ABNT NBR 27001

7/22/2019 ABNT NBR 27001

1/42

ABNT 2006

NORMABRASILEIRA

ABNT NBRISO/IEC

27001

Primeira edio31.03.2006

Vlida a partir de30.04.2006

Tecnologia da informao Tcnicas desegurana Sistemas de gesto de

segurana da informao RequisitosInformation technology Security techniques Information securitymanagement systems Requirements

Palavras-chave: Tecnologia da informao. Segurana.Descriptors: Information technology. Security.

ICS 35.040

Nmero de refernciaABNT NBR ISO/IEC 27001:2006

34 pginas

Cpia no autorizada

7/22/2019 ABNT NBR 27001

2/42

ABNT NBR ISO/IEC 27001:2006

ii ABNT 2006 - Todos os direitos reservados

ABNT 2006Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzidaou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.

Sede da ABNTAv.Treze de Maio, 13 - 28 andar20031-901 - Rio de Janeiro - RJTel.: + 55 21 3974-2300Fax: + 55 21 [email protected]

Impresso no Brasil

Cpia no autorizada

7/22/2019 ABNT NBR 27001

3/42


ABNT 2006 - Todos os direitos reservados ii i

Sumrio Pgina

Prefcio Nacional.......................................................................................................................................................iv 0 Introduo.......................................................................................................................................................v 0.1 Geral................................................................................................................................................................v 0.2 Abordagem de processo...............................................................................................................................v 0.3 Compat ibi lidade com out ros sistemas de gesto.....................................................................................vi

1 Objetivo ..........................................................................................................................................................1 1.1 Geral................................................................................................................................................................1 1.2 Aplicao ........................................................................................................................................................1

2 Referncia normativa ....................................................................................................................................2

3 Termo s e definies ......................................................................................................................................2

4 Sist ema de gesto de segurana da informao .......................................................................................4 4.1 Requis itos gerais ...........................................................................................................................................4 4.2 Estabelec endo e gerenciando o SGSI.........................................................................................................4 4.2.1 Estabelec er o SGSI........................................................................................................................................4 4.2.2 Implementar e operar o SGSI .......................................................................................................................6 4.2.3 Monitor ar e analis ar crit icamente o SGSI ...................................................................................................7 4.2.4 Manter e melhorar o SGSI.............................................................................................................................8 4.3 Requis itos de documentao.......................................................................................................................8 4.3.1 Geral................................................................................................................................................................8 4.3.2 Controle de documentos ..............................................................................................................................9 4.3.3 Controle de regis tros ....................................................................................................................................9

5 Responsabil idades da direo .....................................................................................................................9

5.1 Comprometimento da direo......................................................................................................................9 5.2 Gesto de recursos .....................................................................................................................................10 5.2.1 Proviso de recursos ..................................................................................................................................10 5.2.2 Treinament o, conscientizao e competnc ia .........................................................................................10

6 Auditorias internas do SGSI.......................................................................................................................11

7 Anlise crt ica do SGSI pela dir eo .........................................................................................................11 7.1 Geral..............................................................................................................................................................11 7.2 Entradas para a anlise cr ti ca ...................................................................................................................11 7.3 Sadas da anli se cr ti ca .............................................................................................................................12

8 Melho ria do SGSI .........................................................................................................................................12 8.1 Melho ria contnua ........................................................................................................................................12 8.2 Ao corretiva ..............................................................................................................................................12 8.3 Ao prevent iva ...........................................................................................................................................13

Anexo A (normativo) Objeti vos de cont rol e e cont roles.......................................................................................14

Anexo B (informativo)Princpios da OECD e desta Norma ..................................................................................31

Anexo C (informativo)Correspondnc ia entr e a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 eesta Norma ...................................................................................................................................................32

Bibliografia ................................................................................................................................................................34

Cpia no autorizada

7/22/2019 ABNT NBR 27001

4/42


iv ABNT 2006 - Todos os direitos reservados

Prefcio Nacional

A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras,cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de NormalizaoSetorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas porComisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores,consumidores e neutros (universidades, laboratrios e outros).

A ABNT NBR ISO/IEC 27001 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).O Projeto circulou em Consulta Nacional conforme Edital n 12, de 31.12.2005, com o nmero deProjeto 21:204.01-012.

Esta Norma uma traduo idntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical CommitteeInformation Technology (ISO/IEC/JTC 1),subcommittee IT Security Tecchniques (SC 27).

Esta Norma contm o anexo A, de carter normativo, e os anexos B e C, de carter informativo.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

5/42


ABNT 2006 - Todos os direitos reservados v

0 Introduo

0.1 Geral

Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisarcriticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de umSGSI deve ser uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI deuma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processosempregados e tamanho e estrutura da organizao. esperado que este e os sistemas de apoio mudem com opassar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades daorganizao, por exemplo, uma situao simples requer uma soluo de um SGSI simples.

Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.

0.2 Abordagem de processo

Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar,monitorar, analisar criticamente, manter e melhorar o SGSI de uma organizao.

Uma organizao precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividadeque faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser consideradaum processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte.

A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaesdestes processos, e a sua gesto podem ser consideradas como "abordagem de processo.

A abordagem de processo para a gesto da segurana da informao apresentada nesta Norma encoraja queseus usurios enfatizem a importncia de:

a) entendimento dos requisitos de segurana da informao de uma organizao e da necessidade deestabelecer uma poltica e objetivos para a segurana de informao;

b) implementao e operao de controles para gerenciar os riscos de segurana da informao de umaorganizao no contexto dos riscos de negcio globais da organizao;

c) monitorao e anlise crtica do desempenho e eficcia do SGSI; e

d) melhoria contnua baseada em medies objetivas.

Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todosos processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana deinformao e as expectativas das partes interessadas, e como as aes necessrias e processos de segurana dainformao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra osvnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.

A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD1) (2002) paragovernar a segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para

1) Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana.Paris: OECD, 2002 de julho.http://www.oecd.org.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

6/42


vi ABNT 2006 - Todos os direitos reservados

implementar os princpios nessas diretrizes para direcionar a anlise/avaliao de riscos, especificao eimplementao de segurana, gerenciamento de segurana e reavaliao.

EXEMPLO 1

Um requisito pode significar que violaes de segurana da informao no causem srios danos financeiros e/ouconstrangimentos organizao.

EXEMPLO 2

Uma expectativa pode significar que se um incidente grave ocorrer por exemplo, a invaso da pgina Internet decomrcio eletrnico de uma organizao deveria haver pessoas com treinamento suficiente nos procedimentosapropriados para minimizar o impacto.

Figura 1 Modelo PDCA aplicado aos processos do SGSI

Plan (planejar) (estabelecer o SGSI) Estabelecer a poltica, objetivos, processos e procedimentos doSGSI, relevantes para a gesto de riscos e a melhoria dasegurana da informao para produzir resultados de acordocom as polticas e objetivos globais de uma organizao.

Do (fazer) (implementar e operar oSGSI)

Implementar e operar a poltica, controles, processos eprocedimentos do SGSI.

Check (checar) (moni torar e analisarcri tic amente o SGSI)

Avaliar e, quando aplicvel, medir o desempenho de umprocesso frente poltica, objetivos e experincia prtica doSGSI e apresentar os resultados para a anlise crtica peladireo.

Act (agir) (manter e melhorar o SGSI) Executar as aes corretivas e preventivas, com base nosresultados da auditoria interna do SGSI e da anlise crtica peladireo ou outra informao pertinente, para alcanar amelhoria contnua do SGSI.

0.3 Compatibilidade com outros sist emas de gesto

Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar aimplementao e a operao de forma consistente e integrada com normas de gesto relacionadas. Um sistema

Cpia no autorizada

7/22/2019 ABNT NBR 27001

7/42


ABNT 2006 - Todos os direitos reservados v

de gesto adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1ilustra a relao entre as sees desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004.

Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistemasde gesto relacionados.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

8/42

Cpia no autorizada

7/22/2019 ABNT NBR 27001

9/42

NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006

ABNT 2006 - Todos os direitos reservados 1

Tecnologia da informao Tcnicas de segurana Sistemas de gestode segurana da informao Requisitos

IMPORTANTE Esta publicao no tem o propsito de incluir todas as clusulas necessrias a umcontrato. Os usurios so responsveis pela sua correta aplicao. Conformidade com esta Norma por sis no confere imunidade em relao s obrigaes legais.

1 Objetivo

1.1 Geral

Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agnciasgovernamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer,implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro docontexto dos riscos de negcio globais da organizao. Ela especifica requisitos para a implementao decontroles de segurana personalizados para as necessidades individuais de organizaes ou suas partes.

O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados paraproteger os ativos de informao e propiciar confiana s partes interessadas.

NOTA 1 Convm que referncias a negcio nesta Norma sejam interpretadas, de modo geral, tendo em vista as

atividades que so essenciais aos objetivos de existncia da organizao.NOTA 2 A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode ser usada quando daespecificao de controles.

1.2 Aplicao

Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes,independentemente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nassees 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com esta Norma.

Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao de riscosprecisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveisprecisam ser fornecidas. Onde quaisquer controles sejam excludos, reivindicaes de conformidade a esta Normano so aceitveis, a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidadede prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliaode riscos e por requisitos legais e regulamentares aplicveis.

NOTA Se uma organizao j tiver um sistema de gesto de processo de negcio em operao (por exemplo, em relaocom a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), prefervel na maioria dos casos satisfazer os requisitos desta Normadentro deste sistema de gesto existente.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

10/42


2 ABNT 2006 - Todos os direitos reservados

2 Referncia normativa

O documento a seguir referenciado indispensvel para a aplicao desta Norma. Para referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplica-se a ltima edio do documento referenciado

(incluindo as emendas).ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para agesto da segurana da informao.

3 Termos e definies

Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

3.1ativoqualquer coisa que tenha valor para a organizao

[ISO/IEC 13335-1:2004]

3.2disponibilidadepropriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada

[ISO/IEC 13335-1:2004]

3.3confidencialidadepropriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no

autorizados[ISO/IEC 13335-1:2004]

3.4segurana da informaopreservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente, outraspropriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estarenvolvidas

[ABNT NBR ISO/IEC 17799:2005]

3.5

evento de segurana da informaouma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da polticade segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa serrelevante para a segurana da informao

[ISO/IEC TR 18044:2004]

3.6incidente de segurana da informaoum simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham umagrande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao

[ISO/IEC TR 18044:2004]

Cpia no autorizada

7/22/2019 ABNT NBR 27001

11/42



3.7sistema de gesto da segurana da informaoSGSIa parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar a segurana da informaoNOTA O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades,prticas, procedimentos, processos e recursos.

3.8integridadepropriedade de salvaguarda da exatido e completeza de ativos

[ISO/IEC 13335-1:2004]

3.9risco residual

risco remanescente aps o tratamento de riscos[ABNT ISO/IEC Guia 73:2005]

3.10aceitao do ris codeciso de aceitar um risco

[ABNT ISO/IEC Guia 73:2005]

3.11anlise de riscosuso sistemtico de informaes para identificar fontes e estimar o risco


3.12anlise/avaliao de riscosprocesso completo de anlise e avaliao de riscos


3.13avaliao de riscosprocesso de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco


3.14gesto de riscosatividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos

NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e acomunicao de riscos.


Cpia no autorizada

7/22/2019 ABNT NBR 27001

12/42



3.15tratamento do ri scoprocesso de seleo e implementao de medidas para modificar um risco

[ABNT ISO/IEC Guia 73:2005]NOTA Nesta Norma o termo controle usado como um sinnimo para medida.

3.16declarao de aplicabilidadedeclarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis aoSGSI da organizao

NOTA Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos deanlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e osrequisitos de negcio da organizao para a segurana da informao.

4 Sistema de gesto de segurana da informao

4.1 Requisit os gerais

A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar umSGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que elaenfrenta. Para os efeitos desta Norma, o processo usado est baseado no modelo de PDCA mostrado na figura 1.

4.2 Estabelecendo e gerenciando o SGSI

4.2.1 Estabelecer o SGSI

A organizao deve:

a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sualocalizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver1.2);

b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativose tecnologia que:

1) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e princpios para aesrelacionadas com a segurana da informao;

2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana contratuais;

3) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o estabelecimentoe manuteno do SGSI iro ocorrer ;

4) estabelea critrios em relao aos quais os riscos sero avaliados (ver 4.2.1c)); e

5) tenha sido aprovada pela direo.

NOTA Para os efeitos desta Norma, a poltica do SGSI considerada um documento maior da poltica de segurana dainformao. Estas polticas podem estar descritas em um documento.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

13/42



c) Definir a abordagem de anlise/avaliao de riscos da organizao.

1) Identificar uma metodologia de anlise/avaliao de riscos que seja adequada ao SGSI e aos requisitoslegais, regulamentares e de segurana da informao, identificados para o negcio.

2) Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco (ver 5.1f)).

A metodologia de anlise/avaliao de riscos selecionada deve assegurar que as anlises/avaliaes de riscosproduzam resultados comparveis e reproduzveis.

NOTA Existem diferentes metodologias para anlise/avaliao de riscos. So discutidos exemplos de metodologias deanlise/avaliao de riscos na ISO/IEC TR 13335-3, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security .

d) Identificar os riscos.

1) Identificar os ativos dentro do escopo do SGSI e os proprietrios2) destes ativos.

2) Identificar as ameaas a esses ativos.

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.

4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causaraos ativos.

e) Analisar e avaliar os riscos.

1) Avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana, levandoem considerao as conseqncias de uma perda de confidencialidade, integridade ou disponibilidadedos ativos.

2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de ameaas e vulnerabilidadesprevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.

3) Estimar os nveis de riscos.

4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando os critrios para aceitaode riscos estabelecidos em 4.2.1c)2).

f) Identificar e avaliar as opes para o tratamento de riscos.

Possveis aes incluem:

1) aplicar os controles apropriados;

2) aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas daorganizao e aos critrios de aceitao de riscos (ver 4.2.1c)2));

3) evitar riscos; e

4) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores.

2) O termo 'proprietrio' identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar aproduo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo 'proprietrio' no significa que a pessoarealmente tenha qualquer direito de propriedade ao ativo.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

14/42



g) Selecionar objetivos de controle e controles para o tratamento de riscos.

Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitosidentificados pela anlise/avaliao de riscos e pelo processo de tratamento de riscos. Esta seleo deve

considerar os critrios para aceitao de riscos (ver 4.2.1c)2)) como tambm os requisitos legais,regulamentares e contratuais.

Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, comoadequados para cobrir os requisitos identificados.

Os objetivos de controle e controles listados no anexo A no so exaustivos, e objetivos de controles econtroles adicionais podem tambm ser selecionados.

NOTA O anexo A contm uma lista detalhada de objetivos de controle e controles que foram comumenteconsiderados relevantes nas organizaes. Os usurios desta Norma so direcionados para o anexo A como um ponto departida para a seleo de controles, para assegurar que nenhuma opo de controle importante seja negligenciada.

h) Obter aprovao da direo dos riscos residuais propostos.i) Obter autorizao da direo para implementar e operar o SGSI.

j) Preparar uma Declarao de Aplicabilidade.

Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:

1) Os objetivos de controle e os controles selecionados em 4.2.1g) e as razes para sua seleo;

2) Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e)2)); e

3) A excluso de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua excluso.

NOTA A Declarao de Aplicabilidade prov um resumo das decises relativas ao tratamento de riscos.A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.

4.2.2 Implementar e operar o SGSI

A organizao deve:

a) Formular um plano de tratamento de riscos que identifique a ao de gesto apropriada, recursos,responsabilidades e prioridades para a gesto dos riscos de segurana (ver seo 5).

b) Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que incluaconsideraes de financiamentos e atribuio de papis e responsabilidades.

c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle.

d) Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estasmedidas devem ser usadas para avaliar a eficcia dos controles de modo a produzir resultados comparveise reproduzveis (ver 4.2.3c)).

NOTA A medio da eficcia dos controles permite aos gestores e equipe determinar o quanto os controles alcanamde forma satisfatria os objetivos de controle planejados.

e) Implementar programas de conscientizao e treinamento (ver 5.2.2).

f) Gerenciar as operaes do SGSI.g) Gerenciar os recursos para o SGSI (ver 5.2).

Cpia no autorizada

7/22/2019 ABNT NBR 27001

15/42



h) Implementar procedimentos e outros controles capazes de permitir a pronta deteco de eventos desegurana da informao e resposta a incidentes de segurana da informao (ver 4.2.3 a)).

4.2.3 Monitorar e analisar cri ticamente o SGSI

A organizao deve:

a) Executar procedimentos de monitorao e anlise crtica e outros controles para:

1) prontamente detectar erros nos resultados de processamento;

2) prontamente identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de segurana dainformao;

3) permitir direo determinar se as atividades de segurana da informao delegadas a pessoas ouimplementadas por meio de tecnologias de informao so executadas conforme esperado;

4) ajudar a detectar eventos de segurana da informao e assim prevenir incidentes de segurana da informao pelo uso de indicadores; e

5) determinar se as aes tomadas para solucionar uma violao de segurana da informao forameficazes.

b) Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos doSGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias desegurana da informao, incidentes de segurana da informao, resultados da eficcia das medies,sugestes e realimentao de todas as partes interessadas.

c) Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos.

d) Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e analisar criticamente os riscosresiduais e os nveis de riscos aceitveis identificados, levando em considerao mudanas relativas a:

1) organizao;

2) tecnologias;

3) objetivos e processos de negcio;

4) ameaas identificadas;

5) eficcia dos controles implementados;

6) eventos externos, tais como mudanas nos ambientes legais ou regulamentares, alteraes dasobrigaes contratuais e mudanas na conjuntura social.

e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seo 6).

NOTA Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por ou em nome daprpria organizao para propsitos internos.

f) Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopopermanece adequado e que so identificadas melhorias nos processos do SGSI (ver 7.1).

g) Atualizar os planos de segurana da informao para levar em considerao os resultados das atividades demonitoramento e anlise crtica.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

16/42



h) Registrar aes e eventos que possam ter um impacto na eficcia ou no desempenho do SGSI (ver 4.3.3).

4.2.4 Manter e melhorar o SGSI

A organizao deve regularmente :a) Implementar as melhorias identificadas no SGSI.

b) Executar as aes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lies aprendidasde experincias de segurana da informao de outras organizaes e aquelas da prpria organizao.

c) Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado scircunstncias e, se relevante, obter a concordncia sobre como proceder.

d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

4.3 Requisi tos de documentao

4.3.1 Geral

A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis spolticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis.

importante que se possa demonstrar a relao dos controles selecionados com os resultados daanlise/avaliao de riscos e do processo de tratamento de riscos, e conseqentemente com a poltica e objetivosdo SGSI.

A documentao do SGSI deve incluir:

a) declaraes documentadas da poltica (ver 4.2.1b)) e objetivos do SGSI;

b) o escopo do SGSI (ver 4.2.1a));

c) procedimentos e controles que apoiam o SGSI;

d) uma descrio da metodologia de anlise/avaliao de riscos (ver 4.2.1c));

e) o relatrio de anlise/avaliao de riscos (ver 4.2.1c) a 4.2.1g));

f) o plano de tratamento de riscos (ver 4.2.2b));

g) procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, aoperao e o controle de seus processos de segurana de informao e para descrever como medir a eficciados controles (ver 4.2.3c));

h) registros requeridos por esta Norma (ver 4.3.3); e

i) a Declarao de Aplicabilidade.

NOTA 1 Onde o termo "procedimento documentado" aparecer nesta Norma, significa que o procedimento estabelecido,documentado, implementado e mantido.

NOTA 2 A abrangncia da documentao do SGSI pode variar de uma organizao para outra devido ao:

tamanho da organizao e o tipo de suas atividades; e

escopo e complexidade dos requisitos de segurana e o do sistema gerenciado.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

17/42



NOTA 3 Documentos e registros podem estar em qualquer forma ou tipo de mdia.

4.3.2 Contro le de documentos

Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deveser estabelecido para definir as aes de gesto necessrias para:

a) aprovar documentos para adequao antes de sua emisso;

b) analisar criticamente e atualizar, quando necessrio, e reaprovar documentos;

c) assegurar que as alteraes e a situao da reviso atual dos documentos sejam identificadas;

d) assegurar que as verses pertinentes de documentos aplicveis estejam disponveis nos locais de uso;

e) assegurar que os documentos permaneam legveis e prontamente identificveis;

f) assegurar que os documentos estejam disponveis queles que deles precisam e sejam transferidos,armazenados e finalmente descartados conforme os procedimentos aplicveis sua classificao;

g) assegurar que documentos de origem externa sejam identificados;

h) assegurar que a distribuio de documentos seja controlada;

i) prevenir o uso no intencional de documentos obsoletos; e

j) aplicar identificao adequada nos casos em que sejam retidos para qualquer propsito.

4.3.3 Contro le de regist ros

Registros devem ser estabelecidos e mantidos para fornecer evidncias de conformidade aos requisitos e daoperao eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideraoquaisquer requisitos legais ou regulamentares pertinentes e obrigaes contratuais. Os registros devempermanecer legveis, prontamente identificveis e recuperveis. Os controles necessrios para a identificao,armazenamento, proteo, recuperao, tempo de reteno e disposio de registros devem ser documentados eimplementados.

Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrncias deincidentes de segurana da informao significativos relacionados ao SGSI.

EXEMPLO

Exemplos de registros so: livros de visitantes, relatrios de auditoria e formulrios de autorizao de acessopreenchidos.

5 Responsabilidades da direo

5.1 Comprometimento da direo

A Direo deve fornecer evidncia do seu comprometimento com o estabelecimento, implementao, operao,monitoramento, anlise crtica, manuteno e melhoria do SGSI mediante:

a) o estabelecimento da poltica do SGSI;

b) a garantia de que so estabelecidos os planos e objetivos do SGSI;

Cpia no autorizada

7/22/2019 ABNT NBR 27001

18/42



c) o estabelecimento de papis e responsabilidades pela segurana de informao;

d) a comunicao organizao da importncia em atender aos objetivos de segurana da informao e aconformidade com a poltica de segurana de informao, suas responsabilidades perante a lei e a

necessidade para melhoria contnua;e) a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente,

manter e melhorar o SGSI (ver 5.2.1);

f) a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis;

g) a garantia de que as auditorias internas do SGSI sejam realizadas (ver seo 6); e

h) a conduo de anlises crticas do SGSI pela direo (ver seo 7).

5.2 Gesto de recursos

5.2.1 Provis o de recursos

A organizao deve determinar e prover os recursos necessrios para:

a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;

b) assegurar que os procedimentos de segurana da informao apoiam os requisitos de negcio;

c) identificar e tratar os requisitos legais e regulamentares e obrigaes contratuais de segurana dainformao;

d) manter a segurana da informao adequada pela aplicao correta de todos os controles implementados;

e) realizar anlises crticas, quando necessrio, e reagir adequadamente aos resultados destas anlises crticas;e

f) onde requerido, melhorar a eficcia do SGSI.

5.2.2 Treinamento, conscienti zao e competncia

A organizao deve assegurar que todo o pessoal que tem responsabilidades atribudas definidas no SGSI sejacompetente para desempenhar as tarefas requeridas:

a) determinando as competncias necessrias para o pessoal que executa trabalhos que afetam o SGSI;

b) fornecendo treinamento ou executando outras aes (por exemplo, contratar pessoal competente) parasatisfazer essas necessidades;

c) avaliando a eficcia das aes executadas; e

d) mantendo registros de educao, treinamento, habilidades, experincias e qualificaes (ver 4.3.3).

A organizao deve tambm assegurar que todo o pessoal pertinente esteja consciente da relevncia eimportncia das suas atividades de segurana da informao e como eles contribuem para o alcance dos objetivosdo SGSI.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

19/42



6 Audi tor ias internas do SGSI

A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivosde controle, controles, processos e procedimentos do seu SGSI:

a) atendem aos requisitos desta Norma e legislao ou regulamentaes pertinentes;

b) atendem aos requisitos de segurana da informao identificados;

c) esto mantidos e implementados eficazmente; e

d) so executados conforme esperado.

Um programa de auditoria deve ser planejado levando em considerao a situao e a importncia dos processose reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critrios da auditoria, escopo,freqncia e mtodos devem ser definidos. A seleo dos auditores e a execuo das auditorias devem assegurarobjetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho.

As responsabilidades e os requisitos para planejamento e para execuo de auditorias e para relatar os resultadose a manuteno dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.

O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida,para eliminar as no-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir averificao das aes executadas e o relato dos resultados de verificao (ver seo 8).

NOTA A ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental pode prover uma orientao til para realizar auditorias internas do SGSI.

7 Anlise crtica do SGSI pela direo7.1 Geral

A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez porano) para assegurar a sua contnua pertinncia, adequao e eficcia. Esta anlise crtica deve incluir a avaliaode oportunidades para melhoria e a necessidade de mudanas do SGSI, incluindo a poltica de segurana dainformao e objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser claramentedocumentados e os registros devem ser mantidos (ver 4.3.3).

7.2 Entradas para a anlise crt ica

As entradas para a anlise crtica pela direo devem incluir:a) resultados de auditorias do SGSI e anlises crticas;

b) realimentao das partes interessadas;

c) tcnicas, produtos ou procedimentos que podem ser usados na organizao para melhorar o desempenho e aeficcia do SGSI ;

d) situao das aes preventivas e corretivas;

e) vulnerabilidades ou ameaas no contempladas adequadamente nas anlises/avaliaes de risco anteriores;

f) resultados da eficcia das medies ;

Cpia no autorizada

7/22/2019 ABNT NBR 27001

20/42



g) acompanhamento das aes oriundas de anlises crticas anteriores pela direo;

h) quaisquer mudanas que possam afetar o SGSI; e

i) recomendaes para melhoria.

7.3 Sadas da anlise crt ica

As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes relacionadas a:

a) Melhoria da eficcia do SGSI.

b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos.

c) Modificao de procedimentos e controles que afetem a segurana da informao, quando necessrio, pararesponder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanas de:

1) requisitos de negcio;

2) requisitos de segurana da informao;

3) processos de negcio que afetem os requisitos de negcio existentes;

4) requisitos legais ou regulamentares;

5) obrigaes contratuais; e

6) nveis de riscos e/ou critrios de aceitao de riscos.

d) Necessidade de recursos.e) Melhoria de como a eficcia dos controles est sendo medida.

8 Melhor ia do SGSI

8.1 Melhoria contnua

A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de segurana dainformao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados,aes corretivas e preventivas e anlise crtica pela direo (ver seo 7).

8.2 Ao corretiva

A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, deforma a evitar a sua repetio. O procedimento documentado para ao corretiva deve definir requisitos para:

a) identificar no-conformidades;

b) determinar as causas de no-conformidades;

c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades no ocorram novamente;

d) determinar e implementar as aes corretivas necessrias;

e) registrar os resultados das aes executadas (ver 4.3.3); e

Cpia no autorizada

7/22/2019 ABNT NBR 27001

21/42



f) analisar criticamente as aes corretivas executadas.

8.3 Ao prevent iva

A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitosdo SGSI, de forma a evitar a sua ocorrncia. As aes preventivas tomadas devem ser apropriadas aos impactosdos potenciais problemas. O procedimento documentado para ao preventiva deve definir requisitos para:

a) identificar no-conformidades potenciais e suas causas;

b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;

c) determinar e implementar as aes preventivas necessrias;

d) registrar os resultados de aes executadas (ver 4.3.3); e

e) analisar criticamente as aes preventivas executadas.

A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas focando aateno nos riscos significativamente alterados.

A prioridade de aes preventivas deve ser determinada com base nos resultados da anlise/avaliao de riscos.

NOTA Aes para prevenir no-conformidades freqentemente tm melhor custo-benefcio que as aes corretivas.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

22/42



Anexo A (normativo)

Objetivos de controle e controles

Os objetivos de controle e controles listados na tabela A.1 so derivados diretamente e esto alinhados comaqueles listados na ABNT NBR ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1 no so exaustivas euma organizao pode considerar que objetivos de controle e controles adicionais so necessrios. Os objetivosde controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificadoem 4.2.1.

A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornece recomendaes e um guia de implementao dasmelhores prticas para apoiar os controles especificados em A.5 a A.15.

Tabela A.1 Objetivos de cont role e controles

A.5 Polti ca de segurana

A.5.1 Poltica de segurana da in formaoObjetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com osrequisitos do negcio e com as leis e regulamentaes relevantes.

A.5.1.1 Documento da poltica de

segurana da informao

Controle

Um documento da poltica de segurana da informao deveser aprovado pela direo, publicado e comunicado para todosos funcionrios e partes externas relevantes.

A.5.1.2 Anlise crtica da poltica desegurana da informao

Controle

A poltica de segurana da informao deve ser analisadacriticamente a intervalos planejados ou quando mudanassignificativas ocorrerem, para assegurar a sua contnuapertinncia, adequao e eficcia.

A.6 Organizando a segurana da informao

A.6.1 Infra-est rutura da segurana da in formaoObjetivo: Gerenciar a segurana da informao dentro da organizao.

A.6.1.1Comprometimento da direocom a segurana dainformao

Controle

A Direo deve apoiar ativamente a segurana da informaodentro da organizao, por meio de um claro direcionamento,demonstrando o seu comprometimento, definindo atribuiesde forma explcita e conhecendo as responsabilidades pelasegurana da informao.

A.6.1.2 Coordenao da seguranada informao

Controle

As atividades de segurana da informao devem sercoordenadas por representantes de diferentes partes daorganizao, com funes e papis relevantes.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

23/42



A.6.1.3Atribuio deresponsabilidades para asegurana da informao

Controle

Todas as responsabilidades pela segurana da informaodevem estar claramente definidas.

A.6.1.4Processo de autorizao paraos recursos deprocessamento dainformao

ControleDeve ser definido e implementado um processo de gesto deautorizao para novos recursos de processamento dainformao.

A.6.1.5 Acordos de confidencialidade

Controle

Os requisitos para confidencialidade ou acordos de nodivulgao que reflitam as necessidades da organizao para aproteo da informao devem ser identificados e analisadoscriticamente, de forma regular.

A.6.1.6 Contato com autoridades

Controle

Contatos apropriados com autoridades relevantes devem sermantidos.

A.6.1.7 Contato com gruposespeciais

Controle

Contatos apropriados com grupos de interesses especiais ououtros fruns especializados de segurana da informao eassociaes profissionais devem ser mantidos.

A.6.1.8 Anlise crtica independentede segurana da informao

Controle

O enfoque da organizao para gerenciar a segurana dainformao e a sua implementao (por exemplo, controles,objetivo dos controles, polticas, processos e procedimentospara a segurana da informao) deve ser analisadocriticamente, de forma independente, a intervalos planejados,ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao.

A.6.2 Partes externasObjetivo: Manter a segurana dos recursos de processamento da informao e da informao daorganizao, que so acessados, processados, comunicados ou gerenciados por partes externas.

A.6.2.1Identificao dos riscosrelacionados com partesexternas

Controle

Os riscos para os recursos de processamento da informao epara a informao da organizao oriundos de processos donegcio que envolvam as partes externas devem seridentificados e controles apropriados devem ser implementadosantes de se conceder o acesso.

A.6.2.2Identificando a segurana dainformao quando tratandocom os clientes.

Controle

Todos os requisitos de segurana da informao identificadosdevem ser considerados antes de conceder aos clientes oacesso aos ativos ou s informaes da organizao.

A.6.2.3Identificando segurana dainformao nos acordos comterceiros

Controle

Os acordos com terceiros envolvendo o acesso,processamento, comunicao ou gerenciamento dos recursosde processamento da informao ou da informao daorganizao, ou o acrscimo de produtos ou servios aos

recursos de processamento da informao devem cobrir todosos requisitos de segurana da informao relevantes.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

24/42



A.7 Gesto de ativos

A.7.1 Responsabil idade pelos ativosObjetivo: Alcanar e manter a proteo adequada dos ativos da organizao.

A.7.1.1 Inventrio dos ativos

Controle

Todos os ativos devem ser claramente identificados e uminventrio de todos os ativos importantes deve ser estruturadoe mantido.

A.7.1.2 Proprietrio dos ativos

Controle

Todas as informaes e ativos associados com os recursos deprocessamento da informao devem ter um "proprietrio"3) designado por uma parte definida da organizao.

A.7.1.3 Uso aceitvel dos ativos

Controle

Devem ser identificadas, documentadas e implementadasregras para que seja permitido o uso de informaes e deativos associados aos recursos de processamento dainformao.

A.7.2 Classificao da informao Objetivo: Assegurar que a informao receba um nvel adequado de proteo.

A.7.2.1 Recomendaes paraclassificao

Controle

A informao deve ser classificada em termos do seu valor,requisitos legais, sensibilidade e criticidade para a organizao.

A.7.2.2 Rtulos e tratamento dainformao

Controle

Um conjunto apropriado de procedimentos para rotular e tratara informao deve ser definido e implementado de acordo como esquema de classificao adotado pela organizao.

A.8 Seguran a em recursos humanos

A.8.1 Antes da contratao4) Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, eestejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

A.8.1.1 Papis e responsabilidades

Controle

Os papis e responsabilidades pela segurana da informaode funcionrios, fornecedores e terceiros devem ser definidos e

documentados de acordo com a poltica de segurana dainformao da organizao.

3) Explicao: O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada paracontrolar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significaque a pessoa realmente tenha qualquer direito de propriedade pelo ativo4) Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao depessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos eencerramento de quaisquer destas situaes.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

25/42



A.8.1.2 Seleo

Controle

Verificaes de controle de todos os candidatos a emprego,fornecedores e terceiros devem ser realizadas de acordo comas leis relevantes, regulamentaes e ticas, eproporcionalmente aos requisitos do negcio, classificaodas informaes a serem acessadas e aos riscos percebidos.

A.8.1.3 Termos e condies decontratao

Controle

Como parte das suas obrigaes contratuais, os funcionrios,fornecedores e terceiros devem concordar e assinar os termose condies de sua contratao para o trabalho, os quaisdevem declarar as suas responsabilidade e da organizaopara a segurana da informao.

A.8.2 Durante a contrataoObjetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e

preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e estopreparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhosnormais, e para reduzir o risco de erro humano.

A.8.2.1 Responsabilidades da direo

Controle

A direo deve solicitar aos funcionrios, fornecedores eterceiros que pratiquem a segurana da informao de acordocom o estabelecido nas polticas e procedimentos daorganizao.

A.8.2.2Conscientizao, educao etreinamento em segurana dainformao

Controle

Todos os funcionrios da organizao e, onde pertinente,fornecedores e terceiros devem receber treinamentoapropriado em conscientizao, e atualizaes regulares naspolticas e procedimentos organizacionais relevantes para assuas funes.

A.8.2.3 Processo disciplinar

Controle

Deve existir um processo disciplinar formal para os funcionriosque tenham cometido uma violao da segurana dainformao.

A.8.3 Encerramento ou mudana da contrataoObjetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalhode forma ordenada.

A.8.3.1 Encerramento de atividadesControleAs responsabilidades para realizar o encerramento ou amudana de um trabalho devem ser claramente definidas eatribudas.

A.8.3.2 Devoluo de ativos

Controle

Todos os funcionrios, fornecedores e terceiros devemdevolver todos os ativos da organizao que estejam em suaposse aps o encerramento de suas atividades, do contrato ouacordo.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

26/42



A.8.3.3 Retirada de direitos deacesso

Controle

Os direitos de acesso de todos os funcionrios, fornecedores eterceiros s informaes e aos recursos de processamento dainformao devem ser retirados aps o encerramento de suasatividades, contratos ou acordos, ou devem ser ajustados apsa mudana destas atividades.

A.9 Segurana f sica e do ambiente

A.9.1 reas segurasObjetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaesda organizao.

A.9.1.1 Permetro de segurana fsica

Controle

Devem ser utilizados permetros de segurana (barreiras taiscomo paredes, portes de entrada controlados por carto oubalces de recepo com recepcionistas) para proteger asreas que contenham informaes e recursos deprocessamento da informao.

A.9.1.2 Controles de entrada fsica

Controle

As reas seguras devem ser protegidas por controlesapropriados de entrada para assegurar que somente pessoasautorizadas tenham acesso.

A.9.1.3 Segurana em escritriossalas e instalaes

Controle

Deve ser projetada e aplicada segurana fsica para escritrios,salas e instalaes.

A.9.1.4 Proteo contra ameaasexternas e do meio ambiente

Controle

Deve ser projetada e aplicada proteo fsica contra incndios,enchentes, terremotos, exploses, perturbaes da ordempblica e outras formas de desastres naturais ou causadospelo homem.

A.9.1.5 Trabalhando em reasseguras

Controle

Deve ser projetada e aplicada proteo fsica, bem comodiretrizes para o trabalho em reas seguras.

A.9.1.6Acesso do pblico, reas deentrega e de carregamento

Controle

Pontos de acesso, tais como reas de entrega e decarregamento e outros pontos em que pessoas no

autorizadas possam entrar nas instalaes, devem sercontrolados e, se possvel, isolados dos recursos deprocessamento da informao, para evitar o acesso noautorizado.

A.9.2 Segurana de equipamentosObjetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades daorganizao.

A.9.2.1 Instalao e proteo doequipamento

Controle

Os equipamentos devem ser colocados no local ou protegidospara reduzir os riscos de ameaas e perigos do meio ambiente,bem como as oportunidades de acesso no autorizado.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

27/42



A.9.2.2 Utilidades

Controle

Os equipamentos devem ser protegidos contra falta de energiaeltrica e outras interrupes causadas por falhas dasutilidades.

A.9.2.3 Segurana do cabeamento

Controle

O cabeamento de energia e de telecomunicaes quetransporta dados ou d suporte aos servios de informaesdeve ser protegido contra interceptao ou danos.

A.9.2.4 Manuteno dosequipamentos

Controle

Os equipamentos devem ter manuteno correta, paraassegurar sua disponibilidade e integridade permanente.

A.9.2.5

Segurana de equipamentos

fora das dependncias daorganizao

Controle

Devem ser tomadas medidas de segurana para equipamentos

que operem fora do local, levando em conta os diferentesriscos decorrentes do fato de se trabalhar fora dasdependncias da organizao.

A.9.2.6 Reutilizao e alienaosegura de equipamentos

Controle

Todos os equipamentos que contenham mdias dearmazenamento de dados devem ser examinados antes dodescarte, para assegurar que todos os dados sensveis esoftwares licenciados tenham sido removidos ousobregravados com segurana.

A.9.2.7 Remoo de propriedadeControle

Equipamentos, informaes ou software no devem serretirados do local sem autorizao prvia.

A.10 Gerenc iamento das operaes e comunicaes

A.10.1 Procedimentos e responsabilidades operacionaisObjetivo: Garantir a operao segura e correta dos recursos de processamento da informao.

A.10.1.1 Documentao dosprocedimentos de operao

Controle

Os procedimentos de operao devem ser documentados,mantidos atualizados e disponveis a todos os usurios quedeles necessitem.

A.10.1.2 Gesto de mudanas

Controle

Modificaes nos recursos de processamento da informao esistemas devem ser controladas.

A.10.1.3 Segregao de funes

Controle

Funes e reas de responsabilidade devem ser segregadaspara reduzir as oportunidades de modificao ou uso indevidono autorizado ou no intencional dos ativos da organizao.

A.10.1.4Separao dos recursos dedesenvolvimento, teste e deproduo

Controle

Recursos de desenvolvimento, teste e produo devem serseparados para reduzir o risco de acessos ou modificaes noautorizadas aos sistemas operacionais.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

28/42



A.10.2 Gerenciamento de serv ios terceirizadosObjetivo: Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios emconsonncia com acordos de entrega de servios terceirizados.

A.10.2.1 Entrega de servios

ControleDeve ser garantido que os controles de segurana, asdefinies de servio e os nveis de entrega includos noacordo de entrega de servios terceirizados sejamimplementados, executados e mantidos pelo terceiro.

A.10.2.2Monitoramento e anlisecrtica de serviosterceirizados

Controle

Os servios, relatrios e registros fornecidos por terceirodevem ser regularmente monitorados e analisadoscriticamente, e auditorias devem ser executadas regularmente.

A.10.2.3 Gerenciamento de mudanaspara servios terceirizados

Controle

Mudanas no provisionamento dos servios, incluindomanuteno e melhoria da poltica de segurana dainformao, dos procedimentos e controles existentes, devemser gerenciadas levando-se em conta a criticidade dossistemas e processos de negcio envolvidos e areanlise/reavaliao de riscos.

A.10.3 Planejamento e aceitao dos sistemasObjetivo: Minimizar o risco de falhas nos sistemas.

A.10.3.1 Gesto de capacidade

Controle

A utilizao dos recursos deve ser monitorada e sincronizada eas projees devem ser feitas para necessidades decapacidade futura, para garantir o desempenho requerido dosistema.

A.10.3.2 Aceitao de sistemas

Controle

Devem ser estabelecidos critrios de aceitao para novossistemas, atualizaes e novas verses e que sejam efetuadostestes apropriados do(s) sistema(s) durante seudesenvolvimento e antes da sua aceitao.

A.10.4 Proteo contra cdigos maliciosos e cdigos mveisObjetivo: Proteger a integridade do software e da informao.

A.10.4.1 Controle contra cdigosmaliciosos

Controle

Devem ser implantados controles de deteco, preveno erecuperao para proteger contra cdigos maliciosos, assimcomo procedimentos para a devida conscientizao dosusurios.

A.10.4.2 Controles contra cdigosmveis

Controle

Onde o uso de cdigos mveis autorizado, a configuraodeve garantir que o cdigo mvel autorizado opere de acordocom uma poltica de segurana da informao claramentedefinida e que cdigos mveis no autorizados tenham suaexecuo impedida.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

29/42



A.10.5 Cpias de seguranaObjetivo: Manter a integridade e disponibilidade da informao e dos recursos de processamento deinformao.

A.10.5.1 Cpias de segurana dasinformaes

ControleCpias de segurana das informaes e dos softwares devemser efetuadas e testadas regularmente, conforme a poltica degerao de cpias de segurana definida.

A.10.6 Gerenciamento da segurana em redesObjetivo: Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.

A.10.6.1 Controles de redes

Controle

Redes devem ser adequadamente gerenciadas e controladas,de forma a proteg-las contra ameaas e manter a seguranade sistemas e aplicaes que utilizam estas redes, incluindo a

informao em trnsito.

A.10.6.2 Segurana dos servios derede

Controle

Caractersticas de segurana, nveis de servio e requisitos degerenciamento dos servios de rede devem ser identificados eincludos em qualquer acordo de servios de rede, tanto paraservios de rede providos internamente como paraterceirizados.

A.10.7 Manuseio de mdiasObjetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos einterrupes das atividades do negcio.

A.10.7.1 Gerenciamento de mdiasremovveisControleDevem existir procedimentos implementados para ogerenciamento de mdias removveis.

A.10.7.2 Descarte de mdias

Controle

As mdias devem ser descartadas de forma segura e protegidaquando no forem mais necessrias, por meio deprocedimentos formais.

A.10.7.3 Procedimentos paratratamento de informao

Controle

Devem ser estabelecidos procedimentos para o tratamento e oarmazenamento de informaes, para proteger tais

informaes contra a divulgao no autorizada ou usoindevido.

A.10.7.4 Segurana da documentaodos sistemas

Controle

A documentao dos sistemas deve ser protegida contraacessos no autorizados.

A.10.8 Troca de informaesObjetivo: Manter a segurana na troca de informaes e softwares internamente organizao e comquaisquer entidades externas.

A.10.8.1 Polticas e procedimentos

para troca de informaes

Controle

Polticas, procedimentos e controles devem ser estabelecidos eformalizados para proteger a troca de informaes em todos ostipos de recursos de comunicao.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

30/42



A.10.8.2 Acordos para a troca deinformaes

Controle

Devem ser estabelecidos acordos para a troca de informaese softwares entre a organizao e entidades externas.

A.10.8.3 Mdias em trnsitoControleMdias contendo informaes devem ser protegidas contraacesso no autorizado, uso imprprio ou alterao indevidadurante o transporte externo aos limites fsicos da organizao.

A.10.8.4 Mensagens eletrnicasControle

As informaes que trafegam em mensagens eletrnicasdevem ser adequadamente protegidas.

A.10.8.5 Sistemas de informaes donegcio

Controle

Polticas e procedimentos devem ser desenvolvidos eimplementados para proteger as informaes associadas com

a interconexo de sistemas de informaes do negcio. A.10.9 Servios de comrcio eletrnicoObjetivo: Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura.

A.10.9.1 Comrcio eletrnico

Controle

As informaes envolvidas em comrcio eletrnico transitandosobre redes pblicas devem ser protegidas de atividadesfraudulentas, disputas contratuais, divulgao e modificaesno autorizadas.

A.10.9.2 Transaes on-line

Controle

Informaes envolvidas em transaes on-line devem serprotegidas para prevenir transmisses incompletas, erros deroteamento, alteraes no autorizadas de mensagens,divulgao no autorizada, duplicao ou reapresentao demensagem no autorizada.

A.10.9.3 Informaes publicamentedisponveis

Controle

A integridade das informaes disponibilizadas em sistemaspublicamente acessveis deve ser protegida, para prevenirmodificaes no autorizadas.

A.10.10 MonitoramentoObjetivo: Detectar atividades no autorizadas de processamento da informao.

A.10.10.1 Registros de auditoria

ControleRegistros (log ) de auditoria contendo atividades dos usurios,excees e outros eventos de segurana da informao devemser produzidos e mantidos por um perodo de tempo acordadopara auxiliar em futuras investigaes e monitoramento decontrole de acesso.

A.10.10.2 Monitoramento do uso dosistema

Controle

Devem ser estabelecidos procedimentos para o monitoramentodo uso dos recursos de processamento da informao e osresultados das atividades de monitoramento devem seranalisados criticamente, de forma regular.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

31/42



A.10.10.3 Proteo das informaesdos registros (logs )

Controle

Os recursos e informaes de registros ( log ) devem serprotegidos contra falsificao e acesso no autorizado.

A.10.10.4 Registros (log ) deadministrador e operadorControleAs atividades dos administradores e operadores do sistemadevem ser registradas.

A.10.10.5 Registros (logs ) de falhasControle

As falhas ocorridas devem ser registradas e analisadas, edevem ser adotadas as aes apropriadas.

A.10.10.6 Sincronizao dos relgios

Controle

Os relgios de todos os sistemas de processamento deinformaes relevantes, dentro da organizao ou do domniode segurana, devem ser sincronizados de acordo com uma

hora oficial. A.11 Controle de acessos

A.11.1 Requi sitos de negcio para controle de acessoObjetivo: Controlar o acesso informao.

A.11.1.1 Poltica de controle de acesso

Controle

A poltica de controle de acesso deve ser estabelecida,documentada e analisada criticamente, tomando-se como baseos requisitos de acesso dos negcios e da segurana dainformao.

A.11.2 Gerenciamento de acesso do usurioObjetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas deinformao.

A.11.2.1 Registro de usurio

Controle

Deve existir um procedimento formal de registro ecancelamento de usurio para garantir e revogar acessos emtodos os sistemas de informao e servios.

A.11.2.2 Gerenciamento de privilgiosControle

A concesso e o uso de privilgios devem ser restritos econtrolados.

A.11.2.3 Gerenciamento de senha dousurioControleA concesso de senhas deve ser controlada por meio de umprocesso de gerenciamento formal.

A.11.2.4 Anlise crtica dos direitos deacesso de usurio

Controle

O gestor deve conduzir a intervalos regulares a anlise crticados direitos de acesso dos usurios, por meio de um processoformal.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

32/42



A.11.3 Responsabil idades dos usuriosObjetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informaoe dos recursos de processamento da informao.

A.11.3.1 Uso de senhasControleOs usurios devem ser orientados a seguir boas prticas desegurana da informao na seleo e uso de senhas.

A.11.3.2 Equipamento de usurio semmonitorao

Controle

Os usurios devem assegurar que os equipamentos nomonitorados tenham proteo adequada.

A.11.3.3 Poltica de mesa limpa e telalimpa

Controle

Deve ser adotada uma poltica de mesa limpa de papis emdias de armazenamento removveis e uma poltica de telalimpa para os recursos de processamento da informao.

A.11.4 Controle de acesso redeObjetivo: Prevenir acesso no autorizado aos servios de rede.

A.11.4.1 Poltica de uso dos serviosde rede

Controle

Os usurios devem receber acesso somente aos servios quetenham sido especificamente autorizados a usar.

A.11.4.2 Autenticao para conexoexterna do usurio

Controle

Mtodos apropriados de autenticao devem ser usados paracontrolar o acesso de usurios remotos.

A.11.4.3 Identificao de equipamentoem redes

Controle

Devem ser consideradas as identificaes automticas deequipamentos como um meio de autenticar conexes vindas delocalizaes e equipamentos especficos.

A.11.4.4 Proteo e configurao deportas de diagnstico remotas

Controle

Deve ser controlado o acesso fsico e lgico para diagnosticare configurar portas.

A.11.4.5 Segregao de redesControle

Grupos de servios de informao, usurios e sistemas deinformao devem ser segregados em redes.

A.11.4.6 Controle de conexo de rede

Controle

Para redes compartilhadas, especialmente as que se estendempelos limites da organizao, a capacidade de usurios paraconectar-se rede deve ser restrita, de acordo com a polticade controle de acesso e os requisitos das aplicaes donegcio (ver 11.1).

A.11.4.7 Controle de roteamento deredes

Controle

Deve ser implementado controle de roteamento na rede paraassegurar que as conexes de computador e fluxos deinformao no violem a poltica de controle de acesso dasaplicaes do negcio.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

33/42



A.11.5 Controle de acesso ao sistema operacionalObjetivo: Prevenir acesso no autorizado aos sistemas operacionais.

A.11.5.1 Procedimentos seguros deentrada no sistema ( log-on )

Controle

O acesso aos sistemas operacionais deve ser controlado porum procedimento seguro de entrada no sistema ( log -on ).

A.11.5.2 Identificao e autenticaode usurio

Controle

Todos os usurios devem ter um identificador nico (ID deusurio), para uso pessoal e exclusivo, e uma tcnicaadequada de autenticao deve ser escolhida para validar aidentidade alegada por um usurio.

A.11.5.3 Sistema de gerenciamento desenha

Controle

Sistemas para gerenciamento de senhas devem ser interativose assegurar senhas de qualidade.

A.11.5.4 Uso de utilitrios de sistema

Controle

O uso de programas utilitrios que podem ser capazes desobrepor os controles dos sistemas e aplicaes deve serrestrito e estritamente controlado.

A.11.5.5 Desconexo de terminal porinatividade

Controle

Terminais inativos devem ser desconectados aps um perododefinido de inatividade.

A.11.5.6 Limitao de horrio deconexo

Controle

Restries nos horrios de conexo devem ser utilizadas paraproporcionar segurana adicional para aplicaes de alto risco.

A.11.6 Controle de acesso aplicao e informaoObjetivo: Prevenir acesso no autorizado informao contida nos sistemas de aplicao.

A.11.6.1 Restrio de acesso informao

Controle

O acesso informao e s funes dos sistemas deaplicaes por usurios e pessoal de suporte deve ser restritode acordo com o definido na poltica de controle de acesso.

A.11.6.2 Isolamento de sistemassensveis

Controle

Sistemas sensveis devem ter um ambiente computacionaldedicado (isolado).

A.11.7 Computao mvel e trabalho remotoObjetivo: Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalhoremoto.

A.11.7.1 Computao e comunicaomvel

Controle

Uma poltica formal deve ser estabelecida e medidas desegurana apropriadas devem ser adotadas para a proteocontra os riscos do uso de recursos de computao ecomunicao mveis.

A.11.7.2 Trabalho remoto

Controle

Uma poltica, planos operacionais e procedimentos devem ser

desenvolvidos e implementados para atividades de trabalhoremoto.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

34/42



A.12 Aquisio, desenvolvimento e manuteno de sis temas de informao

A.12.1 Requisitos de segurana de sistemas de informaoObjetivo: Garantir que segurana parte integrante de sistemas de informao.

A.12.1.1 Anlise e especificao dosrequisitos de segurana

Controle

Devem ser especificados os requisitos para controles desegurana nas especificaes de requisitos de negcios, paranovos sistemas de informao ou melhorias em sistemasexistentes.

A.12.2 Processamento correto de aplicaesObjetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes emaplicaes.

A.12.2.1 Validao dos dados de

entrada

Controle

Os dados de entrada de aplicaes devem ser validados paragarantir que so corretos e apropriados.

A.12.2.2 Controle do processamentointerno

Controle

Devem ser incorporadas, nas aplicaes, checagens devalidao com o objetivo de detectar qualquer corrupo deinformaes, por erros ou por aes deliberadas.

A.12.2.3 Integridade de mensagens

Controle

Requisitos para garantir a autenticidade e proteger aintegridade das mensagens em aplicaes devem seridentificados e os controles apropriados devem seridentificados e implementados.

A.12.2.4 Validao de dados de sada

Controle

Os dados de sada das aplicaes devem ser validados paraassegurar que o processamento das informaes armazenadasest correto e apropriado s circunstncias.

A.12.3 Controles criptogrficosObjetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meioscriptogrficos.

A.12.3.1 Poltica para o uso decontroles criptogrficos

Controle

Deve ser desenvolvida e implementada uma poltica para o usode controles criptogrficos para a proteo da informao.

A.12.3.2 Gerenciamento de chavesControle

Um processo de gerenciamento de chaves deve ser implantadopara apoiar o uso de tcnicas criptogrficas pela organizao.

A.12.4 Segurana dos arquivos do sis temaObjetivo: Garantir a segurana de arquivos de sistema.

A.12.4.1 Controle de software operacional

Controle

Procedimentos para controlar a instalao de software emsistemas operacionais devem ser implementados.

A.12.4.2 Proteo dos dados parateste de sistema

Controle

Os dados de teste devem ser selecionados com cuidado,protegidos e controlados.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

35/42



A.12.4.3 Controle de acesso aocdigo- fonte de programaControle

O acesso ao cdigo-fonte de programa deve ser restrito.

A.12.5 Segurana em processos de desenvolvimento e de suporteObjetivo: Manter a segurana de sistemas aplicativos e da informao.

A.12.5.1 Procedimentos para controlede mudanas

Controle

A implementao de mudanas deve ser controlada utilizandoprocedimentos formais de controle de mudanas.

A.12.5.2Anlise crtica tcnica dasaplicaes aps mudanasno sistema operacional

Controle

Aplicaes crticas de negcios devem ser analisadascriticamente e testadas quando sistemas operacionais somudados, para garantir que no haver nenhum impactoadverso na operao da organizao ou na segurana.

A.12.5.3 Restries sobre mudanasem pacotes de software

ControleModificaes em pacotes de software no devem serincentivadas e devem estar limitadas s mudanasnecessrias, e todas as mudanas devem ser estritamentecontroladas.

A.12.5.4 Vazamento de informaesControle

Oportunidades para vazamento de informaes devem serprevenidas.

A.12.5.5 Desenvolvimento terceirizadode software

Controle

A organizao deve supervisionar e monitorar o

desenvolvimento terceirizado desoftware . A.12.6 Gesto de vulnerabi lidades tcnicasObjetivo: Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.

A.12.6.1 Controle de vulnerabilidadestcnicas

Controle

Deve ser obtida informao em tempo hbil sobrevulnerabilidades tcnicas dos sistemas de informao em uso,avaliada a exposio da organizao a estas vulnerabilidades etomadas as medidas apropriadas para lidar com os riscosassociados.

A.13 Gesto de incidentes de segurana da informao

A.13.1 Notificao de fragil idades e eventos de segurana da informaoObjetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas deinformao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.

A.13.1.1 Notificao de eventos desegurana da informao

Controle

Os eventos de segurana da informao devem ser relatadosatravs dos canais apropriados da direo, o mais rapidamentepossvel.

A.13.1.2 Notificando fragilidades desegurana da informao

Controle

Os funcionrios, fornecedores e terceiros de sistemas eservios de informao devem ser instrudos a registrar e

notificar qualquer observao ou suspeita de fragilidade emsistemas ou servios.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

36/42



A.13.2 Gesto de incidentes de segurana da informao e melhorias Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de seguranada informao.

A.13.2.1 Responsabilidades eprocedimentos

ControleResponsabilidades e procedimentos de gesto devem serestabelecidos para assegurar respostas rpidas, efetivas eordenadas a incidentes de segurana da informao.

A.13.2.2Aprendendo com osincidentes de segurana dainformao

Controle

Devem ser estabelecidos mecanismos para permitir que tipos,quantidades e custos dos incidentes de segurana dainformao sejam quantificados e monitorados.

A.13.2.3 Coleta de evidncias

Controle

Nos casos em que uma ao de acompanhamento contra uma

pessoa ou organizao, aps um incidente de segurana dainformao, envolver uma ao legal (civil ou criminal),evidncias devem ser coletadas, armazenadas e apresentadasem conformidade com as normas de armazenamento deevidncias da jurisdio ou jurisdies pertinentes.

A.14 Gesto da continuidade do negcio

A.14.1 Aspectos da gest o da cont inuidade do negcio, relativos segurana da informaoObjetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitosde falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.

A.14.1.1

Incluindo segurana da

informao no processo degesto da continuidade denegcio

Controle

Um processo de gesto deve ser desenvolvido e mantido paraassegurar a continuidade do negcio por toda a organizao eque contemple os requisitos de segurana da informaonecessrios para a continuidade do negcio da organizao.

A.14.1.2 Continuidade de negcios eanlise/avaliao de risco

Controle

Devem ser identificados os eventos que podem causarinterrupes aos processos de negcio, junto probabilidade eimpacto de tais interrupes e as conseqncias para asegurana de informao.

A.14.1.3

Desenvolvimento e

implementao de planos decontinuidade relativos segurana da informao

Controle

Os planos devem ser desenvolvidos e implementados para a

manuteno ou recuperao das operaes e para assegurar adisponibilidade da informao no nvel requerido e na escala detempo requerida, aps a ocorrncia de interrupes ou falhasdos processos crticos do negcio.

A.14.1.4 Estrutura do plano decontinuidade do negcio

Controle

Uma estrutura bsica dos planos de continuidade do negciodeve ser mantida para assegurar que todos os planos soconsistentes, para contemplar os requisitos de segurana dainformao e para identificar prioridades para testes emanuteno.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

37/42



A.14.1.5Testes, manuteno ereavaliao dos planos decontinuidade do negcio

Controle

Os planos de continuidade do negcio devem ser testados eatualizados regularmente, de forma a assegurar suapermanente atualizao e efetividade.

A.15 Conformidade

A.15.1 Conformidade com requisitos legaisObjetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaescontratuais e de quaisquer requisitos de segurana da informao

A.15.1.1 Identificao da legislaovigente

Controle

Todos os requisitos estatutrios, regulamentares e contratuaisrelevantes, e o enfoque da organizao para atender a estesrequisitos devem ser explicitamente definidos, documentados emantidos atualizados para cada sistema de informao daorganizao.

A.15.1.2 Direitos de propriedadeintelectual

Controle

Procedimentos apropriados devem ser implementados paragarantir a conformidade com os requisitos legislativos,regulamentares e contratuais no uso de material, em relaoaos quais pode haver direitos de propriedade intelectual esobre o uso de produtos de software proprietrios.

A.15.1.3 Proteo de registrosorganizacionais

Controle

Registros importantes devem ser protegidos contra perda,destruio e falsificao, de acordo com os requisitosregulamentares, estatutrios, contratuais e do negcio.

A.15.1.4Proteo de dados eprivacidade da informaopessoal

ControleA privacidade e a proteo de dados devem ser asseguradasconforme exigido nas legislaes relevantes, regulamentaese, se aplicvel, nas clusulas contratuais.

A.15.1.5Preveno de mau uso derecursos de processamentoda informao

Controle

Os usurios devem ser dissuadidos de usar os recursos deprocessamento da informao para propsitos no autorizados.

A.15.1.6 Regulamentao de controlesde criptografia

Controle

Controles de criptografia devem ser usados em conformidadecom leis, acordos e regulamentaes relevantes.

A.15.2 Conformidade com normas e polticas de s egurana da informao e conf ormidade tcnicaObjetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana dainformao.

A.15.2.1Conformidade com aspolticas e normas desegurana da informao

Controle

Os gestores devem garantir que todos os procedimentos desegurana dentro da sua rea de responsabilidade sejamexecutados corretamente para atender conformidade com asnormas e polticas de segurana da informao.

A.15.2.2 Verificao da conformidadetcnica

Controle

Os sistemas de informao devem ser periodicamenteverificados quanto sua conformidade com as normas desegurana da informao implementadas.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

38/42



A.15.3 Consideraes quanto auditoria de sistemas de informaoObjetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas deinformao.

A.15.3.1 Controles de auditoria desistemas de informao

ControleOs requisitos e atividades de auditoria envolvendo verificaonos sistemas operacionais devem ser cuidadosamenteplanejados e acordados para minimizar os riscos deinterrupo dos processos do negcio.

A.15.3.2Proteo de ferramentas deauditoria de sistemas deinformao

Controle

O acesso s ferramentas de auditoria de sistema deinformao deve ser protegido para prevenir qualquerpossibilidade de uso imprprio ou comprometimento.

Cpia no autorizada

7/22/2019 ABNT NBR 27001

39/42



Anexo B (informativo)

Princpios da OECD e desta Norma

Os princpios definidos pelas Diretrizes de OECD para a Segurana de Sistemas de Informao e Redes aplicam-se para toda a poltica e nveis operacionais que governam a segurana de sistemas de informao e redes. EstaNorma prov uma estrutura de um sistema de gesto de segurana da informao para implementar alguns dosprincpios da OECD que usam o modelo PDCA e os processos descritos nas sees 4, 5, 6 e 8, como indicado natabela B.1.

Tabela B.1 Princpios da OECD e o modelo PDCA

Princpio s da OECD Correspon dncia entre o proc esso do ISMS e a fasedo PDCA

Conscientizao

Convm que os participantes estejam conscientes danecessidade de segurana de sistemas de informao eredes e do que eles podem fazer para aumentar asegurana.

Esta atividade parte da fase Fazer (Do)(ver 4.2.2 e 5.2.2).

Responsabilidade

Todos os participantes so responsveis pela seguranade sistemas de informao e redes.

Esta atividade parte da fase Fazer (Do)(ver 4.2.2 e 5.1).

Resposta

Convm que os participantes ajam de modo oportuno ecooperativo para prevenir, detectar e responder aincidentes de segurana da informao.

Esta , em parte, uma atividade de monitorao da faseChecar (Check ) (ver 4.2.3 e 6 a 7.3) e uma atividade deresposta da fase Agir ( Act ) (ver 4.2.4 e 8.1 a 8.3).Isto tambm pode ser coberto por alguns aspectos dasfases Planejar (Plan ) e Checar (Check ).

Anli se/Avaliao de ri sco s

Convm que os participantes conduzamanlises/avaliaes de risco.

Esta atividade parte da fase Planejar (Plan ) (ver 4.2.1)e a reanlise/reavaliao dos riscos parte da faseChecar (Check ) (ver 4.2.3 e 6 at 7.3).

Arqu it etu ra e implementao de segurana

Convm que os participantes incorporem a seguranacomo um elemento essencial de sistemas de informao

e redes.

Uma vez finalizada a anlise/avaliao de riscos, oscontroles so selecionados para o tratamento dos riscoscomo parte da fase Planejar (Plan ) (ver 4.2.1). A faseFazer (Do) (ver 4.2.2 e 5.2) ento cobre aimplementao e o uso operacional destes controles.

Gesto de segurana

Convm que os participantes adotem uma abordagemdetalhada para a gesto da segurana.

A gesto de riscos um processo que inclui apreveno, deteco e resposta a incidentes, atuao,manuteno, anlise crtica e auditoria. Todos estesaspectos so cercados nas fases Planejar ( Plan ), Fazer(Do), Checar (Check ) e Agir ( Act ).

Reavaliao

Convm que os participantes analisem criticamente ereavaliem a segurana dos sistemas de informao eredes, e faam as modificaes apropriadas nas polticasde segurana, prticas, medidas e procedimentos.

A reanlise/revaliao de segurana da informao uma parte da fase Checar (Check ) (ver 4.2.3 e 6at 7.3), onde anlises crticas regulares devem serrealizadas para verificar a eficcia do sistema de gestode segurana da informao, e a melhoria da segurana parte da fase Agir ( Act ) (ver 4.2.4 e 8.1 a 8.3).

Cpia no autorizada

7/22/2019 ABNT NBR 27001

40/42


32 ABNT 2006 -

Documents

ABNT NBR 27001