View
1.421
Download
26
Category
Preview:
DESCRIPTION
Resumo com todos os controles exigidos pela ISO 27001 (Segurança da Informação)
Citation preview
ControlesFonte: ISO 27001
Autor: Uires Tapajós -
CompanyWeb.com.br -versão 1.01
A.5 Política de segurançaA.5.1 Política de segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação deacordo com os requisitos do negócio e com as leis e regulamentações relevantes.
A.5.1.1 - Documento da política de segurança da informaçãoControle
Um documento da política de segurança dainformação deve ser aprovado pela direção,publicado e comunicado para todos osfuncionários e partes externas relevantes.
A.5.1.2 - Análise crítica da política de segurança da informaçãoControle
A política de segurança da informação deve seranalisada criticamente a intervalos planejados ou quandomudanças significativas ocorrerem, para assegurar a suacontínua pertinência, adequação e eficácia.
A.6 Organizando a segurança da informação
A.6.1 Infra-estrutura da segurança da informação
Objetivo: Gerenciar a segurança da informaçãodentro da organização.
A.6.1.1 - Comprometimento da direçãocom a segurança da informação
Controle
A Direção deve apoiar ativamente asegurança da informação dentro daorganização, por meio de um clarodirecionamento, demonstrando o seucomprometimento, definindo atribuiçõesde forma explícita e conhecendo asresponsabilidades pela segurança dainformação.
A.6.1.2 Coordenação da segurança da informação
Controle
As atividades de segurança dainformação devem ser coordenadas porrepresentantes de diferentes partes daorganização, com funções e papéisrelevantes.
A.6.1.3 Atribuição de responsabilidadespara a segurança da informação
Controle
Todas as responsabilidades pelasegurança da informação devem estarclaramente definidas.
A.6.1.4 Processo de autorização para osrecursos de processamento dainformação
Controle
Deve ser definido e implementado umprocesso de gestão de autorização paranovos recursos de processamento dainformação.
A.6.1.5 Acordos de confidencialidade
Controle
Os requisitos para confidencialidade ouacordos de não divulgação que reflitamas necessidades da organização para aproteção da informação devem seridentificados e analisados criticamente,de forma regular.
A.6.1.6 Contato com autoridades Controle
Contatos apropriados com autoridadesrelevantes devem ser mantidos.
A.6.1.7 Contato com grupos especiais
Controle
Contatos apropriados com grupos deinteresses especiais ou outros fórunsespecializados de segurança dainformação e associações profissionaisdevem ser mantidos.
A.6.1.8 Análise crítica independente desegurança da informação
Controle
O enfoque da organização para gerenciara segurança da informação e a suaimplementação (por exemplo, controles,objetivo dos controles, políticas,processos e procedimentos para asegurança da informação) deve seranalisado criticamente, de formaindependente, a intervalos planejados, ouquando ocorrerem mudançassignificativas relativas à implementaçãoda segurança da informação.
A.6.2 Partes externas
Objetivo: Manter a segurança dos recursos de processamento da informação e dainformação da organização, que são acessados, processados, comunicados ougerenciados por partes externas.
A.6.2.1 Identificação dos riscosrelacionados com partes externas
Controle
Os riscos para os recursos deprocessamento da informação e para ainformação da organização oriundos deprocessos do negócio que envolvam aspartes externas devem ser identificados econtroles apropriados devem serimplementados antes de se conceder oacesso.
A.6.2.2 Identificando a segurança dainformação quando tratando com osclientes.
Controle
Todos os requisitos de segurança dainformação identificados devem serconsiderados antes de conceder aosclientes o acesso aos ativos ou àsinformações da organização.
A.6.2.3 Identificando segurança dainformação nos acordos com terceiros
Controle
Os acordos com terceiros envolvendo oacesso, processamento, comunicação ougerenciamento dos recursos deprocessamento da informação ou dainformação da organização, ou oacréscimo de produtos ou serviços aosrecursos de processamento dainformação devem cobrir todos osrequisitos de segurança da informaçãorelevantes.
A.7 Gestão de ativos
A.7.1 Responsabilidade pelos ativos
Objetivo: Alcançar e manter a proteçãoadequada dos ativos da organização.
A.7.1.1 Inventário dos ativosControle
Todos os ativos devem ser claramenteidentificados e um inventário de todos osativos importantes deve ser estruturado emantido.
A.7.1.2 Proprietário dos ativos
Controle
Todas as informações e ativosassociados com os recursos deprocessamento da informação devem terum "proprietário") designado por umaparte definida da organização.
A.7.1.3 Uso aceitável dos ativos
Controle
Devem ser identificadas, documentadase implementadas regras para que sejapermitido o uso de informações e deativos associados aos recursos deprocessamento da informação.
A.7.2 Classificação da informação
Objetivo: Assegurar que a informaçãoreceba um nível adequado de proteção.
A.7.2.1 Recomendações paraclassificação
Controle
A informação deve ser classificada emtermos do seu valor, requisitos legais,sensibilidade e criticidade para aorganização.
A.7.2.2 Rótulos e tratamento da informação
Controle
Um conjunto apropriado deprocedimentos para rotular e tratar ainformação deve ser definido eimplementado de acordo com o esquemade classificação adotado pelaorganização.
A.8 Segurança em recursos humanos
A.8.1 Antes da contratação )
Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suasresponsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo,fraude ou mau uso de recursos.
A.8.1.1 Papéis e responsabilidades
Controle
Os papéis e responsabilidades pelasegurança da informação de funcionários,fornecedores e terceiros devem serdefinidos e documentados de acordo coma política de segurança da informação daorganização.
A.8.1.2 Seleção
Controle
Verificações de controle de todos os candidatos a emprego,fornecedores e terceiros devem ser realizadas de acordo com as leisrelevantes, regulamentações e éticas, e proporcionalmente aosrequisitos do negócio, à classificação das informações a seremacessadas e aos riscos percebidos.
A.8.1.3 Termos e condições de contratação
Controle
Como parte das suas obrigaçõescontratuais, os funcionários, fornecedorese terceiros devem concordar e assinar ostermos e condições de sua contrataçãopara o trabalho, os quais devem declararas suas responsabilidade e daorganização para a segurança dainformação.
A.8.2 Durante a contratação
Objetivo: Assegurar que os funcionários, fornecedores e terceiros estão conscientes dasameaças e preocupações relativas à segurança da informação, suas responsabilidades eobrigações, e estão preparados para apoiar a política de segurança da informação daorganização durante os seus trabalhos normais, e para reduzir o risco de erro humano.
A.8.2.1 Responsabilidades da direção
Controle
A direção deve solicitar aos funcionários,fornecedores e terceiros que pratiquem asegurança da informação de acordo como estabelecido nas políticas eprocedimentos da organização.
A.8.2.2 Conscientização, educação etreinamento em segurança da informação
Controle
Todos os funcionários da organização e,onde pertinente, fornecedores e terceirosdevem receber treinamento apropriadoem conscientização, e atualizaçõesregulares nas políticas e procedimentosorganizacionais relevantes para as suasfunções.
A.8.2.3 Processo disciplinarControle
Deve existir um processo disciplinarformal para os funcionários que tenhamcometido uma violação da segurança dainformação.
A.8.3 Encerramento ou mudança da contratação
Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem aorganização ou mudem de trabalho de forma ordenada.
A.8.3.1 Encerramento de atividadesControle
As responsabilidades para realizar oencerramento ou a mudança de umtrabalho devem ser claramente definidase atribuídas.
A.8.3.2 Devolução de ativos
Controle
Todos os funcionários, fornecedores eterceiros devem devolver todos os ativosda organização que estejam em suaposse após o encerramento de suasatividades, do contrato ou acordo.
A.8.3.3 Retirada de direitos de acesso
Controle
Os direitos de acesso de todos osfuncionários, fornecedores e terceiros àsinformações e aos recursos deprocessamento da informação devem serretirados após o encerramento de suasatividades, contratos ou acordos, oudevem ser ajustados após a mudançadestas atividades.
A.9 Segurança física e do ambiente
A.9.1 Áreas seguras
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações einformações da organização.
A.9.1.1 Perímetro de segurança física
Controle
Devem ser utilizados perímetros desegurança (barreiras tais como paredes,portões de entrada controlados por cartãoou balcões de recepção comrecepcionistas) para proteger as áreasque contenham informações e recursosde processamento da informação.
A.9.1.2 Controles de entrada físicaControle
As áreas seguras devem ser protegidaspor controles apropriados de entrada paraassegurar que somente pessoasautorizadas tenham acesso.
A.9.1.3 Segurança em escritórios salas e instalaçõesControle
Deve ser projetada e aplicada segurançafísica para escritórios, salas einstalações.
A.9.1.4 Proteção contra ameaçasexternas e do meio ambiente
Controle
Deve ser projetada e aplicada proteçãofísica contra incêndios, enchentes,terremotos, explosões, perturbações daordem pública e outras formas dedesastres naturais ou causados pelohomem.
A.9.1.5 Trabalhando em áreas segurasControle
Deve ser projetada e aplicada proteçãofísica, bem como diretrizes para otrabalho em áreas seguras.
A.9.1.6 Acesso do público, áreas deentrega e de carregamento
Controle
Pontos de acesso, tais como áreas deentrega e de carregamento e outrospontos em que pessoas não autorizadaspossam entrar nas instalações, devemser controlados e, se possível, isoladosdos recursos de processamento dainformação, para evitar o acesso nãoautorizado.
A.9.2 Segurança de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupção dasatividades da organização.
A.9.2.1 Instalação e proteção do equipamento
Controle
Os equipamentos devem ser colocadosno local ou protegidos para reduzir osriscos de ameaças e perigos do meioambiente, bem como as oportunidades deacesso não autorizado.
A.9.2.2 UtilidadesControle
Os equipamentos devem ser protegidoscontra falta de energia elétrica e outrasinterrupções causadas por falhas dasutilidades.
A.9.2.3 Segurança do cabeamento
Controle
O cabeamento de energia e detelecomunicações que transporta dadosou dá suporte aos serviços deinformações deve ser protegido contrainterceptação ou danos.
A.9.2.4 Manutenção dos equipamentosControle
Os equipamentos devem ter manutençãocorreta, para assegurar suadisponibilidade e integridade permanente.
A.9.2.5 Segurança de equipamentos foradas dependências da organização
Controle
Devem ser tomadas medidas desegurança para equipamentos queoperem fora do local, levando em contaos diferentes riscos decorrentes do fatode se trabalhar fora das dependências daorganização.
A.9.2.6 Reutilização e alienação segurade equipamentos
Controle
Todos os equipamentos que contenhammídias de armazenamento de dadosdevem ser examinados antes dodescarte, para assegurar que todos osdados sensíveis e softwares licenciadostenham sido removidos ousobregravados com segurança.
A.9.2.7 Remoção de propriedadeControle
Equipamentos, informações ou softwarenão devem ser retirados do local semautorização prévia.
A.10 Gerenciamento das operações e comunicações
A.10.1 Procedimentos eresponsabilidades operacionais
Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
A.10.1.1 Documentação dosprocedimentos de operação
Controle
Os procedimentos de operação devemser documentados, mantidos atualizadose disponíveis a todos os usuários quedeles necessitem.
A.10.1.2 Gestão de mudançasControle
Modificações nos recursos deprocessamento da informação e sistemasdevem ser controladas.
A.10.1.3 Segregação de funções
Controle
Funções e áreas de responsabilidadedevem ser segregadas para reduzir asoportunidades de modificação ou usoindevido não autorizado ou nãointencional dos ativos da organização.
A.10.1.4 Separação dos recursos dedesenvolvimento, teste e de produção
Controle
Recursos de desenvolvimento, teste eprodução devem ser separados parareduzir o risco de acessos oumodificações não autorizadas aossistemas operacionais.
A.10.2 Gerenciamento de serviços terceirizados
Objetivo: Implementar e manter o nível apropriado de segurança da informaçãoe de entrega de serviços em consonância com acordos de entrega de serviçosterceirizados.
A.10.2.1 Entrega de serviços
Controle
Deve ser garantido que os controles desegurança, as definições de serviço e osníveis de entrega incluídos no acordo deentrega de serviços terceirizados sejamimplementados, executados e mantidospelo terceiro.
A.10.2.2 Monitoramento e análise críticade serviços terceirizados
Controle
Os serviços, relatórios e registrosfornecidos por terceiro devem serregularmente monitorados e analisadoscriticamente, e auditorias devem serexecutadas regularmente.
A.10.2.3 Gerenciamento de mudançaspara serviços terceirizados
Controle
Mudanças no provisionamento dosserviços, incluindo manutenção emelhoria da política de segurança dainformação, dos procedimentos econtroles existentes, devem sergerenciadas levando-se em conta acriticidade dos sistemas e processos denegócio envolvidos e areanálise/reavaliação de riscos.
A.10.3 Planejamento e aceitação dos sistemas
Objetivo: Minimizar o risco de falhas nos sistemas.
A.10.3.1 Gestão de capacidade
Controle
A utilização dos recursos deve sermonitorada e sincronizada e as projeçõesdevem ser feitas para necessidades decapacidade futura, para garantir odesempenho requerido do sistema.
A.10.3.2 Aceitação de sistemas
Controle
Devem ser estabelecidos critérios deaceitação para novos sistemas,atualizações e novas versões e quesejam efetuados testes apropriados do(s)sistema(s) durante seu desenvolvimentoe antes da sua aceitação.
A.10.4 Proteção contra códigosmaliciosos e códigos móveis
Objetivo: Proteger a integridade do software e da informação.
A.10.4.1 Controle contra códigos maliciosos
Controle
Devem ser implantados controles dedetecção, prevenção e recuperação paraproteger contra códigos maliciosos,assim como procedimentos para a devidaconscientização dos usuários.
A.10.4.2 Controles contra códigos móveis
Controle
Onde o uso de códigos móveis éautorizado, a configuração deve garantirque o código móvel autorizado opere deacordo com uma política de segurança dainformação claramente definida e quecódigos móveis não autorizados tenhamsua execução impedida.
A.10.5 Cópias de segurança
Objetivo: Manter a integridade e disponibilidade da informação e dos recursos deprocessamento de informação.
A.10.5.1 Cópias de segurança das informaçõesControle
Cópias de segurança das informações e dos softwares devem serefetuadas e testadas regularmente, conforme a política de geraçãode cópias de segurança definida.
A.10.6 Gerenciamento da segurança em redes
Objetivo: Garantir a proteção das informações em redes e a proteçãoda infra-estrutura de suporte.
A.10.6.1 Controles de redes
Controle
Redes devem ser adequadamentegerenciadas e controladas, de forma aprotegê-las contra ameaças e manter asegurança de sistemas e aplicações queutilizam estas redes, incluindo ainformação em trânsito.
A.10.6.2 Segurança dos serviços de rede
Controle
Características de segurança, níveis deserviço e requisitos de gerenciamentodos serviços de rede devem seridentificados e incluídos em qualqueracordo de serviços de rede, tanto paraserviços de rede providos internamentecomo para terceirizados.
A.10.7 Manuseio de mídias
Objetivo: Prevenir contra divulgação não autorizada, modificação, remoção ou destruiçãoaos ativos e interrupções das atividades do negócio.
A.10.7.1 Gerenciamento de mídias removíveisControle
Devem existir procedimentosimplementados para o gerenciamento demídias removíveis.
A.10.7.2 Descarte de mídiasControle
As mídias devem ser descartadas de forma segura eprotegida quando não forem mais necessárias, por meio deprocedimentos formais.
A.10.7.3 Procedimentos para tratamento de informação
Controle
Devem ser estabelecidos procedimentospara o tratamento e o armazenamento deinformações, para proteger taisinformações contra a divulgação nãoautorizada ou uso indevido.
A.10.7.4 Segurança da documentação dos sistemasControle
A documentação dos sistemas deve serprotegida contra acessos nãoautorizados.
A.10.8 Troca de informações
Objetivo: Manter a segurança na troca de informações e softwares internamente àorganização e com quaisquer entidades externas.
A.10.8.1 Políticas e procedimentos paratroca de informações
Controle
Políticas, procedimentos e controlesdevem ser estabelecidos e formalizadospara proteger a troca de informações emtodos os tipos de recursos decomunicação.
A.10.8.2 Acordos para a troca de informaçõesControle
Devem ser estabelecidos acordos para atroca de informações e softwares entre aorganização e entidades externas.
A.10.8.3 Mídias em trânsito
Controle
Mídias contendo informações devem serprotegidas contra acesso não autorizado,uso impróprio ou alteração indevidadurante o transporte externo aos limitesfísicos da organização.
A.10.8.4 Mensagens eletrônicasControle
As informações que trafegam emmensagens eletrônicas devem seradequadamente protegidas.
A.10.8.5 Sistemas de informações do negócio
Controle
Políticas e procedimentos devem serdesenvolvidos e implementados paraproteger as informações associadas coma interconexão de sistemas deinformações do negócio.
A.10.9 Serviços de comércio eletrônico
Objetivo: Garantir a segurança de serviços de comércio eletrônico esua utilização segura.
A.10.9.1 Comércio eletrônico
Controle
As informações envolvidas em comércioeletrônico transitando sobre redespúblicas devem ser protegidas deatividades fraudulentas, disputascontratuais, divulgação e modificaçõesnão autorizadas.
A.10.9.2 Transações on-line
Controle
Informações envolvidas em transaçõeson-line devem ser protegidas paraprevenir transmissões incompletas, errosde roteamento, alterações nãoautorizadas de mensagens, divulgaçãonão autorizada, duplicação oureapresentação de mensagem nãoautorizada.
A.10.9.3 Informações publicamente disponíveis
Controle
A integridade das informaçõesdisponibilizadas em sistemaspublicamente acessíveis deve serprotegida, para prevenir modificaçõesnão autorizadas.
A.10.10 Monitoramento
Objetivo: Detectar atividades nãoautorizadas de processamento dainformação.
A.10.10.1 Registros de auditoria
Controle
Registros ( log) de auditoria contendo atividades dos usuários,exceções e outros eventos de segurança da informação devem serproduzidos e mantidos por um período de tempo acordado paraauxiliar em futuras investigações e monitoramento de controle deacesso.
A.10.10.2 Monitoramento do uso do sistema
Controle
Devem ser estabelecidos procedimentospara o monitoramento do uso dosrecursos de processamento dainformação e os resultados dasatividades de monitoramento devem seranalisados criticamente, de forma regular.
A.10.10.3 Proteção das informações dos registros ( logs)Controle
Os recursos e informações de registros(log) devem ser protegidos contrafalsificação e acesso não autorizado.
A.10.10.4 Registros ( log) deadministrador e operador
Controle
As atividades dos administradores eoperadores do sistema devem serregistradas.
A.10.10.5 Registros ( logs) de falhasControle
As falhas ocorridas devem serregistradas e analisadas, e devem seradotadas as ações apropriadas.
A.10.10.6 Sincronização dos relógiosControle
Os relógios de todos os sistemas de processamento deinformações relevantes, dentro da organização ou do domíniode segurança, devem ser sincronizados de acordo com umahora oficial.
A.11 Controle de acessos
A.11.1 Requisitos de negócio paracontrole de acesso
Objetivo: Controlar o acesso à informação.
A.11.1.1 Política de controle de acesso
Controle
A política de controle de acesso deve serestabelecida, documentada e analisadacriticamente, tomando-se como base osrequisitos de acesso dos negócios e dasegurança da informação.
A.11.2 Gerenciamento de acesso do usuário
Objetivo: Assegurar acesso de usuário autorizado e prevenir acessonão autorizado a sistemas de informação.
A.11.2.1 Registro de usuárioControle
Deve existir um procedimento formal deregistro e cancelamento de usuário paragarantir e revogar acessos em todos ossistemas de informação e serviços.
A.11.2.2 Gerenciamento de privilégiosControle
A concessão e o uso de privilégiosdevem ser restritos e controlados.
A.11.2.3 Gerenciamento de senha do usuárioControle
A concessão de senhas deve sercontrolada por meio de um processo degerenciamento formal.
A.11.2.4 Análise crítica dos direitos deacesso de usuário
Controle
O gestor deve conduzir a intervalosregulares a análise crítica dos direitos deacesso dos usuários, por meio de umprocesso formal.
A.11.3 Responsabilidades dos usuários
Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ouroubo da informação e dos recursos de processamento da informação.
A.11.3.1 Uso de senhasControle
Os usuários devem ser orientados aseguir boas práticas de segurança dainformação na seleção e uso de senhas.
A.11.3.2 Equipamento de usuário sem monitoraçãoControle
Os usuários devem assegurar que osequipamentos não monitorados tenhamproteção adequada.
A.11.3.3 Política de mesa limpa e tela limpa
Controle
Deve ser adotada uma política de mesalimpa de papéis e mídias dearmazenamento removíveis e umapolítica de tela limpa para os recursos deprocessamento da informação.
A.11.4 Controle de acesso à rede
Objetivo: Prevenir acesso não autorizadoaos serviços de rede.
A.11.4.1 Política de uso dos serviços de redeControle
Os usuários devem receber acessosomente aos serviços que tenham sidoespecificamente autorizados a usar.
A.11.4.2 Autenticação para conexãoexterna do usuário
Controle
Métodos apropriados de autenticaçãodevem ser usados para controlar oacesso de usuários remotos.
A.11.4.3 Identificação de equipamento em redesControle
Devem ser consideradas as identificações automáticas deequipamentos como um meio de autenticar conexões vindas delocalizações e equipamentos específicos.
A.11.4.4 Proteção e configuração deportas de diagnóstico remotas
Controle
Deve ser controlado o acesso físico elógico para diagnosticar e configurarportas.
A.11.4.5 Segregação de redesControle
Grupos de serviços de informação, usuários e sistemas deinformação devem ser segregados em redes.
A.11.4.6 Controle de conexão de redeControle
Para redes compartilhadas, especialmente as que se estendem peloslimites da organização, a capacidade de usuários para conectar-se àrede deve ser restrita, de acordo com a política de controle de acessoe os requisitos das aplicações do negócio (ver 11.1).
A.11.4.7 Controle de roteamento de redes
Controle
Deve ser implementado controle deroteamento na rede para assegurar queas conexões de computador e fluxos deinformação não violem a política decontrole de acesso das aplicações donegócio.
A.11.5 Controle de acesso ao sistema operacional
Objetivo: Prevenir acesso não autorizadoaos sistemas operacionais.
A.11.5.1 Procedimentos seguros deentrada no sistema ( log-on)
Controle
O acesso aos sistemas operacionaisdeve ser controlado por um procedimentoseguro de entrada no sistema ( log-on).
A.11.5.2 Identificação e autenticação de usuário
Controle
Todos os usuários devem ter umidentificador único (ID de usuário), parauso pessoal e exclusivo, e uma técnicaadequada de autenticação deve serescolhida para validar a identidadealegada por um usuário.
A.11.5.3 Sistema de gerenciamento de senhaControle
Sistemas para gerenciamento de senhasdevem ser interativos e assegurar senhasde qualidade.
A.11.5.4 Uso de utilitários de sistemaControle
O uso de programas utilitários quepodem ser capazes de sobrepor oscontroles dos sistemas e aplicações deveser restrito e estritamente controlado.
A.11.5.5 Desconexão de terminal por inatividadeControle
Terminais inativos devem serdesconectados após um período definidode inatividade.
A.11.5.6 Limitação de horário de conexãoControle
Restrições nos horários de conexãodevem ser utilizadas para proporcionarsegurança adicional para aplicações dealto risco.
A.11.6 Controle de acesso à aplicação e à informação
Objetivo: Prevenir acesso não autorizado àinformação contida nos sistemas de aplicação.
A.11.6.1 Restrição de acesso à informação
Controle
O acesso à informação e às funções dossistemas de aplicações por usuários epessoal de suporte deve ser restrito deacordo com o definido na política decontrole de acesso.
A.11.6.2 Isolamento de sistemas sensíveisControle
Sistemas sensíveis devem ter umambiente computacional dedicado(isolado).
A.11.7 Computação móvel e trabalho remoto
Objetivo: Garantir a segurança da informação quando se utilizam acomputação móvel e recursos de trabalho remoto.
A.11.7.1 Computação e comunicação móvel
Controle
Uma política formal deve serestabelecida e medidas de segurançaapropriadas devem ser adotadas para aproteção contra os riscos do uso derecursos de computação e comunicaçãomóveis.
A.11.7.2 Trabalho remotoControle
Uma política, planos operacionais eprocedimentos devem ser desenvolvidose implementados para atividades detrabalho remoto.
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
A.12.1 Requisitos de segurança desistemas de informação
Objetivo: Garantir que segurança é parteintegrante de sistemas de informação.
A.12.1.1 Análise e especificação dosrequisitos de segurança
Controle
Devem ser especificados os requisitospara controles de segurança nasespecificações de requisitos de negócios,para novos sistemas de informação oumelhorias em sistemas existentes.
A.12.2 Processamento correto de aplicações
Objetivo: Prevenir a ocorrência de erros,perdas, modificação não autorizada oumau uso de informações em aplicações.
A.12.2.1 Validação dos dados de entradaControle
Os dados de entrada de aplicaçõesdevem ser validados para garantir quesão corretos e apropriados.
A.12.2.2 Controle do processamento interno
Controle
Devem ser incorporadas, nas aplicações,checagens de validação com o objetivode detectar qualquer corrupção deinformações, por erros ou por açõesdeliberadas.
A.12.2.3 Integridade de mensagens
Controle
Requisitos para garantir a autenticidade eproteger a integridade das mensagensem aplicações devem ser identificados eos controles apropriados devem seridentificados e implementados.
A.12.2.4 Validação de dados de saída
Controle
Os dados de saída das aplicações devemser validados para assegurar que oprocessamento das informaçõesarmazenadas está correto e é apropriadoàs circunstâncias.
A.12.3 Controles criptográficos
Objetivo: Proteger a confidencialidade, aautenticidade ou a integridade dasinformações por meios criptográficos.
A.12.3.1 Política para o uso de controles criptográficosControle
Deve ser desenvolvida e implementadauma política para o uso de controlescriptográficos para a proteção dainformação.
A.12.3.2 Gerenciamento de chavesControle
Um processo de gerenciamento dechaves deve ser implantado para apoiar ouso de técnicas criptográficas pelaorganização.
A.12.4 Segurança dos arquivos do sistema
Objetivo: Garantir a segurança dearquivos de sistema.
A.12.4.1 Controle de software operacionalControle
Procedimentos para controlar ainstalação de software em sistemasoperacionais devem ser implementados.
A.12.4.2 Proteção dos dados para teste de sistemaControle
Os dados de teste devem serselecionados com cuidado, protegidos econtrolados.
A.12.4.3 Controle de acesso ao código-fonte de programaControle
O acesso ao código-fonte de programadeve ser restrito.
A.12.5 Segurança em processos dedesenvolvimento e de suporte
Objetivo: Manter a segurança desistemas aplicativos e da informação.
A.12.5.1 Procedimentos para controle de mudançasControle
A implementação de mudanças deve sercontrolada utilizando procedimentosformais de controle de mudanças.
A.12.5.2 Análise crítica técnica dasaplicações após mudanças no sistemaoperacional
Controle
Aplicações críticas de negócios devemser analisadas criticamente e testadasquando sistemas operacionais sãomudados, para garantir que não haveránenhum impacto adverso na operação daorganização ou na segurança.
A.12.5.3 Restrições sobre mudanças empacotes de software
Controle
Modificações em pacotes de softwarenão devem ser incentivadas e devemestar limitadas às mudanças necessárias,e todas as mudanças devem serestritamente controladas.
A.12.5.4 Vazamento de informaçõesControle
Oportunidades para vazamento deinformações devem ser prevenidas.
A.12.5.5 Desenvolvimento terceirizado de softwareControle
A organização deve supervisionar emonitorar o desenvolvimento terceirizadode software .
A.12.6 Gestão de vulnerabilidades técnicas
Objetivo: Reduzir riscos resultantes da exploração devulnerabilidades técnicas conhecidas.
A.12.6.1 Controle de vulnerabilidades técnicas
Controle
Deve ser obtida informação em tempohábil sobre vulnerabilidades técnicas dossistemas de informação em uso, avaliadaa exposição da organização a estasvulnerabilidades e tomadas as medidasapropriadas para lidar com os riscosassociados.
A.13 Gestão de incidentes de segurança da informação
A.13.1 Notificação de fragilidades eeventos de segurança da informação
Objetivo: Assegurar que fragilidades e eventos de segurança da informação associadoscom sistemas de informação sejam comunicados, permitindo a tomada de ação corretivaem tempo hábil.
A.13.1.1 Notificação de eventos desegurança da informação
Controle
Os eventos de segurança da informaçãodevem ser relatados através dos canaisapropriados da direção, o maisrapidamente possível.
A.13.1.2 Notificando fragilidades desegurança da informação
Controle
Os funcionários, fornecedores e terceirosde sistemas e serviços de informaçãodevem ser instruídos a registrar e notificarqualquer observação ou suspeita defragilidade em sistemas ou serviços.
A.13.2 Gestão de incidentes desegurança da informação e melhorias
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão deincidentes de segurança da informação.
A.13.2.1 Responsabilidades eprocedimentos
Controle
Responsabilidades e procedimentos degestão devem ser estabelecidos paraassegurar respostas rápidas, efetivas eordenadas a incidentes de segurança dainformação.
A.13.2.2 Aprendendo com os incidentesde segurança da informação
Controle
Devem ser estabelecidos mecanismospara permitir que tipos, quantidades ecustos dos incidentes de segurança dainformação sejam quantificados emonitorados.
A.13.2.3 Coleta de evidências
Controle
Nos casos em que uma ação deacompanhamento contra uma pessoa ouorganização, após um incidente desegurança da informação, envolver umaação legal (civil ou criminal), evidênciasdevem ser coletadas, armazenadas eapresentadas em conformidade com asnormas de armazenamento de evidênciasda jurisdição ou jurisdições pertinentes.
A.14 Gestão da continuidade do negócioA.14.1 Aspectos da gestão dacontinuidade do negócio, relativos àsegurança da informação
Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processoscríticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada emtempo hábil, se for o caso.
A.14.1.1 Incluindo segurança dainformação no processo de gestão dacontinuidade de negócio
Controle
Um processo de gestão deve serdesenvolvido e mantido para assegurar acontinuidade do negócio por toda aorganização e que contemple osrequisitos de segurança da informaçãonecessários para a continuidade donegócio da organização.
A.14.1.2 Continuidade de negócios eanálise/avaliação de risco
Controle
Devem ser identificados os eventos quepodem causar interrupções aosprocessos de negócio, junto àprobabilidade e impacto de taisinterrupções e as conseqüências para asegurança de informação.
A.14.1.3 Desenvolvimento eimplementação de planos decontinuidade relativos à segurança dainformação
Controle
Os planos devem ser desenvolvidos eimplementados para a manutenção ourecuperação das operações e paraassegurar a disponibilidade dainformação no nível requerido e na escalade tempo requerida, após a ocorrência deinterrupções ou falhas dos processoscríticos do negócio.
A.14.1.4 Estrutura do plano decontinuidade do negócio
Controle
Uma estrutura básica dos planos decontinuidade do negócio deve sermantida para assegurar que todos osplanos são consistentes, para contemplaros requisitos de segurança da informaçãoe para identificar prioridades para testese manutenção.
A.14.1.5 Testes, manutenção ereavaliação dos planos de continuidadedo negócio
Controle
Os planos de continuidade do negóciodevem ser testados e atualizadosregularmente, de forma a assegurar suapermanente atualização e efetividade.
A.15 Conformidade
A.15.1 Conformidade com requisitos legais
Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigaçõescontratuais e de quaisquer requisitos de segurança da informação
A.15.1.1 Identificação da legislação vigente
Controle
Todos os requisitos estatutários,regulamentares e contratuais relevantes,e o enfoque da organização para atendera estes requisitos devem serexplicitamente definidos, documentadose mantidos atualizados para cadasistema de informação da organização.
A.15.1.2 Direitos de propriedade intelectual
Controle
Procedimentos apropriados devem serimplementados para garantir aconformidade com os requisitoslegislativos, regulamentares e contratuaisno uso de material, em relação aos quaispode haver direitos de propriedadeintelectual e sobre o uso de produtos desoftware proprietários.
A.15.1.3 Proteção de registrosorganizacionais
Controle
Registros importantes devem serprotegidos contra perda, destruição efalsificação, de acordo com os requisitosregulamentares, estatutários, contratuaise do negócio.
A.15.1.4 Proteção de dados e privacidadeda informação pessoal
Controle
A privacidade e a proteção de dadosdevem ser asseguradas conforme exigidonas legislações relevantes,regulamentações e, se aplicável, nascláusulas contratuais.
A.15.1.5 Prevenção de mau uso derecursos de processamento dainformação
Controle
Os usuários devem ser dissuadidos deusar os recursos de processamento dainformação para propósitos nãoautorizados.
A.15.1.6 Regulamentação de controles de criptografiaControle
Controles de criptografia devem serusados em conformidade com leis,acordos e regulamentações relevantes.
A.15.2 Conformidade com normas epolíticas de segurança da informaçãoe conformidade técnica
Objetivo: Garantir conformidade dos sistemas com as políticas enormas organizacionais de segurança da informação.
A.15.2.1 Conformidade com as políticas enormas de segurança da informação
Controle
Os gestores devem garantir que todos osprocedimentos de segurança dentro dasua área de responsabilidade sejamexecutados corretamente para atender àconformidade com as normas e políticasde segurança da informação.
A.15.2.2 Verificação da conformidade técnicaControle
Os sistemas de informação devem serperiodicamente verificados quanto à suaconformidade com as normas desegurança da informação implementadas.
A.15.3 Considerações quanto àauditoria de sistemas de informação
Objetivo: Maximizar a eficácia e minimizar a interferência no processo deauditoria dos sistemas de informação.
A.15.3.1 Controles de auditoria desistemas de informação
Controle
Os requisitos e atividades de auditoria envolvendo verificação nossistemas operacionais devem ser cuidadosamente planejados eacordados para minimizar os riscos de interrupção dos processos donegócio.
A.15.3.2 Proteção de ferramentas deauditoria de sistemas de informação
Controle
O acesso às ferramentas de auditoria de sistema de informação deveser protegido para prevenir qualquer possibilidade de uso impróprioou comprometimento.
ISO-27001-CONTROLES-v1.00.mmap - 29/09/2013 -
Recommended