Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de

acordo com os requisitos do negcio e com as leis e regulamentaes relevantes.

Um documento da poltica de segurana da
informao deve ser aprovado pela direo,
publicado e comunicado para todos os
funcionrios e partes externas relevantes.

A.5.1.1 - Documento da poltica de segurana da informao

Controle

A.5 Poltica de segurana

A.5.1 Poltica de segurana da informao

A poltica de segurana da informao deve ser
analisada criticamente a intervalos planejados ou quando
mudanas significativas ocorrerem, para assegurar a sua
contnua pertinncia, adequao e eficcia.

A.5.1.2 - Anlise crtica da poltica de segurana da informao

Controle

Objetivo: Gerenciar a segurana da informao

dentro da organizao.
A Direo deve apoiar ativamente a
segurana da informao dentro da
organizao, por meio de um claro
direcionamento, demonstrando o seu
comprometimento, definindo atribuies
de forma explcita e conhecendo as
responsabilidades pela segurana da
informao.

A.6.1.1 - Comprometimento da direo

com a segurana da informao
Controle

A.6.1.2 Coordenao da segurana da informao

Controle

A.6.1.3 Atribuio de responsabilidades

para a segurana da informao

Todas as responsabilidades pela

segurana da informao devem estar
claramente definidas.

Controle

Deve ser definido e implementado um

processo de gesto de autorizao para
novos recursos de processamento da
informao.

A.6.1.4 Processo de autorizao para os

recursos de processamento da
informao
Controle

Os requisitos para confidencialidade ou

acordos de no divulgao que reflitam
as necessidades da organizao para a
proteo da informao devem ser
identificados e analisados criticamente,
de forma regular.

A.6.1 Infra-estrutura da segurana da informao

A.6.1.5 Acordos de confidencialidade
Controle

A.6.1.6 Contato com autoridades

Contatos apropriados com autoridades

relevantes devem ser mantidos.

Controle

Contatos apropriados com grupos de

interesses especiais ou outros fruns
especializados de segurana da
informao e associaes profissionais
devem ser mantidos.

A.6.1.7 Contato com grupos especiais

A.6 Organizando a segurana da informao

Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes
contratuais e de quaisquer requisitos de segurana da informao
Todos os requisitos estatutrios,
regulamentares e contratuais relevantes,
e o enfoque da organizao para atender
a estes requisitos devem ser
explicitamente definidos, documentados
e mantidos atualizados para cada
sistema de informao da organizao.

Controle

Procedimentos apropriados devem ser

implementados para garantir a
conformidade com os requisitos
legislativos, regulamentares e contratuais
no uso de material, em relao aos quais
pode haver direitos de propriedade
intelectual e sobre o uso de produtos de
software proprietrios.

Controle

Controle

A.6.1.8 Anlise crtica independente de

segurana da informao

Controle

Registros importantes devem ser

protegidos contra perda, destruio e
falsificao, de acordo com os requisitos
regulamentares, estatutrios, contratuais
e do negcio.

Objetivo: Manter a segurana dos recursos de processamento da informao e da

informao da organizao, que so acessados, processados, comunicados ou
gerenciados por partes externas.

A.15.1.3 Proteo de registros

organizacionais

Os riscos para os recursos de

processamento da informao e para a
informao da organizao oriundos de
processos do negcio que envolvam as
partes externas devem ser identificados e
controles apropriados devem ser
implementados antes de se conceder o
acesso.

A.6.2.1 Identificao dos riscos

relacionados com partes externas

A.15.1 Conformidade com requisitos legais

Controle
Controle

A privacidade e a proteo de dados

devem ser asseguradas conforme exigido
nas legislaes relevantes,
regulamentaes e, se aplicvel, nas
clusulas contratuais.

A.15.1.4 Proteo de dados e privacidade

da informao pessoal
Controle

Os usurios devem ser dissuadidos de

usar os recursos de processamento da
informao para propsitos no
autorizados.

A.6.2 Partes externas

A.15.1.5 Preveno de mau uso de

recursos de processamento da
informao

Todos os requisitos de segurana da

informao identificados devem ser
considerados antes de conceder aos
clientes o acesso aos ativos ou s
informaes da organizao.

A.6.2.2 Identificando a segurana da

informao quando tratando com os
clientes.
Controle

Os acordos com terceiros envolvendo o

acesso, processamento, comunicao ou
gerenciamento dos recursos de
processamento da informao ou da
informao da organizao, ou o
acrscimo de produtos ou servios aos
recursos de processamento da
informao devem cobrir todos os
requisitos de segurana da informao
relevantes.

A.15 Conformidade

Controle
A.6.2.3 Identificando segurana da
informao nos acordos com terceiros

Controles de criptografia devem ser

usados em conformidade com leis,
acordos e regulamentaes relevantes.

O enfoque da organizao para gerenciar

a segurana da informao e a sua
implementao (por exemplo, controles,
objetivo dos controles, polticas,
processos e procedimentos para a
segurana da informao) deve ser
analisado criticamente, de forma
independente, a intervalos planejados, ou
quando ocorrerem mudanas
significativas relativas implementao
da segurana da informao.

A.15.1.1 Identificao da legislao vigente

A.15.1.2 Direitos de propriedade intelectual

A.15.1.6 Regulamentao de controles de criptografia

Controle

As atividades de segurana da
informao devem ser coordenadas por
representantes de diferentes partes da
organizao, com funes e papis
relevantes.

Controle
Objetivo: Garantir conformidade dos sistemas com as polticas e
normas organizacionais de segurana da informao.
Os gestores devem garantir que todos os
procedimentos de segurana dentro da
sua rea de responsabilidade sejam
executados corretamente para atender
conformidade com as normas e polticas
de segurana da informao.

Objetivo: Alcanar e manter a proteo

adequada dos ativos da organizao.
A.15.2.1 Conformidade com as polticas e
normas de segurana da informao
A.15.2 Conformidade com normas e
polticas de segurana da informao
e conformidade tcnica

Controle

Os sistemas de informao devem ser

periodicamente verificados quanto sua
conformidade com as normas de
segurana da informao implementadas.

Todos os ativos devem ser claramente

identificados e um inventrio de todos os
ativos importantes deve ser estruturado e
mantido.

A.7.1.1 Inventrio dos ativos

Controle

Todas as informaes e ativos

associados com os recursos de
processamento da informao devem ter
um "proprietrio") designado por uma
parte definida da organizao.

A.15.2.2 Verificao da conformidade tcnica

Controle

A.7.1.2 Proprietrio dos ativos

A.7.1 Responsabilidade pelos ativos

Controle
Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de
auditoria dos sistemas de informao.
Os requisitos e atividades de auditoria envolvendo verificao nos
sistemas operacionais devem ser cuidadosamente planejados e
acordados para minimizar os riscos de interrupo dos processos do
negcio.

A.15.3.1 Controles de auditoria de

sistemas de informao

Controle

A.15.3 Consideraes quanto

auditoria de sistemas de informao

Objetivo: Assegurar que a informao

receba um nvel adequado de proteo.

A.15.3.2 Proteo de ferramentas de

auditoria de sistemas de informao

Controle

A informao deve ser classificada em

termos do seu valor, requisitos legais,
sensibilidade e criticidade para a
organizao.

A.7.2.1 Recomendaes para

classificao
Controle

Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos

crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em
tempo hbil, se for o caso.
Um processo de gesto deve ser
desenvolvido e mantido para assegurar a
continuidade do negcio por toda a
organizao e que contemple os
requisitos de segurana da informao
necessrios para a continuidade do
negcio da organizao.

Devem ser identificadas, documentadas

e implementadas regras para que seja
permitido o uso de informaes e de
ativos associados aos recursos de
processamento da informao.

A.7.1.3 Uso aceitvel dos ativos

A.7 Gesto de ativos

Controle

O acesso s ferramentas de auditoria de sistema de informao deve

ser protegido para prevenir qualquer possibilidade de uso imprprio
ou comprometimento.

A.7.2 Classificao da informao

A.14.1.1 Incluindo segurana da

informao no processo de gesto da
continuidade de negcio

Um conjunto apropriado de
procedimentos para rotular e tratar a
informao deve ser definido e
implementado de acordo com o esquema
de classificao adotado pela
organizao.

A.7.2.2 Rtulos e tratamento da informao

Controle

Controle
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas
responsabilidades, e estejam de acordo com os seus papis, e reduzir o risco de roubo,
fraude ou mau uso de recursos.

Devem ser identificados os eventos que

podem causar interrupes aos
processos de negcio, junto
probabilidade e impacto de tais
interrupes e as conseqncias para a
segurana de informao.

A.14.1.2 Continuidade de negcios e

anlise/avaliao de risco

Os papis e responsabilidades pela

segurana da informao de funcionrios,
fornecedores e terceiros devem ser
definidos e documentados de acordo com
a poltica de segurana da informao da
organizao.

Controle
A.8.1.1 Papis e responsabilidades
Controle

Os planos devem ser desenvolvidos e

implementados para a manuteno ou
recuperao das operaes e para
assegurar a disponibilidade da
informao no nvel requerido e na escala
de tempo requerida, aps a ocorrncia de
interrupes ou falhas dos processos
crticos do negcio.

A.14.1.3 Desenvolvimento e
implementao de planos de
continuidade relativos segurana da
informao

A.14.1 Aspectos da gesto da

continuidade do negcio, relativos
segurana da informao

A.14 Gesto da continuidade do negcio

A.8.1 Antes da contratao )

Os planos de continuidade do negcio

devem ser testados e atualizados
regularmente, de forma a assegurar sua
permanente atualizao e efetividade.

A.14.1.4 Estrutura do plano de

continuidade do negcio

Controle

A.14.1.5 Testes, manuteno e

reavaliao dos planos de continuidade
do negcio

Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das

ameaas e preocupaes relativas segurana da informao, suas responsabilidades e
obrigaes, e esto preparados para apoiar a poltica de segurana da informao da
organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano.

Controle

A direo deve solicitar aos funcionrios,

fornecedores e terceiros que pratiquem a
segurana da informao de acordo com
o estabelecido nas polticas e
procedimentos da organizao.

A.8.2.1 Responsabilidades da direo

Controle

A.8 Segurana em recursos humanos

A.13.1.1 Notificao de eventos de

segurana da informao

A.8.2 Durante a contratao

A.13.1 Notificao de fragilidades e
eventos de segurana da informao

Todos os funcionrios da organizao e,

onde pertinente, fornecedores e terceiros
devem receber treinamento apropriado
em conscientizao, e atualizaes
regulares nas polticas e procedimentos
organizacionais relevantes para as suas
funes.

A.8.2.2 Conscientizao, educao e

treinamento em segurana da informao
Controle

A.13.1.2 Notificando fragilidades de

segurana da informao

Deve existir um processo disciplinar

formal para os funcionrios que tenham
cometido uma violao da segurana da
informao.

Controle
A.8.2.3 Processo disciplinar

Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de

incidentes de segurana da informao.
Responsabilidades e procedimentos de
gesto devem ser estabelecidos para
assegurar respostas rpidas, efetivas e
ordenadas a incidentes de segurana da
informao.

Como parte das suas obrigaes

contratuais, os funcionrios, fornecedores
e terceiros devem concordar e assinar os
termos e condies de sua contratao
para o trabalho, os quais devem declarar
as suas responsabilidade e da
organizao para a segurana da
informao.

A.8.1.3 Termos e condies de contratao

Controle

Os funcionrios, fornecedores e terceiros

de sistemas e servios de informao
devem ser instrudos a registrar e notificar
qualquer observao ou suspeita de
fragilidade em sistemas ou servios.

Controle

Controle

Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados

com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva
em tempo hbil.
Os eventos de segurana da informao
devem ser relatados atravs dos canais
apropriados da direo, o mais
rapidamente possvel.

Verificaes de controle de todos os candidatos a emprego,

fornecedores e terceiros devem ser realizadas de acordo com as leis
relevantes, regulamentaes e ticas, e proporcionalmente aos
requisitos do negcio, classificao das informaes a serem
acessadas e aos riscos percebidos.

A.8.1.2 Seleo

Controle

Uma estrutura bsica dos planos de

continuidade do negcio deve ser
mantida para assegurar que todos os
planos so consistentes, para contemplar
os requisitos de segurana da informao
e para identificar prioridades para testes
e manuteno.

Controle

A.13.2.1 Responsabilidades e
procedimentos

Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a

organizao ou mudem de trabalho de forma ordenada.

A.13 Gesto de incidentes de segurana da informao

As responsabilidades para realizar o

encerramento ou a mudana de um
trabalho devem ser claramente definidas
e atribudas.

Controle
A.8.3.1 Encerramento de atividades

Devem ser estabelecidos mecanismos

para permitir que tipos, quantidades e
custos dos incidentes de segurana da
informao sejam quantificados e
monitorados.

Controle
A.13.2.2 Aprendendo com os incidentes
de segurana da informao
A.13.2 Gesto de incidentes de
segurana da informao e melhorias

Controle

A.8.3.2 Devoluo de ativos

Controle

A.8.3 Encerramento ou mudana da contratao

Nos casos em que uma ao de

acompanhamento contra uma pessoa ou
organizao, aps um incidente de
segurana da informao, envolver uma
ao legal (civil ou criminal), evidncias
devem ser coletadas, armazenadas e
apresentadas em conformidade com as
normas de armazenamento de evidncias
da jurisdio ou jurisdies pertinentes.

Todos os funcionrios, fornecedores e

terceiros devem devolver todos os ativos
da organizao que estejam em sua
posse aps o encerramento de suas
atividades, do contrato ou acordo.

Os direitos de acesso de todos os

funcionrios, fornecedores e terceiros s
informaes e aos recursos de
processamento da informao devem ser
retirados aps o encerramento de suas
atividades, contratos ou acordos, ou
devem ser ajustados aps a mudana
destas atividades.

A.13.2.3 Coleta de evidncias

A.8.3.3 Retirada de direitos de acesso
Controle
Controle

Objetivo: Garantir que segurana parte

integrante de sistemas de informao.
Devem ser especificados os requisitos
para controles de segurana nas
especificaes de requisitos de negcios,
para novos sistemas de informao ou
melhorias em sistemas existentes.

Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e

informaes da organizao.

A.12.1.1 Anlise e especificao dos

requisitos de segurana

A.9.1.1 Permetro de segurana fsica

Objetivo: Prevenir a ocorrncia de erros,

perdas, modificao no autorizada ou
mau uso de informaes em aplicaes.
Os dados de entrada de aplicaes
devem ser validados para garantir que
so corretos e apropriados.

Devem ser incorporadas, nas aplicaes,

checagens de validao com o objetivo
de detectar qualquer corrupo de
informaes, por erros ou por aes
deliberadas.

Controle

A.12.2.1 Validao dos dados de entrada

Controle

As reas seguras devem ser protegidas

por controles apropriados de entrada para
assegurar que somente pessoas
autorizadas tenham acesso.

A.9.1.2 Controles de entrada fsica

Controle

A.9.1.3 Segurana em escritrios salas e instalaes

A.12.2.2 Controle do processamento interno

Deve ser projetada e aplicada segurana

fsica para escritrios, salas e
instalaes.

Controle

Controle
Deve ser projetada e aplicada proteo
fsica contra incndios, enchentes,
terremotos, exploses, perturbaes da
ordem pblica e outras formas de
desastres naturais ou causados pelo
homem.

A.9.1 reas seguras

A.12.2 Processamento correto de aplicaes

Requisitos para garantir a autenticidade e

proteger a integridade das mensagens
em aplicaes devem ser identificados e
os controles apropriados devem ser
identificados e implementados.

A.9.1.4 Proteo contra ameaas

externas e do meio ambiente
A.12.2.3 Integridade de mensagens
Controle

Controle

Os dados de sada das aplicaes devem

ser validados para assegurar que o
processamento das informaes
armazenadas est correto e apropriado
s circunstncias.

A.9.1.5 Trabalhando em reas seguras

Objetivo: Proteger a confidencialidade, a

autenticidade ou a integridade das
informaes por meios criptogrficos.

A.9.1.6 Acesso do pblico, reas de

entrega e de carregamento
Controle

A.12.3.1 Poltica para o uso de controles criptogrficos

A.12.3 Controles criptogrficos

Procedimentos para controlar a

instalao de software em sistemas
operacionais devem ser implementados.

A.12.3.2 Gerenciamento de chaves

Controle

A.12 Aquisio, desenvolvimento e manuteno de sistemas de informao

Controle

Os equipamentos devem ser protegidos

contra falta de energia eltrica e outras
interrupes causadas por falhas das
utilidades.

A.9.2.2 Utilidades
Controle

O cabeamento de energia e de
telecomunicaes que transporta dados
ou d suporte aos servios de
informaes deve ser protegido contra
interceptao ou danos.

A.12.4 Segurana dos arquivos do sistema

A.12.4.2 Proteo dos dados para teste de sistema

A.9.2.3 Segurana do cabeamento

Controle

O acesso ao cdigo-fonte de programa

deve ser restrito.

Controle

A.12.4.3 Controle de acesso ao cdigofonte de programa

Objetivo: Manter a segurana de
sistemas aplicativos e da informao.

A.9.2 Segurana de equipamentos

A.9.2.4 Manuteno dos equipamentos

Os equipamentos devem ter manuteno

correta, para assegurar sua
disponibilidade e integridade permanente.

Controle

Devem ser tomadas medidas de

segurana para equipamentos que
operem fora do local, levando em conta
os diferentes riscos decorrentes do fato
de se trabalhar fora das dependncias da
organizao.

A.12.5.1 Procedimentos para controle de mudanas

Controle

A.9.2.5 Segurana de equipamentos fora

das dependncias da organizao

Aplicaes crticas de negcios devem

ser analisadas criticamente e testadas
quando sistemas operacionais so
mudados, para garantir que no haver
nenhum impacto adverso na operao da
organizao ou na segurana.

Controle

A.12.5.2 Anlise crtica tcnica das

aplicaes aps mudanas no sistema
operacional

Todos os equipamentos que contenham

mdias de armazenamento de dados
devem ser examinados antes do
descarte, para assegurar que todos os
dados sensveis e softwares licenciados
tenham sido removidos ou
sobregravados com segurana.

Controle

Modificaes em pacotes de software

no devem ser incentivadas e devem
estar limitadas s mudanas necessrias,
e todas as mudanas devem ser
estritamente controladas.

A.9.2.6 Reutilizao e alienao segura

de equipamentos

A.12.5 Segurana em processos de

desenvolvimento e de suporte

Controle

A.12.5.3 Restries sobre mudanas em

pacotes de software
Controle

Oportunidades para vazamento de

informaes devem ser prevenidas.

A.9.2.7 Remoo de propriedade

Controle

Os equipamentos devem ser colocados

no local ou protegidos para reduzir os
riscos de ameaas e perigos do meio
ambiente, bem como as oportunidades de
acesso no autorizado.

A.9.2.1 Instalao e proteo do equipamento

Autor: Uires Tapajs CompanyWeb.com.br verso 1.01

A.12.4.1 Controle de software operacional

Controle

Controle

Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das

atividades da organizao.

A.9 Segurana fsica e do ambiente

Controles
Fonte: ISO 27001

Objetivo: Garantir a segurana de

arquivos de sistema.

A organizao deve supervisionar e

monitorar o desenvolvimento terceirizado
de software .

Pontos de acesso, tais como reas de

entrega e de carregamento e outros
pontos em que pessoas no autorizadas
possam entrar nas instalaes, devem
ser controlados e, se possvel, isolados
dos recursos de processamento da
informao, para evitar o acesso no
autorizado.

Controle

Um processo de gerenciamento de
chaves deve ser implantado para apoiar o
uso de tcnicas criptogrficas pela
organizao.

A implementao de mudanas deve ser

controlada utilizando procedimentos
formais de controle de mudanas.

Deve ser projetada e aplicada proteo

fsica, bem como diretrizes para o
trabalho em reas seguras.

Controle

A.12.2.4 Validao de dados de sada

Controle

Deve ser desenvolvida e implementada

uma poltica para o uso de controles
criptogrficos para a proteo da
informao.

Os dados de teste devem ser

selecionados com cuidado, protegidos e
controlados.

Devem ser utilizados permetros de

segurana (barreiras tais como paredes,
portes de entrada controlados por carto
ou balces de recepo com
recepcionistas) para proteger as reas
que contenham informaes e recursos
de processamento da informao.

A.12.1 Requisitos de segurana de

sistemas de informao

Controle

Equipamentos, informaes ou software

no devem ser retirados do local sem
autorizao prvia.

Controle

A.12.5.4 Vazamento de informaes

Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao.

Controle

A.12.5.5 Desenvolvimento terceirizado de software

Os procedimentos de operao devem

ser documentados, mantidos atualizados
e disponveis a todos os usurios que
deles necessitem.

A.10.1.1 Documentao dos

procedimentos de operao
Controle

Objetivo: Reduzir riscos resultantes da explorao de

vulnerabilidades tcnicas conhecidas.
Deve ser obtida informao em tempo
hbil sobre vulnerabilidades tcnicas dos
sistemas de informao em uso, avaliada
a exposio da organizao a estas
vulnerabilidades e tomadas as medidas
apropriadas para lidar com os riscos
associados.

A.10.1.2 Gesto de mudanas

Modificaes nos recursos de

processamento da informao e sistemas
devem ser controladas.

Controle

A.12.6 Gesto de vulnerabilidades tcnicas

A.12.6.1 Controle de vulnerabilidades tcnicas

A.10.1 Procedimentos e
responsabilidades operacionais

Controle

Funes e reas de responsabilidade

devem ser segregadas para reduzir as
oportunidades de modificao ou uso
indevido no autorizado ou no
intencional dos ativos da organizao.

A.10.1.3 Segregao de funes

Controle
Objetivo: Controlar o acesso informao.
A poltica de controle de acesso deve ser
estabelecida, documentada e analisada
criticamente, tomando-se como base os
requisitos de acesso dos negcios e da
segurana da informao.

A.11.1 Requisitos de negcio para

controle de acesso

A.11.1.1 Poltica de controle de acesso

Controle

Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso

no autorizado a sistemas de informao.
Deve existir um procedimento formal de
registro e cancelamento de usurio para
garantir e revogar acessos em todos os
sistemas de informao e servios.

Recursos de desenvolvimento, teste e

produo devem ser separados para
reduzir o risco de acessos ou
modificaes no autorizadas aos
sistemas operacionais.

A.10.1.4 Separao dos recursos de

desenvolvimento, teste e de produo

Controle

Objetivo: Implementar e manter o nvel apropriado de segurana da informao

e de entrega de servios em consonncia com acordos de entrega de servios
terceirizados.
Deve ser garantido que os controles de
segurana, as definies de servio e os
nveis de entrega includos no acordo de
entrega de servios terceirizados sejam
implementados, executados e mantidos
pelo terceiro.

A.11.2.1 Registro de usurio

Controle
A.10.2.1 Entrega de servios

A concesso e o uso de privilgios

devem ser restritos e controlados.

Controle
Controle

A.11.2.2 Gerenciamento de privilgios

Os servios, relatrios e registros
fornecidos por terceiro devem ser
regularmente monitorados e analisados
criticamente, e auditorias devem ser
executadas regularmente.

A.11.2 Gerenciamento de acesso do usurio

A concesso de senhas deve ser

controlada por meio de um processo de
gerenciamento formal.

A.10.2.2 Monitoramento e anlise crtica

de servios terceirizados

A.11.2.3 Gerenciamento de senha do usurio

Controle

O gestor deve conduzir a intervalos

regulares a anlise crtica dos direitos de
acesso dos usurios, por meio de um
processo formal.

A.10.2 Gerenciamento de servios terceirizados

Controle

A.11.2.4 Anlise crtica dos direitos de

acesso de usurio
Controle
A.10.2.3 Gerenciamento de mudanas
para servios terceirizados

Objetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou

roubo da informao e dos recursos de processamento da informao.
Os usurios devem ser orientados a
seguir boas prticas de segurana da
informao na seleo e uso de senhas.

Controle
Controle

Mudanas no provisionamento dos

servios, incluindo manuteno e
melhoria da poltica de segurana da
informao, dos procedimentos e
controles existentes, devem ser
gerenciadas levando-se em conta a
criticidade dos sistemas e processos de
negcio envolvidos e a
reanlise/reavaliao de riscos.

A.11.3.1 Uso de senhas

Objetivo: Minimizar o risco de falhas nos sistemas.

Os usurios devem assegurar que os

equipamentos no monitorados tenham
proteo adequada.

A.11.3.2 Equipamento de usurio sem monitorao

Controle

Deve ser adotada uma poltica de mesa

limpa de papis e mdias de
armazenamento removveis e uma
poltica de tela limpa para os recursos de
processamento da informao.

A.11.3 Responsabilidades dos usurios

Devem ser consideradas as identificaes automticas de

equipamentos como um meio de autenticar conexes vindas de
localizaes e equipamentos especficos.

Objetivo: Proteger a integridade do software e da informao.

A.10.4.1 Controle contra cdigos maliciosos

Controle

A.10.4 Proteo contra cdigos

maliciosos e cdigos mveis

Controle

A.11.4.4 Proteo e configurao de

portas de diagnstico remotas

Objetivo: Manter a integridade e disponibilidade da informao e dos recursos de

processamento de informao.

A.11.4 Controle de acesso rede

Controle

A.10.5 Cpias de segurana

A.11.4.5 Segregao de redes

A.10.5.1 Cpias de segurana das informaes

Cpias de segurana das informaes e dos softwares devem ser

efetuadas e testadas regularmente, conforme a poltica de gerao
de cpias de segurana definida.

Controle

Objetivo: Garantir a proteo das informaes em redes e a proteo

da infra-estrutura de suporte.

A.11 Controle de acessos

A.11.4.6 Controle de conexo de rede

Redes devem ser adequadamente

gerenciadas e controladas, de forma a
proteg-las contra ameaas e manter a
segurana de sistemas e aplicaes que
utilizam estas redes, incluindo a
informao em trnsito.

Controle

A.10.6.1 Controles de redes

Controle
A.11.4.7 Controle de roteamento de redes
A.10.6 Gerenciamento da segurana em redes

Controle
Objetivo: Prevenir acesso no autorizado
aos sistemas operacionais.

O acesso aos sistemas operacionais

deve ser controlado por um procedimento
seguro de entrada no sistema ( log-on).

Onde o uso de cdigos mveis

autorizado, a configurao deve garantir
que o cdigo mvel autorizado opere de
acordo com uma poltica de segurana da
informao claramente definida e que
cdigos mveis no autorizados tenham
sua execuo impedida.

A.10.4.2 Controles contra cdigos mveis

Controle

Grupos de servios de informao, usurios e sistemas de

informao devem ser segregados em redes.

Deve ser implementado controle de

roteamento na rede para assegurar que
as conexes de computador e fluxos de
informao no violem a poltica de
controle de acesso das aplicaes do
negcio.

Controle

A.11.4.2 Autenticao para conexo

externa do usurio

A.11.4.3 Identificao de equipamento em redes

Controle

Para redes compartilhadas, especialmente as que se estendem pelos

limites da organizao, a capacidade de usurios para conectar-se
rede deve ser restrita, de acordo com a poltica de controle de acesso
e os requisitos das aplicaes do negcio (ver 11.1).

Devem ser implantados controles de

deteco, preveno e recuperao para
proteger contra cdigos maliciosos,
assim como procedimentos para a devida
conscientizao dos usurios.

A.11.4.1 Poltica de uso dos servios de rede

Controle

Deve ser controlado o acesso fsico e

lgico para diagnosticar e configurar
portas.

A.10.6.2 Segurana dos servios de rede

A.11.5.1 Procedimentos seguros de

entrada no sistema ( log-on)

Controle

Controle

Caractersticas de segurana, nveis de

servio e requisitos de gerenciamento
dos servios de rede devem ser
identificados e includos em qualquer
acordo de servios de rede, tanto para
servios de rede providos internamente
como para terceirizados.

Objetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio

aos ativos e interrupes das atividades do negcio.

A.10 Gerenciamento das operaes e comunicaes

A.10.7.1 Gerenciamento de mdias removveis

A.11.5.2 Identificao e autenticao de usurio

Devem existir procedimentos

implementados para o gerenciamento de
mdias removveis.

Controle

Controle
A.10.7.2 Descarte de mdias

Sistemas para gerenciamento de senhas

devem ser interativos e assegurar senhas
de qualidade.

As mdias devem ser descartadas de forma segura e

protegida quando no forem mais necessrias, por meio de
procedimentos formais.

Controle

A.11.5.3 Sistema de gerenciamento de senha

Controle

A.11.5 Controle de acesso ao sistema operacional

O uso de programas utilitrios que
podem ser capazes de sobrepor os
controles dos sistemas e aplicaes deve
ser restrito e estritamente controlado.

A.10.7 Manuseio de mdias

A.10.7.3 Procedimentos para tratamento de informao
Controle

A.11.5.4 Uso de utilitrios de sistema

Devem ser estabelecidos procedimentos

para o tratamento e o armazenamento de
informaes, para proteger tais
informaes contra a divulgao no
autorizada ou uso indevido.

Controle

A.10.7.4 Segurana da documentao dos sistemas

A documentao dos sistemas deve ser

protegida contra acessos no
autorizados.

Controle

A.11.5.5 Desconexo de terminal por inatividade

Controle

Objetivo: Manter a segurana na troca de informaes e softwares internamente

organizao e com quaisquer entidades externas.

Restries nos horrios de conexo

devem ser utilizadas para proporcionar
segurana adicional para aplicaes de
alto risco.

A.11.5.6 Limitao de horrio de conexo

Controle

A.10.8.1 Polticas e procedimentos para

troca de informaes
Controle

Objetivo: Prevenir acesso no autorizado

informao contida nos sistemas de aplicao.

Sistemas sensveis devem ter um

ambiente computacional dedicado
(isolado).

Devem ser estabelecidos critrios de

aceitao para novos sistemas,
atualizaes e novas verses e que
sejam efetuados testes apropriados do(s)
sistema(s) durante seu desenvolvimento
e antes da sua aceitao.

A.10.3.2 Aceitao de sistemas

Mtodos apropriados de autenticao

devem ser usados para controlar o
acesso de usurios remotos.

O acesso informao e s funes dos

sistemas de aplicaes por usurios e
pessoal de suporte deve ser restrito de
acordo com o definido na poltica de
controle de acesso.

Controle

A.11.3.3 Poltica de mesa limpa e tela limpa

Controle

Os usurios devem receber acesso

somente aos servios que tenham sido
especificamente autorizados a usar.

Terminais inativos devem ser

desconectados aps um perodo definido
de inatividade.

A utilizao dos recursos deve ser

monitorada e sincronizada e as projees
devem ser feitas para necessidades de
capacidade futura, para garantir o
desempenho requerido do sistema.

A.10.3 Planejamento e aceitao dos sistemas

Objetivo: Prevenir acesso no autorizado

aos servios de rede.

Todos os usurios devem ter um

identificador nico (ID de usurio), para
uso pessoal e exclusivo, e uma tcnica
adequada de autenticao deve ser
escolhida para validar a identidade
alegada por um usurio.

Controle

A.10.3.1 Gesto de capacidade

A.10.8.2 Acordos para a troca de informaes

A.11.6.1 Restrio de acesso informao
Controle

A.11.6 Controle de acesso aplicao e informao

A.10.8 Troca de informaes

Controle

A.10.8.3 Mdias em trnsito

A.11.6.2 Isolamento de sistemas sensveis

Controle

A.10.8.4 Mensagens eletrnicas

Controle

Controle

As informaes que trafegam em

mensagens eletrnicas devem ser
adequadamente protegidas.

A.11.7.1 Computao e comunicao mvel

Controle

A.10.8.5 Sistemas de informaes do negcio

A.11.7 Computao mvel e trabalho remoto

Controle
Uma poltica, planos operacionais e
procedimentos devem ser desenvolvidos
e implementados para atividades de
trabalho remoto.

Devem ser estabelecidos acordos para a

troca de informaes e softwares entre a
organizao e entidades externas.

Mdias contendo informaes devem ser

protegidas contra acesso no autorizado,
uso imprprio ou alterao indevida
durante o transporte externo aos limites
fsicos da organizao.

Objetivo: Garantir a segurana da informao quando se utilizam a

computao mvel e recursos de trabalho remoto.
Uma poltica formal deve ser
estabelecida e medidas de segurana
apropriadas devem ser adotadas para a
proteo contra os riscos do uso de
recursos de computao e comunicao
mveis.

Polticas, procedimentos e controles

devem ser estabelecidos e formalizados
para proteger a troca de informaes em
todos os tipos de recursos de
comunicao.

Polticas e procedimentos devem ser

desenvolvidos e implementados para
proteger as informaes associadas com
a interconexo de sistemas de
informaes do negcio.

Objetivo: Garantir a segurana de servios de comrcio eletrnico e

sua utilizao segura.

A.11.7.2 Trabalho remoto

Controle

A.10.9.1 Comrcio eletrnico

Controle

A.10.9 Servios de comrcio eletrnico

A.10.9.2 Transaes on-line
Controle

As informaes envolvidas em comrcio

eletrnico transitando sobre redes
pblicas devem ser protegidas de
atividades fraudulentas, disputas
contratuais, divulgao e modificaes
no autorizadas.

Informaes envolvidas em transaes

on-line devem ser protegidas para
prevenir transmisses incompletas, erros
de roteamento, alteraes no
autorizadas de mensagens, divulgao
no autorizada, duplicao ou
reapresentao de mensagem no
autorizada.

A.10.9.3 Informaes publicamente disponveis

Controle

A integridade das informaes

disponibilizadas em sistemas
publicamente acessveis deve ser
protegida, para prevenir modificaes
no autorizadas.

Objetivo: Detectar atividades no

autorizadas de processamento da
informao.
Registros (log) de auditoria contendo atividades dos usurios,
excees e outros eventos de segurana da informao devem ser
produzidos e mantidos por um perodo de tempo acordado para
auxiliar em futuras investigaes e monitoramento de controle de
acesso.

A.10.10.1 Registros de auditoria

Controle

A.10.10.2 Monitoramento do uso do sistema

Controle

A.10.10 Monitoramento

A.10.10.3 Proteo das informaes dos registros ( logs)

A.10.10.4 Registros ( log) de

administrador e operador

Controle

A.10.10.5 Registros ( logs) de falhas

Controle

Os recursos e informaes de registros

(log) devem ser protegidos contra
falsificao e acesso no autorizado.

As atividades dos administradores e

operadores do sistema devem ser
registradas.

Controle

A.10.10.6 Sincronizao dos relgios

Controle

ISO-27001-CONTROLES-v1.00.mmap - 29/09/2013 -

Devem ser estabelecidos procedimentos

para o monitoramento do uso dos
recursos de processamento da
informao e os resultados das
atividades de monitoramento devem ser
analisados criticamente, de forma regular.

As falhas ocorridas devem ser

registradas e analisadas, e devem ser
adotadas as aes apropriadas.

Os relgios de todos os sistemas de processamento de

informaes relevantes, dentro da organizao ou do domnio
de segurana, devem ser sincronizados de acordo com uma
hora oficial.