é negativa.
Nota 3 de entrada: As consequências podem ser expressas qualitativa ou quantitativamente.
Nota 4 de entrada: As consequências iniciais podem aumentar através de efeitos indiretos.
[FONTE: ISO Guide 73:2009, 3.6.1.3, modificado — A nota 2 da entrada foi alterada após “e”.]
3.13
atividade recorrente de melhoria
contínua para melhorar o desempenho (3.52)

ISO/IEC 27000:2018(E)
3.14
medida
de controle que está modificando o risco (3.61)
Nota 1 de entrada: Os controles incluem qualquer processo (3.54), política (3.53), dispositivo, prática ou outras ações que modifiquem o risco (3.61).
Nota 2 de entrada: É possível que os controles nem sempre exerçam o efeito modificador pretendido ou assumido.
[FONTE: ISO Guide 73:2009, 3.8.1.1 — A nota 2 da entrada foi alterada.]
3.15
declaração do objetivo
do controle descrevendo o que deve ser alcançado como resultado da implementação de controles (3.14)
3.16
ação corretiva
para eliminar uma não conformidade detectada (3.47)
3.17
ação corretiva ação
para eliminar a causa de uma não conformidade (3.47) e prevenir a recorrência
3.18
medida derivada
medida (3.42) que é definida como uma função de dois ou mais valores de medidas básicas (3.8)
3.19
informações documentadas
informações que devem ser controladas e mantidas por uma organização (3.50) e o meio em que estão contidas
Nota 1 de entrada: A informação documentada pode estar em qualquer formato e mídia e ser proveniente de qualquer fonte.
Nota 2 de entrada: As informações documentadas podem referir-se a
— o sistema de gestão (3.41), incluindo processos relacionados (3.54);
— informações criadas para o funcionamento da organização (3.50) (documentação);
— provas dos resultados alcançados (registos).
3.20
eficácia até que
ponto as atividades planejadas são realizadas e os resultados planejados alcançados
3.21
ocorrência de evento ou mudança de um determinado conjunto de circunstâncias
Nota 1 de entrada: Um evento pode ser uma ou mais ocorrências e pode ter diversas causas.
Nota 2 de entrada: Um evento pode consistir em algo que não acontece.
Nota 3 de entrada: Às vezes, um evento pode ser chamado de “incidente” ou “acidente”.
[FONTE: ISO Guide 73:2009, 3.5.1.3, modificado — a nota 4 da entrada foi excluída.]

ISO/IEC 27000:2018(E)
3.22
contexto externo
ambiente externo em que a organização busca atingir seus objetivos (3.49)
Nota 1 de entrada: O contexto externo pode incluir o seguinte:
— os aspectos culturais, sociais, políticos, jurídicos, regulamentares, financeiros, tecnológicos, económicos, naturais e competitivos
ambiente, seja ele internacional, nacional, regional ou local;
— principais impulsionadores e tendências com impacto nos objetivos da organização (3.50);
— relações e percepções e valores das partes interessadas externas (3.37).
[FONTE: Guia ISO 73:2009, 3.3.1.1]
3.23
governança do sistema de segurança da
informação pelo qual as atividades de segurança da informação (3.28) de uma organização (3.50 ) são dirigidas e controladas
3.24
órgão governamental
pessoa ou grupo de pessoas responsáveis pelo desempenho (3.52) e conformidade da organização (3.50)
Nota 1 de entrada: O corpo diretivo pode, em algumas jurisdições, ser um conselho de administração.
3.25
medida
indicadora (3.42) que fornece uma estimativa ou avaliação
3.26
as informações
precisam de insights necessários para gerenciar objetivos (3.49), metas, riscos e problemas
[FONTE: ISO/IEC/IEEE 15939:2017, 3.12]
3.27
instalações de processamento de
informações, qualquer sistema, serviço ou infraestrutura de processamento de informações, ou o local físico que o abriga
3.28
segurança da informação
preservação da confidencialidade (3.10), integridade (3.36) e disponibilidade (3.7) da informação
Nota 1 de entrada: Além disso, outras propriedades, como autenticidade (3.6), responsabilidade, não repúdio (3.48) e confiabilidade
(3.55) também podem estar envolvidas.
3.29
processos de continuidade da segurança
da informação (3.54) e procedimentos para garantir operações contínuas de segurança da informação (3.28)
3.30
evento de segurança da
informação identificado ocorrência de um estado de sistema, serviço ou rede indicando uma possível violação da política
de segurança da informação (3.28) (3.53) ou falha de controles (3.14), ou uma situação anteriormente desconhecida que
pode ser relevante para a segurança
3.31
incidente de segurança da
informação único ou uma série de eventos de segurança da informação indesejados ou inesperados (3.30) que têm uma
probabilidade significativa de comprometer as operações comerciais e ameaçar a segurança da informação (3.28)

ISO/IEC 27000:2018(E)
3.32
conjunto de processos de gerenciamento de incidentes de
segurança da informação (3.54) para detectar, relatar, avaliar, responder, lidar e aprender com incidentes de segurança da
informação (3.31)
3.33
sistema de gerenciamento de segurança da informação (SGSI) profissional que
estabelece, implementa, mantém e melhora continuamente um ou mais processos do sistema de gerenciamento de segurança da
informação (3.54)
3.34
compartilhamento de informações grupo
comunitário de organizações (3.50) que concordam em compartilhar informações
Nota 1 de entrada: Uma organização pode ser um indivíduo.
3.35
conjunto de aplicativos,
serviços, ativos de tecnologia da informação ou outros componentes de tratamento de informações do sistema de informação
3.36
integridade
propriedade de precisão e integridade
3.37
parte interessada (termo preferencial)
parte interessada (termo admitido)
pessoa ou organização (3.50) que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade
3.38
contexto interno
ambiente interno em que a organização (3.50) busca atingir seus objetivos
Nota 1 de entrada: O contexto interno pode incluir:
— governança, estrutura organizacional, funções e responsabilidades;
— políticas (3.53), objetivos (3.49) e estratégias implementadas para alcançá-los;
— as capacidades, entendidas em termos de recursos e conhecimentos (por exemplo, capital, tempo, pessoas, processos (3.54),
sistemas e tecnologias);
— sistemas de informação (3.35), fluxos de informação e processos de tomada de decisão (formais e informais);
— relacionamentos e percepções e valores das partes interessadas internas (3.37);
— a cultura da organização;
— padrões, diretrizes e modelos adotados pela organização;
— forma e extensão das relações contratuais.
[FONTE: Guia ISO 73:2009, 3.3.1.2]
3,39
nível de risco
magnitude de um risco (3,61) expressa em termos da combinação de consequências (3,12) e sua probabilidade (3,40)
[FONTE: ISO Guia 73:2009, 3.6.1.8, modificado — “ou combinação de riscos” foi excluído da definição.]

ISO/IEC 27000:2018(E)
3,40
probabilidade
de algo acontecer
[FONTE: ISO Guide 73:2009, 3.6.1.1, modificado — as notas 1 e 2 da entrada foram excluídas.]
3.41
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização (3.50) para estabelecer políticas (3.53) e
objetivos (3.49) e processos (3.54) para atingir esses objetivos
Nota 1 de entrada: Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
Nota 2 de entrada: Os elementos do sistema incluem a estrutura, funções e responsabilidades, planejamento e operação da
organização.
Nota 3 de entrada: O escopo de um sistema de gestão pode incluir toda a organização, funções específicas e identificadas da
organização, seções específicas e identificadas da organização ou uma ou mais funções em um grupo de organizações.
3,42
medir
variável à qual é atribuído um valor como resultado da medição (3.43)
3.43
processo de
medição (3.54) para determinar um valor
3.44
algoritmo de função de
medição ou cálculo realizado para combinar duas ou mais medidas básicas (3.8)
[FONTE: ISO/IEC/IEEE 15939:2017, 3.20]
3.45
método de medição
sequência lógica de operações, descritas genericamente, usadas na quantificação de um atributo em relação a uma escala
especificada
Nota 1 de entrada: O tipo de método de medição depende da natureza das operações utilizadas para quantificar um atributo
(3.4). Dois tipos podem ser distinguidos:
— subjetivo: quantificação que envolve julgamento humano; e
— objectivo: quantificação baseada em regras numéricas.
3.46
monitoramento
determinando o status de um sistema, um processo (3.54) ou uma atividade
Nota 1 de entrada: Para determinar o status, pode ser necessário verificar, supervisionar ou observar criticamente.
3.47
não conformidade
não cumprimento de um requisito (3.56)
3.48
capacidade de não
repúdio para provar a ocorrência de um evento ou ação reivindicada (3.21) e suas entidades originárias

ISO/IEC 27000:2018(E)
3,49
objetivo
resultado a ser alcançado
Nota 1 de entrada: Um objetivo pode ser estratégico, tático ou operacional.
Nota 2 de entrada: Os objetivos podem estar relacionados a diferentes disciplinas (como metas financeiras, de saúde e segurança e
ambientais) e podem ser aplicados em diferentes níveis [como estratégico, em toda a organização, projeto, produto e processo (3.54) ] .
Nota 3 de entrada: Um objetivo pode ser expresso de outras maneiras, por exemplo, como um resultado pretendido, um propósito, um
critério operacional, como um objetivo de segurança da informação ou pelo uso de outras palavras com significado semelhante (por
exemplo, objetivo, meta ou meta ).
Nota 4 de entrada: No contexto dos sistemas de gestão de segurança da informação, os objetivos de segurança da informação são
definidos pela organização, consistentes com a política de segurança da informação, para alcançar resultados específicos.
3,50
organização
pessoa ou grupo de pessoas que tem funções próprias com responsabilidades, autoridades e relacionamentos para atingir seus
objetivos (3.49)
Nota 1 de entrada: O conceito de organização inclui, mas não está limitado a, empresário individual, empresa, corporação, firma,
empreendimento, autoridade, parceria, instituição de caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, públicas
ou privadas.
3.51
terceirizar
fazer um acordo onde uma organização externa (3.50) executa parte da função ou processo de uma organização (3.54)
Nota 1 de entrada: Uma organização externa está fora do escopo do sistema de gestão (3.41), embora a função ou processo terceirizado
esteja dentro do escopo.
3,52
desempenho
resultado mensurável
Nota 1 de entrada: O desempenho pode estar relacionado a resultados quantitativos ou qualitativos.
Nota 2 de entrada: O desempenho pode estar relacionado à gestão de atividades, processos (3.54), produtos (incluindo serviços), sistemas
ou organizações (3.50).
3,53
política
intenções e direção de uma organização (3,50), conforme expressado formalmente por sua alta administração (3,75)
3,54
processo
conjunto de atividades inter-relacionadas ou interativas que transformam insumos em produtos
3,55
confiabilidade
propriedade de comportamento e resultados pretendidos consistentes
3,56
requerimento
necessidade ou expectativa declarada, geralmente implícita ou obrigatória
Nota 1 de entrada: “Geralmente implícito” significa que é costume ou prática comum da organização e das partes interessadas que a
necessidade ou expectativa em consideração esteja implícita.
Nota 2 de entrada: Um requisito especificado é aquele declarado, por exemplo, em informações documentadas.

ISO/IEC 27000:2018(E)
3,57
risco de risco
residual (3,61) remanescente após tratamento de risco (3,72)
Nota 1 de entrada: O risco residual pode conter risco não identificado.
Nota 2 de entrada: O risco residual também pode ser referido como “risco retido”.
3.58
atividade
de revisão realizada para determinar a adequação, adequação e eficácia (3.20) do assunto para atingir os objetivos estabelecidos
(3.49)
[FONTE: ISO Guide 73:2009, 3.8.2.2, modificado — a nota 1 da entrada foi excluída.]
3.59
revisar item
específico do objeto sendo revisado
3.60
declaração do objetivo
da revisão descrevendo o que deve ser alcançado como resultado de uma revisão (3.59)
3,61
efeito
do risco da incerteza nos objetivos (3,49)
Nota 1 de entrada: Um efeito é um desvio do esperado – positivo ou negativo.
Nota 2 de entrada: Incerteza é o estado, mesmo parcial, de deficiência de informação relacionada, compreensão ou conhecimento de
um evento, sua consequência ou probabilidade.
Nota 3 de entrada: O risco é frequentemente caracterizado por referência a potenciais “eventos” (conforme definido no Guia ISO
73:2009, 3.5.1.3) e “consequências” (conforme definido no Guia ISO 73:2009, 3.6.1.3), ou uma combinação destes.
Nota 4 de entrada: O risco é frequentemente expresso em termos de uma combinação das consequências de um evento (incluindo
mudanças nas circunstâncias) e a “probabilidade” associada (conforme definido no Guia ISO 73:2009, 3.6.1.1) de ocorrência.
Nota 5 de entrada: No contexto dos sistemas de gestão de segurança da informação, os riscos de segurança da informação podem
ser expressos como o efeito da incerteza nos objetivos de segurança da informação.
Nota 6 de entrada: O risco de segurança da informação está associado ao potencial de que as ameaças explorem vulnerabilidades
de um ativo de informação ou grupo de ativos de informação e, assim, causem danos a uma organização.
3.62
aceitação do risco
decisão informada de assumir um risco específico (3.61)
Nota 1 de entrada: A aceitação do risco pode ocorrer sem tratamento do risco (3.72) ou durante o processo (3.54) de tratamento do
risco.
Nota 2 de entrada: Os riscos aceitos estão sujeitos a monitoramento (3.46) e revisão (3.58).
[FONTE: Guia ISO 73:2009, 3.7.1.6]
3.63
processo de
análise de risco (3.54) para compreender a natureza do risco (3.61) e determinar o nível de risco (3.39)
Nota 1 de entrada: A análise de risco fornece a base para avaliação de risco (3.67) e decisões sobre tratamento de risco (3.72).
Nota 2 de entrada: A análise de risco inclui estimativa de risco.
[FONTE: Guia ISO 73:2009, 3.6.1]

ISO/IEC 27000:2018(E)
3,64
processo geral de
avaliação de risco (3,54) de identificação de risco (3,68), análise de risco (3,63) e avaliação de risco (3,67)
[FONTE: Guia ISO 73:2009, 3.4.1]
3.65
comunicação e consulta de riscos conjunto de
processos contínuos e iterativos (3.54) que uma organização conduz para fornecer, compartilhar ou obter informações e para
dialogar com as partes interessadas (3.37) em relação ao gerenciamento de riscos (3.61)
Nota 1 de entrada: As informações podem estar relacionadas à existência, natureza, forma, probabilidade (3.41), significância, avaliação,
aceitabilidade e tratamento do risco.
Nota 2 de entrada: Consulta é um processo bidirecional de comunicação informada entre uma organização (3.50) e suas partes interessadas
sobre uma questão antes de tomar uma decisão ou determinar uma direção sobre essa questão. A consulta é
— um processo que tem impacto numa decisão através da influência e não do poder; e
— um contributo para a tomada de decisões e não para a tomada de decisões conjuntas.
3.66
termos de
referência dos critérios de risco contra os quais a importância do risco (3.61) é avaliada
Nota 1 de entrada: Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo (3.22) e no contexto interno (3.38).
Nota 2 de entrada: Os critérios de risco podem ser derivados de normas, leis, políticas (3.53) e outros requisitos (3.56).
[FONTE: Guia ISO 73:2009, 3.3.1.3]
3.67
processo de
avaliação de risco (3.54) de comparação dos resultados da análise de risco (3.63) com critérios de risco (3.66) para
determinar se o risco (3.61) e/ou sua magnitude é aceitável ou tolerável
Nota 1 de entrada: A avaliação de risco auxilia na decisão sobre o tratamento de risco (3.72).
[FONTE: Guia ISO 73:2009, 3.7.1]
3.68
processo de identificação
de riscos (3.54) de localização, reconhecimento e descrição de riscos (3.61)
Nota 1 de entrada: A identificação de riscos envolve a identificação de fontes de risco, eventos (3.21), suas causas e suas consequências
potenciais (3.12).
Nota 2 de entrada: A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões informadas e de especialistas e
necessidades das partes interessadas (3.37) .
[FONTE: Guia ISO 73:2009, 3.5.1]
3,69
atividades coordenadas
de gerenciamento de risco para dirigir e controlar uma organização (3.50) em relação ao risco (3.61)
[FONTE: Guia ISO 73:2009, 2.1]

ISO/IEC 27000:2018(E)
3.70
processo de gerenciamento de
riscos aplicação sistemática de políticas de gerenciamento (3.53), procedimentos e práticas às atividades de comunicação,
consultoria, estabelecimento de contexto e identificação, análise, avaliação, tratamento, monitoramento e revisão de riscos (3.61)
Nota 1 de entrada: A ISO/IEC 27005 usa o termo “processo” (3.54) para descrever o gerenciamento de riscos em geral. Os elementos do
processo de gestão de riscos (3.69) são chamados de “atividades”.
[FONTE: ISO Guide 73:2009, 3.1, modificado – Nota 1 à entrada foi adicionada.]
3.71
proprietário
do risco, pessoa ou entidade com responsabilidade e autoridade para gerenciar um risco (3.61)
[FONTE: Guia ISO 73:2009, 3.5.1.5]
3,72
tratamento de risco
processo (3.54) para modificar o risco (3.61)
Nota 1 de entrada: O tratamento de risco pode envolver:
— evitar o risco decidindo não iniciar ou continuar a atividade que dá origem ao risco;
— assumir ou aumentar riscos para aproveitar uma oportunidade;
— remover a fonte do risco;
— alteração da probabilidade (3,40);
— alterar as consequências (3.12);
— partilhar o risco com outra parte ou partes (incluindo contratos e financiamento de risco);
— retenção do risco através de uma escolha informada.
Nota 2 de entrada: Os tratamentos de risco que lidam com consequências negativas são por vezes referidos como “mitigação de risco”,
“eliminação de risco”, “prevenção de risco” e “redução de risco”.
Nota 3 de entrada: O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.
[FONTE: ISO Guide 73:2009, 3.8.1, modificado — “decisão” foi substituída por “escolha” na Nota 1 da entrada.]
3.73
documento padrão de implementação de
segurança especificando formas autorizadas para realizar a segurança
3.74
ameaça
causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização (3.50)
3,75
pessoa da alta
administração ou grupo de pessoas que dirige e controla uma organização (3,50) no mais alto nível
Nota 1 de entrada: A alta administração tem o poder de delegar autoridade e fornecer recursos dentro da organização.
Nota 2 de entrada: Se o escopo do sistema de gestão (3.41) abrange apenas parte de uma organização, então a alta administração refere-se
àqueles que dirigem e controlam essa parte da organização.

ISO/IEC 27000:2018(E)
Nota 3 de entrada: A alta administração às vezes é chamada de administração executiva e pode incluir Diretores
Executivos, Diretores Financeiros, Diretores de Informação e funções semelhantes.
3,76
entidade confiável de comunicação de informações
organização autônoma (3.50) que apoia a troca de informações dentro de uma comunidade de compartilhamento de informações
(3.34)
3,77
vulnerabilidade
fraqueza de um ativo ou controle (3.14) que pode ser explorada por uma ou mais ameaças (3.74)
4 Sistemas de gestão de segurança da informação
4.1 Geral
Organizações de todos os tipos e tamanhos:
a) coletar, processar, armazenar e transmitir informações;
b) reconhecer que a informação e os processos, sistemas, redes e pessoas relacionados são ativos importantes para alcançar os
objetivos da organização;
c) enfrentam uma série de riscos que podem afetar o funcionamento dos ativos; e
d) abordar a sua suposta exposição ao risco através da implementação de controlos de segurança da informação.
Toda a informação detida e tratada por uma organização está sujeita a ameaças de ataque, erro, natureza (por exemplo, inundação
ou incêndio), etc., e está sujeita a vulnerabilidades inerentes à sua utilização. O termo segurança da informação baseia-se
geralmente no facto de a informação ser considerada como um activo que tem um valor que requer protecção adequada, por
exemplo, contra a perda de disponibilidade, confidencialidade e integridade.
Permitir que informações precisas e completas estejam disponíveis em tempo hábil para aqueles com necessidades autorizadas é
um catalisador para a eficiência dos negócios.
Proteger os ativos de informação através da definição, obtenção, manutenção e melhoria eficaz da segurança da informação é
essencial para permitir que uma organização atinja os seus objetivos e mantenha e melhore a sua conformidade legal e imagem.
Estas atividades coordenadas que orientam a implementação de controles adequados e tratam riscos inaceitáveis de segurança
da informação são geralmente conhecidas como elementos de gestão da segurança da informação.
À medida que os riscos de segurança da informação e a eficácia dos controlos mudam dependendo das circunstâncias em
mudança, as organizações precisam de:
a) monitorar e avaliar a eficácia dos controles e procedimentos implementados;
b) identificar riscos emergentes a serem tratados; e
c) selecionar, implementar e melhorar os controles apropriados conforme necessário.
Para inter-relacionar e coordenar essas atividades de segurança da informação, cada organização precisa estabelecer a sua
política e objetivos para a segurança da informação e atingir esses objetivos de forma eficaz através da utilização de um sistema
de gestão.
4.2 O que é um SGSI?
4.2.1 Visão geral e princípios
Um SGSI consiste nas políticas, procedimentos, diretrizes e recursos e atividades associadas, gerenciados coletivamente por uma
organização, na busca de proteger seus ativos de informação. Um SGSI é uma abordagem sistemática para estabelecer,
implementar, operar, monitorar, revisar, manter

ISO/IEC 27000:2018(E)
e melhorar a segurança da informação de uma organização para atingir os objetivos de negócios. Baseia-se numa
avaliação de riscos e nos níveis de aceitação de riscos da organização, concebidos para tratar e gerir eficazmente os
riscos. Analisar os requisitos para a proteção dos ativos de informação e aplicar controles apropriados para garantir a
proteção desses ativos de informação, conforme necessário, contribui para o sucesso da implementação de um SGSI. Os
seguintes princípios fundamentais também contribuem para o sucesso da implementação de um SGSI:
a) consciência da necessidade de segurança da informação;
b) atribuição de responsabilidade pela segurança da informação;
c) incorporar o compromisso da gestão e os interesses das partes interessadas;
d) melhorar os valores sociais;
e) avaliações de risco que determinem controles apropriados para atingir níveis aceitáveis de risco;
f) segurança incorporada como elemento essencial das redes e sistemas de informação;
g) prevenção ativa e detecção de incidentes de segurança da informação;
h) garantir uma abordagem abrangente à gestão da segurança da informação;
i) reavaliação contínua da segurança da informação e realização de modificações conforme apropriado.
4.2.2 Informações
A informação é um ativo que, tal como outros ativos empresariais importantes, é essencial para o negócio de uma
organização e, consequentemente, necessita de ser devidamente protegido. As informações podem ser armazenadas em
vários formatos, incluindo: formato digital (por exemplo, arquivos de dados armazenados em mídia eletrônica ou óptica),
formato material (por exemplo, em papel), bem como informações não representadas na forma de conhecimento dos
funcionários. As informações podem ser transmitidas por vários meios, incluindo: correio, comunicação eletrônica ou
verbal. Qualquer que seja a forma que a informação assuma, ou os meios pelos quais é transmitida, necessita sempre de protecção adequad
Em muitas organizações, a informação depende da tecnologia da informação e da comunicação. Esta tecnologia é muitas
vezes um elemento essencial na organização e auxilia na facilitação da criação, processamento, armazenamento,
transmissão, proteção e destruição de informações.
4.2.3 Segurança da informação
A segurança da informação garante a confidencialidade, disponibilidade e integridade das informações. A segurança da

informação envolve a aplicação e gestão de controles apropriados que envolvem a consideração de uma ampla gama de
ameaças, com o objetivo de garantir o sucesso e a continuidade sustentados dos negócios e minimizar as consequências
de incidentes de segurança da informação.
A segurança da informação é alcançada através da implementação de um conjunto aplicável de controles, selecionados

através do processo de gestão de risco escolhido e gerenciado por meio de um SGSI, incluindo políticas, processos,
procedimentos, estruturas organizacionais, software e hardware para proteger os ativos de informação identificados. Esses
controles precisam ser especificados, implementados, monitorados, revisados e melhorados sempre que necessário, para
garantir que a segurança da informação específica e os objetivos de negócios da organização sejam atendidos. Espera-se
que os controles relevantes de segurança da informação sejam perfeitamente integrados aos processos de negócios de
uma organização.
4.2.4 Gestão
A gestão envolve atividades para dirigir, controlar e melhorar continuamente a organização dentro de estruturas
apropriadas. As atividades de gerenciamento incluem o ato, maneira ou prática de organizar, manusear, dirigir,
supervisionar e controlar recursos. As estruturas de gestão estendem-se desde uma pessoa em uma pequena organização
até hierarquias de gestão que consistem em muitos indivíduos em grandes organizações.

ISO/IEC 27000:2018(E)
Em termos de um SGSI, a gestão envolve a supervisão e a tomada de decisões necessárias para atingir os objetivos
de negócio através da proteção dos ativos de informação da organização. A gestão da segurança da informação é
expressa através da formulação e utilização de políticas, procedimentos e diretrizes de segurança da informação, que
são então aplicados em toda a organização por todos os indivíduos associados à organização.
4.2.5 Sistema de gestão
Um sistema de gestão utiliza uma estrutura de recursos para atingir os objetivos de uma organização. O sistema de
gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos,
processos e recursos.
Em termos de segurança da informação, um sistema de gestão permite a uma organização:
a) satisfazer os requisitos de segurança da informação dos clientes e demais partes interessadas;
b) melhorar os planos e atividades de uma organização;
c) atender aos objetivos de segurança da informação da organização;
d) cumprir regulamentos, legislação e mandatos do setor; e
e) gerir os ativos de informação de uma forma organizada que facilite a melhoria contínua e o ajuste aos objetivos
organizacionais atuais.
4.3 Abordagem de processo
As organizações precisam identificar e gerenciar muitas atividades para funcionar de forma eficaz e eficiente. Qualquer
actividade que utilize recursos necessita de ser gerida de modo a permitir a transformação de insumos em produtos
através de um conjunto de actividades inter-relacionadas ou interactivas; isso também é conhecido como processo. A
saída de um processo pode formar diretamente a entrada para outro processo e geralmente esta transformação é
realizada sob condições planejadas e controladas. A aplicação de um sistema de processos dentro de uma organização,
juntamente com a identificação e interações desses processos, e sua gestão, pode ser referida como uma “abordagem
de processo”.
4.4 Por que um SGSI é importante
Os riscos associados aos ativos de informação de uma organização precisam ser abordados. Alcançar a segurança da
informação requer a gestão de riscos e abrange riscos de ameaças físicas, humanas e tecnológicas associadas a
todas as formas de informação dentro ou utilizadas pela organização.
Espera-se que a adoção de um SGSI seja uma decisão estratégica para uma organização e é necessário que esta
decisão seja perfeitamente integrada, dimensionada e atualizada de acordo com as necessidades da organização.
O projeto e a implementação do SGSI de uma organização são influenciados pelas necessidades e objetivos da
organização, pelos requisitos de segurança, pelos processos de negócios empregados e pelo tamanho e estrutura da
organização. A concepção e operação de um SGSI precisa refletir os interesses e requisitos de segurança da
informação de todas as partes interessadas da organização, incluindo clientes, fornecedores, parceiros de negócios,
acionistas e outros terceiros relevantes.
Num mundo interligado, a informação e os processos, sistemas e redes relacionados constituem activos empresariais
críticos. As organizações e os seus sistemas e redes de informação enfrentam ameaças à segurança provenientes de
uma vasta gama de fontes, incluindo fraude assistida por computador, espionagem, sabotagem, vandalismo, incêndios
e inundações. Os danos aos sistemas e redes de informação causados por códigos maliciosos, pirataria informática e
ataques de negação de serviço tornaram-se mais comuns, mais ambiciosos e cada vez mais sofisticados.
Um SGSI é importante para empresas do setor público e privado. Em qualquer indústria, um SGSI é um facilitador que
apoia o e-business e é essencial para atividades de gestão de risco. A interligação de redes públicas e privadas e a
partilha de activos de informação aumentam a dificuldade de controlo

ISO/IEC 27000:2018(E)
acesso e tratamento da informação. Além disso, a distribuição de dispositivos móveis de armazenamento contendo activos
de informação pode enfraquecer a eficácia dos controlos tradicionais. Quando as organizações adotam a família de padrões
SGSI, a capacidade de aplicar princípios de segurança da informação consistentes e mutuamente reconhecíveis pode ser
demonstrada aos parceiros de negócios e outras partes interessadas.
A segurança da informação nem sempre é tida em conta na concepção e desenvolvimento de sistemas de informação. Além
disso, a segurança da informação é frequentemente considerada uma solução técnica. No entanto, a segurança da
informação que pode ser alcançada através de meios técnicos é limitada e pode ser ineficaz sem ser apoiada por gestão e
procedimentos adequados no contexto de um SGSI.
Integrar a segurança num sistema de informação funcionalmente completo pode ser difícil e dispendioso. Um SGSI envolve
a identificação de quais controles estão em vigor e requer planejamento cuidadoso e atenção aos detalhes. Por exemplo, os
controles de acesso, que podem ser técnicos (lógicos), físicos, administrativos (gerenciais) ou uma combinação, fornecem
um meio para garantir que o acesso aos ativos de informação seja autorizado e restrito com base nos requisitos de negócios
e de segurança da informação.
A adoção bem-sucedida de um SGSI é importante para proteger os ativos de informação, permitindo que uma organização:
a) obter maior garantia de que seus ativos de informação estejam adequadamente protegidos contra ameaças em um
base contínua;
b) manter uma estrutura estruturada e abrangente para identificar e avaliar riscos de segurança da informação, selecionar e
aplicar controles aplicáveis e medir e melhorar sua eficácia;
c) melhorar continuamente seu ambiente de controle; e
d) alcançar efetivamente a conformidade legal e regulamentar.
4.5 Estabelecer, monitorar, manter e melhorar um SGSI
4.5.1 Visão geral
Uma organização precisa realizar as seguintes etapas para estabelecer, monitorar, manter e melhorar seu SGSI:
a) identificar os ativos de informação e seus requisitos de segurança da informação associados (ver 4.5.2);
b) avaliar os riscos de segurança da informação (ver 4.5.3) e tratar os riscos de segurança da informação (ver 4.5.4);
c) selecionar e implementar controles relevantes para gerenciar riscos inaceitáveis (ver 4.5.5);
d) monitorar, manter e melhorar a eficácia dos controles associados aos ativos de informação da organização (ver 4.5.6).
Para garantir que o SGSI proteja efetivamente os ativos de informação da organização de forma contínua, é necessário que
as etapas a) a d) sejam repetidas continuamente para identificar mudanças nos riscos ou nas estratégias ou objetivos de
negócios da organização.
4.5.2 Identificando requisitos de segurança da informação
Dentro da estratégia geral e dos objetivos de negócios da organização, seu tamanho e distribuição geográfica, os requisitos
de segurança da informação podem ser identificados através da compreensão do seguinte:
a) ativos de informação identificados e seu valor;
b) necessidades empresariais de processamento, armazenamento e comunicação de informações;
c) requisitos legais, regulatórios e contratuais.
A realização de uma avaliação metódica dos riscos associados aos ativos de informação da organização envolve a análise
de ameaças aos ativos de informação, vulnerabilidades e probabilidade de uma ameaça

ISO/IEC 27000:2018(E)
materializando-se em ativos de informação e o impacto potencial de qualquer incidente de segurança da informação em ativos de
informação. Espera-se que as despesas com controlos relevantes sejam proporcionais ao impacto comercial percebido da
materialização do risco.
4.5.3 Avaliação dos riscos de segurança da informação
A gestão dos riscos de segurança da informação requer uma avaliação de riscos adequada e um método de tratamento de riscos
que possa incluir uma estimativa dos custos e benefícios, dos requisitos legais, das preocupações das partes interessadas e de
outros dados e variáveis, conforme apropriado.
A avaliação de riscos deve identificar, quantificar e priorizar os riscos em relação aos critérios de aceitação de riscos e aos objetivos
relevantes para a organização. Os resultados devem orientar e determinar as ações de gestão e prioridades adequadas para gerir
os riscos de segurança da informação e para implementar controlos selecionados para proteger contra esses riscos.
A avaliação de risco deve incluir:
— a abordagem sistemática de estimativa da magnitude dos riscos (análise de risco); e
— o processo de comparação dos riscos estimados com os critérios de risco para determinar a importância dos
os riscos (avaliação de risco).
A avaliação de riscos deve ser realizada periodicamente para abordar mudanças nos requisitos de segurança da informação e na
situação de risco, por exemplo, nos ativos, ameaças, vulnerabilidades, impactos, na avaliação de riscos, e quando ocorrem
mudanças significativas. Estas avaliações de risco devem ser realizadas de forma metódica, capaz de produzir resultados
comparáveis e reprodutíveis.
A avaliação dos riscos de segurança da informação deve ter um âmbito claramente definido para ser eficaz e deve incluir relações
com avaliações de riscos noutras áreas, se for caso disso.
A ISO/IEC 27005 fornece orientação para gerenciamento de riscos de segurança da informação, incluindo aconselhamento sobre
avaliação de riscos, tratamento de riscos, aceitação de riscos, relatórios de riscos, monitoramento de riscos e revisão de riscos.
Exemplos de metodologias de avaliação de risco também estão incluídos.
4.5.4 Tratamento dos riscos de segurança da informação
Antes de considerar o tratamento de um risco, a organização deve definir critérios para determinar se os riscos podem ou não ser
aceites. Os riscos podem ser aceites se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é rentável
para a organização. Tais decisões devem ser registadas.
Para cada um dos riscos identificados após a avaliação dos riscos, é necessário tomar uma decisão sobre o tratamento dos riscos.
Possíveis opções para tratamento de risco incluem o seguinte:
a) aplicar controles apropriados para reduzir os riscos;
b) aceitar riscos de forma consciente e objetiva, desde que satisfaçam claramente a política da organização
e critérios para aceitação de riscos;
c) evitar riscos ao não permitir ações que possam causar a ocorrência dos riscos;
d) partilhar os riscos associados a outras partes, por exemplo seguradoras ou fornecedores.
Para os riscos em que a decisão de tratamento do risco foi aplicar controlos apropriados, esses controlos devem ser selecionados
e implementados.
4.5.5 Seleção e implementação de controles
Uma vez identificados os requisitos de segurança da informação (ver 4.5.2), os riscos de segurança da informação para os ativos
de informação identificados foram determinados e avaliados (ver 4.5.3) e as decisões para o

ISO/IEC 27000:2018(E)
foi feito o tratamento dos riscos de segurança da informação (ver 4.5.4), então se aplica a seleção e implementação de
controles para redução de riscos.
Os controlos devem garantir que os riscos são reduzidos a um nível aceitável, tendo em conta o seguinte:
a) requisitos e restrições da legislação e regulamentação nacional e internacional;
b) objetivos organizacionais;
c) requisitos e restrições operacionais;
d) seu custo de implementação e operação em relação aos riscos sendo reduzido, e permanecendo proporcional aos
requisitos e restrições da organização;
e) seus objetivos de monitorar, avaliar e melhorar a eficiência e eficácia dos controles de segurança da informação para
apoiar os objetivos da organização. A seleção e implementação de controles devem ser documentadas em uma
declaração de aplicabilidade para auxiliar nos requisitos de conformidade;
f) a necessidade de equilibrar o investimento na implementação e operação de controles com a perda

provavelmente resultarão de incidentes de segurança da informação.
Os controles especificados na ISO/IEC 27002 são reconhecidos como melhores práticas aplicáveis à maioria das
organizações e prontamente adaptados para acomodar organizações de vários tamanhos e complexidades.
Outras normas da família de normas SGSI fornecem orientação sobre a seleção e aplicação de controles ISO/IEC 27002
para o SGSI.
Os controles de segurança da informação devem ser considerados na fase de especificação e concepção de requisitos de
sistemas e projetos. Não fazer isso pode resultar em custos adicionais e soluções menos eficazes e, no pior dos casos, na
incapacidade de alcançar a segurança adequada. Os controles podem ser selecionados na ISO/IEC 27002 ou em outros
conjuntos de controles. Alternativamente, novos controles podem ser projetados para atender às necessidades específicas
da organização. É necessário reconhecer a possibilidade de que alguns controles não sejam aplicáveis a todos os sistemas
ou ambientes de informação, e não sejam praticáveis para todas as organizações.
Por vezes, a implementação de um conjunto escolhido de controlos leva tempo e, durante esse tempo, o nível de risco pode
ser superior ao que pode ser tolerado a longo prazo. Os critérios de risco devem abranger a tolerabilidade dos riscos a curto
prazo enquanto os controlos estão a ser implementados. As partes interessadas devem ser informadas dos níveis de risco
estimados ou previstos em diferentes momentos, à medida que os controlos são implementados progressivamente.
Deve-se ter em mente que nenhum conjunto de controles pode alcançar a segurança completa da informação. Devem ser
implementadas ações de gestão adicionais para monitorizar, avaliar e melhorar a eficiência e eficácia dos controlos de
segurança da informação para apoiar os objetivos da organização.
A seleção e implementação de controles devem ser documentadas em uma declaração de aplicabilidade para auxiliar nos
requisitos de conformidade.
4.5.6 Monitorar, manter e melhorar a eficácia do SGSI
Uma organização precisa manter e melhorar o SGSI através do monitoramento e avaliação do desempenho em relação às
políticas e objetivos organizacionais, e reportando os resultados à gestão para revisão. Esta revisão do SGSI verifica se o
SGSI inclui controles especificados que são adequados para tratar riscos dentro do escopo do SGSI. Além disso, com base
nos registros dessas áreas monitoradas, fornece evidências de verificação e rastreabilidade de ações corretivas, preventivas
e de melhorias.
4.5.7 Melhoria contínua
O objetivo da melhoria contínua de um SGSI é aumentar a probabilidade de atingir objetivos relativos à preservação da
confidencialidade, disponibilidade e integridade da informação. O foco da melhoria contínua é procurar oportunidades de
melhoria e não assumir que as actividades de gestão existentes são suficientemente boas ou tão boas quanto podem.

ISO/IEC 27000:2018(E)
As ações para melhoria incluem o seguinte:
a) analisar e avaliar a situação existente para identificar áreas de melhoria;
b) estabelecer os objetivos de melhoria;
c) busca de possíveis soluções para atingir os objetivos;
d) avaliar essas soluções e fazer uma seleção;
e) implementar a solução selecionada;
f) medir, verificar, analisar e avaliar os resultados da implementação para determinar se o

os objetivos foram alcançados;
g) formalizar mudanças.
Os resultados são revisados, conforme necessário, para determinar novas oportunidades de melhoria. Desta forma, a
melhoria é uma atividade contínua, ou seja, as ações são repetidas com frequência. Feedback de clientes e outras partes
interessadas, auditorias e revisão do sistema de gestão de segurança da informação também podem ser usados para
identificar oportunidades de melhoria.
4.6 Fatores críticos de sucesso do SGSI
Um grande número de fatores são críticos para o sucesso da implementação de um SGSI para permitir que uma organização
atinja seus objetivos de negócios. Exemplos de fatores críticos de sucesso incluem o seguinte:
a) política, objetivos e atividades de segurança da informação alinhadas com os objetivos;
b) uma abordagem e estrutura para projetar, implementar, monitorar, manter e melhorar a segurança da informação
consistente com a cultura organizacional;
c) apoio e compromisso visíveis de todos os níveis de gestão, especialmente da gestão de topo;
d) uma compreensão dos requisitos de proteção de ativos de informação alcançados através da aplicação da gestão de
riscos de segurança da informação (ver ISO/IEC 27005);
e) um programa eficaz de conscientização, treinamento e educação em segurança da informação, informando todos os

funcionários e outras partes relevantes sobre suas obrigações de segurança da informação estabelecidas nas políticas,
padrões de segurança da informação, etc., e motivando-os a agir em conformidade;
f) um processo eficaz de gestão de incidentes de segurança da informação;
g) uma abordagem eficaz de gestão de continuidade de negócios;
h) um sistema de medição utilizado para avaliar o desempenho na gestão da segurança da informação e

sugestões de feedback para melhorias.
Um SGSI aumenta a probabilidade de uma organização atingir consistentemente os fatores críticos de sucesso necessários
para proteger seus ativos de informação.
4.7Benefícios da família de padrões SGSI
Os benefícios da implementação de um SGSI resultam principalmente de uma redução nos riscos de segurança da
informação (ou seja, redução da probabilidade e/ou impacto causado por incidentes de segurança da informação).
Especificamente, os benefícios obtidos para uma organização alcançar o sucesso sustentável a partir da adoção da família
de padrões SGSI incluem o seguinte:
a) uma estrutura estruturada que apoia o processo de especificação, implementação, operação e manutenção de um SGSI
abrangente, econômico, gerador de valor, integrado e alinhado que atenda às necessidades da organização em
diferentes operações e locais;

ISO/IEC 27000:2018(E)
b) assistência à administração na gestão e operação consistente e responsável de sua abordagem em relação à gestão da
segurança da informação, no contexto da gestão e governança de riscos corporativos, incluindo a educação e o treinamento
de proprietários de empresas e sistemas sobre a gestão holística da segurança da informação;
c) promoção de boas práticas de segurança da informação globalmente aceitas, de maneira não prescritiva, dando às
organizações a liberdade para adotar e melhorar controles relevantes que atendam às suas circunstâncias específicas e
para mantê-los diante de mudanças internas e externas;
d) fornecimento de uma linguagem comum e base conceitual para segurança da informação, tornando mais fácil depositar
confiança em parceiros de negócios com um SGSI compatível, especialmente se eles exigirem certificação ISO/IEC 27001
por um organismo de certificação credenciado;
e) aumento da confiança dos stakeholders na organização;
f) satisfazer as necessidades e expectativas da sociedade;
g) gestão económica mais eficaz dos investimentos em segurança da informação.
5 família de padrões ISMS
5.1 Informações gerais
A família de normas SGSI consiste em normas inter-relacionadas, já publicadas ou em desenvolvimento, e contém uma série de
componentes estruturais significativos. Esses componentes estão focados em:
— normas que descrevem os requisitos do SGSI (ISO/IEC 27001);
— requisitos do organismo de certificação (ISO/IEC 27006) para aqueles que certificam a conformidade com
ISO/IEC 27001; e
— quadro de requisitos adicionais para implementações setoriais do SGSI (ISO/IEC 27009).
Outros documentos fornecem orientação para vários aspectos da implementação de um SGSI, abordando um processo genérico,
bem como orientações específicas do setor.
As relações entre a família de padrões SGSI são ilustradas na Figura 1.

ISO/IEC 27000:2018(E)
Padrão de vocabulário -
Cláusula 5.2
27.000
Padrões de
requisitos - 27001 27006 27009
Cláusula 5.3
27002 27003 27004 27005 27007 TR 27008

da
M
saeiõlSírm eSF
dI
p
Padrões de diretrizes
-
Cláusula 5.4 27013 27014 TR 27016 27021
Especíico do setor
padrões de diretrizes - 27010 27011 27017 27018 27019
Cláusula 5.5
Padrões de diretrizes específicas de controle 2703x 2704x

(fora do escopo deste documento)
Figura 1 — Família de relacionamentos de padrões SGSI
Cada uma das normas da família SGSI é descrita abaixo por seu tipo (ou função) dentro da família de normas SGSI
e seu número de referência.
5.2 Norma que descreve uma visão geral e terminologia: ISO/IEC 27000 (este documento)
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Visão
geral e vocabulário
Escopo: Este documento fornece às organizações e indivíduos:
a) uma visão geral da família de padrões SGSI;
b) uma introdução aos sistemas de gestão de segurança da informação; e
c) termos e definições usados em toda a família de padrões do SGSI.
Objetivo: Este documento descreve os fundamentos dos sistemas de gestão de segurança da informação, que
constituem o tema da família de padrões SGSI e define termos relacionados.
5.3 Normas especificando requisitos
5.3.1 ISO/IEC 27001
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação —

Requisitos
Escopo: Este documento especifica os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter
e melhorar sistemas formalizados de gestão de segurança da informação (SGSI) no contexto dos riscos gerais de
negócios da organização. Especifica requisitos para a implementação de controles de segurança da informação
personalizados de acordo com as necessidades de organizações individuais ou partes delas. Este documento pode
ser utilizado por todas as organizações, independentemente do tipo, porte e natureza.

ISO/IEC 27000:2018(E)
Objetivo: A ISO/IEC 27001 fornece requisitos normativos para o desenvolvimento e operação de um SGSI, incluindo um
conjunto de controles para o controle e mitigação dos riscos associados aos ativos de informação que a organização procura
proteger ao operar seu SGSI. As organizações que operam um SGSI podem ter sua conformidade auditada e certificada. Os
objetivos de controle e controles da ISO/IEC 27001:2013, Anexo A, devem ser selecionados como parte deste processo de
SGSI conforme apropriado para cobrir os requisitos identificados. Os objetivos de controle e controles listados na ISO/IEC
27001:2013, Tabela A.1 são diretamente derivados e alinhados com aqueles listados na ISO/IEC 27002:2013, Cláusulas 5 a 18.
5.3.2 ISO/IEC 27006
Tecnologia da informação — Técnicas de segurança — Requisitos para organismos que realizam auditoria e certificação de
sistemas de gestão de segurança da informação
Escopo: Este documento especifica requisitos e fornece orientação para organismos que fornecem auditoria e certificação de
SGSI de acordo com a ISO/IEC 27001, além dos requisitos contidos na ISO/IEC 17021. Destina-se principalmente a apoiar o
credenciamento de organismos de certificação que fornecem certificação de SGSI. de acordo com ISO/IEC 27001.
Os requisitos contidos neste documento precisam ser demonstrados em termos de competência e confiabilidade por qualquer
pessoa que forneça certificação de SGSI, e a orientação contida neste documento fornece interpretação adicional desses
requisitos para qualquer pessoa que forneça certificação de SGSI.
Objetivo: A ISO/IEC 27006 complementa a ISO/IEC 17021 ao fornecer os requisitos pelos quais as organizações de certificação
são credenciadas, permitindo assim que essas organizações forneçam certificações de conformidade de forma consistente em
relação aos requisitos estabelecidos na ISO/IEC 27001.
5.3.3 ISO/IEC 27009
Tecnologia da informação — Técnicas de segurança — Aplicação específica do setor da ISO/ IEC 27001 —
Requisitos
Escopo: Este documento define os requisitos para o uso da ISO/IEC 27001 em qualquer setor específico (campo, área de
aplicação ou setor de mercado). Ele explica como incluir requisitos adicionais aos da ISO/IEC 27001, como refinar qualquer um
dos requisitos da ISO/IEC 27001 e como incluir controles ou conjuntos de controles além da ISO/IEC 27001:2013, Anexo A.
Objetivo: A ISO/IEC 27009 garante que requisitos adicionais ou refinados não entrem em conflito com os requisitos da ISO/
IEC 27001.
5.4 Normas que descrevem diretrizes gerais
5.4.1 ISO/IEC 27002
Tecnologia da informação — Técnicas de segurança — Código de práticas para controles de segurança da informação
Escopo: Este documento fornece uma lista de objetivos de controle comumente aceitos e controles de melhores práticas para
serem usados como orientação de implementação ao selecionar e implementar controles para alcançar a segurança da
informação.
Objetivo: A ISO/IEC 27002 fornece orientação sobre a implementação de controles de segurança da informação.
Especificamente, as cláusulas 5 a 18 fornecem conselhos de implementação específicos e orientações sobre as melhores
práticas em apoio aos controles especificados na ISO/IEC 27001:2013, A.5 a A.18.
5.4.2 ISO/IEC 27003
Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação — Orientação
Escopo: Este documento fornece explicação e orientação sobre a ISO/IEC 27001:2013.

ISO/IEC 27000:2018(E)
Objetivo: A ISO/IEC 27003 fornece uma base para a implementação bem-sucedida do SGSI de acordo com a ISO/IEC 27001.
5.4.3 ISO/IEC 27004
Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação — Monitoramento, medição,

análise e avaliação
Escopo: Este documento fornece diretrizes destinadas a ajudar as organizações a avaliar o desempenho da segurança da
informação e a eficácia do SGSI, a fim de cumprir os requisitos da ISO/IEC 27001:2013, 9.1. Ele aborda:
a) o monitoramento e medição do desempenho da segurança da informação;
b) o monitoramento e medição da eficácia de uma gestão de segurança da informação

sistema (SGSI), incluindo seus processos e controles;
c) a análise e avaliação dos resultados de monitoramento e medição.
Objetivo: A ISO/IEC 27004 fornece uma estrutura que permite que uma avaliação da eficácia do SGSI seja medida e avaliada
de acordo com a ISO/IEC 27001.
5.4.4 ISO/IEC 27005
Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
Escopo: Este documento fornece diretrizes para o gerenciamento de riscos de segurança da informação. A abordagem descrita
neste documento suporta os conceitos gerais especificados na ISO/IEC 27001.
Objetivo: A ISO/IEC 27005 fornece orientação sobre a implementação de uma abordagem de gerenciamento de riscos
orientada a processos para auxiliar na implementação e cumprimento satisfatório dos requisitos de gerenciamento de riscos de
segurança da informação da ISO/IEC 27001.
5.4.5 ISO/IEC 27007
Tecnologia da informação — Técnicas de segurança — Diretrizes para auditoria de sistemas de gestão de segurança da
informação
Escopo: Este documento fornece orientações sobre a realização de auditorias de SGSI, bem como orientações sobre a
competência dos auditores de sistemas de gestão de segurança da informação, além das orientações contidas na ISO 19011,
que é aplicável a sistemas de gestão em geral.
Objetivo: A ISO/IEC 27007 fornecerá orientação para organizações que precisam realizar auditorias internas ou externas de
um SGSI ou gerenciar um programa de auditoria de SGSI em relação aos requisitos especificados na ISO/IEC 27001.
5.4.6 ISO/IEC TR 27008
Tecnologia da informação — Técnicas de segurança — Diretrizes para auditores sobre controles de segurança da informação
Escopo: Este documento fornece orientação sobre a revisão da implementação e operação de controles, incluindo a verificação
da conformidade técnica dos controles do sistema de informação, em conformidade com os padrões de segurança da
informação estabelecidos por uma organização.
Objetivo: Este documento concentra-se nas revisões dos controles de segurança da informação, incluindo a verificação da
conformidade técnica, em relação a um padrão de implementação de segurança da informação, que é estabelecido pela
organização. Não pretende fornecer qualquer orientação específica sobre verificação de conformidade em relação à medição,
avaliação de risco ou auditoria de um SGSI conforme especificado na ISO/IEC 27004, ISO/IEC 27005 ou ISO/IEC 27007,
respectivamente. Este documento não se destina a auditorias de sistemas de gestão.

ISO/IEC 27000:2018(E)
5.4.7 ISO/IEC 27013
Tecnologia da informação — Técnicas de segurança — Orientações sobre a implementação integrada de

ISO/ IEC 27001 e ISO/ IEC 20000-1
Escopo: Este documento fornece orientação sobre a implementação integrada da ISO/IEC 27001 e
ISO/IEC 20000-1 para organizações que pretendem:
a) implementar a ISO/IEC 27001 quando a ISO/IEC 20000-1 já estiver implementada, ou vice-versa;
b) implementar a ISO/IEC 27001 e a ISO/IEC 20000-1 em conjunto;
c) integrar sistemas de gestão existentes baseados na ISO/IEC 27001 e ISO/IEC 20000-1.
Este documento concentra-se exclusivamente na implementação integrada de um sistema de gestão de segurança da

informação (SGSI) conforme especificado na ISO/IEC 27001 e um sistema de gestão de serviços (SMS) conforme
especificado na ISO/IEC 20000-1.
Na prática, a ISO/IEC 27001 e a ISO/IEC 20000-1 também podem ser integradas com outras normas de sistemas de
gestão, como a ISO 9001 e a ISO 14001.
Objetivo: Fornecer às organizações uma melhor compreensão das características, semelhanças e diferenças da ISO/IEC
27001 e ISO/IEC 20000-1 para auxiliar no planejamento de um sistema de gestão integrado que esteja em conformidade
com ambas as Normas Internacionais.
5.4.8 ISO/IEC 27014
Tecnologia da informação — Técnicas de segurança — Governança da segurança da informação
Âmbito: Este documento fornecerá orientações sobre princípios e processos para a governança da segurança da
informação, através dos quais as organizações podem avaliar, dirigir e monitorar a gestão da segurança da informação.
Objetivo: A segurança da informação tornou-se uma questão fundamental para as organizações. Não só existem
requisitos regulamentares crescentes, mas também o fracasso das medidas de segurança da informação de uma
organização pode ter um impacto direto na reputação de uma organização. Portanto, os órgãos governamentais, como
parte das suas responsabilidades de governança, são cada vez mais obrigados a supervisionar a segurança da informação
para garantir que os objetivos da organização sejam alcançados.
5.4.9 ISO/IEC TR27016
Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação — Economia organizacional
Escopo: Este documento fornece uma metodologia que permite às organizações compreender melhor economicamente
como avaliar com mais precisão seus ativos de informação identificados, avaliar os riscos potenciais para esses ativos de
informação, avaliar o valor que os controles de proteção da informação proporcionam a esses ativos de informação e
determinar o nível ideal de recursos a serem aplicados na segurança desses ativos de informação.
Objetivo: Este documento complementa a família de padrões do SGSI, sobrepondo uma perspectiva econômica na
proteção dos ativos de informação de uma organização no contexto do ambiente social mais amplo em que uma
organização opera e fornecendo orientação sobre como aplicar a economia organizacional da segurança da informação
através do utilização de modelos e exemplos.
5.4.10 ISO/IEC 27021
Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação — Requisitos de competência

para profissionais de sistemas de gestão de segurança da informação

ISO/IEC 27000:2018(E)
Escopo: Este documento especifica os requisitos de competência para profissionais de SGSI líderes ou envolvidos no
estabelecimento, implementação, manutenção e melhoria contínua de um ou mais processos de sistema de gestão de segurança
da informação que estejam em conformidade com a ISO/IEC 27001:2013.
Finalidade: Este documento destina-se a ser utilizado por:
a) indivíduos que desejam demonstrar sua competência como profissionais de sistemas de gestão de segurança da informação
(SGSI), ou que desejam compreender e realizar a competência necessária para trabalhar nesta área, bem como desejam
ampliar seus conhecimentos,
b) organizações que buscam potenciais candidatos profissionais de SGSI para definir a competência necessária
para cargos em funções relacionadas ao SGSI,
c) órgãos para desenvolver certificação para profissionais de SGSI que necessitam de um corpo de conhecimento (BOK) para
fontes de exame, e
d) organizações de educação e formação, tais como universidades e instituições profissionais, para alinhar os seus programas
e cursos com os requisitos de competência para profissionais de SGSI.
5.5Normas que descrevem diretrizes específicas do setor
5.5.1 ISO/IEC 27010
Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação para comunicações intersetoriais e
interorganizacionais
Escopo: Este documento fornece diretrizes além das orientações fornecidas na família de padrões ISO/IEC 27000 para
implementar o gerenciamento de segurança da informação em comunidades de compartilhamento de informações.
Este documento fornece controles e orientações especificamente relacionados ao início, implementação, manutenção e melhoria
da segurança da informação em atividades interorganizacionais e intersetoriais.
comunicações.
Objectivo: Este documento é aplicável a todas as formas de troca e partilha de informações sensíveis, tanto públicas como
privadas, a nível nacional e internacional, dentro da mesma indústria ou sector de mercado ou entre sectores. Em particular,
pode ser aplicável ao intercâmbio e partilha de informações relacionadas com o fornecimento, manutenção e proteção da
infraestrutura crítica de uma organização ou estado.
5.5.2 ISO/IEC 27011
Tecnologia da informação — Técnicas de segurança — Código de práticas para controles de segurança da informação baseado
na ISO/ IEC 27002 para organizações de telecomunicações
Escopo: Este documento fornece diretrizes que apoiam a implementação de controles de segurança da informação em
organizações de telecomunicações.
Objetivo: A ISO/IEC 27011 permite que as organizações de telecomunicações atendam aos requisitos básicos de gerenciamento
de segurança da informação de confidencialidade, integridade, disponibilidade e qualquer outra propriedade de segurança
relevante.
5.5.3 ISO/IEC 27017
Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação baseado
na ISO/ IEC 27002 para serviços em nuvem
Escopo: A ISO/IEC 27017 fornece diretrizes para controles de segurança da informação aplicáveis ao fornecimento e uso de
serviços em nuvem, fornecendo:
— orientações adicionais de implementação para controles relevantes especificados na ISO/IEC 27002;

ISO/IEC 27000:2018(E)
— controles adicionais com orientações de implementação relacionadas especificamente a serviços em nuvem.
Objetivo: Este documento fornece controles e orientações de implementação para provedores de serviços em nuvem e clientes de
serviços em nuvem.
5.5.4 ISO/IEC 27018
Tecnologia da informação — Técnicas de segurança — Código de práticas para proteção de informações de identificação pessoal (PII)
em nuvens públicas atuando como processadores de PII
Escopo: A ISO/IEC 27018 estabelece objetivos de controle, controles e diretrizes comumente aceitos para a implementação de medidas
para proteger informações de identificação pessoal (PII) de acordo com os princípios de privacidade da ISO/IEC 29100 para o ambiente
de computação em nuvem pública.
Finalidade: Este documento é aplicável a organizações, incluindo empresas públicas e privadas, entidades governamentais e
organizações sem fins lucrativos, que fornecem serviços de processamento de informações como processadores de PII por meio de
computação em nuvem sob contrato com outras organizações. As diretrizes deste documento também podem ser relevantes para
organizações que atuam como controladoras de PII. No entanto, é possível que os controladores de PII estejam sujeitos a legislação,
regulamentos e obrigações adicionais de proteção de PII, que não se aplicam aos processadores de PII, e estes não são abordados
neste documento.
5.5.5 ISO/IEC 27019
Tecnologia da informação — Técnicas de segurança — Controles de segurança da informação para o setor de concessionárias de
energia
Escopo: Este documento fornece orientação baseada na ISO/IEC 27002:2013 aplicada a sistemas de controle de processo usados
pela indústria de concessionárias de energia para controlar e monitorar a produção ou geração, transmissão, armazenamento e
distribuição de energia elétrica, gás, petróleo e calor, e para o controle dos processos de suporte associados. Isto inclui, em particular,
o seguinte:
— tecnologia central e distribuída de controlo, monitorização e automação de processos, bem como sistemas de informação utilizados
para o seu funcionamento, tais como dispositivos de programação e parametrização;
— controladores digitais e componentes de automação, como dispositivos de controle e de campo ou programáveis

controladores lógicos (CLPs), incluindo sensores digitais e elementos atuadores;
— todos os outros sistemas de informação de apoio utilizados no domínio do controlo de processos, por exemplo, para tarefas
suplementares de visualização de dados e para fins de controlo, monitorização, arquivo de dados, registo histórico, elaboração de
relatórios e documentação;
— tecnologia de comunicação utilizada no domínio do controlo de processos, por exemplo, redes, telemetria, aplicações de telecontrolo
e tecnologia de controlo remoto;
— componentes de infraestrutura de medição avançada (AMI), por exemplo contadores inteligentes;
— dispositivos de medição, por exemplo, para valores de emissão;
— sistemas digitais de proteção e segurança, por exemplo, relés de proteção, PLCs de segurança, regulador de emergência
mecanismos;
— sistemas de gestão de energia, por exemplo, de recursos energéticos distribuídos (DER), infraestruturas de carregamento elétrico,
em residências, edifícios residenciais ou instalações de clientes industriais;
— componentes distribuídos de ambientes de redes inteligentes, por exemplo, em redes de energia, em residências privadas,
edifícios residenciais ou instalações industriais de clientes;
— todo o software, firmware e aplicações instaladas nos sistemas acima mencionados, por exemplo, aplicações DMS (sistema de
gestão de distribuição) ou OMS (sistema de gestão de interrupções);
— quaisquer instalações que alojem os equipamentos e sistemas acima mencionados;

ISO/IEC 27000:2018(E)
— sistemas de manutenção remota para os sistemas acima mencionados.
Este documento não se aplica ao domínio de controle de processos de instalações nucleares. Este domínio é coberto
pela IEC 62645.
Este documento também inclui um requisito para adaptar os processos de avaliação e tratamento de riscos descritos
na ISO/IEC 27001:2013 às orientações específicas do setor de concessionárias de energia fornecidas neste documento.
Objetivo: Além dos objetivos e medidas de segurança estabelecidos na ISO/IEC 27002, este documento fornece
diretrizes para sistemas usados por concessionárias de energia e fornecedores de energia sobre controles de segurança
da informação que atendem a requisitos especiais adicionais.
5.5.6 ISO 27799
Informática em saúde — Gestão da segurança da informação em saúde usando ISO/ IEC 27002
Escopo: Este documento fornece diretrizes para padrões organizacionais de segurança da informação e práticas de
gerenciamento de segurança da informação, incluindo a seleção, implementação e gerenciamento de controles levando
em consideração o(s) ambiente(s) de risco de segurança da informação da organização.
Este documento fornece orientações de implementação para os controles descritos na ISO/IEC 27002 e os complementa
quando necessário, para que possam ser utilizados de forma eficaz para gerenciar a segurança da informação em
saúde.
Objetivo: A ISO 27799 fornece às organizações de saúde uma adaptação das diretrizes da ISO/IEC 27002 exclusivas
para o seu setor industrial, que são adicionais às orientações fornecidas para o cumprimento dos requisitos da ISO/IEC
27001:2013, Anexo A.

ISO/IEC 27000:2018(E)
Bibliografia
[1] ISO 9000:2015, Sistemas de gestão da qualidade – Fundamentos e vocabulário
[2] ISO/IEC/IEEE 15939:2017, Engenharia de sistemas e software — Processo de medição
[3] ISO/IEC 17021, Avaliação de conformidade — Requisitos para organismos que fornecem auditoria e certificação
de sistemas de gestão
[4] ISO 19011:2011, Diretrizes para auditoria de sistemas de gestão
[5] ISO/IEC 20000-1:2011, Tecnologia da informação — Gestão de serviços — Parte 1: Requisitos do sistema de
gestão de serviços
[6] ISO/IEC 27001, Tecnologia da informação - Técnicas de segurança - Sistemas de gerenciamento de segurança
da informação - Requisitos
[7] ISO/IEC 27002, Tecnologia da informação – Técnicas de segurança – Código de prática para controles de
segurança da informação
[8] ISO/IEC 27003, Tecnologia da informação - Técnicas de segurança - Gestão da segurança da informação
- Orientação
[9] ISO/IEC 27004, Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação —
Monitoramento, medição, análise e avaliação
[10] ISO/IEC 27005, Tecnologia da informação — Técnicas de segurança — Risco de segurança da informação
gerenciamento
[11] ISO/IEC 27006, Tecnologia da informação — Técnicas de segurança — Requisitos para organismos que fornecem
auditoria e certificação de sistemas de gestão de segurança da informação
[12] ISO/IEC 27007, Tecnologia da informação – Técnicas de segurança – Diretrizes para auditoria de sistemas de
gerenciamento de segurança da informação
[13] ISO/IEC TR 27008, Tecnologia da informação — Técnicas de segurança — Diretrizes para auditores sobre
controles de segurança da informação
[14] ISO/IEC 27009, Tecnologia da informação — Técnicas de segurança — Aplicação específica do setor de
ISO/ IEC 27001 – Requisitos
[15] ISO/IEC 27010, Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação
para comunicações intersetoriais e interorganizacionais
[16] ISO/IEC 27011, Tecnologia da informação — Técnicas de segurança — Código de práticas para controles de
segurança da informação baseado na ISO/ IEC 27002 para organizações de telecomunicações
[17] ISO/IEC 27013, Tecnologia da informação — Técnicas de segurança — Orientação sobre o sistema integrado
implementação da ISO/ IEC 27001 e ISO/ IEC 20000-1
[18] ISO/IEC 27014, Tecnologia da informação — Técnicas de segurança — Governança da informação

segurança
[19] ISO/IEC TR 27016, Tecnologia da informação — Técnicas de segurança — Segurança da informação

gestão - Economia organizacional
[20] ISO/IEC 27017, Tecnologia da informação - Técnicas de segurança - Código de prática para informações
controles de segurança baseados na ISO/ IEC 27002 para serviços em nuvem
[21] ISO/IEC 27018, Tecnologia da informação — Técnicas de segurança — Código de práticas para proteção de
informações de identificação pessoal (PII) em nuvens públicas atuando como processadores de PII

ISO/IEC 27000:2018(E)
[22] ISO/IEC 27019, Tecnologia da informação — Técnicas de segurança — Controles de segurança da informação para a indústria de
serviços públicos de energia
[23] ISO/IEC 27021, Tecnologia da informação — Técnicas de segurança — Requisitos de competência para
profissionais de sistemas de gerenciamento de segurança da informação
[24] ISO 27799, Informática em saúde - Gestão da segurança da informação em saúde usando ISO/ IEC 27002
[25] Guia ISO 73:2009, Gestão de riscos - Vocabulário

ISO/IEC 27000:2018(E)
ICS 01.040.35; 03.100.70; 35.030 Preço

baseado em 27 páginas
© ISO/IEC 2018 – Todos os direitos reservados

[ABNT NBR ISOIEC 27000_2018] Tecnologia Da Informação - Técnicas de Segurança - Sistemas de Gestão de Segurança Da Informação

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

[ABNT NBR ISOIEC 27000_2018] Tecnologia Da Informação - Técnicas de Segurança - Sistemas de Gestão de Segurança Da Informação

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

DOCUMENTO PROTEGIDO POR DIREITOS AUTORAIS

eu © ISO/IEC 2018 – Todos os direitos reservados

Prefácio................................................. .................................................. .................................................. .................................................. .................................4

Introdução................................................. .................................................. .................................................. .................................................. ...........................v

1 Escopo................................................. .................................................. .................................................. .................................................. ...........................1

2 Referências normativas ................................................ .................................................. .................................................. ...................................1

3 Termos e definições................................................... .................................................. .................................................. ...................................1

4 Sistemas de gerenciamento de segurança da informação .................................. .................................................. .........................11

4.2.3 Segurança da informação............................................. .................................................. .................................................. .12

4.2.5 Sistema de gestão............................................. .................................................. .................................................. .13

4.4 Por que um SGSI é importante......................................... .................................................. .................................................. ..........13

5 Família de padrões SGSI ......................................... .................................................. .................................................. .........................18

Bibliografia................................................. .................................................. .................................................. .................................................. ......................26

© ISO/IEC 2018 – Todos os direitos reservados iii

— a introdução foi reformulada;

— alguns termos e definições foram removidos;

— A cláusula 3 foi alinhada com a estrutura de alto nível do MSS;

— A cláusula 5 foi atualizada para refletir as alterações nas normas em causa;

— Os anexos A e B foram suprimidos.

4 © ISO/IEC 2018 – Todos os direitos reservados

0.1 Visão geral

0.2 Objetivo deste documento

A família de padrões do SGSI inclui padrões que:

c) abordar diretrizes específicas do setor para SGSI; e

d) abordar a avaliação de conformidade para SGSI.

0.3 Conteúdo deste documento

Neste documento, são utilizadas as seguintes formas verbais:

— “deve” indica um requisito;

— “deveria” indica uma recomendação;

— “pode” indica uma permissão;

— “can” indica uma possibilidade ou capacidade.

© ISO/IEC 2018 – Todos os direitos reservados v

PADRÃO INTERNACIONAL ISO/IEC 27000:2018(E)

Tecnologia da informação — Técnicas de segurança —

Os termos e definições fornecidos neste documento

— cobrir termos e definições comumente usados na família de padrões SGSI;

— não limitar a família de padrões do SGSI na definição de novos termos de uso.

Não há referências normativas neste documento.

— Plataforma de navegação ISO Online: disponível em https://www.iso.org/obp

— Eletropedia IEC: disponível em https://www.electropedia.org/

© ISO/IEC 2018 – Todos os direitos reservados 1

[FONTE: ISO 19011:2011, 3.14, modificado — a nota 1 da entrada foi excluída.]

Nota 1 de entrada: Uma medida básica é funcionalmente independente de outras medidas.

[FONTE: ISO/IEC/IEEE 15939:2017, 3.3, modificado — a nota 2 da entrada foi excluída.]

Nota 1 de entrada: Um evento pode levar a uma série de consequências.

Nota 3 de entrada: As consequências podem ser expressas qualitativa ou quantitativamente.

Nota 4 de entrada: As consequências iniciais podem aumentar através de efeitos indiretos.

2 © ISO/IEC 2018 – Todos os direitos reservados

[FONTE: ISO Guide 73:2009, 3.8.1.1 — A nota 2 da entrada foi alterada.]

[FONTE: ISO/IEC/IEEE 15939:2017, 3.8, modificado — a nota 1 da entrada foi excluída.]

Nota 2 de entrada: As informações documentadas podem referir-se a

— o sistema de gestão (3.41), incluindo processos relacionados (3.54);

— informações criadas para o funcionamento da organização (3.50) (documentação);

— provas dos resultados alcançados (registos).

ocorrência de evento ou mudança de um determinado conjunto de circunstâncias

Nota 2 de entrada: Um evento pode consistir em algo que não acontece.

Nota 3 de entrada: Às vezes, um evento pode ser chamado de “incidente” ou “acidente”.

© ISO/IEC 2018 – Todos os direitos reservados 3

Nota 1 de entrada: O contexto externo pode incluir o seguinte:

— principais impulsionadores e tendências com impacto nos objetivos da organização (3.50);

— relações e percepções e valores das partes interessadas externas (3.37).

[FONTE: Guia ISO 73:2009, 3.3.1.1]

[FONTE: ISO/IEC/IEEE 15939:2017, 3.12]