Objetivo: Evitar violao de quaisquer

obrigaes legais, estatutrias, regulamentos

ou contratuais relacionadas SI e de
quaisquer requisitos de segurana.
18.1.1 Identificao da legislao aplicvel e
de requisitos contratuais
18.1.2 Direitos de propiedade intelectual

18.1 Conformidade com

requisitos legais e contratuais

18.1.3 Proteo de registros

18.1.4 Proteo e privacidade das informaes
de identificao pessoal

18. Conformidade

18.1.5 Regulamento de controles de criptografia

Objetivo: Assegurar que a SI esteja
implementada e operada de acordo com as
polticas e procedimentos da organizao
18.2 Anlise crtica
independente da SI

18.2.1 Anlise crtica independente da SI

18.2.2 Conformidade com as polticas e
procedimentos da SI
18.2.3 Anlise crtica da conformidade tcnica

Objetivo: Convm que a continuidade

da SI seja contemplada nos sistemas
de gesto da continuidade do negcio
da organizao.
17.1 Continuidade da SI

17.1.1 Planejamento a continuidade da SI

17.1.2 Implementando a continuidade da SI

17. Aspectos da SI na gesto continuada do negcio

17.1.3 Verificao, anlise crtica e avaliao

da continuidade da SI
Objetivo: Assegurar a disponibilidade dos
recursos de processamento da informao

17..2 Redundncias

17.2.1 Disponibilidade dos recursos

de processamento da informao

Objetivo: Assegurar um enfoque consistente e

efetivo para gerenciar os incidentes de SI,
incluindo a comunicao sobre fragilidades e
eventos de SI.
16.1.1 Responsabilidades e procedimentos
16.1 Gesto de
incidentes de SI e
melhorias

16.1.2 Notificao de eventos de SI

16.1.3 Notificando fragilidades de SI

16. Gesto de incidentes da SI

0. Introduo

16.1.4 Avaliao e deciso dos eventos de SI

16.1.5 Resposta aos incidentes de SI
16.1.6 Aprendendo com os incidentes de SI

1. Escopo

16.1.7 Coleta de evidncias

2. Referncia normativa

Objetivo: Garantir a proteo dos ativos da

organizao que so acessados pelos fornecedores.
15.1.1 Poltica de SI no relacionamento com
os fornecedores

15.1 Segurana da informao na

cadeia de suprimentos

3. Termos e definies

15.1.2 Identificando SI nos acordos com fornecedores

15.1.3 Cadeia de suprimento na TI e comunicao

4. Estrutura desta norma

15. Relacionamento na cadeia de suprimento

Objetivo: Manter um vvel acordado de SI
e de entrega de servios em consonncia
com os acordos com fornecedores.

Objetivo: Prover orientao da Direo e apoio

para a SI de acordo com os requisitos do negcio
e com as leis e regulamentaes relevantes.

15.2 Gerenciamento da entrega do

servio do fornecedor

15.2.1 Monitoramento e anlis crtica

com fornecedores

5. Poltica de SI

15.2.2 Gerenciamento de mudana

para servios com fornecedores

5.1 Orientao da direo para SI

5.1.1 PSI
5.1.2 Anlise crtica das PSI

Objetivo: Garantir que a SI seja parte integrante de todo o ciclo de vida

dos sistemas de informao. Isto tambm inclui os requisitos para
sistemas de informao que fornecem servios sobre as redes pblica.

Objetivo: Estabelecer uam estrutura de gerenciamento

para iniciar e controlar a implementao e operao da
SI dentro da organizao.

14.1 Requisitos de
segurana de sistema
de informao

14.1.1 Anlise e especificao dos requisitos de SI

14.1.2 Servios de aplicao seguros em redes pblicas

6.1.1 Responsabilidade e papis pela SI

6.1 Organizao Interna

6.1.2 Segregao de funes

14.1.3 Protegendo as transaes nos aplicativos de servios

6.1.3 Contato com autoridades

6. Organizao da SI

Objetivo: Garantir que a segurana da informao esteja projetada e

implementada no ciclo de vida de desenvolvimento dos sistemas de
informao.

6.1.4 Contato com grupo especiais

6.1.5 SI no gerenciamento de projetos

14.2.1 Polticas de desenvolvimento seguro

14.2.2 Procedimento para controle de mudanas de sistemas
14.2.3 Anlise crtica tcnica das aplicaes aps mudanas nas
plataformas operacionais
14.2.4 Restries sobre mudanas em pacotes de software
14.2.5 Princpios para projetar sistemas seguros

Objetivo: Garantir a SI no trabalho

remoto e o no uso de dispositos mveis.

14. Aquisio, desenvolvimento e manuteno de

sistemas

14.2 Segurana em
processos de
desenvolvimento e de
suporte

6.2 Dispositivos mveis e trabalho remoto

6.2.2 Trabalho Remoto

14.2.6 Ambiente seguro para desenvolvimento

Objetivo: Assegurar que funcionrio e partes externas

entendem as suas responsabilidades e esto em conformidade
com os papis para os quais eles foram selecionados.

14.2.7 Desenvolvimento terceirizado

7.1 Antes da contratao

14.2.8 Teste de segurana do sistema

7.1.1 Seleo

14.2.9 Teste de aceitao de sistemas

Objetivo: Assegurar a proteo dos dados usados para teste.
14.3.1 Proteo dos dados para teste

7.1.2 Termos e condies de contratao

14.3 Dados para teste

ISO 27002 - Cdigo de Prtica para

controles de Segurana da Informao

Objetivo: Assegurar a proteo das

informaes em redes e dos recursos de
processamento da informao que as apoiam.
13.1.1 Controles de redes

6.2.1 Poltica para uso de dispositivos mveis

Objetivo: Assegurar que funcionrios e

partes externas esto concientes e
cumprem as suas responsabilidades pela SI.

7. Segurana em RH

7.2 Durante a contratao

7.2.1 Responsabilidade da direo

7.2.2 Conscientiza, educao e treinamento em SI
7.2.3 Processo disciplinar

13.1 Gerenciamento da segurana em redes

13.1.2 Segurana dos servios de redes

7.3 Encerramento e mudana da contratao

13.1.3 Segregao de redes

Objetivo: Proteger os interesses da

organizao como parte do processo de
mudana ou encerramento da contratao.
7.3.1 Responsabilidades pelo
encerramento ou mudana da contratao

13. Segurana nas comunicaes

Objetivo: Manter a segurana da informao transferida dentro da
organizao e com quaisquer entidades externas.
13.2.1 Polticas e procedimentos para transferncia de informao
13.2 Equipamento

13.2.2 Acordos para transferncia de informaes

Objetivo: Identificar os ativos da

organizao e definir as devidas
responsabilidades pela proteo dos ativos.

13.2.3 Mensagens eletrnicas

13.2.4 Acordos de confidencialidade e no divulgao

8.1.1 Inventrios dos ativos

8.1 Responsabilidades
pelos ativos

8.1.2 Proprietrios dos ativos

8.1.3 Uso aceitvel dos ativos

Objetivo: Garantir a operao segura e correta dos

recursos de processamento da informao

8.1.4 Devoluo de ativos

12.1.1 Documentao dos procedimentos de operao

Objetivo: Assegurar que a informao receba

um nvel adequadode proteo, de acordo
com a sua importncia para a organizao.

12.1 Responsabilidade e
procedimentos operacionais

12.1.2 Gesto de mudanas

8. Gesto de ativos

12.1.3 Gesto de capacidade

12.1.4 Separao dos ambientes de desenvolvimento, teste e produo

8.2 Classificao da
informao

8.2.1 Classificao da informao

8.2.2 Rtulos e tratamento da informao

Objetivo: Assegurar que as informaes e os

recursos de processamento da informao
esto protegidos contra malware.

8.2.3 Tratamento dos ativos

12.2 Proteo contra malware

12.2.1Controles contra malware

8.3 Tratamento de
mdias

Objetivo: Proteger contra a perda de dados.

12.3 Responsabilidade dos usurios

12.3.1 Cpias de segurana das informaes

Objetivo: prevenir a divulgao no autorizada,

modificao, remoo ou destruio da
informao armazenada nas mdias.
8.3.1 Gerenciamento de mdias removveis
8.3.2 Descarte de mdias
8.3.3 Transferncia fsica de mdias

Objetivo: Registrar evenetos e gerar evidncias.

12. Segurana nas operaes

12.4.1 Registros de eventos

12.4.2 Proteo das informaes dos registros de eventos (logs)

12.4 Registros e monitoramento

12.4.3 Registro de eventos (log) de administrador e o operador

9.1 Requisitos do negcio para

controle de acesso

12.4.4 Sincronizao dos relgios

Objetivo: Limitar o acesso informao e aos

recursos de processamento da informao.
9.1.1 Poltica de controle de acesso
9.1.2 Acesso s redes e aos servios de rede

Objetivo: Assegurar a integridade dos sistemas operacionais.

12.5.1 Instalao de software nos sistemas operacionais

12.5 Controle de software operacional

Objetivo: Assegurar acesso de usurio

autorizado e prevenir acesso no
autorizado a sistemas e servios

Objetivo: Prevenir a explorao de

vulnerabilidades tcnicas.
12.6.1 Gesto de vulnerabilidades tcnicas

9.2.1 Registro e cancelamento de usurios

12.6 Gesto de vulnerabilidades tcnicas

9.2 Gerenciamento de acesso

do usurio

12.6.1 Restries quanto instalao de software

Objetivo: Minimizar o impacto das atividades
de auditoria nos sistemas operacionais.
12.7.1 Controles de auditoria de sistemas de informao

9.2.2 Provisionamento para acesso de usurio

9.2.3 Gerenciamento de direitos de acesso privilegiados
9.2.4 Gerenciamento da informao de autenticao
secreta de usurios

12.7 Consideraes quanto auditoria

de sistema da informao

9.2.5 Anlise crtica dos direitos de acesso de usurio

9. Controle de acesso

9.2.6 Retirada ou ajuste dos direitos de acesso

9.3 Responsabilidades dos

usurios

Objetivo: Previnir o acesso fsico no autorizado, danos e

interferncias com os recursos de processamento das
informaes e nas informaes da organizao.

9.3.1 Uso da informao de autenticao secreta

Objetivo: Prevenir o acesso no autorizado aos sistemas e
aplicaes

11.1.1 Permetro de segurana fsica

11.1.2 Controle de entrada fsica
11.1.3 Segurana em escritrios, salas e instalaes

Objetivo: Tornar os usurios responsveis pela

proteo das suas informaes de autenticao

9.4.1 Restrio de acesso informao

11.1 reas seguras

9.4 Controle de acesso ao
sistema e aplicao

11.1.4 Proteo conta ameaas externas e do meio

ambiente

9.4.2 Procedimentos seguros de entrada no sistema

(log-on)
9.4.3 Sistema de gerenciamento de senha

11.1.5 trabalhando em reas seguras

9.4.4 Uso de programas utilitrios privilegiados

11.1.6 reas de entrega e de carregamento

9.4.5 Controle de acesso ao cdigo-fonte de programas

Objetivo: Impedir perdas, danos, furto ou
comprometimento de ativos e interrupo das operaes
da organizao.

11. Segurana fsica do ambiente

11.2.1 Localizao e proteo do equipamento

11.2.2 utilidades
11.2.3 Segurana do cabeamento
11.2.4 Manuteno dos equipamentos

11.2 Equipamentos

11.2.5 Remoo de ativos

11.2.6 Segurana de equipamentos e ativos
fora das depndencias da organizao
11.2.7 Reutilizao ou descarte seguro de equipamentos
11.2.8 Equipaqmento de usurios sem monitorao
11.2.9 Poltica de mesa limpa e tela limpa

Objetivo: Assegurar o uso efetivo e adequado da

criptografia para proteger a confidencialidade,
autenticidade e/ou a integridade da informao.
10.1.1 Poltica para uso de controles criptogrficos
10.1.2 Gerenciamento de chaves

10.1 Controles criptogrficos

10. Criptografia