MATRIZ DE CORRELAÇÃO ISO 27001-2013 e LGPD

ISO 27001:2013 LGPD

4- Contexto da Organização Sessão I - Dos requisitos para tratamento de dados pessoais
4.1 Entendendo a organização e seu contexto
Questões internas e externas relevantes. ISO 31000:2009 #7 Hipóteses para tratamento de dados pessoais
#8 Consentimento # facilidade de acesso do titular #Comprovação de legítimo interesse

4.2 Entendendo as Necessidades e Expectativas das Partes Interessadas. Sessão I e II

#7 Hipóteses para tratamento de dados pessoais
#8 Consentimento # facilidade de acesso do titular #Comprovação de legítimo interesse

4.3 Determinando o Escopo do Sistema de Gestão de Segurança da Informação Sessão I e II

#7 Hipóteses para tratamento de dados pessoais
#8 Consentimento # facilidade de acesso do titular #Comprovação de legítimo interesse

4.4 Sistema de Gestão da segurança da informação Sessão I

#7 Hipóteses para tratamento de dados pessoais #46,47 Agentes de tratamento de dados #
48 Controladores dos dados # 49 Sistemas # 50 Formulação de regras e Boas Práticas de
Governança.

5- Liderança Capitulo 4 - Agentes de tratamento de dados pessoais

5.2 Política # 50 Formulação de regras e Boas Práticas de Governança.

5.3 Papeis Responsabilidades e Autoridades Capitulo 6 Sessão II #41 Encarregado de tratamento de dados pessoais. Capitulo 6 Sessões I e
II
6 - Planejamento Capitulo 1 - Disposições Preliminares
6.1 Ações para abordar riscos e oportunidades # 6 Atividades de tratamento de dados pessoais VII e VIII

6.2 Objetivos de Segurança da Informação e planejamento de como alcançá-los # 50 Formulação de regras e Boas Práticas de Governança.

7- Apoio
7.1 Recursos # 50 Formulação de regras e Boas Práticas de Governança. §2º b) estrutura deve estar
adequada ao volume das operações.
7.2 Competência Sessão II #41 Encarregado de tratamento de dados pessoais
7.3 Conscientização # 50 Formulação de regras e Boas Práticas de Governança. §2º a) demonstração de
comprometimento do controlador.

7.4 Comunicação #18, 19 Relação do titular dos dados com o controlador # 48 Comunicação com a autoridade
nacional.
7.5 Informação documentada # 50 § 3º

8 Operação Capitulo 7 - Segurança e Boa Práticas

8.1 Planejamento dos controles operacionais # 50 Formulação de regras e Boas Práticas de Governança.
8.2 Avaliação de riscos de segurança da informação # 6 Atividades de tratamento de dados pessoais VII e VIII
8.3 Tratamento de riscos de segurança da informação # 6 Atividades de tratamento de dados pessoais VII e VIII
9 Avaliação de desempenho Capitulo 7 - Segurança e Boa Práticas
9.1 Monitoramento, medição, análise e avaliação # 50 Formulação de regras e Boas Práticas de Governança. §2º h) Atualizado e Monitorado

9.2 Auditoria Interna # 50 Formulação de regras e Boas Práticas de Governança. §2º h) II demonstrar efetividade
do programa de governança de dados
9.3 Análise Critica pela direção §2º h) Avaliações periódicas
10 - Melhoria
10.1 Não conformidade e ação corretiva # 48 Comunicação de ocorrência de incidentes
# 50 Formulação de regras e Boas Práticas de Governança. §2º g)plano de respostas a
incidentes
10.3 Melhoria continua §2º h) II demonstrar efetividade do programa de governança de dados
 Item N° Ref. Controle Correlação LGPD
Orientação da
Objetivo: Prover orientação da Direção e apoio para a segurança da
Direção para
A.5.1 informação de acordo com os requisitos do negócio e com as leis e
segurança da
regulamentações relevantes
informação

Políticas para Um conjunto de políticas de segurança da informação deve ser definido, aprovado
A.5 - Política de A.5.1.1 segurança da pela Direção, publicado e comunicado para os # 50 Formulação de regras e Boas Práticas de Governança.
segurança da informação funcionários e partes externas relevantes.
informação
Análise crítica das
As políticas de segurança da informação devem ser analisadas criticamente a
políticas
A.5.1.2
para segurança da
intervalos planejados ou quando mudanças signifi cativas # 50 Formulação de regras e Boas Práticas de Governança.
ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia
informação

Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar

A.6.1 Organização Interna a implementação e operação da segurança da informação dentro da
organização.

Responsabilidades
A.6.1.1
papéis da segurança Todas as responsabilidades pela segurança da informação devem ser definidas e Capitulo VI Sessão I e II #41 Encarregado de tratamento de dados
da atribuídas. pessoais
informação

Funções conflitantes e áreas de responsabilidade devem ser segregadas para

A.6.1.2
Segregação de
reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso
#10 Ligitimo interesse do controlador # 15,16 témino do tratamento e uso
Funções dos dados
indevido dos ativos da organização.

A.6.1.3
Contato com
Contatos apropriados com autoridades relevantes devem ser mantidos.
#18, 19 Relação do titular dos dados com o controlador # 48 Comunicação
Autoridades com a autoridade nacional.

A.6 - Organização Contatos apropriados com grupos especiais, associações profissionais ou outros
Contato com grupos
da segurança da A.6.1.4 especiais
fóruns especializados em segurança da informação # 13 Acesso a órgãos de pesquisa
informação devem ser mantidos

Segurança da
informação Segurança da informação deve ser considerada no gerenciamento de projetos,
A.6.1.5
no gerenciamento de independentemente do tipo do projeto Capitulo VII # 50 Boas pratica de segurança de dados
projetos

Dispositivos móveis de Objetivo: Garantir a segurança das informações no trabalho remoto e no uso de
A.6.2
trabalho dispositivos móveis

Uma política e medidas que apoiam a segurança da informação devem ser

Política para o uso de # 49 Sistemas a serem utilizados para o tratamento de dados
A.6.2.1 adotadas para gerenciar os riscos decorrentes do uso de
dispositivo móvel
dispositivos móveis. # 50 Boas práticas de governança de dados

Uma política e medidas que apoiam a segurança da informação devem ser

A.6.2.2 Trabalho Remoto implementadas para proteger as informações acessadas, processadas ou
armazenadas em locais de trabalho remoto.

Objetivo: Assegurar que funcionários e partes externas entendem as suas

A.7.1 Antes da Contratação responsabilidades e estão em conformidade com os papéis para os quais eles
foram selecionados.

Verificações do histórico devem ser realizadas para todos os candidatos a emprego,

de acordo com a ética, regulamentações e leis relevantes, e
A.7.1.1 Seleção
deve ser proporcional aos requisitos do negócio, aos riscos percebidos e à
classificação das informações a serem acessadas.

A.7.1.2
Termos e condições da As obrigações contratuais com funcionários e partes externas devem declarar a sua Capitulo 6 Dos Agentes de Tramento de Dados
contratação responsabilidade e a da organização para a segurança da informação Sessão I Controlador Sessão II #41 Encarregado de tratamento de dados
pessoais
Objetivo: Assegurar que os funcionários e partes externas estão conscientes e
A.7.2 Durante a Contratação
cumprem as suas responsabilidades pela segurança da informação.

A Direção deve requerer aos funcionários e partes externas que pratiquem a

Responsabilidade da
A.7 - Segurança A.7.2.1
Direção
segurança da informação de acordo com o estabelecido nas
em recursos políticas e procedimentos da organização.
humanos
Conscientização,
Todos os funcionários da organização e, onde pertinente, as partes externas devem
educação
A.7.2.2 e treinamento em
receber treinamento, educação e conscientização Capitulo VI Sessão II #50 Boas práticas de governança §2º a)
apropriados, e as atualizações regulares das políticas e procedimentos demonstração de comprometimento do controlador.
segurança da
organizacionais relevantes para as suas funções
informação

Deve existir um processo disciplinar formal, implantado e comunicado, para tomar

A.7.2.3 Processo Disciplinar ações contra funcionários que tenham cometido uma Capitulo VIII Sessão I # 52 Infrações dos agentes de tratamento de dados
violação de segurança da informação.

Encerramento e
Objetivo: Proteger os interesses da organização como parte do processo de
A.7.3 Mudança na
mudança ou encerramento da contratação.
Contratação

Responsabilidades
As responsabilidades e obrigações pela segurança da informação que permaneçam
pelo
válidas após um encerramento ou mudança da
A.7.3.1 encerramento ou
contratação devem ser defi nidas, comunicadas aos funcionários ou partes externas
mudança
e cumpridas
da contratação
 Responsabilidade Objetivo: Identificar os ativos da organização e definir as devidas
A.8.1
pelos Ativos responsabilidades pela proteção dos ativos.

Os ativos associados com informação e com os recursos e processamento da Capitulo VII Segurança e Boas Práticas # 46 Medidas de segurança e
A.8.1.1 Inventário dos Ativos informação devem ser identifi cados, e um inventário destes ativos deve ser medidas técnicas
estruturado e mantido. # 49 Sistemas utilizados para tratamento dos dados

Capitulo 6 Dos Agentes de Tramento de Dados

A.8.1.2 Proprietário dos Ativos Os ativos mantidos no inventário devem ter um proprietário. Sessão I Controlador Sessão II #41 Encarregado de tratamento de dados
pessoais

Regras para o uso aceitável das informações, dos ativos associados com
Uso aceitável dos
A.8.1.3 informação e os recursos de processamento da informação devem ser identifi
Ativos
cados, documentados e implementados.

Todos os funcionários e partes externas devem devolver todos os ativos da

A.8.1.4 Devolução de Ativos organização que estejam em sua posse após o encerramento de suas atividades, do
# 15 Hipóteses para término de tratamento de dados #16 Descarte de
contrato ou acordo dados pessoais após témino do tratamento

Classificação da Objetivo: Assegurar que a informação receba um nível adequado de proteção, de

A.8.2
Informação acordo com a sua importância para a organização Capitulo II Tratamento dos Dados Pessoais

A.8 - Gestão de Classificação da A informação deve ser classificada em termos do seu valor, requisitos legais,
ativos A.8.2.1
Informação sensibilidade e criticidade para evitar modificação ou divulgação não autorizada

Capitulo II # 7 Condições para tratamento de dados pessoais # 8

Um conjunto apropriado de procedimentospara rotular e tratar a informação deve ser Concentimento de uso # 9 Concentimento de uso #10 legítimo interesse
Rotulos e tratamento
A.8.2.2 desenvolvido e implementado de acordo com o esquema de do controlador dos dados.
da Informação
classificação da informação adotado pela organização
Capitulo II Sessão II Tratamento de dados sensíveis. Sessão III
Tratamento de dados de crianças e adolecentes

Procedimentos para o tratamento dos ativos devem ser desenvolvidos e

A.8.2.3 Tratamento dos Ativos implementados de acordo com o esquema de classificação da informação adotada
pela organização.

Tratamento das Objetivo: Prevenir a divulgação não autorizada, modifi cação, remoção ou destruição
A.8.3
Mídias da informação armazenada nas mídias.

Procedimentos devem ser implementados para o gerenciamento de mídias

Gerenciamento de
A.8.3.1 removíveis, de acordo com o esquema de classifi cação adotado pela
Mídias Removíveis
organização.

As mídias devem ser descartadas de forma segura e protegida quando não forem # 50 Formulação de regras e Boas Práticas de Governança. §2º b)
A.8.3.2 Descarte das Mídias
mais necessárias, por meio de procedimentos formais estrutura deve estar adequada ao volume das operações.

Transferência das Mídias contendo informações devem ser protegidas contra acesso não autorizado,
A.8.3.3
Mídias uso impróprio ou corrompida, durante o transporte.

Requisitos do
Objetivo: Limitar o acesso à informação e aos recursos de processamento da
A.9.1 Negócio para
informação
Controle de Acesso
Capitulo VII Sessão I Segurança e sigilo dos dados # 46 Adoção de
Política de Controle de Uma política de controle de acesso deve ser estabelecida, documentada e analisada medidas de segurança técnica.
A.9.1.1
Acesso criticamente, baseada nos requisitos de segurança da informação e dos negócios.

A.9 - Requisitos Acesso a rede e aos Os usuários devem somente receber acesso às redes e aos serviços de rede que
A.9.1.2
serviços de rede tenham sido especifi camente autorizados a usar
do negócio para
controle de
acesso Gerenciamento de Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não
A.9.2
acesso a usuário autorizado a sistemas e serviços

Registro e
Um processo formal de registro e cancelamento de usuário deve ser implementado
A.9.2.1 cancelamento de
para permitir atribuição dos direitos de acesso.
usuário

Um processo formal de provisionamento de acesso do usuário deve ser

Provisionamento de
A.9.2.2 implementado para conceder ou revogar os direitos de acesso para
acesso do usuário
todos os tipos de usuários em todos os tipos de sistemas e serviços.

Gerenciamento de Capitulo VII Sessão I Segurança e sigilo dos dados # 46 Adoção de

A concessão e uso de direitos de acesso privilegiado devem ser restritos e medidas de segurança técnica.
A.9.2.3 direitos de acesso
controlados.
privilegiado

Gerenciamento da
Informação de A concessão de informação de autenticação secreta deve ser controlada por meio
A.9.2.4
autenticação secreta de um processo de gerenciamento formal
de usuários

A.9 - Requisitos Análise Crítica dos

Os proprietários de ativos devem analisar criticamente os direitos de acesso dos
do negócio para A.9.2.5 direitos de acesso do
usuários, a intervalos regulares
usuário
controle de
acesso
Os direitos de acesso de todos os funcionários e partes externas às informações e
Retirada dos direitos aos recursos de processamento da informação devem ser
A.9.2.6
de acesso retirados após o encerramento de suas atividades, contratos ou acordos, ou
ajustado após a mudança destas atividades.

Responsabilidades Objetivo: Tornar os usuários responsáveis pela proteção das suas

A.9.3
dos usuários informações de autenticação.
Uso da informação de Os usuários devem ser orientados a seguir as práticas da organização quanto ao
A.9.3.1
autenticação secreta uso da informação de autenticação secreta.
Controle de acesso Capitulo VII Sessão I Segurança e sigilo dos dados # 46 Adoção de
A.9.4 ao sistema e a Objetivo: Prevenir o acesso não autorizado aos sistemas e aplicações. medidas de segurança técnica.
aplicação

Restrição de acesso à O acesso à informação e às funções dos sistemas de aplicações deve ser restrito de
A.9.4.1
informação acordo com a política de controle de acesso.

Procedimentos seguros Onde aplicavél pela política de controle de acesso, o acesso aos sistemas e
A.9.4.2 de entrada no sistema aplicações devem ser controlados por um procedimento seguro de entrada no
A.9 - Requisitos (Log-on) sistema (log-on).
do negócio para
controle de Sistema de
Sistemas para gerenciamento de senhas devem ser interativos e devem assegurar
acesso A.9.4.3 gerenciamento de
senhas de qualidade.
senha

O uso de programas utilitários que podem ser capazes de sobrepor os controles dos
Uso de programas
A.9.4.4 sistemas e aplicações deve ser restrito e estritamente
utilitários privilegiados
controlado

Controle de acesso ao
A.9.4.5 código-fonte de O acesso ao código-fonte de programa deve ser restrito
programas
 Objetivo: Assegurar o uso efetivo e adequado da criptografi a para proteger a confi
A.10.1 Controle critográficos
dencialidade, autenticidade e/ou a integridade da informação.

Política para uso de Deve ser desenvolvida e implementada uma política para o uso de controles
A.10 - Criptografia A.10.1.1 controle criptográficos criptográficos para a proteção da informação
Capitulo VII Sessão I Segurança e sigilo dos dados # 46 Adoção de
medidas de segurança técnica.
Gerenciamento de Uma política sobre o uso, proteção e tempo de vida das chaves criptográfi cas deve # 49 Os sistemas utilizados devem atender a requisitos de segurança
A.10.1.2
chaves ser desenvolvida e implementada ao longo de todo o seu ciclo de vida.

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências nos

A.11.1 Áreas Seguras recursos de processamento das informações e nas informações da
organização.
# 50 Formulação de regras e Boas Práticas de Governança. §2º b)
A.11 - Segurança Perímetros de segurança devem ser definidos e usados para proteger tanto as estrutura deve estar adequada ao volume das operações.
Perímetro de
A.11.1.1 instalações de processamento da informação como as áreas que contenham
física e do segurança
informações críticas ou sensíveis
ambiente # 46 Adoção de medidas de segurança técnica.

Controles de entrada As áreas seguras devem ser protegidas por controles apropriados de entrada para
A.11.1.2
física assegurar que somente pessoas autorizadas tenham acesso permitido.

Segurana em
A.11.1.3 escritórios, salas e Deve ser projetada e aplicada segurança física para escritórios, salas e instalações.
Instalações

Proteção contra as
Deve ser projetada e aplicada proteção física contra desastres naturais, ataques
A.11.1.4 ameaças externas e do
maliciosos ou acidentes.
meio ambiente

Trabalho em áreas Devem ser projetados e aplicados procedimentos para o trabalho em áreas
A.11.1.5
seguras seguras

Pontos de acesso, como áreas de entrega e de carregamento, e outros pontos em

Áreas de entrega e de que pessoas não autorizadas possam entrar nas instalações, devem ser controlados
A.11.1.6
de carregamento e, se possível, isolados das instalações de processamento da
informação, para evitar o acesso não autorizado

Objetivo: Impedir perdas, danos, roubo, ou comprometimento de ativos e interrupção

A.11.2 Equimentos
das operações da organização.

Os equipamentos devem ser protegidos e colocados em locais para reduzir os

Localização e proteção
A.11.2.1 riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de
do equipamento
acesso não autorizado

Os equipamentos devem ser protegidos contra falta de energia elétrica e outras

A.11.2.2 Utilidades
interrupções causadas por falhas das utilidades.

O cabeamento de energia e de telecomunicações que transporta dados ou dá

Segurança e
A.11.2.3 suporte aos serviços de informações deve ser protegido contra interceptação,
cabeamento
interferência ou danos.

Manutenção dos Os equipamentos devem ter uma manutenção correta para assegurar a sua
A.11.2.4
Equipamentos contínua integridade e disponibilidade.

Equipamentos, informações ou software não devem ser retirados do local sem

A.11.2.5 Remoção de ativos
autorização prévia

Segurança de
Devem ser tomadas medidas de segurança para ativos que operem fora do local,
equipamentos e ativos
A.11.2.6 levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das
fora das dependencias
dependências da organização
da organização

Todos os equipamentos que contenham mídias de armazenamento de dados devem

Reunitilização e ou
ser examinados antes da reutilização, para assegurar que todos os dados sensíveis
A.11.2.7 descarte seguro de
e softwares licenciados tenham sido removidos ou
equipamentos
sobregravados com segurança.

Equipamento de
Os usuários devem assegurar que os equipamentos não monitorados tenham
A.11.2.8 usuário sem
proteção adequada.
monitoração

Devem ser adotadas uma política de mesa limpa para papéis e mídias de
Política de mesa limpa
A.11.2.9 armazenamento removíveis e uma política de tela limpa para os recursos de
e tela limpa
processamento da informação.

Seguranças das Objetivo: Garantir a operação segura e correta dos recursos de

A.12.1
Operações processamento da informação.
Documentação dos Os procedimentos de operação devem ser documentados e disponibilizados para
A.12.1.1 procedimentos de todos os usuários que necessitam deles.
operação
Mudanças na organização, nos processos do negócio, nos recursos de
processamento da informação e nos sistemas que afetam a segurança da
A.12.1.2 Gestão de Mudanças
informação devem ser controladas

A utilização dos recursos deve ser monitorada e ajustada, e as projeções devem ser # 50 Formulação de regras e Boas Práticas de Governança. §2º b)
A.12.1.3 Gestão de Capacidade feitas para necessidades de capacidade futura para garantir estrutura deve estar adequada ao volume das operações.
o desempenho requerido do sistema.
Ambientes de desenvolvimento, teste e produção devem ser separados para reduzir
Separação dos os riscos de acessos ou modifi cações não autorizadas no ambiente de produção.
ambientes
A.12.1.4 de desenvolvimento,
teste e
de produção

Proteção contra Assegurar que as informações e os recursos de processamento da informação

A.12.2
malware estão protegidos contra malware
Devem ser implementados controles de detecção, prevenção e recuperação para Capitulo VII Sessão I Segurança e sigilo dos dados # 46 Adoção de
Controles contra proteger contra malware, combinados com um adequado programa de medidas de segurança técnica.
A.12.2.1 conscientização do usuário
malware # 49 Os sistemas utilizados devem atender a requisitos de segurança

A.12.3 Cópias de Segurança Objetivo: Proteger contra a perda de dados.

Cópias de segurança das informações, softwares e das imagens do sistema devem

Cópias de segurança
ser efetuadas e testadas regularmente conforme a política de
A.12.3.1 das
geração de cópias de segurança definida.
informações
Registros de
A.12.4 Objetivo: Registrar eventos e gerar evidências.
Monitoramento
Registros de eventos (log) das atividades do usuário, exceções, falhas e eventos de
segurança da informação devem ser produzidos, mantidos e analisados
A.12.4.1 Registros de Eventos criticamente, a intervalos regulares

Proteção das Controle As informações dos registros de eventos (log) e seus recursos devem ser
A.12 - Segurança informações protegidos contra acesso não autorizado e adulteração.
A.12.4.2
nas operações dos registros de
eventos (logs)
Registros de eventos As atividades dos administradores e operadores do sistema devem ser registradas e
(log) os registros (logs) devem ser protegidos e analisados
A.12.4.3 criticamente, a intervalos regulares.
de administrador
e operador

Os relógios de todos os sistemas de processamento de informações relevantes,

Sincronização dos
A.12.4.4 dentro da organização ou do domínio de segurança, devem ser sincronizados com
Relógios
uma fonte de tempo precisa

Controle de software
A.12.5 Objetivo: Assegurar a integridade dos sistemas operacionais.
operacional
 Capitulo VII Sessão I Segurança e sigilo dos dados # 46 Adoção de
medidas de segurança técnica.
# 49 Os sistemas utilizados devem atender a requisitos de segurança

A.12 - Segurança
nas operações

Procedimentos para controlar a instalação de software em sistemas operacionais

Instalação de software devem ser implementados.
A.12.5.1 nos
sistemas operacionais

Gestão de
A.12.6 vulnerabilidades Objetivo: Prevenir a exploração de vulnerabilidades técnicas
técnicas
Informações sobre vulnerabilidades técnicas dos sistemas de informação em uso
Gestão de devem ser obtidas em tempo hábil; a exposição da organização a estas
A.12.6.1 vulnerabilidades vulnerabilidades deve ser avaliada e devem ser tomadas as medidas
técnicas apropriadas para lidar com os riscos associados

Restrições quanto à Regras defi nindo critérios para a instalação de software pelos usuários devem ser
A.12.6.2
instalação de software estabelecidas e implementadas

Considerações
quanto à auditoria de Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas
A.12.7
sistemas de operacionais
informação
As atividades e requisitos de auditoria envolvendo a verifi cação nos sistemas
Controles de auditoria operacionais devem ser cuidadosamente planejados e acordados para minimizar
A.12.7.1 de sistemas de interrupção nos processos do negócio
informação

Gerenciamento da Objetivo: Assegurar a proteção das informações em redes e dos recursos de

A.13.1
segurança em redes processamento da informação que as apoiam.

As redes devem ser gerenciadas e controladas para proteger as informações nos

A.13.1.1 Controle de redes
sistemas e aplicações.
Mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de
todos os serviços de rede devem ser identifi cados e incluídos em qualquer acordo
Segurança nos de serviços de rede, tanto para serviços de rede providos
A.13.1.2
serviços de rede internamente como para terceirizados

Grupos de serviços de informação, usuários e sistemas de informação devem ser

A.13.1.3 Segregação de redes segregados em redes.
A.13 - Segurança Transferência de Objetivo: Manter a segurança da informação transferida dentro da organização
nas A.13.2
informação e com quaisquer entidades externas
comunicações Políticas e
Políticas, procedimentos e controles de transferências formais devem ser
procedimentos para
A.13.2.1 estabelecidos para proteger a transferência de informações por meio do uso de
transferência de
todos os tipos de recursos de comunicação.
informações
Acordos para
Devem ser estabelecidos acordos para transferência segura de informações do #18, 19 Relação do titular dos dados com o controlador # 48 Comunicação
A.13.2.2 transferência de com a autoridade nacional.
negócio entre a organização e partes externas
informações
As informações que trafegam em mensagens eletrônicas devem ser # 49 Os sistemas utilizados devem atender a requisitos de segurança
A.13.2.3 Mensagens eletrônicas
adequadamente protegidas
Acordos de Os requisitos para confi dencialidade ou acordos de não divulgação que refl itam as
A.13.2.4 confidencialidade e não necessidades da organização para a proteção da informação
divulgação devem ser identifi cados, analisados criticamente e documentados
 Requisitos de Objetivo: Garantir que a segurança da informação é parte integrante de todo o Capitulo II Tratamento dos Dados Pessoais Sessão IV Término do
segurança de ciclo de vida dos sistemas de informação. Isto também inclui os requisitos tratamento dos dados
A.14.1 para sistemas de informação que fornecem serviços sobre as redes públicas.
sistemas de
informação
Os requisitos relacionados com segurança da informação devem ser incluídos nos
Análise e especificação requisitos para novos sistemas de informação ou melhorias
dos requisitos de dos sistemas de informação existentes
A.14.1.1
segurança da
informação

Serviços de aplicação As informações envolvidas nos serviços de aplicação que transitam sobre redes
A.14.1.2 seguros em redes públicas devem ser protegidas de atividades fraudulentas, disputas contratuais e
públicas divulgação e modificações não autorizadas

Informações envolvidas em transações nos aplicativos de serviços devem ser

Protegendo as
protegidas para prevenir transmissões incompletas, erros de roteamento, alterações
A.14.1.3 transações nos
não autorizadas de mensagens, divulgação não autorizada,
aplicativos de serviços
duplicação ou reapresentação de mensagem não autorizada

Segurança em
Objetivo: Garantir que a segurança da informação está projetada e
A.14.2
processos de
implementada no ciclo de vida de desenvolvimento dos sistemas de
Capitulo II Tratamento dos Dados Pessoais Sessão IV Término do
desenvolvimento e de tratamento dos dados
informação.
suporte
Política de Regras para o desenvolvimento de sistemas e software devem ser estabelecidas e # 49 Os sistemas utilizados devem atender a requisitos de segurança
A.14.2.1 desenvolvimento aplicadas aos desenvolvimentos realizados dentro da
seguro organização
Mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser
Procedimentos para controladas utilizando procedimentos formais de controle de mudanças.
A.14 - Aquisição, A.14.2.2 controle de mudanças
desenvolvimento e de sistemas
manutenção de Aplicações críticas de negócios devem ser analisadas criticamente e testadas
sistemas Análise crítica técnica quando plataformas operacionais são mudadas, para garantir que não haverá
das aplicações após nenhum impacto adverso na operação da organização ou na
A.14.2.3 mudanças nas segurança
plataformas
operacionais

Restrições sobre Modificações em pacotes de software devem ser desencorajadas e devem estar
A.14.2.4 mudanças em pacotes limitadas às mudanças necessárias, e todas as mudanças
de software devem ser estritamente controladas
Princípios para projetar sistemas seguros devem ser estabelecidos, documentados,
Princípios para projetar
A.14.2.5 mantidos e aplicados para qualquer implementação de
sistemas seguros
sistemas de informação.
As organizações devem estabelecer e proteger adequadamente os ambientes
Ambiente seguro para seguros de desenvolvimento, para os esforços de integração e desenvolvimento de
A.14.2.6 sistemas, que cubram todo o ciclo de vida de desenvolvimento de sistema
desenvolvimento

Desenvolvimento A organização deve supervisionar e monitorar as atividades de desenvolvimento de

A.14.2.7 sistemas terceirizado
terceirizado
Teste de segurança do Testes de funcionalidade de segurança devem ser realizados durante o
A.14.2.8 desenvolvimento de sistemas
sistema
Programas de testes de aceitação e critérios relacionados devem ser estabelecidos
Teste de aceitação de para novos sistemas de informação, atualizações e novas versões
A.14.2.9
sistemas

A.14.3 Dados para teste Objetivo: Assegurar a proteção dos dados usados para teste

Proteção dos dados

A.14.3.1 Os dados de teste devem ser selecionados com cuidado, protegidos e controlados
para teste

Segurança da
Objetivo: Garantir a proteção dos ativos da organização que são acessados
A.15.1 informação na cadeia
pelos fornecedores.
de suprimento

Requisitos de segurança da informação para mitigar os riscos associados com o

Política de segurança acesso dos fornecedores aos ativos da organização devem ser acordados com o
da informação no fornecedor e documentados
A.15.1.1
relacionamento com os
fornecedores

Identificando Todos os requisitos de segurança da informação relevantes devem ser

segurança da estabelecidos e acordados com cada fornecedor que possa acessar,
A.15.1.2 informação nos processar, armazenar, comunicar ou prover componentes de infraestrutura de TI
acordos com para as informações da organização
fornecedores
A.15 - Acordos com fornecedores devem incluir requisitos para contemplar os riscos de
Relacionamento na Cadeia de suprimento segurança da informação associados com a cadeia de suprimento de produtos e
cadeia de
# 50 Formulação de regras e Boas Práticas de Governança.
na tecnologia da serviços de tecnologia da informação e comunicação
A.15.1.3
suprimento informação e
comunicação

Gerenciamento da
Objetivo: Manter um nível acordado de segurança da informação e de entrega
A.15.2 entrega do serviço do
de serviços em consonância com os acordos com fornecedores.
fornecedor
Monitoramento e
análise crítica de A organização deve monitorar, analisar criticamente e auditar, a intervalos regulares,
A.15.2.1
serviços com a entrega dos serviços executados pelos fornecedores
fornecedores
Mudanças no provisionamento dos serviços pelos fornecedores, incluindo
Gerenciamento de manutenção e melhoria das políticas de segurança da informação, dos
mudanças para procedimentos e controles existentes, devem ser gerenciadas, levando-se em conta
A.15.2.2
serviços com a criticidade das informações do negócio, dos sistemas e processos envolvidos e a
fornecedores reavaliação de riscos

Gestão de incidentes
Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os
de segurança da
A.16.1 incidentes de segurança da informação, incluindo a comunicação sobre
informação e
fragilidades e eventos de segurança da informação
melhorias

Responsabilidades e procedimentos de gestão devem ser estabelecidos para # 48 Comunicação de ocorrência de incidentes
Responsabilidades e assegurar respostas rápidas, efetivas e ordenadas aos incidentes de segurança da
A.16.1.1 # 50 Formulação de regras e Boas Práticas de Governança. §2º g)plano
procedimentos informação
de respostas a incidentes
Os eventos de segurança da informação devem ser relatados por meio dos canais
Notificação de eventos de gestão, o mais rapidamente possível
A.16.1.2 de segurança da
informação

Os funcionários e partes externas que usam os sistemas de informação e serviços

Notificando fragilidades da organização devem ser instruídos a notificar e registrar quaisquer fragilidades de
A.16 - Gestão de A.16.1.3 de segurança da segurança da informação, observada ou suspeita, nos
informação sistemas ou serviços
incidentes de
segurança da
informação Avaliação e decisão
Os eventos de segurança da informação devem ser avaliados, e deve ser decidido
dos eventos de
A.16.1.4 se eles são classifi cados como incidentes de segurança da
segurança da
informação
informação
Respostas aos Incidentes de segurança da informação devem ser reportados de acordo com
incidentes de procedimentos documentados
A.16.1.5
segurança da
informação
Aprendendo com os Os conhecimentos obtidos da análise e resolução dos incidentes de segurança da
incidentes de informação devem ser usados para reduzir a probabilidade ou o impacto de
A.16.1.6 incidentes futuros
segurança da
informação
A organização deve defi nir e aplicar procedimentos para a identifi cação, coleta,
A.16.1.7 Coleta de evidências aquisição e preservação das informações, as quais podem servir como evidências

Continuidade da Objetivo: A continuidade da segurança da informação deve ser contemplada

A.17.1 segurança da nos sistemas de
informação gestão da continuidade do negócio da organização
 Planejando a A organização deve determinar seus requisitos para a segurança da informação e a
continuidade da continuidade da gestão da segurança da informação em situações adversas, por
A.17.1.1 exemplo, durante uma crise ou desastre
segurança da
informação
Implementando a A organização deve estabelecer, documentar, implementar e manter processos,
A.17 - Aspectos continuidade da procedimentos e controles para assegurar o nível requerido de continuidade para a
A.17.1.2 segurança da informação durante uma situação adversa
da segurança da segurança da
informação na informação
gestão da Verificação, análise A organização deve verifi car os controles de continuidade da segurança da # 50 Formulação de regras e Boas Práticas de Governança. §2º b)
continuidade do crítica e avaliação da informação, estabelecidos e implementados, a intervalos regulares, para garantir
A.17.1.3 continuidade da que eles são válidos e efi cazes em situações adversas estrutura deve estar adequada ao volume das operações.
negócio
segurança da
informação
Objetivo: Assegurar a disponibilidade dos recursos de processamento da
A.17.2 Redundâncias informação
Disponibilidade dos
recursos de Os recursos de processamento da informação devem ser implementados com
A.17.2.1
processamento da redundância suficiente para atender aos requisitos de disponibilidade
informação
Conformidade com Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias,
A.18.1 requisitos legais e regulamentares ou contratuais relacionadas à segurança da informação e de
contratuais quaisquer requisitos de segurança
Identificação da Todos os requisitos legislativos estatutários, regulamentares e contratuais
legislação aplicável e relevantes, e o enfoque da organização para atender a esses requisitos, devem ser
A.18.1.1 explicitamente identifi cados, documentados e mantidos
de requisitos
contratuais atualizados para cada sistema de informação da organização
Procedimentos apropriados devem ser implementados para garantir a conformidade
Direitos de propriedade com os requisitos legislativos, regulamentares e contratuais relacionados com os
A.18.1.2 direitos de propriedade intelectual e sobre o uso de
intelectual
produtos de software proprietários Capitulo 1- Disposições Preliminares
Registros devem ser protegidos contra perda, destruição, falsifi cação, acesso não
# 1 Disposição de dados
A.18.1.3 Proteção de registros autorizado e liberação não autorizada, de acordo com os requisitos regulamentares,
# 2 Disciplina na proteção de dados
estatutários, contratuais e do negócio # 3 Aplicação da Lei
A privacidade e proteção das informações de identifi cação pessoal devem ser # 5 Considerações de fins
Proteção e privacidade asseguradas conforme requerido por legislação e regulamentação pertinente, # 6 Princípios fundamentais da proteção de dados
de informações de quando aplicáve
A.18.1.4
identificação de
pessoal

A.18 – Regulamentação de Controles de criptografi a devem ser usados em conformidade com todas as leis,
Conformidade A.18.1.5 controles de acordos, legislação e regulamentações pertinentes
criptografia
Análise crítica da
Objetivo: Assegurar que a segurança da informação está implementada e
A.18.2 segurança da
operada de acordo com as políticas e procedimentos da organização.
informação
O enfoque da organização para gerenciar a segurança da informação e a sua
implementação (por exemplo, objetivo dos controles, controles, políticas, processos
Análise crítica e procedimentos para a segurança da informação) deve ser analisado criticamente,
independente da de forma independente, a intervalos planejados, ou
A.18.2.1 quando ocorrerem mudanças signifi cativas
segurança da
informação

Os gestores devem analisar criticamente, a intervalos regulares, a conformidade dos

# 50 Formulação de regras e Boas Práticas de Governança §2º h)
Conformidade com as procedimentos e do processamento da informação, dentro das suas áreas de Avaliações periódicas
políticas e normas de responsabilidade, com as normas e políticas de segurança e quaisquer outros
A.18.2.2
segurança da requisitos de segurança da informação
informação

Os sistemas de informação devem ser analisados criticamente, a intervalos

Análise crítica da regulares, para verifi car a conformidade com as normas e políticas de segurança da
A.18.2.3
conformidade técnica informação da organização