Iso Iec 27001

Cpia no autorizada
NORMA
BRASILEIRA
ABNT NBR
ISO/IEC
27001
Primeira edio
31.03.2006
Vlida a partir de
30.04.2006
Tecnologia da informao Tcnicas de

segurana Sistemas de gesto de
segurana da informao Requisitos
Information technology Security techniques Information security
management systems Requirements
Palavras-chave: Tecnologia da informao. Segurana.

Descriptors: Information technology. Security.
ICS 35.040
Nmero de referncia
ABNT NBR ISO/IEC 27001:2006
34 pginas
ABNT 2006
Cpia no autorizada
ABNT 2006
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.
Sede da ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 2220-1762
abnt@abnt.org.br
www.abnt.org.br
Impresso no Brasil
ii
ABNT 2006 - Todos os direitos reservados
Cpia no autorizada
Sumrio
Pgina
Prefcio Nacional.......................................................................................................................................................iv
0
0.1
0.2
0.3
Introduo.......................................................................................................................................................v
Geral................................................................................................................................................................v
Abordagem de processo...............................................................................................................................v
Compatibilidade com outros sistemas de gesto.....................................................................................vi
1
1.1
1.2
Objetivo ..........................................................................................................................................................1
Geral................................................................................................................................................................1
Aplicao........................................................................................................................................................1
Referncia normativa ....................................................................................................................................2
Termos e definies ......................................................................................................................................2
4
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3
Sistema de gesto de segurana da informao .......................................................................................4

Requisitos gerais...........................................................................................................................................4
Estabelecendo e gerenciando o SGSI .........................................................................................................4
Estabelecer o SGSI........................................................................................................................................4
Implementar e operar o SGSI .......................................................................................................................6
Monitorar e analisar criticamente o SGSI ...................................................................................................7
Manter e melhorar o SGSI.............................................................................................................................8
Requisitos de documentao.......................................................................................................................8
Geral................................................................................................................................................................8
Controle de documentos ..............................................................................................................................9
Controle de registros ....................................................................................................................................9
5
5.1
5.2
5.2.1
5.2.2
Responsabilidades da direo.....................................................................................................................9
Comprometimento da direo......................................................................................................................9
Gesto de recursos .....................................................................................................................................10
Proviso de recursos ..................................................................................................................................10
Treinamento, conscientizao e competncia .........................................................................................10
Auditorias internas do SGSI.......................................................................................................................11
7
7.1
7.2
7.3
Anlise crtica do SGSI pela direo .........................................................................................................11

Geral..............................................................................................................................................................11
Entradas para a anlise crtica...................................................................................................................11
Sadas da anlise crtica .............................................................................................................................12
8
8.1
8.2
8.3
Melhoria do SGSI .........................................................................................................................................12

Melhoria contnua ........................................................................................................................................12
Ao corretiva..............................................................................................................................................12
Ao preventiva ...........................................................................................................................................13
Anexo A (normativo) Objetivos de controle e controles.......................................................................................14

Anexo B (informativo) Princpios da OECD e desta Norma ..................................................................................31
Anexo C (informativo) Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e
esta Norma ...................................................................................................................................................32
Bibliografia ................................................................................................................................................................34
iii
Cpia no autorizada
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas por
Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores,
consumidores e neutros (universidades, laboratrios e outros).
A ABNT NBR ISO/IEC 27001 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 12, de 31.12.2005, com o nmero de
Projeto 21:204.01-012.
Esta Norma uma traduo idntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical Committee
Information Technology (ISO/IEC/JTC 1), subcommittee IT Security Tecchniques (SC 27).
Esta Norma contm o anexo A, de carter normativo, e os anexos B e C, de carter informativo.
iv
Cpia no autorizada
0 Introduo
0.1
Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um
SGSI deve ser uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de
uma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
empregados e tamanho e estrutura da organizao. esperado que este e os sistemas de apoio mudem com o
passar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades da
organizao, por exemplo, uma situao simples requer uma soluo de um SGSI simples.
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.
0.2
Abordagem de processo
Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI de uma organizao.
Uma organizao precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividade
que faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser considerada
um processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte.
A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaes
destes processos, e a sua gesto podem ser consideradas como "abordagem de processo.
A abordagem de processo para a gesto da segurana da informao apresentada nesta Norma encoraja que
seus usurios enfatizem a importncia de:
a)
entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de

estabelecer uma poltica e objetivos para a segurana de informao;
b)
implementao e operao de controles para gerenciar os riscos de segurana da informao de uma

organizao no contexto dos riscos de negcio globais da organizao;
c)
monitorao e anlise crtica do desempenho e eficcia do SGSI; e
d)
melhoria contnua baseada em medies objetivas.
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos
os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana de
informao e as expectativas das partes interessadas, e como as aes necessrias e processos de segurana da
informao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra os
vnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.
A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD1) (2002) para
governar a segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para
1)
Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana.
Paris: OECD, 2002 de julho. http://www.oecd.org.
Cpia no autorizada
implementar os princpios nessas diretrizes para direcionar a anlise/avaliao de riscos, especificao e

implementao de segurana, gerenciamento de segurana e reavaliao.
EXEMPLO 1
Um requisito pode significar que violaes de segurana da informao no causem srios danos financeiros e/ou
constrangimentos organizao.
EXEMPLO 2
Uma expectativa pode significar que se um incidente grave ocorrer por exemplo, a invaso da pgina Internet de
comrcio eletrnico de uma organizao deveria haver pessoas com treinamento suficiente nos procedimentos
apropriados para minimizar o impacto.
Figura 1 Modelo PDCA aplicado aos processos do SGSI

Plan (planejar) (estabelecer o SGSI)
Estabelecer a poltica, objetivos, processos e procedimentos do

SGSI, relevantes para a gesto de riscos e a melhoria da
segurana da informao para produzir resultados de acordo
com as polticas e objetivos globais de uma organizao.
Do (fazer) (implementar e operar o

SGSI)
Implementar e operar a poltica, controles, processos e

procedimentos do SGSI.
Check (checar) (monitorar e analisar

criticamente o SGSI)
Avaliar e, quando aplicvel, medir o desempenho de um

processo frente poltica, objetivos e experincia prtica do
SGSI e apresentar os resultados para a anlise crtica pela
direo.
Act (agir) (manter e melhorar o SGSI) Executar as aes corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da anlise crtica pela
direo ou outra informao pertinente, para alcanar a
melhoria contnua do SGSI.
0.3
Compatibilidade com outros sistemas de gesto
Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a
implementao e a operao de forma consistente e integrada com normas de gesto relacionadas. Um sistema
vi
Cpia no autorizada
de gesto adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1
ilustra a relao entre as sees desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004.
Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistemas
de gesto relacionados.
Cpia no autorizada
Cpia no autorizada
NORMA BRASILEIRA
Tecnologia da informao Tcnicas de segurana Sistemas de gesto

de segurana da informao Requisitos
IMPORTANTE Esta publicao no tem o propsito de incluir todas as clusulas necessrias a um

contrato. Os usurios so responsveis pela sua correta aplicao. Conformidade com esta Norma por si
s no confere imunidade em relao s obrigaes legais.
1
1.1
Objetivo
Geral
Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias
governamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do
contexto dos riscos de negcio globais da organizao. Ela especifica requisitos para a implementao de
controles de segurana personalizados para as necessidades individuais de organizaes ou suas partes.
O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados para
proteger os ativos de informao e propiciar confiana s partes interessadas.
NOTA 1
Convm que referncias a negcio nesta Norma sejam interpretadas, de modo geral, tendo em vista as
atividades que so essenciais aos objetivos de existncia da organizao.
NOTA 2
A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode ser usada quando da
especificao de controles.
1.2
Aplicao
Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes,
independentemente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nas
sees 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com esta Norma.
Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao de riscos
precisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveis
precisam ser fornecidas. Onde quaisquer controles sejam excludos, reivindicaes de conformidade a esta Norma
no so aceitveis, a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade
de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao
de riscos e por requisitos legais e regulamentares aplicveis.
NOTA
Se uma organizao j tiver um sistema de gesto de processo de negcio em operao (por exemplo, em relao
com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), prefervel na maioria dos casos satisfazer os requisitos desta Norma
dentro deste sistema de gesto existente.
Cpia no autorizada
Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma. Para referncia datada, aplicase apenas a edio citada. Para referncia no datada, aplica-se a ltima edio do documento referenciado
(incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da informao.
Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

3.1
ativo
qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
3.2
disponibilidade
propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3
confidencialidade
propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no
autorizados
[ISO/IEC 13335-1:2004]
3.4
segurana da informao
preservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar
envolvidas
[ABNT NBR ISO/IEC 17799:2005]
3.5
evento de segurana da informao
uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica
de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
3.6
incidente de segurana da informao
um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
Cpia no autorizada
3.7
sistema de gesto da segurana da informao
SGSI
a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao
NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades,
prticas, procedimentos, processos e recursos.
3.8
integridade
propriedade de salvaguarda da exatido e completeza de ativos
[ISO/IEC 13335-1:2004]
3.9
risco residual
risco remanescente aps o tratamento de riscos
[ABNT ISO/IEC Guia 73:2005]
3.10
aceitao do risco
deciso de aceitar um risco
3.11
anlise de riscos
uso sistemtico de informaes para identificar fontes e estimar o risco
3.12
anlise/avaliao de riscos
processo completo de anlise e avaliao de riscos
3.13
avaliao de riscos
processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco
3.14
gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a
comunicao de riscos.
Cpia no autorizada
3.15
tratamento do risco
processo de seleo e implementao de medidas para modificar um risco
NOTA
Nesta Norma o termo controle usado como um sinnimo para medida.
3.16
declarao de aplicabilidade
declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao
SGSI da organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de
anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os
requisitos de negcio da organizao para a segurana da informao.
Sistema de gesto de segurana da informao
4.1
Requisitos gerais
A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela
enfrenta. Para os efeitos desta Norma, o processo usado est baseado no modelo de PDCA mostrado na figura 1.
4.2
Estabelecendo e gerenciando o SGSI
4.2.1
Estabelecer o SGSI
A organizao deve:
a)
Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua
localizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver
1.2);
b)
Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos
e tecnologia que:
1)
inclua uma estrutura para definir objetivos e estabelea um direcionamento global e princpios para aes
relacionadas com a segurana da informao;
2)
considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana contratuais;
3)
esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o estabelecimento
e manuteno do SGSI iro ocorrer ;
4)
estabelea critrios em relao aos quais os riscos sero avaliados (ver 4.2.1c)); e
5)
tenha sido aprovada pela direo.
NOTA
Para os efeitos desta Norma, a poltica do SGSI considerada um documento maior da poltica de segurana da
informao. Estas polticas podem estar descritas em um documento.
Cpia no autorizada
c)
Definir a abordagem de anlise/avaliao de riscos da organizao.

1)
Identificar uma metodologia de anlise/avaliao de riscos que seja adequada ao SGSI e aos requisitos
legais, regulamentares e de segurana da informao, identificados para o negcio.
2)
Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco (ver 5.1f)).
A metodologia de anlise/avaliao de riscos selecionada deve assegurar que as anlises/avaliaes de riscos

produzam resultados comparveis e reproduzveis.
NOTA
Existem diferentes metodologias para anlise/avaliao de riscos. So discutidos exemplos de metodologias de
anlise/avaliao de riscos na ISO/IEC TR 13335-3, Information technology Guidelines for the management of IT Security
Part 3: Techniques for the management of IT security.
d)
e)
f)
Identificar os riscos.
1)
Identificar os ativos dentro do escopo do SGSI e os proprietrios2) destes ativos.
2)
Identificar as ameaas a esses ativos.
3)
Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.
4)
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar

aos ativos.
Analisar e avaliar os riscos.

1)
Avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana, levando
em considerao as conseqncias de uma perda de confidencialidade, integridade ou disponibilidade
dos ativos.
2)
Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de ameaas e vulnerabilidades

prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.
3)
Estimar os nveis de riscos.
4)
Determinar se os riscos so aceitveis ou se requerem tratamento utilizando os critrios para aceitao

de riscos estabelecidos em 4.2.1c)2).
Identificar e avaliar as opes para o tratamento de riscos.
Possveis aes incluem:

1)
aplicar os controles apropriados;
2)
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas da

organizao e aos critrios de aceitao de riscos (ver 4.2.1c)2));
3)
evitar riscos; e
4)
transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores.
2)
O termo 'proprietrio' identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo 'proprietrio' no significa que a pessoa
realmente tenha qualquer direito de propriedade ao ativo.
Cpia no autorizada
g)
Selecionar objetivos de controle e controles para o tratamento de riscos.

Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos
identificados pela anlise/avaliao de riscos e pelo processo de tratamento de riscos. Esta seleo deve
considerar os critrios para aceitao de riscos (ver 4.2.1c)2)) como tambm os requisitos legais,
regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como
adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A no so exaustivos, e objetivos de controles e
controles adicionais podem tambm ser selecionados.
NOTA
O anexo A contm uma lista detalhada de objetivos de controle e controles que foram comumente
considerados relevantes nas organizaes. Os usurios desta Norma so direcionados para o anexo A como um ponto de
partida para a seleo de controles, para assegurar que nenhuma opo de controle importante seja negligenciada.
h)
Obter aprovao da direo dos riscos residuais propostos.
i)
Obter autorizao da direo para implementar e operar o SGSI.
j)
Preparar uma Declarao de Aplicabilidade.

Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:
1)
Os objetivos de controle e os controles selecionados em 4.2.1g) e as razes para sua seleo;
2)
Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e)2)); e
3)
A excluso de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua excluso.
NOTA
A Declarao de Aplicabilidade prov um resumo das decises relativas ao tratamento de riscos.
A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.
4.2.2
Implementar e operar o SGSI
A organizao deve:
a)
Formular um plano de tratamento de riscos que identifique a ao de gesto apropriada, recursos,

responsabilidades e prioridades para a gesto dos riscos de segurana (ver seo 5).
b)
Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que inclua
consideraes de financiamentos e atribuio de papis e responsabilidades.
c)
Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle.
d)
Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estas
medidas devem ser usadas para avaliar a eficcia dos controles de modo a produzir resultados comparveis
e reproduzveis (ver 4.2.3c)).
NOTA
A medio da eficcia dos controles permite aos gestores e equipe determinar o quanto os controles alcanam
de forma satisfatria os objetivos de controle planejados.
e)
Implementar programas de conscientizao e treinamento (ver 5.2.2).
f)
Gerenciar as operaes do SGSI.
g)
Gerenciar os recursos para o SGSI (ver 5.2).
Cpia no autorizada
h)
Implementar procedimentos e outros controles capazes de permitir a pronta deteco de eventos de

segurana da informao e resposta a incidentes de segurana da informao (ver 4.2.3 a)).
4.2.3
Monitorar e analisar criticamente o SGSI
A organizao deve:
a)
Executar procedimentos de monitorao e anlise crtica e outros controles para:

1)
prontamente detectar erros nos resultados de processamento;
2)
prontamente identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de segurana da

informao;
3)
permitir direo determinar se as atividades de segurana da informao delegadas a pessoas ou

implementadas por meio de tecnologias de informao so executadas conforme esperado;
4)
ajudar a detectar eventos de segurana da informao e assim prevenir incidentes de segurana da

informao pelo uso de indicadores; e
5)
determinar se as aes tomadas para solucionar uma violao de segurana da informao foram
eficazes.
b)
Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos do
SGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias de
segurana da informao, incidentes de segurana da informao, resultados da eficcia das medies,
sugestes e realimentao de todas as partes interessadas.
c)
Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos.
d)
Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e analisar criticamente os riscos

residuais e os nveis de riscos aceitveis identificados, levando em considerao mudanas relativas a:
e)
1)
organizao;
2)
tecnologias;
3)
objetivos e processos de negcio;
4)
ameaas identificadas;
5)
eficcia dos controles implementados;
6)
eventos externos, tais como mudanas nos ambientes legais ou regulamentares, alteraes das
obrigaes contratuais e mudanas na conjuntura social.
Conduzir auditorias internas do SGSI a intervalos planejados (ver seo 6).

NOTA
Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por ou em nome da
prpria organizao para propsitos internos.
f)
Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopo
permanece adequado e que so identificadas melhorias nos processos do SGSI (ver 7.1).
g)
Atualizar os planos de segurana da informao para levar em considerao os resultados das atividades de
monitoramento e anlise crtica.
Cpia no autorizada
h)
Registrar aes e eventos que possam ter um impacto na eficcia ou no desempenho do SGSI (ver 4.3.3).
4.2.4
Manter e melhorar o SGSI
A organizao deve regularmente :

a)
Implementar as melhorias identificadas no SGSI.
b)
Executar as aes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lies aprendidas
de experincias de segurana da informao de outras organizaes e aquelas da prpria organizao.
c)
Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado s
circunstncias e, se relevante, obter a concordncia sobre como proceder.
d)
Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
4.3
Requisitos de documentao
4.3.1
Geral
A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis s
polticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis.
importante que se possa demonstrar a relao dos controles selecionados com os resultados da
anlise/avaliao de riscos e do processo de tratamento de riscos, e conseqentemente com a poltica e objetivos
do SGSI.
A documentao do SGSI deve incluir:
a)
declaraes documentadas da poltica (ver 4.2.1b)) e objetivos do SGSI;
b)
o escopo do SGSI (ver 4.2.1a));
c)
procedimentos e controles que apoiam o SGSI;
d)
uma descrio da metodologia de anlise/avaliao de riscos (ver 4.2.1c));
e)
o relatrio de anlise/avaliao de riscos (ver 4.2.1c) a 4.2.1g));
f)
o plano de tratamento de riscos (ver 4.2.2b));
g)
procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, a

operao e o controle de seus processos de segurana de informao e para descrever como medir a eficcia
dos controles (ver 4.2.3c));
h)
registros requeridos por esta Norma (ver 4.3.3); e
i)
a Declarao de Aplicabilidade.
NOTA 1
Onde o termo "procedimento documentado" aparecer nesta Norma, significa que o procedimento estabelecido,
documentado, implementado e mantido.
NOTA 2
A abrangncia da documentao do SGSI pode variar de uma organizao para outra devido ao:
tamanho da organizao e o tipo de suas atividades; e
escopo e complexidade dos requisitos de segurana e o do sistema gerenciado.
Cpia no autorizada
NOTA 3
4.3.2
Documentos e registros podem estar em qualquer forma ou tipo de mdia.
Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve
ser estabelecido para definir as aes de gesto necessrias para:
a)
aprovar documentos para adequao antes de sua emisso;
b)
analisar criticamente e atualizar, quando necessrio, e reaprovar documentos;
c)
assegurar que as alteraes e a situao da reviso atual dos documentos sejam identificadas;
d)
assegurar que as verses pertinentes de documentos aplicveis estejam disponveis nos locais de uso;
e)
assegurar que os documentos permaneam legveis e prontamente identificveis;
f)
assegurar que os documentos estejam disponveis queles que deles precisam e sejam transferidos,
armazenados e finalmente descartados conforme os procedimentos aplicveis sua classificao;
g)
assegurar que documentos de origem externa sejam identificados;
h)
assegurar que a distribuio de documentos seja controlada;
i)
prevenir o uso no intencional de documentos obsoletos; e
j)
aplicar identificao adequada nos casos em que sejam retidos para qualquer propsito.
4.3.3
Controle de registros
Registros devem ser estabelecidos e mantidos para fornecer evidncias de conformidade aos requisitos e da
operao eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em considerao
quaisquer requisitos legais ou regulamentares pertinentes e obrigaes contratuais. Os registros devem
permanecer legveis, prontamente identificveis e recuperveis. Os controles necessrios para a identificao,
armazenamento, proteo, recuperao, tempo de reteno e disposio de registros devem ser documentados e
implementados.
Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrncias de
incidentes de segurana da informao significativos relacionados ao SGSI.
EXEMPLO
Exemplos de registros so: livros de visitantes, relatrios de auditoria e formulrios de autorizao de acesso
preenchidos.
5
5.1
Responsabilidades da direo
Comprometimento da direo
A Direo deve fornecer evidncia do seu comprometimento com o estabelecimento, implementao, operao,
monitoramento, anlise crtica, manuteno e melhoria do SGSI mediante:
a)
o estabelecimento da poltica do SGSI;
b)
a garantia de que so estabelecidos os planos e objetivos do SGSI;
Cpia no autorizada
c)
o estabelecimento de papis e responsabilidades pela segurana de informao;
d)
a comunicao organizao da importncia em atender aos objetivos de segurana da informao e a

conformidade com a poltica de segurana de informao, suas responsabilidades perante a lei e a
necessidade para melhoria contnua;
e)
a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar o SGSI (ver 5.2.1);
f)
a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis;
g)
a garantia de que as auditorias internas do SGSI sejam realizadas (ver seo 6); e
h)
a conduo de anlises crticas do SGSI pela direo (ver seo 7).
5.2
Gesto de recursos
5.2.1
Proviso de recursos
A organizao deve determinar e prover os recursos necessrios para:

a)
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;
b)
assegurar que os procedimentos de segurana da informao apoiam os requisitos de negcio;
c)
identificar e tratar
informao;
d)
manter a segurana da informao adequada pela aplicao correta de todos os controles implementados;
e)
realizar anlises crticas, quando necessrio, e reagir adequadamente aos resultados destas anlises crticas;
e
f)
onde requerido, melhorar a eficcia do SGSI.
5.2.2
os requisitos legais e regulamentares e obrigaes contratuais de segurana da
Treinamento, conscientizao e competncia
A organizao deve assegurar que todo o pessoal que tem responsabilidades atribudas definidas no SGSI seja
competente para desempenhar as tarefas requeridas:
a)
determinando as competncias necessrias para o pessoal que executa trabalhos que afetam o SGSI;
b)
fornecendo treinamento ou executando outras aes (por exemplo, contratar pessoal competente) para
satisfazer essas necessidades;
c)
avaliando a eficcia das aes executadas; e
d)
mantendo registros de educao, treinamento, habilidades, experincias e qualificaes (ver 4.3.3).
A organizao deve tambm assegurar que todo o pessoal pertinente esteja consciente da relevncia e
importncia das suas atividades de segurana da informao e como eles contribuem para o alcance dos objetivos
do SGSI.
10
Cpia no autorizada
Auditorias internas do SGSI
A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos
de controle, controles, processos e procedimentos do seu SGSI:
a)
atendem aos requisitos desta Norma e legislao ou regulamentaes pertinentes;
b)
atendem aos requisitos de segurana da informao identificados;
c)
esto mantidos e implementados eficazmente; e
d)
so executados conforme esperado.
Um programa de auditoria deve ser planejado levando em considerao a situao e a importncia dos processos
e reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critrios da auditoria, escopo,
freqncia e mtodos devem ser definidos. A seleo dos auditores e a execuo das auditorias devem assegurar
objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho.
As responsabilidades e os requisitos para planejamento e para execuo de auditorias e para relatar os resultados
e a manuteno dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.
O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida,
para eliminar as no-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a
verificao das aes executadas e o relato dos resultados de verificao (ver seo 8).
NOTA
A ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
pode prover uma orientao til para realizar auditorias internas do SGSI.
7
7.1
Anlise crtica do SGSI pela direo

Geral
A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por
ano) para assegurar a sua contnua pertinncia, adequao e eficcia. Esta anlise crtica deve incluir a avaliao
de oportunidades para melhoria e a necessidade de mudanas do SGSI, incluindo a poltica de segurana da
informao e objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser claramente
documentados e os registros devem ser mantidos (ver 4.3.3).
7.2
Entradas para a anlise crtica
As entradas para a anlise crtica pela direo devem incluir:

a)
resultados de auditorias do SGSI e anlises crticas;
b)
realimentao das partes interessadas;
c)
tcnicas, produtos ou procedimentos que podem ser usados na organizao para melhorar o desempenho e a
eficcia do SGSI ;
d)
situao das aes preventivas e corretivas;
e)
vulnerabilidades ou ameaas no contempladas adequadamente nas anlises/avaliaes de risco anteriores;
f)
resultados da eficcia das medies ;
11
Cpia no autorizada
g)
acompanhamento das aes oriundas de anlises crticas anteriores pela direo;
h)
quaisquer mudanas que possam afetar o SGSI; e
i)
recomendaes para melhoria.
7.3
Sadas da anlise crtica
As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes relacionadas a:
a)
Melhoria da eficcia do SGSI.
b)
Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos.
c)
Modificao de procedimentos e controles que afetem a segurana da informao, quando necessrio, para
responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanas de:
1)
requisitos de negcio;
2)
requisitos de segurana da informao;
3)
processos de negcio que afetem os requisitos de negcio existentes;
4)
requisitos legais ou regulamentares;
5)
obrigaes contratuais; e
6)
nveis de riscos e/ou critrios de aceitao de riscos.
d)
Necessidade de recursos.
e)
Melhoria de como a eficcia dos controles est sendo medida.
Melhoria do SGSI
8.1
Melhoria contnua
A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de segurana da
informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados,
aes corretivas e preventivas e anlise crtica pela direo (ver seo 7).
8.2
Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, de
forma a evitar a sua repetio. O procedimento documentado para ao corretiva deve definir requisitos para:
a)
identificar no-conformidades;
b)
determinar as causas de no-conformidades;
c)
avaliar a necessidade de aes para assegurar que aquelas no-conformidades no ocorram novamente;
d)
determinar e implementar as aes corretivas necessrias;
e)
registrar os resultados das aes executadas (ver 4.3.3); e
12
Cpia no autorizada
f)
analisar criticamente as aes corretivas executadas.
8.3
Ao preventiva
A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitos
do SGSI, de forma a evitar a sua ocorrncia. As aes preventivas tomadas devem ser apropriadas aos impactos
dos potenciais problemas. O procedimento documentado para ao preventiva deve definir requisitos para:
a)
identificar no-conformidades potenciais e suas causas;
b)
avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c)
determinar e implementar as aes preventivas necessrias;
d)
registrar os resultados de aes executadas (ver 4.3.3); e
e)
analisar criticamente as aes preventivas executadas.
A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas focando a
ateno nos riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada com base nos resultados da anlise/avaliao de riscos.
NOTA
Aes para prevenir no-conformidades freqentemente tm melhor custo-benefcio que as aes corretivas.
13
Cpia no autorizada
Anexo A
(normativo)
Objetivos de controle e controles
Os objetivos de controle e controles listados na tabela A.1 so derivados diretamente e esto alinhados com
aqueles listados na ABNT NBR ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1 no so exaustivas e
uma organizao pode considerar que objetivos de controle e controles adicionais so necessrios. Os objetivos
de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado
em 4.2.1.
A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornece recomendaes e um guia de implementao das
melhores prticas para apoiar os controles especificados em A.5 a A.15.
Tabela A.1 Objetivos de controle e controles
A.5
Poltica de segurana
A.5.1
Poltica de segurana da informao
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os
requisitos do negcio e com as leis e regulamentaes relevantes.
Controle
A.5.1.1
Documento da poltica de
Um documento da poltica de segurana da informao deve

ser aprovado pela direo, publicado e comunicado para todos
os funcionrios e partes externas relevantes.
Controle
A.5.1.2
A.6
Anlise crtica da poltica de

A poltica de segurana da informao deve ser analisada

criticamente a intervalos planejados ou quando mudanas
significativas ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
Organizando a segurana da informao
A.6.1
Infra-estrutura da segurana da informao
Objetivo: Gerenciar a segurana da informao dentro da organizao.

Controle
A.6.1.1
Comprometimento da direo
com a segurana da
informao
A Direo deve apoiar ativamente a segurana da informao

dentro da organizao, por meio de um claro direcionamento,
demonstrando o seu comprometimento, definindo atribuies
de forma explcita e conhecendo as responsabilidades pela
segurana da informao.
Controle
A.6.1.2
14
Coordenao da segurana
da informao
As atividades de segurana da informao devem ser

coordenadas por representantes de diferentes partes da
organizao, com funes e papis relevantes.
Cpia no autorizada
Controle
A.6.1.3
Atribuio de
responsabilidades para a
Controle
A.6.1.4
Processo de autorizao para

os recursos de
processamento da
informao
Todas as responsabilidades pela segurana da informao

devem estar claramente definidas.
Deve ser definido e implementado um processo de gesto de

autorizao para novos recursos de processamento da
informao.
Controle
A.6.1.5
Acordos de confidencialidade
A.6.1.6
Contato com autoridades
A.6.1.7
Contato com grupos

especiais
Os requisitos para confidencialidade ou acordos de no

divulgao que reflitam as necessidades da organizao para a
proteo da informao devem ser identificados e analisados
criticamente, de forma regular.
Controle
Contatos apropriados com autoridades relevantes devem ser
mantidos.
Controle
Contatos apropriados com grupos de interesses especiais ou
outros fruns especializados de segurana da informao e
associaes profissionais devem ser mantidos.
Controle
A.6.1.8
Anlise crtica independente

de segurana da informao
O enfoque da organizao para gerenciar a segurana da

informao e a sua implementao (por exemplo, controles,
objetivo dos controles, polticas, processos e procedimentos
para a segurana da informao) deve ser analisado
criticamente, de forma independente, a intervalos planejados,
ou quando ocorrerem mudanas significativas relativas
implementao da segurana da informao.
A.6.2 Partes externas

Objetivo: Manter a segurana dos recursos de processamento da informao e da informao da
organizao, que so acessados, processados, comunicados ou gerenciados por partes externas.
Controle
A.6.2.1
Identificao dos riscos

relacionados com partes
externas
A.6.2.2
Identificando a segurana da
informao quando tratando
com os clientes.
Os riscos para os recursos de processamento da informao e

para a informao da organizao oriundos de processos do
negcio que envolvam as partes externas devem ser
identificados e controles apropriados devem ser implementados
antes de se conceder o acesso.
Controle
Todos os requisitos de segurana da informao identificados
devem ser considerados antes de conceder aos clientes o
acesso aos ativos ou s informaes da organizao.
Controle
A.6.2.3
Identificando segurana da
informao nos acordos com
terceiros
Os acordos com terceiros envolvendo o acesso,

processamento, comunicao ou gerenciamento dos recursos
de processamento da informao ou da informao da
organizao, ou o acrscimo de produtos ou servios aos
recursos de processamento da informao devem cobrir todos
os requisitos de segurana da informao relevantes.
15
Cpia no autorizada
A.7
Gesto de ativos
A.7.1
Responsabilidade pelos ativos
Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao.

Controle
A.7.1.1
Inventrio dos ativos
Todos os ativos devem ser claramente identificados e um

inventrio de todos os ativos importantes deve ser estruturado
e mantido.
Controle
A.7.1.2
Proprietrio dos ativos
Todas as informaes e ativos associados com os recursos de

processamento da informao devem ter um "proprietrio"3)
designado por uma parte definida da organizao.
Controle
A.7.1.3
A.7.2
Uso aceitvel dos ativos
Devem ser identificadas, documentadas e implementadas

regras para que seja permitido o uso de informaes e de
ativos associados aos recursos de processamento da
informao.
Classificao da informao
Objetivo: Assegurar que a informao receba um nvel adequado de proteo.

A.7.2.1
Recomendaes para
classificao
Controle
A informao deve ser classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para a organizao.
Controle
A.7.2.2
A.8
Rtulos e tratamento da
informao
Um conjunto apropriado de procedimentos para rotular e tratar

a informao deve ser definido e implementado de acordo com
o esquema de classificao adotado pela organizao.
Segurana em recursos humanos
A.8.1
Antes da contratao4)
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, e

estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
Controle
A.8.1.1
Papis e responsabilidades
Os papis e responsabilidades pela segurana da informao

de funcionrios, fornecedores e terceiros devem ser definidos e
documentados de acordo com a poltica de segurana da
informao da organizao.
3)
Explicao: O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para
controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significa
que a pessoa realmente tenha qualquer direito de propriedade pelo ativo
4)
Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de
pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e
encerramento de quaisquer destas situaes.
16
Cpia no autorizada
Controle
A.8.1.2
Seleo
Verificaes de controle de todos os candidatos a emprego,

fornecedores e terceiros devem ser realizadas de acordo com
as leis relevantes, regulamentaes e ticas, e
proporcionalmente aos requisitos do negcio, classificao
das informaes a serem acessadas e aos riscos percebidos.
Controle
A.8.1.3
A.8.2
Termos e condies de
contratao
Como parte das suas obrigaes contratuais, os funcionrios,

fornecedores e terceiros devem concordar e assinar os termos
e condies de sua contratao para o trabalho, os quais
devem declarar as suas responsabilidade e da organizao
para a segurana da informao.
Durante a contratao
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e
preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto
preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos
normais, e para reduzir o risco de erro humano.
Controle
A.8.2.1
Responsabilidades da direo
A direo deve solicitar aos funcionrios, fornecedores e

terceiros que pratiquem a segurana da informao de acordo
com o estabelecido nas polticas e procedimentos da
organizao.
Controle
A.8.2.2
Conscientizao, educao e
treinamento em segurana da
informao
Todos os funcionrios da organizao e, onde pertinente,

fornecedores e terceiros devem receber treinamento
apropriado em conscientizao, e atualizaes regulares nas
polticas e procedimentos organizacionais relevantes para as
suas funes.
Controle
A.8.2.3
A.8.3
Processo disciplinar
Deve existir um processo disciplinar formal para os funcionrios

que tenham cometido uma violao da segurana da
informao.
Encerramento ou mudana da contratao
Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho
de forma ordenada.
Controle
A.8.3.1
Encerramento de atividades
As responsabilidades para realizar o encerramento ou a

mudana de um trabalho devem ser claramente definidas e
atribudas.
Controle
A.8.3.2
Devoluo de ativos
Todos os funcionrios, fornecedores e terceiros devem

devolver todos os ativos da organizao que estejam em sua
posse aps o encerramento de suas atividades, do contrato ou
acordo.
17
Cpia no autorizada
Controle
A.8.3.3
A.9
Retirada de direitos de
acesso
Os direitos de acesso de todos os funcionrios, fornecedores e

terceiros s informaes e aos recursos de processamento da
informao devem ser retirados aps o encerramento de suas
atividades, contratos ou acordos, ou devem ser ajustados aps
a mudana destas atividades.
Segurana fsica e do ambiente
A.9.1
reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes
da organizao.
Controle
A.9.1.1
Permetro de segurana fsica
Devem ser utilizados permetros de segurana (barreiras tais

como paredes, portes de entrada controlados por carto ou
balces de recepo com recepcionistas) para proteger as
reas que contenham informaes e recursos de
processamento da informao.
Controle
A.9.1.2
Controles de entrada fsica
A.9.1.3
Segurana em escritrios
salas e instalaes
As reas seguras devem ser protegidas por controles

apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.
Controle
Deve ser projetada e aplicada segurana fsica para escritrios,
salas e instalaes.
Controle
A.9.1.4
Proteo contra ameaas

externas e do meio ambiente
A.9.1.5
Trabalhando em reas
seguras
Deve ser projetada e aplicada proteo fsica contra incndios,

enchentes, terremotos, exploses, perturbaes da ordem
pblica e outras formas de desastres naturais ou causados
pelo homem.
Controle
Deve ser projetada e aplicada proteo fsica, bem como
diretrizes para o trabalho em reas seguras.
Controle
A.9.1.6
A.9.2
Acesso do pblico, reas de

entrega e de carregamento
Pontos de acesso, tais como reas de entrega e de

carregamento e outros pontos em que pessoas no
autorizadas possam entrar nas instalaes, devem ser
controlados e, se possvel, isolados dos recursos de
processamento da informao, para evitar o acesso no
autorizado.
Segurana de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
Controle
A.9.2.1
18
Instalao e proteo do
equipamento
Os equipamentos devem ser colocados no local ou protegidos

para reduzir os riscos de ameaas e perigos do meio ambiente,
bem como as oportunidades de acesso no autorizado.
Cpia no autorizada
Controle
A.9.2.2
Utilidades
Os equipamentos devem ser protegidos contra falta de energia

eltrica e outras interrupes causadas por falhas das
utilidades.
Controle
A.9.2.3
Segurana do cabeamento
A.9.2.4
Manuteno dos
equipamentos
O cabeamento de energia e de telecomunicaes que

transporta dados ou d suporte aos servios de informaes
deve ser protegido contra interceptao ou danos.
Controle
Os equipamentos devem ter manuteno correta, para
assegurar sua disponibilidade e integridade permanente.
Controle
A.9.2.5
Segurana de equipamentos
fora das dependncias da
organizao
Devem ser tomadas medidas de segurana para equipamentos

que operem fora do local, levando em conta os diferentes
riscos decorrentes do fato de se trabalhar fora das
dependncias da organizao.
Controle
A.9.2.6
Reutilizao e alienao
segura de equipamentos
A.9.2.7
Remoo de propriedade
Todos os equipamentos que contenham mdias de

armazenamento de dados devem ser examinados antes do
descarte, para assegurar que todos os dados sensveis e
softwares licenciados tenham sido removidos ou
sobregravados com segurana.
Controle
Equipamentos, informaes ou software no devem ser
retirados do local sem autorizao prvia.
A.10 Gerenciamento das operaes e comunicaes

A.10.1 Procedimentos e responsabilidades operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao.
Controle
A.10.1.1
Documentao dos
procedimentos de operao
A.10.1.2
Gesto de mudanas
Os procedimentos de operao devem ser documentados,

mantidos atualizados e disponveis a todos os usurios que
deles necessitem.
Controle
Modificaes nos recursos de processamento da informao e
sistemas devem ser controladas.
Controle
A.10.1.3
Segregao de funes
A.10.1.4
Separao dos recursos de

desenvolvimento, teste e de
produo
Funes e reas de responsabilidade devem ser segregadas

para reduzir as oportunidades de modificao ou uso indevido
no autorizado ou no intencional dos ativos da organizao.
Controle
Recursos de desenvolvimento, teste e produo devem ser
separados para reduzir o risco de acessos ou modificaes no
autorizadas aos sistemas operacionais.
19
Cpia no autorizada
A.10.2 Gerenciamento de servios terceirizados

Objetivo: Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios em
consonncia com acordos de entrega de servios terceirizados.
Controle
A.10.2.1
Entrega de servios
A.10.2.2
Monitoramento e anlise
crtica de servios
terceirizados
Deve ser garantido que os controles de segurana, as

definies de servio e os nveis de entrega includos no
acordo de entrega de servios terceirizados sejam
implementados, executados e mantidos pelo terceiro.
Controle
Os servios, relatrios e registros fornecidos por terceiro
devem ser regularmente monitorados e analisados
criticamente, e auditorias devem ser executadas regularmente.
Controle
A.10.2.3
Gerenciamento de mudanas
para servios terceirizados
Mudanas no provisionamento dos servios, incluindo

manuteno e melhoria da poltica de segurana da
informao, dos procedimentos e controles existentes, devem
ser gerenciadas levando-se em conta a criticidade dos
sistemas e processos de negcio envolvidos e a
reanlise/reavaliao de riscos.
A.10.3 Planejamento e aceitao dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas.
Controle
A.10.3.1
Gesto de capacidade
A utilizao dos recursos deve ser monitorada e sincronizada e

as projees devem ser feitas para necessidades de
capacidade futura, para garantir o desempenho requerido do
sistema.
Controle
A.10.3.2
Aceitao de sistemas
Devem ser estabelecidos critrios de aceitao para novos

sistemas, atualizaes e novas verses e que sejam efetuados
testes apropriados do(s) sistema(s) durante seu
desenvolvimento e antes da sua aceitao.
A.10.4 Proteo contra cdigos maliciosos e cdigos mveis

Objetivo: Proteger a integridade do software e da informao.
Controle
A.10.4.1
Controle contra cdigos

maliciosos
Devem ser implantados controles de deteco, preveno e

recuperao para proteger contra cdigos maliciosos, assim
como procedimentos para a devida conscientizao dos
usurios.
Controle
A.10.4.2
20
Controles contra cdigos

mveis
Onde o uso de cdigos mveis autorizado, a configurao

deve garantir que o cdigo mvel autorizado opere de acordo
com uma poltica de segurana da informao claramente
definida e que cdigos mveis no autorizados tenham sua
execuo impedida.
Cpia no autorizada
A.10.5 Cpias de segurana

Objetivo: Manter a integridade e disponibilidade da informao e dos recursos de processamento de
informao.
Controle
A.10.5.1
Cpias de segurana das

informaes
Cpias de segurana das informaes e dos softwares devem

ser efetuadas e testadas regularmente, conforme a poltica de
gerao de cpias de segurana definida.
A.10.6 Gerenciamento da segurana em redes

Objetivo: Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.
Controle
A.10.6.1
Controles de redes
Redes devem ser adequadamente gerenciadas e controladas,

de forma a proteg-las contra ameaas e manter a segurana
de sistemas e aplicaes que utilizam estas redes, incluindo a
informao em trnsito.
Controle
A.10.6.2
Segurana dos servios de

rede
Caractersticas de segurana, nveis de servio e requisitos de

gerenciamento dos servios de rede devem ser identificados e
includos em qualquer acordo de servios de rede, tanto para
servios de rede providos internamente como para
terceirizados.
A.10.7 Manuseio de mdias

Objetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos e
interrupes das atividades do negcio.
A.10.7.1
Gerenciamento de mdias
removveis
Controle
Devem existir procedimentos implementados para o
gerenciamento de mdias removveis.
Controle
A.10.7.2
Descarte de mdias
As mdias devem ser descartadas de forma segura e protegida

quando no forem mais necessrias, por meio de
procedimentos formais.
Controle
A.10.7.3
Procedimentos para
tratamento de informao
A.10.7.4
Segurana da documentao
dos sistemas
Devem ser estabelecidos procedimentos para o tratamento e o

armazenamento de informaes, para proteger tais
informaes contra a divulgao no autorizada ou uso
indevido.
Controle
A documentao dos sistemas deve ser protegida contra
acessos no autorizados.
A.10.8 Troca de informaes

Objetivo: Manter a segurana na troca de informaes e softwares internamente organizao e com
quaisquer entidades externas.
Controle
A.10.8.1
Polticas e procedimentos
para troca de informaes
Polticas, procedimentos e controles devem ser estabelecidos e

formalizados para proteger a troca de informaes em todos os
tipos de recursos de comunicao.
21
Cpia no autorizada
A.10.8.2
Acordos para a troca de

informaes
Controle
Devem ser estabelecidos acordos para a troca de informaes
e softwares entre a organizao e entidades externas.
Controle
A.10.8.3
Mdias em trnsito
Mdias contendo informaes devem ser protegidas contra

acesso no autorizado, uso imprprio ou alterao indevida
durante o transporte externo aos limites fsicos da organizao.
Controle
A.10.8.4
Mensagens eletrnicas
As informaes que trafegam em mensagens eletrnicas

devem ser adequadamente protegidas.
Controle
A.10.8.5
Sistemas de informaes do
negcio
Polticas e procedimentos devem ser desenvolvidos e

implementados para proteger as informaes associadas com
a interconexo de sistemas de informaes do negcio.
A.10.9 Servios de comrcio eletrnico

Objetivo: Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura.
Controle
A.10.9.1
Comrcio eletrnico
As informaes envolvidas em comrcio eletrnico transitando

sobre redes pblicas devem ser protegidas de atividades
fraudulentas, disputas contratuais, divulgao e modificaes
no autorizadas.
Controle
A.10.9.2
Transaes on-line
Informaes envolvidas em transaes on-line devem ser

protegidas para prevenir transmisses incompletas, erros de
roteamento, alteraes no autorizadas de mensagens,
divulgao no autorizada, duplicao ou reapresentao de
mensagem no autorizada.
Controle
A.10.9.3
Informaes publicamente
disponveis
A integridade das informaes disponibilizadas em sistemas

publicamente acessveis deve ser protegida, para prevenir
modificaes no autorizadas.
A.10.10 Monitoramento
Objetivo: Detectar atividades no autorizadas de processamento da informao.
Controle
A.10.10.1
Registros de auditoria
Registros (log) de auditoria contendo atividades dos usurios,

excees e outros eventos de segurana da informao devem
ser produzidos e mantidos por um perodo de tempo acordado
para auxiliar em futuras investigaes e monitoramento de
controle de acesso.
Controle
A.10.10.2
22
Monitoramento do uso do
sistema
Devem ser estabelecidos procedimentos para o monitoramento

do uso dos recursos de processamento da informao e os
resultados das atividades de monitoramento devem ser
analisados criticamente, de forma regular.
Cpia no autorizada
A.10.10.3
Proteo das informaes

dos registros (logs)
A.10.10.4
Registros (log) de
administrador e operador
Controle
Os recursos e informaes de registros (log) devem ser
protegidos contra falsificao e acesso no autorizado.
Controle
As atividades dos administradores e operadores do sistema
devem ser registradas.
Controle
A.10.10.5
Registros (logs) de falhas
As falhas ocorridas devem ser registradas e analisadas, e

devem ser adotadas as aes apropriadas.
Controle
A.10.10.6
Sincronizao dos relgios
Os relgios de todos os sistemas de processamento de

informaes relevantes, dentro da organizao ou do domnio
de segurana, devem ser sincronizados de acordo com uma
hora oficial.
A.11 Controle de acessos

A.11.1 Requisitos de negcio para controle de acesso
Objetivo: Controlar o acesso informao.
Controle
A.11.1.1
Poltica de controle de acesso
A poltica de controle de acesso deve ser estabelecida,

documentada e analisada criticamente, tomando-se como base
os requisitos de acesso dos negcios e da segurana da
informao.
A.11.2 Gerenciamento de acesso do usurio

Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de
informao.
Controle
A.11.2.1
Registro de usurio
Deve existir um procedimento formal de registro e

cancelamento de usurio para garantir e revogar acessos em
todos os sistemas de informao e servios.
Controle
A.11.2.2
Gerenciamento de privilgios
A.11.2.3
Gerenciamento de senha do
usurio
A concesso e o uso de privilgios devem ser restritos e

controlados.
Controle
A concesso de senhas deve ser controlada por meio de um
processo de gerenciamento formal.
Controle
A.11.2.4
Anlise crtica dos direitos de

acesso de usurio
O gestor deve conduzir a intervalos regulares a anlise crtica

dos direitos de acesso dos usurios, por meio de um processo
formal.
23
Cpia no autorizada
A.11.3 Responsabilidades dos usurios

Objetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao
e dos recursos de processamento da informao.
Controle
A.11.3.1
Uso de senhas
A.11.3.2
Equipamento de usurio sem

monitorao
Os usurios devem ser orientados a seguir boas prticas de

segurana da informao na seleo e uso de senhas.
Controle
Os usurios devem assegurar que os equipamentos no
monitorados tenham proteo adequada.
Controle
A.11.3.3
Poltica de mesa limpa e tela

limpa
Deve ser adotada uma poltica de mesa limpa de papis e

mdias de armazenamento removveis e uma poltica de tela
limpa para os recursos de processamento da informao.
A.11.4 Controle de acesso rede

Objetivo: Prevenir acesso no autorizado aos servios de rede.
A.11.4.1
Poltica de uso dos servios

de rede
A.11.4.2
Autenticao para conexo

externa do usurio
Controle
Os usurios devem receber acesso somente aos servios que
tenham sido especificamente autorizados a usar.
Controle
Mtodos apropriados de autenticao devem ser usados para
controlar o acesso de usurios remotos.
Controle
A.11.4.3
Identificao de equipamento
em redes
A.11.4.4
Proteo e configurao de
portas de diagnstico remotas
A.11.4.5
Segregao de redes
Devem ser consideradas as identificaes automticas de

equipamentos como um meio de autenticar conexes vindas de
localizaes e equipamentos especficos.
Controle
Deve ser controlado o acesso fsico e lgico para diagnosticar
e configurar portas.
Controle
Grupos de servios de informao, usurios e sistemas de
informao devem ser segregados em redes.
Controle
A.11.4.6
Controle de conexo de rede
Para redes compartilhadas, especialmente as que se estendem

pelos limites da organizao, a capacidade de usurios para
conectar-se rede deve ser restrita, de acordo com a poltica
de controle de acesso e os requisitos das aplicaes do
negcio (ver 11.1).
Controle
A.11.4.7
24
Controle de roteamento de
redes
Deve ser implementado controle de roteamento na rede para

assegurar que as conexes de computador e fluxos de
informao no violem a poltica de controle de acesso das
aplicaes do negcio.
Cpia no autorizada
A.11.5 Controle de acesso ao sistema operacional

Objetivo: Prevenir acesso no autorizado aos sistemas operacionais.
A.11.5.1
Procedimentos seguros de
entrada no sistema (log-on)
Controle
O acesso aos sistemas operacionais deve ser controlado por
um procedimento seguro de entrada no sistema (log-on).
Controle
A.11.5.2
Identificao e autenticao
de usurio
A.11.5.3
Sistema de gerenciamento de
senha
Todos os usurios devem ter um identificador nico (ID de

usurio), para uso pessoal e exclusivo, e uma tcnica
adequada de autenticao deve ser escolhida para validar a
identidade alegada por um usurio.
Controle
Sistemas para gerenciamento de senhas devem ser interativos
e assegurar senhas de qualidade.
Controle
A.11.5.4
Uso de utilitrios de sistema
A.11.5.5
Desconexo de terminal por

inatividade
A.11.5.6
Limitao de horrio de
conexo
O uso de programas utilitrios que podem ser capazes de

sobrepor os controles dos sistemas e aplicaes deve ser
restrito e estritamente controlado.
Controle
Terminais inativos devem ser desconectados aps um perodo
definido de inatividade.
Controle
Restries nos horrios de conexo devem ser utilizadas para
proporcionar segurana adicional para aplicaes de alto risco.
A.11.6 Controle de acesso aplicao e informao

Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de aplicao.
Controle
A.11.6.1
Restrio de acesso
informao
A.11.6.2
Isolamento de sistemas
sensveis
O acesso informao e s funes dos sistemas de

aplicaes por usurios e pessoal de suporte deve ser restrito
de acordo com o definido na poltica de controle de acesso.
Controle
Sistemas sensveis devem ter um ambiente computacional
dedicado (isolado).
A.11.7 Computao mvel e trabalho remoto

Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalho
remoto.
Controle
A.11.7.1
Computao e comunicao
mvel
Uma poltica formal deve ser estabelecida e medidas de

segurana apropriadas devem ser adotadas para a proteo
contra os riscos do uso de recursos de computao e
comunicao mveis.
Controle
A.11.7.2
Trabalho remoto
Uma poltica, planos operacionais e procedimentos devem ser

desenvolvidos e implementados para atividades de trabalho
remoto.
25
Cpia no autorizada
A.12
Aquisio, desenvolvimento e manuteno de sistemas de informao
A.12.1
Requisitos de segurana de sistemas de informao
Objetivo: Garantir que segurana parte integrante de sistemas de informao.

Controle
A.12.1.1
A.12.2
Anlise e especificao dos

requisitos de segurana
Devem ser especificados os requisitos para controles de

segurana nas especificaes de requisitos de negcios, para
novos sistemas de informao ou melhorias em sistemas
existentes.
Processamento correto de aplicaes
Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em
aplicaes.
A.12.2.1
Validao dos dados de

entrada
Controle
Os dados de entrada de aplicaes devem ser validados para
garantir que so corretos e apropriados.
Controle
A.12.2.2
Controle do processamento
interno
Devem ser incorporadas, nas aplicaes, checagens de

validao com o objetivo de detectar qualquer corrupo de
informaes, por erros ou por aes deliberadas.
Controle
A.12.2.3
Integridade de mensagens
Requisitos para garantir a autenticidade e proteger a

integridade das mensagens em aplicaes devem ser
identificados e os controles apropriados devem ser
identificados e implementados.
Controle
A.12.2.4
A.12.3
Validao de dados de sada
Os dados de sada das aplicaes devem ser validados para

assegurar que o processamento das informaes armazenadas
est correto e apropriado s circunstncias.
Controles criptogrficos
Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios

criptogrficos.
A.12.3.1
Poltica para o uso de

controles criptogrficos
A.12.3.2
Gerenciamento de chaves
Controle
Deve ser desenvolvida e implementada uma poltica para o uso
de controles criptogrficos para a proteo da informao.
Controle
A.12.4
Um processo de gerenciamento de chaves deve ser implantado

para apoiar o uso de tcnicas criptogrficas pela organizao.
Segurana dos arquivos do sistema
Objetivo: Garantir a segurana de arquivos de sistema.

A.12.4.1
Controle de software
operacional
A.12.4.2
Proteo dos dados para

teste de sistema
26
Controle
Procedimentos para controlar a instalao de software em
sistemas operacionais devem ser implementados.
Controle
Os dados de teste devem ser selecionados com cuidado,
protegidos e controlados.
Cpia no autorizada
A.12.4.3
A.12.5
Controle de acesso ao
cdigo- fonte de programa
Controle
O acesso ao cdigo-fonte de programa deve ser restrito.
Segurana em processos de desenvolvimento e de suporte
Objetivo: Manter a segurana de sistemas aplicativos e da informao.

A.12.5.1
Procedimentos para controle

de mudanas
Controle
A implementao de mudanas deve ser controlada utilizando
procedimentos formais de controle de mudanas.
Controle
A.12.5.2
Anlise crtica tcnica das

aplicaes aps mudanas
no sistema operacional
Aplicaes crticas de negcios devem ser analisadas

criticamente e testadas quando sistemas operacionais so
mudados, para garantir que no haver nenhum impacto
adverso na operao da organizao ou na segurana.
Controle
A.12.5.3
Restries sobre mudanas

em pacotes de software
Modificaes em pacotes de software no devem ser

incentivadas e devem estar limitadas s mudanas
necessrias, e todas as mudanas devem ser estritamente
controladas.
Controle
A.12.5.4
Vazamento de informaes
A.12.5.5
Desenvolvimento terceirizado
de software
A.12.6
Oportunidades para vazamento de informaes devem ser

prevenidas.
Controle
A organizao deve supervisionar e monitorar o
desenvolvimento terceirizado de software.
Gesto de vulnerabilidades tcnicas
Objetivo: Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.

Controle
A.12.6.1
A.13
Controle de vulnerabilidades
tcnicas
Deve ser obtida informao em tempo hbil sobre

vulnerabilidades tcnicas dos sistemas de informao em uso,
avaliada a exposio da organizao a estas vulnerabilidades e
tomadas as medidas apropriadas para lidar com os riscos
associados.
Gesto de incidentes de segurana da informao
A.13.1
Notificao de fragilidades e eventos de segurana da informao
Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de
informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Controle
A.13.1.1
Notificao de eventos de
Os eventos de segurana da informao devem ser relatados

atravs dos canais apropriados da direo, o mais rapidamente
possvel.
Controle
A.13.1.2
Notificando fragilidades de
Os funcionrios, fornecedores e terceiros de sistemas e

servios de informao devem ser instrudos a registrar e
notificar qualquer observao ou suspeita de fragilidade em
sistemas ou servios.
27
Cpia no autorizada
A.13.2
Gesto de incidentes de segurana da informao e melhorias
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana
da informao.
Controle
A.13.2.1
Responsabilidades e
procedimentos
A.13.2.2
Aprendendo com os
incidentes de segurana da
informao
Responsabilidades e procedimentos de gesto devem ser

estabelecidos para assegurar respostas rpidas, efetivas e
ordenadas a incidentes de segurana da informao.
Controle
Devem ser estabelecidos mecanismos para permitir que tipos,
quantidades e custos dos incidentes de segurana da
informao sejam quantificados e monitorados.
Controle
A.13.2.3
A.14
Coleta de evidncias
Nos casos em que uma ao de acompanhamento contra uma

pessoa ou organizao, aps um incidente de segurana da
informao, envolver uma ao legal (civil ou criminal),
evidncias devem ser coletadas, armazenadas e apresentadas
em conformidade com as normas de armazenamento de
evidncias da jurisdio ou jurisdies pertinentes.
Gesto da continuidade do negcio
A.14.1
Aspectos da gesto da continuidade do negcio, relativos segurana da informao
Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos
de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.
A.14.1.1
Incluindo segurana da
informao no processo de
gesto da continuidade de
negcio
Controle
Um processo de gesto deve ser desenvolvido e mantido para
assegurar a continuidade do negcio por toda a organizao e
que contemple os requisitos de segurana da informao
necessrios para a continuidade do negcio da organizao.
Controle
A.14.1.2
Continuidade de negcios e
anlise/avaliao de risco
Devem ser identificados os eventos que podem causar

interrupes aos processos de negcio, junto probabilidade e
impacto de tais interrupes e as conseqncias para a
segurana de informao.
Controle
A.14.1.3
Desenvolvimento e
implementao de planos de
continuidade relativos
Os planos devem ser desenvolvidos e implementados para a

manuteno ou recuperao das operaes e para assegurar a
disponibilidade da informao no nvel requerido e na escala de
tempo requerida, aps a ocorrncia de interrupes ou falhas
dos processos crticos do negcio.
Controle
A.14.1.4
28
Estrutura do plano de
continuidade do negcio
Uma estrutura bsica dos planos de continuidade do negcio

deve ser mantida para assegurar que todos os planos so
consistentes, para contemplar os requisitos de segurana da
informao e para identificar prioridades para testes e
manuteno.
Cpia no autorizada
A.14.1.5
A.15
Testes, manuteno e
reavaliao dos planos de
continuidade do negcio
Controle
Os planos de continuidade do negcio devem ser testados e
atualizados regularmente, de forma a assegurar sua
permanente atualizao e efetividade.
Conformidade
A.15.1
Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes
contratuais e de quaisquer requisitos de segurana da informao
Controle
A.15.1.1
Identificao da legislao
vigente
Todos os requisitos estatutrios, regulamentares e contratuais

relevantes, e o enfoque da organizao para atender a estes
requisitos devem ser explicitamente definidos, documentados e
mantidos atualizados para cada sistema de informao da
organizao.
Controle
A.15.1.2
Direitos de propriedade
intelectual
A.15.1.3
Proteo de registros
organizacionais
A.15.1.4
Proteo de dados e
privacidade da informao
pessoal
A.15.1.5
Preveno de mau uso de

recursos de processamento
da informao
A.15.1.6
Regulamentao de controles
de criptografia
Procedimentos apropriados devem ser implementados para

garantir a conformidade com os requisitos legislativos,
regulamentares e contratuais no uso de material, em relao
aos quais pode haver direitos de propriedade intelectual e
sobre o uso de produtos de software proprietrios.
Controle
A.15.2
Registros importantes devem ser protegidos contra perda,

destruio e falsificao, de acordo com os requisitos
regulamentares, estatutrios, contratuais e do negcio.
Controle
A privacidade e a proteo de dados devem ser asseguradas
conforme exigido nas legislaes relevantes, regulamentaes
e, se aplicvel, nas clusulas contratuais.
Controle
Os usurios devem ser dissuadidos de usar os recursos de
processamento da informao para propsitos no autorizados.
Controle
Controles de criptografia devem ser usados em conformidade
com leis, acordos e regulamentaes relevantes.
Conformidade com normas e polticas de segurana da informao e conformidade tcnica
Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da
informao.
Controle
A.15.2.1
Conformidade com as
polticas e normas de
A.15.2.2
Verificao da conformidade
tcnica
Os gestores devem garantir que todos os procedimentos de

segurana dentro da sua rea de responsabilidade sejam
executados corretamente para atender conformidade com as
normas e polticas de segurana da informao.
Controle
Os sistemas de informao devem ser periodicamente

verificados quanto sua conformidade com as normas de
segurana da informao implementadas.
29
Cpia no autorizada
A.15.3 Consideraes quanto auditoria de sistemas de informao

Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de
informao.
Controle
A.15.3.1
Controles de auditoria de
sistemas de informao
A.15.3.2
Proteo de ferramentas de
auditoria de sistemas de
informao
30
Os requisitos e atividades de auditoria envolvendo verificao

nos sistemas operacionais devem ser cuidadosamente
planejados e acordados para minimizar os riscos de
interrupo dos processos do negcio.
Controle
O acesso s ferramentas de auditoria de sistema de
informao deve ser protegido para prevenir qualquer
possibilidade de uso imprprio ou comprometimento.
Cpia no autorizada
Anexo B
(informativo)
Princpios da OECD e desta Norma
Os princpios definidos pelas Diretrizes de OECD para a Segurana de Sistemas de Informao e Redes aplicamse para toda a poltica e nveis operacionais que governam a segurana de sistemas de informao e redes. Esta
Norma prov uma estrutura de um sistema de gesto de segurana da informao para implementar alguns dos
princpios da OECD que usam o modelo PDCA e os processos descritos nas sees 4, 5, 6 e 8, como indicado na
tabela B.1.
Tabela B.1 Princpios da OECD e o modelo PDCA
Princpios da OECD
Conscientizao
Convm que os participantes estejam conscientes da
necessidade de segurana de sistemas de informao e
redes e do que eles podem fazer para aumentar a
segurana.
Responsabilidade
Todos os participantes so responsveis pela segurana
de sistemas de informao e redes.
Resposta
Convm que os participantes ajam de modo oportuno e
cooperativo para prevenir, detectar e responder a
incidentes de segurana da informao.
Anlise/Avaliao de riscos
Convm que os participantes conduzam
anlises/avaliaes de risco.
Arquitetura e implementao de segurana
Convm que os participantes incorporem a segurana
como um elemento essencial de sistemas de informao
e redes.
Gesto de segurana
Convm que os participantes adotem uma abordagem
detalhada para a gesto da segurana.
Reavaliao
Convm que os participantes analisem criticamente e
reavaliem a segurana dos sistemas de informao e
redes, e faam as modificaes apropriadas nas polticas
de segurana, prticas, medidas e procedimentos.
Correspondncia entre o processo do ISMS e a fase

do PDCA
Esta atividade parte da fase Fazer (Do)
(ver 4.2.2 e 5.2.2).
Esta atividade parte da fase Fazer (Do)

(ver 4.2.2 e 5.1).
Esta , em parte, uma atividade de monitorao da fase

Checar (Check) (ver 4.2.3 e 6 a 7.3) e uma atividade de
resposta da fase Agir (Act) (ver 4.2.4 e 8.1 a 8.3).
Isto tambm pode ser coberto por alguns aspectos das
fases Planejar (Plan) e Checar (Check).
Esta atividade parte da fase Planejar (Plan) (ver 4.2.1)
e a reanlise/reavaliao dos riscos parte da fase
Checar (Check) (ver 4.2.3 e 6 at 7.3).
Uma vez finalizada a anlise/avaliao de riscos, os
controles so selecionados para o tratamento dos riscos
como parte da fase Planejar (Plan) (ver 4.2.1). A fase
Fazer (Do) (ver 4.2.2 e 5.2) ento cobre a
implementao e o uso operacional destes controles.
A gesto de riscos um processo que inclui a
preveno, deteco e resposta a incidentes, atuao,
manuteno, anlise crtica e auditoria. Todos estes
aspectos so cercados nas fases Planejar (Plan), Fazer
(Do), Checar (Check) e Agir (Act).
A reanlise/revaliao de segurana da informao
uma parte da fase Checar (Check) (ver 4.2.3 e 6
at 7.3), onde anlises crticas regulares devem ser
realizadas para verificar a eficcia do sistema de gesto
de segurana da informao, e a melhoria da segurana
parte da fase Agir (Act) (ver 4.2.4 e 8.1 a 8.3).
31
Cpia no autorizada
Anexo C
(informativo)
Correspondncia entre a ABNT NBR ISO 9001:2000, a
ABNT NBR ISO 14001:2004 e esta Norma
A tabela C.1 mostra a correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta
Norma.
Tabela C.1 Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e
esta Norma
Esta Norma
ABNT NBR ISO 9001:2000
0 Introduo
0 Introduo
Introduo
0.1 Geral
0.1 Geral
0.2 Abordagem de processo
0.2 Estratgia do processo

0.3 Relao com
ABNT NBR ISO 9004
0.3 Compatibilidade com outros

sistemas de gesto
0.4 Compatibilidade com outros

sistemas de gesto
1 Objetivo
1 Objetivo
1.1 Geral
1.1 Generalidades
1.2 Aplicao
1.2 Aplicao
2 Referncias normativas
2 Referncia normativa
2 Referncias normativas
3 Termos e definies
3 Termos e definies
3 Termos e definies
4 Sistema de gesto de
4 Sistema de gesto da
qualidade
4 Requisitos do SGA
4.1 Requisitos gerais
2 Objetivo
4.2 Estabelecendo e gerenciando

o SGSI
4.2.1 Estabelecer o SGSI
4.4 Implementao e operao
4.2.2 Implementar e operar o SGSI

4.2.3 Monitorar e analisar
criticamente o SGSI
8.2.3 Medio e monitoramento

de processos
4.5.1 Monitoramento e medio
8.2.4 Medio e monitoramento

de produtos
4.2.4 Manter e melhorar o SGSI
32
Cpia no autorizada
Esta Norma
4.3 Requisitos de documentao
4.3 Requisitos de documentao
4.3.1 Geral
4.3.1 Geral
4.3.2 Manual da qualidade

4.3.2 Controle de documentos
4.3.3 Controle de registros
5 Responsabilidades da direo
5 Responsabilidades de gesto
5.1 Comprometimento da direo
5.1 Comprometimento da direo

5.2 Foco no cliente
5.3 Poltica da qualidade
4.2 Poltica ambiental
5.4 Planejamento
4.3 Planejamento
5.5 Responsabilidade, autoridade e

comunicao
5.2 Gesto de recursos
6 Gesto de recursos
5.2.1 Proviso de recursos
6.1 Proviso de recursos

6.2 Recursos humanos
5.2.2 Treinamento, conscientizao

e competncia
6.2.2 Competncia, conscientizao

e treinamento
4.2.2 Competncia,treinamento e
conscientizao
6.3 Infraestrutura
6.4 Ambiente de trabalho
6 Auditorias internas do SGSI
8.2.2 Auditorias internas
4.5.5 Auditorias internas
7 Anlise crtica do SGSI pela

direo
5.6 Anlise crtica pela direo
4.6 Anlise pela administrao
7.1 Geral
5.6.1 Generalidades
7.2 Entradas para a anlise crtica
5.6.2 Entradas para a anlise crtica
7.3 Sadas da anlise crtica
5.6.3 Sadas para anlise crtica
8 Melhoria do SGSI
8.5 Melhorias
8.1 Melhoria contnua
8.5.1 Melhoria contnua
8.2 Aes corretivas
8.5.3 Aes corretivas
8.3 Aes preventivas
8.5.3 Aes preventivas
Anexo A - Objetivos de controle e

controles
4.5.3 No-conformidades, ao
corretiva e ao preventiva
Anexo A - Guia para o uso desta

Norma
Anexo B - Princpios da OECD e

esta Norma
Anexo C - Correspondncia entre
a ABNT NBR ISO 9001:2000, a
ABNT NBR ISO 14001:2004 e esta
Norma
Anexo A - Correspondncia entre

a ABNT NBR ISO 9001:2000 e a
Anexo B - Correspondncia
entre ABNT NBR ISO 14001:2004
e ABNT NBR ISO 9001:2000
33
Cpia no autorizada
Bibliografia
Normas publicadas
[1]
ABNT NBR ISO 9001:2000, Sistemas de gesto da qualidade - Requisitos
[2]
ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and

communications technology security Part 1: Concepts and models for information and communications
technology security management
[3]
ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security

Part 3: Techniques for the management of IT security
[4]
ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security

Part 4: Selection of safeguards
[5]
ABNT NBR ISO 14001:2004, Sistemas da gesto ambiental - Requisitos com orientaes para uso
[6]
ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident

management
[7]
ABNT NBR ISO 19011:2002, Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
[8]
ABNT ISO/IEC Guia 62:1997, Requisitos gerais para organismos que operam avaliao e
certificao/registro de sistemas da qualidade
[9]
ABNT ISO/IEC Guia 73:2005, Gesto de riscos - Vocabulrio - Recomendaes para uso em normas
Outras Publicaes
[1]
OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of
Security. Paris: OECD, July 2002. www.oecd.org

[2]
NIST SP 800-30, Risk Management Guide for Information Technology Systems
[3]
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986
34

Iso Iec 27001

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Iso Iec 27001

Caricato da

Copyright:

Formati disponibili

Cpia no autorizada

Tecnologia da informao Tcnicas de

Palavras-chave: Tecnologia da informao. Segurana.

ABNT NBR ISO/IEC 27001:2006

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

Referncia normativa ....................................................................................................................................2

Termos e definies ......................................................................................................................................2

Sistema de gesto de segurana da informao .......................................................................................4

Auditorias internas do SGSI.......................................................................................................................11

Anlise crtica do SGSI pela direo .........................................................................................................11

Melhoria do SGSI .........................................................................................................................................12

Anexo A (normativo) Objetivos de controle e controles.......................................................................................14

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de

implementao e operao de controles para gerenciar os riscos de segurana da informao de uma

monitorao e anlise crtica do desempenho e eficcia do SGSI; e

melhoria contnua baseada em medies objetivas.

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

implementar os princpios nessas diretrizes para direcionar a anlise/avaliao de riscos, especificao e

Figura 1 Modelo PDCA aplicado aos processos do SGSI

Estabelecer a poltica, objetivos, processos e procedimentos do

Do (fazer) (implementar e operar o

Implementar e operar a poltica, controles, processos e

Check (checar) (monitorar e analisar

Avaliar e, quando aplicvel, medir o desempenho de um

Compatibilidade com outros sistemas de gesto

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

Tecnologia da informao Tcnicas de segurana Sistemas de gesto

IMPORTANTE Esta publicao no tem o propsito de incluir todas as clusulas necessrias a um

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

[ABNT ISO/IEC Guia 73:2005]

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

Nesta Norma o termo controle usado como um sinnimo para medida.

Sistema de gesto de segurana da informao

Estabelecendo e gerenciando o SGSI

considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana contratuais;

tenha sido aprovada pela direo.

ABNT 2006 - Todos os direitos reservados

ABNT NBR ISO/IEC 27001:2006

Definir a abordagem de anlise/avaliao de riscos da organizao.

A metodologia de anlise/avaliao de riscos selecionada deve assegurar que as anlises/avaliaes de riscos

Identificar os ativos dentro do escopo do SGSI e os proprietrios2) destes ativos.

Identificar as ameaas a esses ativos.

Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.

Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar

Analisar e avaliar os riscos.

Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de ameaas e vulnerabilidades

Estimar os nveis de riscos.

Determinar se os riscos so aceitveis ou se requerem tratamento utilizando os critrios para aceitao

Identificar e avaliar as opes para o tratamento de riscos.