‘Céplaautrizada para uso excuslv- CRC Solution Technology Lida -05.412581/0002-81
NORMA ABNT NBR
BRASILEIRA ISO/IEC
27001
Primeira edigéo
31.03.2006
Valida a partir de
30.04.2006
Verso corrigida
28.08.2008
Tecnologia da informagao — Técnicas de
seguranga — Sistemas de gestao de
seguranga da informagaéo — Requisitos
Information technology — Security techniques — Information security
‘management systems — Requirements
Palavras-chave: Tecnologia da informagao. Seguranga
Descriptors: Information technology. Security.
Ics 35.040
Associacho Numero de referencia
BRASILEIRA ABNT NBR ISO/IEC 27001:2006
TECNICAS 34 paginas
TECNICAS pag!
@ABNT 2006
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cla autrizada para uso exclusive - CAC Solution Technology Lids - 05412 55170002.
ABNT NBR ISO/IEC 27001:2006
© ABNT 2006
Todos 0¢ diratos reservados. A menos que especificade de outro modo, nenhuma parte desta publicago pode ser repraduzida
‘4 por qualquer meio, eletranice ou mecdnico, inlindo fotoodpia @ micrafime, sem permissao por eserto pela ABNT.
‘Sede da ABNT
Av-Treze de Malo, 13 -28° andar
20081-801 - Rio de Janeiro - RJ
Tel: + 85 21 3974-2300
Fax: +96 21 2220-1762
abnt@aont org or
wiv. abntorg.br
Impresso no Brasil
ii LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
Sumario Pagina
Prefacio Nacional
0 Introduga. v
04 Geral...
0.2 Abordage
0.3 Compatibilidade com outros sistemas de gestao,
1 Objetivo
14 Geral...
12 Aplicagao.
2 Referéncia normativa
3 —_Termos e definigées.
4 Sistema de gestdo de seguranga da informagao.
44 Requisitos gerais...
42 Estabelecendo e gerenciando 0 SGSI.
424 Estabelecer o SGSI..
42.2 Implementar e operar 0 SGSI
423 Monitorar e analisar criticamente o SGSI
4.2.4 Manter e melhorar 0 SGSI
43° Requisitos de documenta
43.4 Geral
43.2 Controle de documentos
43.3 Controle de registros
5 Responsabilidades da direcdo..
5.41 Comprometimento da direc...
5.2 Gestio de recursos
5.2.4 Provisao de recursos
5.2.2 Treinamento, conscientizagao o competéncia
6 —_Auditorias internas do SCSI...
7 Anélise eritica do SGSI pela diregao. "
74 Geral...
72 Entradas para a anilise critica 1
73 Saidas da andlise cr
8 Melhoria do SGSI
8.1 Melhoria continua...
8.2 Agdo corretiva.
8.3 Agdo preventiva..
Anexo A (normative) Objetivos de controle e controles.
‘Anexo B (informative) Principios da OECD e desta Norma, 31
Anexo C (informative) Correspondéncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 6
esta Norma, 32
Bibliograt 34
\@ABNT 2006 - Todos os drotos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cépiaautrizada para uso exclslve - CAC Soluion Technology Lida -05413.851/0002-8
ABNT NBR ISO/IEC 27001:2006
Prefacio Nacional
‘A Associagio Brasileira de Normas Técnicas (ABNT) é o Férum Nacional de Normalizagao. As Normas Brasiliras,
cujo contetdo & de responsabilidade dos Comités Brasileiros (ABNTICB), dos Organismos de Normalizacao
Setorial (ABNT/ONS) e das Comissdes de Estudo Especiais Tempordrias (ABNTICEET), sao elaboradas por
Comissées de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores,
consumidores e neutros (universidades, laboratérios e outros)
A. ABNT NBR ISO/IEC 27001 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados
{ABNTICB-21), pela Comissdo de Estudo de Seguranga Fisica em Instalagées de Informatica (CE-21:204.01),
© Projeto circulou em Consulta Nacional conforme Edital n° 12, de 31.12.2005, com o nimero de
Projeto 21:204,01.012.
Esta Norma é uma tradugao idéntica da ISO/IEC 27001:2005, que fol elaborada pelo Join Technical Committee
Information Technology (|SONECIITC 1), subcommittee IT Security Techniques (SC 27).
Esta Norma contém 0 anexo A, de cardter normalivo, 6 0s anexos B e C, de cardterinformativo,
Esta verso corrigida da ABNT NBR ISO/IEC 27001 incorpora a Errata 1 de 28.08.2006,
iv LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cépla autrizada para uso excushe - CRC Solution Technology Lida - 05 419.581/0002-81
ABNT NBR ISO/IEC 27001:2006
0 Introdugao
0.1 Geral
Esta Norma foi proparada para prover um modelo para estabelocer, implementar, operar, manitorar, analisar
citicamente, manter e melhorar um Sistema de Gestdo de Seguranga da Informagéo (SCSI). Convém que a
adogao de um SGSI soja uma decisao estratégica para uma organizagao. A espacificagao o a implomentagao do
SGSI de uma organizagdo so influenciadas pelas suas necessidades e objetivos, requisilos de seguranca,
processes empregados ¢ tamanho estrutura da organizacao. € esperado que estes © 0s sistemas de apoio
mudem com 0 passat do tempo. & esperado que a implementagao de um SGSI seja escalada conforme as
necessidades da organizagao, por exemplo, uma situagao simples requer uma solugao de um SGSI simples,
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas,
0.2 Abordagem de proceso
Esta Norma promove a adogao de uma abordagem de processo para estabelecer e implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI de uma organizagao.
Uma organizacao precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividade
ue faz uso de recursos @ os gerencia para habilitar a transformago de entradas em saidas pode ser considerada
lum processo. Frequentemente a saida de um processo forma diretamente a entrada do proceso seguinte
A aplicagdo de um sistema de processos dentro de uma organizago, junto com a identificagao e interagées
destes processes, © a sua gestao podem ser consideradas como “abordagem de pracesso
‘A abordagem de processo para a gesido da seguranga da informagao apresentada nesta Norma encoraja que
‘Sous usuarios enfatizem a importancia de:
a) entendimento dos requisitos de seguranca da informagdo de uma organizagao e da necessidade de
estabelecer uma politica e objetivos para a seguranga de informagao;
b) implementago © operas de controles para gerenciar os riscos de seguranga da informagao de uma
‘organizagao no contexte dos riscos de negécio globais da organizagao;
©) monitoragao e andlise critica do desempenho e eficacia do SGSI; e
4d) melhoria continua baseada em medigbes objetivas.
Esta Norma adota 0 modelo conhecido como "Plan-Do-Check-Act’ (POCA), que é aplicado para estruturar todos
08 processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de seguranca de
informacao e as expectativas das partes interessadas, e como as ages necessérias e processos de seguranca da
informagao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 também ilustra os
vinculos nos processos apresentados nas segGes 4, 5, 6, 7€ 8
‘A adopao do modelo PDCA também refletiré os principios como definidos nas Diretrizes da OECD") (2002) para
governar a seguranga de sistemas de informagao © redes. Esta Norma prové um modelo robusto para
implementar os principios nessas diretrizes para direcionar a andlise/avaliagéo de riscos, especificagao ©
implementagao de seguranga, gerenciamento de seguranca e reavaliag&o.
» pyrtizes da OECD para a Seguranga de Sistemas de Informagso e Redes - Para uma Cultura de. Seguranca
Paris: OECD, 2002 de julo hito:iiwy.c8ed. 019
‘GABNT 2006 - Todos os rites reservados v
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17095
Cipla autorizada para uso excuse - CAC Sotion Technology Lida - 05413 851/0002-8
ABNT NBR ISO/IEC 27001:2006
EXEMPLO 1
Um requisite pode significar que violagdes de seguranga da informago nao causem sérios danos financeiros e/ou
constrangimentos a organizagao.
EXEMPLO2
Uma expectativa pode significar que se um incidente grave ocorrer — por exemplo, a invaséo da pagina Internet de
‘comércio eletrénico de uma organizagao ~ deveria haver pessoas com treinamento suficiente nos procedimentos
apropriados para minimizar o impacto.
ts weg
eeaaives & mee J FS
cee = 4 mom
daitomaile cock “ oneal
Figura 1 — Modelo PDCA aplicado aos processos do SGSI
Pian (planejar) (estabelecer 0 SGSI) | Estabelecer a politica, objetivos, processos e procedimentos do
‘SGSI, relevantes para a gestao de riscos e a melhoria da
‘seguranca da informagao para produzir resultados de acordo
com as politicas @ objetivos globais de uma organizacao.
Do (fazer) (implementar e operar 0 | Implementar e operar a politica, controles, processos
|SGSI) procedimentos do SGSI
Check (checar) (monitorar e analisar | Avaliar e, quando aplicavel, medir o desempenho de um
icamente © SGSI) proceso frente a politica, objetivos e experiéncia pratica do
‘GSI e apresentar os resultados para a andlise critica pola
diresao.
[Act (agir) (manter e melhorar o SGSI) | Executar as ages corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da andlise critica pela
dirogdo ou outra informagao pertinente, para alcangar a
melhoria continua do SGSI.
0.3, Compatibilidade com outros sistemas de gestao
Esta Norma esté alinhada as ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apolar a
implementagao e a aperago de forma consistente e intograda com normas de gestao relacionadas. Um sistema
de gestéo adequadamente projetado pode, assim, salisfazer os requisitos de todas estas normas. A tabela C.1
lustra a relagdo entre as segdes desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004,
Esta Norma é projetada para permit a uma organizagao alinhar ou integrar seu SGSI com requisitos de sistemas
de gestao relacionados.
vi ‘GABNT 2006 - Todos os draitos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006
Tecnologia da informagao — Técnicas de seguranga — Sistemas de gestao
de seguranca da informagdo — Requisitos
IMPORTANTE ~ Esta publicacdo nao tem o propésito de incluir todas as clausulas necessérias a um
contrato, Os usuarios sdo responsavels pela sua correta aplicacao. Conformidade com esta Norma por si
‘86 no confere imunidade em relagao as obrigagées lo;
1 Obj
1.1 Geral
Esta Norma cobre todos os tipos de organizagdes (por exemplo, empreendimentos comerciais, agéncias
goveramentais, organizagbes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer,
implementar, operar, monitorar, analisar criicamente, manter ¢ melhorar um SGSI documentado dentro do
contexto dos riscos’ de negécio globais da organizacao. Fla especifica requisitos para a implementagao de
ccontroles de seguranca personalizados para as necessidades individuais de organizagdes ou suas partes.
© SGSI 6 projetado para assegurar a selegéo de controles de seguranga adequados @ proporcionados para
proteger os ativos de informagao e propiciar confianga as partes interessadas.
NOTA1 — Convém que referéncias a “negécio™ nesta Norma sejam interprotadas, de modo geral, tendo em vista as
alvidades que so essencials aos objetvos de existéncia da organizago,
NOTA2 A ABNT NBR ISOVIEC 17799:2005 prove orientagdo para implementagao que pode ser usada quando da
especificagdo de controle.
1.2, Aplicagéo
Os requisites definidos nesta Norma so genéricos e ¢ pretendido que sejam aplicaveis a todas as organizagées,
independentemente de tipo, tamanho e natureza, A exclusdo de quaisquer dos requisitos especificades nas
segdes 4, 5, 6, 7, € 8 ndo é aceitavel quando uma organizagao reivindica conformidade com esta Norma,
Qualquer excluso de controles considerada necessiiia para satisfazer os critérios de aceitagao de riscos precisa
ser ustificada e as evidéncias de que os riscos associados foram aceitos polas pessoas responsavels precisam
ser fornecidas. Onde quaisquer controles sejam excluldos, reivindicagSes de conformidade a esta Norma nao sao,
aceilaveis, a menos que tais exclusdes nao afetem a capacidade da organizacao, e/ou responsabilldade de prover
‘seguranga da informagao que atenda os requisites de seguranga determinados pela analiselavaliagao de riscos ©
Por requisitos legais e regulamentares aplicaveis.
NOTA So uma organizagaa j tiver um sistema de gostao de processo de negécio em operagao (por exemplo, om relagao
‘com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), 6 preferivel na maioria dos casos satistazer os raquisitos desta Norma
dentro deste sistema de gestio existent
\@ABNT 2006 - Todos os drotos reservados 1
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cépiaautrizada para uso exclusive - CRC Soldion Technology Lida - 05 412561/0002-81
ABNT NBR ISO/IEC 27001:2006
2. Referéncia normativa
(© documento a seguir referenciado 6 indispensavel para a aplicagao desta Norma. Para referéncia datada, aplica-
se apenas a edigdo citada, Para referéncia néo datada, aplica-se a Ultima edigo do documento referenciado
{incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informagéo ~ Técnicas de seguranga ~ Cédigo de pratica para a
{gestdo da seguranga da informagao.
3 Termos e definicées
Para os efeitos desta Norma, aplicam-se os seguintes termos e definigoes,
34
ative
{qualquer coisa que tenha valor para a organizagao
{ISONEC 13335-1:2004]
32
disponibilidade
propriedade de estar acessivel e utlizavel sob demanda por uma entidade autorizada
{ISONEC 13335-1:2004]
33
confidencialidade
propriedade de que a informagao nao esteja disponivel ou revelada a individuos, entidades ou processos nao
autorizados
[ISONEC 13335-1:2004]
34
‘seguranga da informagao
preservagdo da confidencialidade, integridade @ disponibilidade da informacao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, nao repuidio confiabilidade, podem também estar
envolvidas:
IABNT NBR ISO/IEC 17799:2005]
35
evento de seguranca da informagéo
uma ocorréncia identificada de um estado de sistema, servigo ou rede, indicando uma possivel violagao da politica
de seguranga da informagao ou falha de controles, ou uma situagao previamente desconhecida, que possa ser
relovante para a seguranga da informagao
{ISONEC TR 18044:2004)
36
ineldente de seguranga da informacao
um simples ou uma série de eventos de seguranga da informagao indesejados ou inesperados, que tenham uma
{grande probablidade de comprometer as operagées do negécio © ameacar a seguranga da informagao
[ISO/EC TR 18044:2004]
2 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37-19- Pedido N° 17095
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
a7
sistema de gestio da seguranga da informagao
scsi
a parte do sistema de gestéo global, baseado na abordagem de riscos do negécio, para estabelecer, implementar,
‘operar, monitorar, analisar crticamente, manter e melhorar a seguranga da informagao
NOTA 0 sistema de gestio inclui estrutura organizacional, politcas, alividades de planejamento, responsabildades,
pratics, procedimentos, processos @ recursos.
38
integridade
propriedade de salvaguarda da exatidéio e completeza de ativos
[ISOMEC 13335-1:2004)
39
risco residual
risco remanescente apés o tratamento de riscos
IABNT ISO/IEC Guia 73:2005]
3.40
aceitagao do risco
decisdo de aceitar um risco
IABNT ISO/IEC Guia 73:2005]
34
anilise de riscos
Uso sistematico de informagées para identificar fontes e estimar o tisco,
IABNT ISOVIEC Guia 73:2005}
342
anilise/avaliagao de riscos
processo completo de andlise avaliagso de riscos
IABNT ISO/IEC Guia 73:2005]
3.43
avaliacao de riscos
procasso de comparar o risco estimado com critérios de risco predefinidos para determinar a importancia do risco
IABNT ISO/IEC Guia 73:2005)
3.14
gestio de riscos
alividades coordenadas para direcionar e controlar uma organizagao no que se refere a riscos
NOTA A gestio de riscos geralmente inclu a andliseavaliagso de riscos,o tralamento de rscos, a acsitagdo de riscos @ a
‘comunicagao de rscos.
IABNT ISO/IEC Guia 73:2005)
\@ABNT 2006 - Todos os drotos reservados 3
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
3.45
tratamento do risco
proceso de selegao e implementagao de medidas para modificar um risco
(ABNT ISO/IEC Guia 73:2005]
NOTA Nesta Norma o termo “controle” é usado como um sinBnimo para "medidal
3.16
declaragao de aplicabilidade
declaragéo documentada que descreve os objetivos de controle controles que sao pertinentes @ aplicaveis ao
‘SGSI da organizagao
NOTA Os objetives de controle e controles esiéo baseados nos resullados © conclusbes dos processos de
andlise/avaliagao de riscos © tratamento de risco, dos requistos legais ou regulamentares, obrigagSes contratuais © 0s
requisitos de negécio da organizagdo para a seguranga da informagdo.
4 Sistema de gestao de seguranga da informagao
4.1 Requisitos gerais
A organizagdo deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
‘SGSI documentado dentro do contexto das atividades de negécio globais da organizagdo e os riscos que ela
enfrenta, Para 0s efeitos desta Norma, processo usado esta baseado no modelo de POCA mostrado na figura 1
42 Estabelecendo e gerenciando o SGSI
4.2.4 Estabelecer o SGSI
A organizagao deve
a) Definir © escopo @ os limites do SGSI nos termas das caracteristicas do negécio, a organizagao, sua
loclzarto, aves tecnologa, nchindo detalhese lusticava para qualquer exclustes do escopo (ver
b) Definir uma politica do SGSI nos termos das caracteristicas do negécio, a organizagao, sua localizacio, alivos
# tecnologia que:
1) inclua uma estrutura para definir objetivos e estabelega um direcionamento global e principios para agées
relacionadas com a seguranga da informagao;
2) considere requisitos de negécio, legais e/ou reguiamentares, e obrigagSes de seguranga contratuais;
3) _esteja alinhada com o contexto estratégico de gestao de riscos da organizagao no qual o estabelecimento
e manutengao do SGSI irdo acorrer ;
4) _estabelega critrios em relagao aos quais os riscos serdo avaliados (ver 4.2.1¢)); ©
5) _tenha sido aprovada pela diregao,
NOTA __ Para os efeitos desta Norma, a poltica do SGSI é considerada um documento maior da politica de seguranca da
informagao. Estas policas podem estar descritas em um documento
4 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cipla autrizada para uso exclusive - CRC Soldion Technology Lida - 05.413 581/0002.81
ABNT NBR ISO/IEC 27001:2006
©) Definira abordagem de anélise/avaliagao de riscos da organizago.
1) Identiicar uma metodologia de andlise/avaliagdo de riscos que seja adequada ao SGSI e aos requisitos
lagais, reguiamentares e de seguranca da informagao, identiicados para o negocio.
2) Desenvolver critérios para a aceitagao de riscos e identificar os niveis aceitaveis de risco (ver 5.14).
‘A metodologia de andlise/avaliagao de riscos selecionada deve assegurar que as andlises/avaliagbes de riscos
produzam resultados comparaveis e reproduziveis.
NOTA Existem diferentes metodologias para andllse/avaliacdo de riscos. Sdo dlscutidos exemplos de metodologias de
andlselavaliagdo de riscos na ISOVIEC TR 13335-2, information technology — Guidelines for the management of IT Security —
Part 3: Techniques for the management of IT security,
4d) Identiticar os riscos,
1) Identificar os ativos dentro do escopo do SGSI e os proprietarios”) destes ativos,
2) Identificar as ameagas a esses ativos.
3) Identificar as vulnerabilidades que podem ser exploradas pelas ameacas.
4) Identiicar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar
08 ativos.
) Analisar e avaliar os riscos.
1) _Avaliar os impactos para 0 negocio da organizagao que podem resultar de falhas de seguranca, levando
fem consideragao as conseqléncias de uma perda de confidencialidade, integridade ou disponibilidade
dos ativos.
2) Avaliar a probabilidade real da ocorréncia de falhas de seguranca a luz de ameagas e vulnerabilidades
prevalecentes, ¢ impactos associados a estes ativos e os controles atualmente implementados.
3) Estimar os niveis de riscos.
4) Determinar se os riscos s0 aceitéveis ou se requerem tratamento utlizando os critérios para aceitagao
de riscos estabelecidos em 4.2.1)2).
)Identificar e avaliar as opg6es para o tratamento de riscos.
Possiveis agées incluem:
1) _aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfagam claramente as politicas da
organizagio e aos critérios de aceltagaio de riscos (ver 4.2.1c)2));
3). evitarriscos;
4} transferir os riscos associados ao negécio a outras partes, por exemplo, seguradoras e fornecedores,
2) 0 terma ‘propristrio’ identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produedo, o desenvolvimento, a manutencdo, 0 uso e a seguranga dos alivos. O term ‘propritério’ ndo significa que a pessoa
realmente tenha qualquer dreto de propriedade ao alvo,
\@ABNT 2006 - Todos os drotos reservados 5
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17095
‘Cépiaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
9) Selecionar objetives de controle e controles para o tratamento de riscos.
Objetivos de controle ¢ controles devem ser selecionados e implementados para atender aos requisitos
identficados pela andlise/avaliagao de riscos © pelo proceso de tratamento de riscos. Esta selegao deve
considerar os cfitrios para aceitagao de riscos (ver 4.2.1¢)2)) como também os requisitos legals,
regulamentares © contratuais.
Os objetivos de controle controles do anexo A devem ser selecionados como parte deste processo, como
adequados para cobrir 0s requisitos identiicados.
Os objetivos de controle © controles listadas no anexo A no séo exaustivos, e objetivos de controles ©
controles adicionais podem também ser selecionados.
NOTA © anexo A contém uma lista detathada de objetivos de controle e controles que foram comumente
considerados relevantes nas organizagdes. Os usuarios desta Norma sao direcionados para o anexo A como um ponto de
parlda para a selecdo de controles, para assegurar que nenhuma oped de controle importante seja negligenciada.
hn) Obter aprovagao da diregdo dos riscos residuais propostos,
)) _Obter autorizagio da diregao para implementar e operar o SCSI
|) Preparar uma Declaragao de Aplicabilidade.
Uma Dectaragdo de Aplicabilidade deve ser preparada, incluindo o seguinte:
1) Os objetivos de controle @ os controles selecionados em 4.2. 1g) e as raz6es para sua selegao;
2) Os objetivos de controle @ os controles atualmente implementados (ver 4.2.12)2)); &
3) Aexclusto de quaisquer objetivos de controle e controles do anexo Ae a justifcativa para sua exclusao,
NOTA A Declaragio de Aplicabildade prove um resumo das decisées relalivas a0 tratamento de riscos.
‘A justifcativa das exclusées prové uma checagem cruzada de que nenhum controle fi omitde inadveridamente
4.2.2. Implementar e operar o SGSI
A organizagao deve:
a) Formular um plano de tratamento de riscos que identifque a ago de gestéo apropriada, recursos,
responsabilidades e prioridades para a gestao dos riscos de seguranga (ver segao 5).
'b) _Implementar 0 plano de tratamento de riscos para alcangar os objetivos de controle identificados, que inclua
consideragdes de financiamentos e atribuigdo de papéis © responsablidados,
©) _Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle.
4) Definir como medir a eficdcia dos controles ou grupos de controles selecionados, e especificar como estas
medidas devem ser usadas para avaliar a eficdcia dos controles de mado a produzir resultados comparaveis,
reproduziveis (ver 4.2.30))
NOTA A medigdo da eficacia dos controles permite aos gestores © & equipe determinar © quanto os controles alcancam
de forma satistatéria os objativas de controle planejacos.
€) _Implementar programas de conscientizagao e treinamento (ver 5.2.2).
f) Gerenciar as operagées do SGSI.
9) Gerenciar os recursos para o SGSI (ver 5.2).
6 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cipla autorizada para uso excuslve - CAC Solon Technology Lida -05413.851/0002-8
ABNT NBR ISO/IEC 27001:2006
fh) Implementar procedimentos © outros controles capazes de permitir a pronta detecgio de eventos de
seguranga da informagao e resposta a incidentes de seguranca da informagao (ver 4.2.3 a)).
4.23. Monitorar e analisar criticamente o SGSI
A organizagso deve
2) Execular procedimentos de monitoragao e andlise critica @ outras controles para
41) _prontamente detectar erros nos resultados de processamento;
2) prontamente identiicar tentativas e violagBes de seguranga bem-sucedidas, e incidentes de seguranga da
informagao;
3) permitir a diregao determinar se as atividades de seguranga da Informagao delegadas a pessoas ou
implementadas por meio de tecnologias de informago sao executadas conforme esperado;
4) ajudar a detectar eventos de seguranga da informagao e assim prevenir incidentes de seguranca da
informagao pelo uso de indicadores; e
5) determinar se as agdes tomadas para solucionar uma violagéo de seguranga da informagio foram
eficazes.
b) Realizar andlises crticas regulares da eficacia do SGSI (incluindo 0 atendimento da politica e dos objetivos do
SGSI, e a andlise critica de controles de seguranga), levando em consideragao os resultados de auditorias de
‘seguranga da informagao, incidentes de seguranca da informagao, resultados das medig6es de eficdcia,
sugest6es e realimentacao de todas as partes interessadas.
©) Medir a eficdcia dos controles para verificar que os requisitas de seguranga da informagao foram atendidos.
d) Analisar criticamente as andlises/avaliagSes de riscos a intervalos planejados e analisar crticamente os riscos
residuais e os niveis de riscos aceitaveis identificadas, levando em consideragao mudangas relativas a:
1) organizagao;
2) tecnologias;
3) objetivos e processos de negécio;
4) ameacas identificadas;
5) eficdcia dos controles implementados;
6) eventos extemos, tais como mudangas nos ambientes legais ou regulamentares, alteragoes das
obrigagées contratuais e mudangas na conjuntura social
) Conduzir auditorias internas do SGSI a intervalos planejados (ver sede 6).
NOTA —_Audltorias intemas, &s vezes chamadas de aueitorias de primelra parte, sdo conduzidas por ou em nome da
prépria organizagao para propsitos internos,
f) Realizar uma andlise critica do SGSI pela diregdo em bases regulares para assegurar que 0 escopo
permanece adequado e que so identificadas melhorias nos procassos do SGSI (ver 7.1)
9) Atualizar 0s planos de seguranga da informacao para levar em consideragso os resuitados das atividades de
monitoramento e andlise critica
\@ABNT 2006 - Todos os drotos reservados 7
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17095
‘Cénia autrizada para uso excuse - CAC Soliton Technology Lida - 05412 851/0002-8
ABNT NBR ISO/IEC 27001:2006
h) Registrar agdes e eventos que possam ter um impacto na eficacia ou no desempenho do SGSI (ver 4.3.3)
4.2.4 Manter e melhorar o SGSI
A organizagao deve regularmente
a) Implementar as melhorias identificadas no SGSI,
b) Executar as agdes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as ligSes aprendidas
de experiéncias de seguranca da informagao de outras organizacées e aquelas da propria organizacao,
©) Comunicar as ag6es © melhorias a todas as partes interessadas com um nivel de detalhe apropriado as
circunstncias e, se relevante, obter a concordancia sobre como proceder.
4) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
43 Requisitos de documentagao
434° Geral
‘A documentagao deve incluir registros de decisées da diregao, assegurar que as ages sejam rastredveis as
politicas e decis6es da diregéo, e assegurar que os resultados registrados sejam raproduziveis.
E importante que se possa demonstrar a relagdo dos controles selecionados com os resultados da
andliselavaliagao de riscos e do processo de tratamento de riscos, e conseqlentemente com a politica e objetivos
do SGSI,
‘A documentagao do SGSI deve inclu:
a) declaragées documentadas da politica (ver 4.2.1b)) e abjetivos do SGSI;
b)o-escopo do SGSI (ver 4.2.1);
©) procedimentos e controles que apotam 0 SGSI;,
4d) uma descrigao da metodologia de andliselavaliagao de riscos (ver 4.2.1¢));
€) orelatério de analise/avaliagao de riscos (ver 4.2.10) a 4.2.19));
£) 0 plano de tratamento de riscos (ver 4.2.2b)}
9) procedimentos documentados requeridos pela organizagao para assegurar o planejamento efetivo, a
‘peragao e 0 controle de seus processos de seguranga de informacao e para descrever como medi a eficacia
dos controles (ver 4.2.3¢)};
h) registro requeridos por esta Norma (ver 4.3.3); ¢
)) a Declaragao de Aplicabilidade,
NOTA 1 Onde o termo “procedimento documentado” aparecer nesta Norma, significa que o procedimento & estabelecido,
ddocumentado,implementado e mantic
NOTA2 — Aabrangdncia da documentagao do SGSI pode varar de uma organizagao para outra devido a0:
— tamanho da organizagao e o tipo de suas atividades; ©
— escopo @ complexidade dos requisitas de seguranga e o do sistema gerenciado.
8 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cépiaautrizada para uso exclusive - CRC Soldion Technology Lida - 05 412561/0002-81
ABNT NBR ISO/IEC 27001:2006
NOTA3 Documentos ¢ regisros podem estar em qualquer forma ou tipo de midi.
43.2. Controle de documentos
(Os documentos requerides pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve
ser estabelecido para definir as ages de gestao necessarias para:
a) aprovar documentos quanto & sua adequago antes de sua emissio;
b) _analisar criicamente e atualizar, quando necessario, ¢ reaprovar documentos;
©) assegurar que as alterag5es @ a situagdo da revisdo atual das documentos sejam identificadas;
dd) assegurar que as versées pertinentes de documentos aplicavels estejam disponiveis nos locals de uso;
@) _assegurar que os documentos permanegam legivels e prontamente identificéveis;
f) assegurar que os documentos estejam disponiveis aqueles que deles precisam e sejam transferidos,
armazenados e finalmente descartados conforme os procedimentos aplicavels a sua classificagao;
9) assegurar que documentos de origam externa sejam identificados;
hh) _assegurar que a distribuigio de documentos seja controlada;
|) prevenir 0 uso nao intencional de documentos obsoletos; &
|) aplicar identificagao adequada nos casos em que sejam retidas para qualquer propésit.
43.3. Controle de registros
Registros dever ser estabelecidos © mantidos para fornecer evidéncias de conformidade aos requisitos © da
‘operagao eficaz do SGSI, Eles devem ser protegidos © controlados. 0 SGSI deve levar em consideragao
quaisquer requisitos legais ou regulamentares pertinentes © obrigacdes contratuais. Os registros_devem
permanecer legiveis, prontamente identificaveis e recuperdveis. Os controles necessarios para a identiicagao,
armazenamento, proterao, recuperagao, tempo de retencao e disposieao de registros devem ser documentados ©
impiementados.
Dovem ser mantidas ragistros do desempenho do pracesso como definido em 4.2 e de todas as ocarréncias de
incidentes de seguranga da informacao significativos relacionados ao SGSI.
EXEMPLO
Exemplos de registros séo: livros de visitantes, relatérios de auditoria e formulérios de autorizagéo de acesso
preenchidos.
5 Responsabilidades da diregao
5.1 Comprometimento da direcdo
{A Diregao deve fornecer evidéncia do seu comprometimento com o estabelecimento, implementagao, operagao,
‘monitoramento, andlise critica, manutengéo e melhoria do SGSI mediante:
a) estabelecimento da politica do SGSI;
b) a garantia de que so estabelecides os planos e objetivos do SGSI;
\@ABNT 2006 - Todos os drotos reservados 9
Inmpresso : 25/04/2007 16:37-19- Pedido N° 17095
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
©) cestabelecimento de papéis e responsabilidades pela seguranga de informacao;
4d) a comunicagao & organizagéo da importancia em atender aos objetivos de seguranga da informagéo e a
conformidade com a politica de seguranga de informagao, suas responsabilidades perante a lei e a
necessidade para melhoria continua;
@) a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar crticamente,
manter e melhorar © SGSI (ver §.2.1);
) a definigéo de critérios para aceltagao de riscos e dos niveis de riscos aceitaveis;
9) a garantia de que as auditorias internas do SGSI sojam realizadas (ver seo 6); ©
h) a condugdo de andlises criticas do SGSI pela diregio (ver sep 7).
5.2 Gestao de recursos
5.2.1 Provisio de recursos
A organizagao deve determinar e prover 0s recursos necessérios para:
a) _estabelecer, implementar, operar, monitorar, analisar eriticamente, manter e melhorar um SGSI;
'b) _assegurar que os procedimentos de seguranca da informagao apoiam os raquisites de negocio;
©) identificar e tratar 05 requisites legais © regulamentares e obrigagdes contratuais de seguranca da
informagao;
dd) manter a seguranga da informaao adequada pela aplicagao correta de todos os controles implementados;
) realizar andlises criticas, quando necessario, e reagir adequadamente aos resultados destas andlises criticas;
f) onde requerido, melhorar a eficdcia do SGSI
5.2.2 Treinamento, conscientizacao e competéncia
A organizagao deve assegurar que todo 0 pessoal que tem responsabilidades atribuidas definidas no SGSI seja
competente para desempenhar as tarefas requeridas:
a) determinando as competéncias necessérias para 0 pessoal que execula trabalhos que afetam o SGSI;
b) fornecendo treinamento ou executando outras agées (por exemplo, contratar pessoal competente) para
satisfazer essas necessidades;
©) avaliando a eficdcia das ages executadas; &
d)mantendo registros de educagao, treinamento, habilidades, experiéncias © qualificagées (ver 4.3.3)
‘A organizacao deve também assegurar que todo 0 pessoal pertinente esteja consciente da relevancia ©
importancia das suas atividades de seguranca da informagao e como eles contribuem para o alcance dos objetivos
do SCSI,
10 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
6 Auditorias internas do SGSI
A organizagio deve conduzir auditorias intemas do SGSI a intervalos planejados para determinar se os abjetivos
de controle, controles, processos e procedimentos do seu SGSI
a) _atendem aos requisitos desta Norma e & legistagao ou regulamentagées pertinentes;
b) atendem aos requisitos de seguranca da informagao identificados;
©) esto mantidos e implementados eficazmente; 6
d) 40 executadas conforme esperado.
Um programa de auditoria deve ser planejado levando em consideragao a situagdo e a importancla dos processos
© reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo,
freqdéncia e métodos devem ser definidos. A selegdo dos auditores e a execugao das auditorias devem assegurar
objetividade © imparcialidade do proceso de auditoria, Os auditores nao devem auditar seu préprio trabalho.
‘As responsabilidades © os requisitos para planejamento e para execugao de auditorias e para relatar os resultados
‘8 a manutengao dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado,
(© responsavel pela area a ser auditada deve assegurar que as agdes sojam executadas, sem demora indevida,
para eliminar as néo-conformidades detectadas e suas causas, As atividades de acompanhamento devem incluir a
verificagao das agSes executadas e o relato dos resultados de verificagao (ver segao 8).
NOTA A ABNT NBR ISO 19011:2002
pode prover uma orientago tt par
Diretizes para auditors de sistema de gestio da qualidade fou ambiental —
realizar auctorias interas do SGSI,
7 Anilise critica do SGSI pela direcao
7A Geral
AA dirego deve analisar criicamente o SGSI da organizago a intervalos planejados (pelo menos uma vez por
ano) para assegurar a sua continua pertinéncia, adequagao e eficacia, Esta andlise critica deve incluir a avaliagao
de oportunidades para melhoria e a necessidade de mudangas do SCSI, incluindo a politica de seguranca da
informago e objetivos de seguranga da informagao. Os resultados dessas analises criticas devem ser claramente
documentados e os registros devem ser mantidos (ver 4.3.3).
7.2 Entradas para a anilise critica
‘As entradas para a andlise critica pela diregao devem incluir:
a) resultados de auditorias do SGSI e analises criticas;
b) _realimentagao das partes intoressadas;
©) técnicas, produtos ou procedimentos que podem ser usados na organizagéo para melhorar o desempenho © a
eficdcia do SCSI ;
4) situagao das ages preventivas e corretivas;
€) vulnerabilidades ou ameagas nao contempladas adequadamente nas andlises/avaliagses de risco anteriores;
f) resultados das medighes de eficacia;
\@ABNT 2006 - Todos os drotos reservados "
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
9) acompanhamento das ages oriundas de andlises criticas anteriores pela diragao;
hh) quaisquer mudangas que possam afetar o SGSI; e
})recomendagdes para melhoria,
7.3. Saidas da andlise critica
AAs saidas da analise critica pela diregdo devem incluir quaisquer decis6es e ages relacionadas a:
a) Methoria da eficacia do SGSI.
b) Atualizagao da andlise/avaliagao de riscos e do plano de tratamento de riscos.
©) Modificagae de procedimentos e controles que afetem a seguranga da informagao, quando necessério, para
responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudangas de:
1) requisites de negécio;
2) requisitos de seguranga da informagao;
3) processos de negécio que afetem os requisites de negécio existentes:
4) requisites legais ou reguiamentares;
5) obrigagdes contratuais; ©
6) _nivels de riscos e/ou eritérios de aceltagdo de riscos.
4d) Nocessidade de recursos.
2) Melhoria de como a eficacia dos controles esta sendo medida.
8 Melhoria do SGSI
8.1 Melhoria continua
AA organizagao deve continuamente melhorar a eficécia do SGSI por meio do uso da politica de seguranca da
informagao, objetivos de seguranga da informagdo, resultados de auditorias, analises de eventos monitorados,
ages corretivas e preventivas e andlise critica pela diregdo (ver seco 7)
8.2 Agao corretiva
A organizagao deve executar agées para eliminar as causas de néo-conformidades com 0s requisitos do SGSI, de
forma a evitar a sua repetigao. © procadimento documentado para ago corretiva deve definir requisites para:
a) _identificar nao-conformidades;
b) determinar as causas de nao-conformidades;
©) avaliar a necessidade de ages para assegurar que aquelas nao-conformidades néo ocorram novamente;
4) determinar e implementar as ages corretivas necessérias;
12 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cia autrizada para uso exclusive - CAC Soldion Technology Lida - 05.412 561/0002-84
ABNT NBR ISO/IEC 27001:2006
) registrar os resultados das agées executadas (ver 4.3.3); 6
4) analisar criicamente as ages corretivas executadas.
8.3 Agao preventiva
A organizagao deve determinar agées para eliminar as causas de ndo-conformidades potenciais com os requisitos
do SGSI, de forma a evitar a sua ocorréncia. As ages preventivas tomadas devem ser apropriadas aos impactos
dos potenciais problemas. O procedimento documentado para agao preventiva deve definirrequisitos para
a) _identiicar nao-conformidades potenciais e suas causas;
b) avaliar a necessidade de agdes para evitar a ocorréncia de ndo-conformidades;
©) determinar e implementar as ages preventivas necessérias;
d) registrar os resultados de ages executadas (ver 4.3.3); €
) _analisar criticamente as ages preventivas executadas.
A organizagio deve identificar mudangas nos riscos ¢ identificar requisitos de agdes preventivas focando a
atengao nas riscos significativamente alterados,
A prioridade de ages preventivas deve ser determinada com base nos resultados da andlise/avaliagdo de riscos,
NOTA _Agées para provenir no-conformidades frequentemente tém melhor custo-beneficio que as agdes comtivas
\@ABNT 2006 - Todos os drotos reservados 13
Inmpresso : 25/04/2007 16:37-19- Pedido N° 17095
‘Cépiaautrizada para uso exclslve - CAC Soluion Technology Lida -05413.851/0002-8
ABNT NBR ISO/IEC 27001:2006
Anexo A
(normative)
Objetivos de controle e controles
Os objetivos de controle © controles listados na tabela A.1 so dervados diretamente e estao alinhados com
aqueles listados na ABNT NBR ISO/IEC 17799:2005 ~ segdes 5 a 15. As listas na tabela A.1 ndo so exaustivas &
uma organizagao pode considerar que objetivos de controle e controles adicionais sao necessarios. Os objet'vos
de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado
em 4.2.4
‘A ABNT NBR ISO/IEC 17799:2005 - segdes 5 a 15 fornece recomendagdes © um guia de implementagso das
melhores praticas para apoiar os controles especificados em AS a A.15.
Tabela A.1 — Objetivos de controle e controles
AS
‘AS Politica de seguranga
Politica de seguranga da informagao
Objetivo: Prover uma orientagao e apoio da diregao para a seguranga da informagao de acordo com os
requisites do negécio e com as leis e regulamentagdes pertinentes,
ASAA
Document da politica de
seguranca da informagao
Controle
Um documento da politica de seguranga da informagao deve
‘ser aprovado pela dirego, publicado ¢ comunicado para todos
(08 funcionarios e partes extemas relevantes.
ASAD
‘Analise critica da politica de
seguranca da informagao
Controle
A politica de seguranga da informagao deve ser analisada
cticamente a intervaios planejados ou quando mudangas
significativas ocorrerem, para assegurar a sua continua
pertinéncia, adequagao e eficacia,
‘AS _Organizando a seguranga da informagao
AG1
Organizagéo interna
Objetive: Gerenciar a seguranga da informagao dentro da organizacéo.
Comprometimento da diregaio
Controle
‘A Diregio deve apoiar ativamente a seguranga da informagao
dentro da organizagao, por meio de um claro direcionamento,
Ao.1.1 | coma seguranga da
informagao Semonstrand o seu comprometimento, definindo atribuigdes
4e forma explcita e reconhecendo as responsabilidades pela
seguranga da informagao.
Controle
‘ez | Costdenapao da seguranga | as atividades de seguranca da informago devem ser
da informagao coordenadas por representantes de diferentes partes da
‘organizagao, com fungdes © papeis relevantes,
14 CGABNT 2008- Todos os dreos resevados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
Céniaautrizada para uso excuse - CAC Sotiton Technology Lida - 05412 851/0002-8
ABNT NBR ISO/IEC 27001:2006
‘Aribuigao de Controle
A613 |responsabldades paraa | Todas as responsablidades pela segurance da informagao
sSeguranga da informagao devem estar claramente definidas.
Proceso de autorizagao para | Controle
ast — | 0s recursos de Deve ser definido e implementado um processo de gestdo de
processamento da aulorizagao para novos recursos de processamento da
Informagao informagao,
Controle
0s reauisios para confidencialidade ou acordos de no
6:15 | Acordos de confidenciaidade | givuigagao que refitam as necessidades da organizapdo para a
protegao da informagao devem ser identiicados e analisados
Eiticamente, de forma regular.
Controle
‘86.1.6 | Contato comautoridades —_| contates apropriados com auloridades pertinentes devem ser
mantidos,
Controle
6.1.7 _ | Contato com grupos Contatos apropriados com grupos de interesses especiais ou
especiais outros féruns especializados de seguranga da informagao e
associagées profissionais devem ser mantidos,
Controle
© enfoque da organizagéo para gerenciar a seguranga da
. informagao e a sua implementacao (por exemplo, controles,
A618 | Andlse erica independente | objetivo dos controles,palticas, processos e procedimentos
de seguranga da informagao | para a seguranca da informagao) deve ser analisado
Ctticamente, de forma indapendenta, a intervalas planejados,
‘ou quando ocorrerem mudancas signficativas relatvas &
implementagao da seguranga da informagao.
‘A6.2 Partes externas
Objetivo: Manter a seguranga dos recursos de processamento da informagao e da informagao da
organizagao, que sao acessados, processados, comunicados ou gerenciados por partes externas.
Controle
Identificagao dos riscos Os riscos para as recursos de processamento da informagao
462.1 | relacionados com partes para a informago da organizago orundos de processos do
extemas negécio que envolvam as partes externas devem ser
identificados e controles apropriados devem ser implementados
antes de se conceder 0 acesso.
Controle
Identicando a seguranga da .
14622 | intomagae quand vatando” | Todos 0s raqusitos de seguranga da informagao identticados
con 0s Slentes dlevem ser considerados antes de conceder aos clientes 0
facesso 0s ativos ou as informagoes da organizagao,
Controle
08 acordos com terceiros envolvendo 0 acesso,
'denticando seguranca da | procossamento, comunicagao ou gorenciamento dos recursos
6.2.3 | informagao nos acordos com | Ge processamento da informagéo ou da informagao da
tercairos ‘organizagao, ou 0 acréscimo de produtos ou servigos aos
recursos de processamento da informagao devem cobrir todos
05 requisitos de seguranca da Informagao relevantes.
\@ABNT 2006 - Todos os drotos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
15
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
‘AT Gestio de ativos
A714 Responsabilidade pelos ativos
Objetivo: Alcangar e manter a protegao adequada dos ativos da organizagao,
Controle
7.1.4 | inventatio dos ativos Todos os ativos devem ser claramente identificados e um
inventario de todos os ativos importantes dove ser estruturado
e mantido.
Controle
7.1.2 | Proprietario dos ativos Todas as informag6es @ ativos associados com os recursos de
processamento da informagao devem ter um “proprietario"3)
designado por uma parte definida da organizacao.
Controle
Dever ser identifcadas, documentadas « implementadas
A713 | Uso aceitavel dos ativos | regras para que seja permitido 0 uso de informacoes e de
aivos associados aos recursos de processamento da
informagao.
AT2 Classificagao da informagao
Objetivo: Assegurar que a informagao receba um nivel adequado de protegao.
Control
Recomendagées para
Ar24 | Aecciicagae ‘A informagao deve ser classificada em termos do seu valor,
recuiioslegas, senebildade o cittlade para @ organizayéo.
Controle
A722 _ | Rétulos e tratamento da Um conjunto apropriado de procedimentos para rotuler e tratar
informagao a informagao deve ser definido @ implementado de acordo com
© esquema de classificagao adotado pela organizagao.
‘(AB Seguranga em recursos humanos
A8.1 Antes da contratagao!)
Objetive: Assegurar que os funcionarios, fomnecedores e terceiras entendam suas responsabilidades ©
estejam de acordo com os seus papéis, ¢ reduzir o risco de furto ou roubo, fraude ou mau uso de recursos,
Controle
0s papsis«responsebiidades pela seguranca da informacao
Aa | Papéisresponsabiades | ge tancionaros fomecedorese terres dover set dies ©
dlocumentados de acordo com a police de seguranca da
inormaplo da operiznpto
> Explicago: O terme “oroprietério" dentfica uma pessoa ou organismo que tenha uma responsabiidade autorizada para
controlar a procugdo, 0 desenvolvimento, @ manutengao, o uso e & seguranca dos avos. O termo “propretario' nae significa
{ue a pessoa realmente tenha qualquer direito de propriedade pelo avo
Expiicagao: A palavra “contratagicr, neste contento, visa cobric todas as seguintes diferentes situagSes: conratagdo de
pessoas (lomportias ou par longa duragdo), nomeagao de fungSes, mudanea de funeBes, atrbulgBes de contates ©
Encerramenta de qusisquer destas stages
16 LGABNT 2006 Todos a8 delos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
‘Cia autrizada para uso exclusive - CRC Solution Technology Lida -05.412581/0002-81
ABNT NBR ISO/IEC 27001:2006
AB12
Selegao
Controle
Verificagbes do histérico de todos os candidatos a emprego,
fomecedores e terceiros devem ser realizadas de acordo com a
4tica, as leis © as regulamentagdes pertinentes, ©
proporcionalmente aos requisitos do negécio, a classificagao
das informagées a serem acessadas e aos riscos percebidos,
Agi
Termos ¢ condig6es de
contratagao
Controle
Como parte das suas obrigagdes contratuais, os funciondrios,
fomecedores e terceiros devem concordar e assinar os termos
© condigées de sua contratagao para o trabalho, os quais
devem deciarar as suas responsabilidade e da organizacao
para a seguranga da informagao.
‘A.8.2 Durante a contratagé
reparados
preocupago
Objetivo: Assegurar que os funcionarios, fomecedores e terceiros estao conscientes das ameacas ©
es relativas & seguranca da informago, suas responsabilidades e obrigagdes, e esto
para apoiar a politica de seguranga da informagao da organiza¢ao durante os seus trabalhos
nnormais, e para reduzir o risco de erro humar
Controle
AA diregao deve solicitar aos funcionérios, fommecedores e
A821 Responsabilidades da dire¢ao | terceiros que pratiquem a seguranga da informacao de acordo
com 0 estabelecido nas pollicas e procedimentos da
organizagao,
Controle
Conscientizagao, educagao e | Todos os funcionarios da organizagao e, onde pertinent,
48.2.2 | treinamento em seguranga da | fomecedores e terceiros devem receber treinamento
informagao ‘apropriado em conscientizagao, e atualizagées regulares nas
politicas e procedimentos organizacionais relevantes para as
‘suas fungoes.
Controle
A823 | Processo disciplinar Deve existir um proceso disciplinar formal para os funcionarios
‘que tenham cometido uma violagao da seguranga da
informagao,
‘8.3 Encerramento ou mudanga da contratacao
Objetivo: Assegurar que funcionérios, fomecedores e terceiros deixem a organizago ou mudem de trabalho
de forma ordenada,
A834
Encerramento de atividades
Controte|
‘As responsabilidades para realizar o encerramento ou a
mudana de um trabalho devem ser claramente definidas ©
atribuidas.
A832
Devolugao de ativos
Controle
Toxios os funcionarios, fomecedores ¢ terceiros devem
devolver todos os ativas da organizagao que estejam em sua
posse apés o encerramento de suas alividades, do contrato ou
acordo,
\@ABNT 2006 - Todos os drotos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17095
7
‘Cépiaautrizada para uso exclslve - CAC Soluion Technology Lida -05413.851/0002-8
ABNT NBR ISO/IEC 27001:2006
A833
Retirada de direitos de
Controle
Os direitos de acesso de todos os funcionérios, fomecedores &
teroeiros as informagées @ aos recursos de processamento da
informagao devem ser relirados apés 0 encerramento de suas
atividades, contratos ou acordos, ou devem ser ajustados apés:
a mudanga destas alividades.
‘AS Seguranga fisica e do ambiente
9.4 Areas seguras
Objetivo: Prevenir 0 acesso fisico nao autorizado, danos ¢ interferéncias com as instalagées,
da organizasao.
AQAA
Perimetro de seguranga fisica
Controle
Devem ser utlizados perimetros de seguranga (barreiras tals
‘como paredes, portées de entrada controlados por cartao ou
balodes de recepao com recepcionistas) para proteger as
4reas que contenham informagdes e recursos de
pracessamento da informagao.
Ag12
Controles de entrada fisica
Controte|
‘As areas seguras dever ser protegidas por controles
‘apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso,
A813
‘Seguranga em escritérios
salas e instalagdes
Controle
Deve ser projetada e aplicada seguranga fisica para escritrios,
salas e instalagoes,
Agt4
Protegao contra ameagas
extemas e do melo ambiente
Controle
Deve ser projetada e aplicada protegao fisica contra incéndios,
cenchentes, terremotos, explosdes, perturbagbes da ordem
publica e outras formas de desastres naturais ou causados
pelo homem.
AgAS
Trabalhando em areas
seguras
Controle
Deve ser projetada e aplicada protegao fisica, bem como
ditetrizes para o trabalho em areas seguras,
AM16
Acesso do pubblico, areas de
entrega e de carregamento
Controle
Pontos de acesso, tals como areas de entrega e de
carregamento e outros pontos em que pessoas ndo
autorizadas possam entrar nas instalagées, devem ser
ccontrolados e, se possivel, isolados dos recursos de
processamento da informagao, para evitar 0 acesso nao
autorizado,
da organiza
A9.2Seguranga de equipamentos
Objetivo: impedir perdas, danos, furto ou rou!
90,
bo, ou comprometimento de ativos e interrupc&o das atividades
A924
Instalagao e protegao do
equipamento
Controle
(Os equipamentos devem ser colocades no local ou protegides
para reduzir os riscos de ameagas e perigos do meio ambiente,
bem como as oportunidades de acesso nao autorizado,
18
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
LGABNT 2006 Todos a8 delos reservados
Cipla autorizada para uso excuse - CAC Sotion Technology Lida - 05413 851/0002-8
ABNT NBR ISO/IEC 27001:2006
A922
Utilidades
Controle
Os equipamentos devem ser protegidos contra falta de energia
‘létrica e outras interrupgdes causadas por falhas das
ulilidades,
A923
‘Seguranga do cabeamento
Controle
0 cabeamento de energia e de telecomunicagses que
transporta dados ou da suporte aos servicos de informagdes,
deve ser protegido contra interceptacao ou danos.
A924
Manutengéo dos
equipamentos
Controle
Os equipamentos devem ter manutengdo correta, para
assegurar sua cisponibilidade e integridade permanente,
A925
‘Seguranga de equipamentos
fora das dependéncias da
organizagao
Controle
Devem ser tomadas medidas de seguranga para equipamentos
‘que operem fora do local, levando em conta os diferentes,
riscos decorrentes do fato de se trabalhar fora das
dependéncias da organizagao.
A926
Reutlizagao e alienagao
segura de equipamentos
Controle
Todos os equipamentos que contenham midias de
‘armazenamento de dados devem ser examinados antes do
descarte, para assegurar que todos os dados sensiveis
softwares licenciados tenham sido removidos ou
sobregravades com seguranga.
A927
Remogéo de propriedade
Controle
Equipamentos, informagées ou software néo devem ser
rotirados do local sam autorizagao previa,
‘A10 Gerenciamento das operagées e cor
municagées
A.10.1 Procedimentos e responsabilidades operacionais
Objetivo: Garantir a operagao segura e correta dos recursos de processamento da informagao.
ANo4.4
Documentagao dos
procedimentos de operagtio
Controle
Os procedimentos de operagao devem ser documentados,
mantidos atualizados e disponiveis a todos os usuarios que
deles necessitem,
AN0.1.2
Gestdo de mudangas
Controle
Modificagées nos recursos de processamento da informagao &
sistemas devem ser controladas,
A10.1.3
‘Segregagao de fungdes
Controle
Fungées e areas de responsabilidade devem ser segregadas
para reduzir as oportunidades de modificagao ou uso indevido
do autorizado ou nao intencional dos ativos da organizacao.
AN0.1.4
‘Separagao dos recursos de
desenvolvimento, teste e de
produgao
Controle
Recursos de desenvolvimento, teste e produgéo devem ser
‘Separados para reduzir risco de acessos oul modificagées nao
aulorizadas aos sistemas operacionais.
\@ABNT 2006 - Todos os drotos reservados
Inmpresso : 25/04/2007 16:37:19 - Pedido N° 17005
19
‘Clplaautrizada para uso excluslve - CAC Soluion Technology Lida - 05413 551/0002-8
ABNT NBR ISO/IEC 27001:2006
‘A.10.2. Gerenclamento de services tercelrizados
CObjetivo: Implementar e manter o nivel apropriado de seguranga da informagao e de entrega de servigos em
‘consonancia com acordos de entraga de servigos terceirizados.
Controle
Deve ser garantido que os controles de seguranga, as
10.2.1 | Entrega de servigos definigdes de servigo e os niveis de entrega incluidos no
acordo de entrega de servigos terceirizados sejam
implementados, executados e mantidos pelo terceiro,
Controle
Monitoramento e anélise
10.2.2 | eritiea de servigos Os servigos, relaterios e registros fomecides por terceiro
tercelrizados
Вам также может понравиться
- Manual HabilpessoalДокумент96 страницManual HabilpessoalEvandro Costa VenancioОценок пока нет
- PLAGIO-publicar No Site PDFДокумент54 страницыPLAGIO-publicar No Site PDFEvandro Costa VenancioОценок пока нет
- 3 Livro Gsic UnbДокумент121 страница3 Livro Gsic UnbrafaelVitalinoОценок пока нет
- Definição de Tema para TCCДокумент2 страницыDefinição de Tema para TCCEvandro Costa VenancioОценок пока нет
- Direito AutoralДокумент13 страницDireito AutoralSara HarrisОценок пока нет
- Direito AutoralДокумент13 страницDireito AutoralSara HarrisОценок пока нет
- 2006 2 Pmbok-EscopoДокумент73 страницы2006 2 Pmbok-EscopoEvandro Costa VenancioОценок пока нет
- 9 - 7 Ferramentas QualidadeДокумент2 страницы9 - 7 Ferramentas QualidadeGilmar PereiraОценок пока нет
- Governança de Tecnologia Da InformaçãoДокумент57 страницGovernança de Tecnologia Da InformaçãoEvandro Costa VenancioОценок пока нет
- Projeto de PesquisaДокумент9 страницProjeto de PesquisaEvandro Costa VenancioОценок пока нет
- 1 Os Caminhos Da Arte e Tecnologia No BrasilДокумент13 страниц1 Os Caminhos Da Arte e Tecnologia No BrasilEvandro Costa VenancioОценок пока нет
