Professional Documents
Culture Documents
APRESENTAO
1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de
Segurana (CE-21:027.00) do Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), nas reunies de:
02.07.2013 28.08.2013
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;
Participante Representante
Prefcio Nacional
Scope
This Standard specifies the requirements for establishing, implementing, maintaining and continually
improving an information security management system within the context of the organization. This
Standard also includes requirements for the assessment and treatment of information security risks
tailored to the needs of the organization. The requirements set out in this Standard are generic and are
intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to
this Standard.
0. Introduo
0.1 Geral
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
organizacionais, funcionrios, tamanho e estrutura da organizao. So esperados que todos estes
fatores de influncia mudem ao longo do tempo.
importante que um sistema de gesto da segurana da informao seja parte e esteja integrado com
os processos da organizao e com a estrutura de administrao global e que a segurana da
informao seja considerada no projeto dos processos, sistemas de informao e controles. esperado
que a implementao de um sistema de gesto de segurana da informao seja planejado de acordo
com as necessidades da organizao.
Esta Norma pode ser usada por partes internas e externas para avaliar a capacidade da organizao
em atender os seus prprios requisitos de segurana da informao.
A ordem pela qual os requisitos so apresentados nesta Norma no reflete sua importancia ou implica
na ordem pela qual eles devem ser implementados. Os itens listados so numerados apenas para fins
de referncia.
A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema de gesto da segurana da
informao e referencia as normas da famila do sistema de gesto da segurana da informao
(incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies relacionados.
Esta Norma aplica a estrutura de alto nvel, os ttulos de sub-clusulas idnticos, textos idnticos,
termos comuns e definies bsicas, apresentadas no anexo SL da ISO/IEC Directives, Part 1,
Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de
sistemas de gesto que adotaram o anexo SL.
Esta abordagem comum definida no anexo SL ser ltil para aquelas organizaes que escolhem
operar um nico sistema de gesto que atenda os requisitos de duas ou mais normas de sistemas de
gesto.
1 Escopo
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gesto da segurana da informao dentro do contexto da organizao. Esta Norma
tambm inclui requisitos para a avaliao e tratamento de riscos de segurana da informao voltados
para as necessidades da organizao. Os requisitos definidos nesta Norma so genricos e so
pretendidos para serem aplicveis a todas as organizaes independentemente do tipo, tamanho ou
natureza. A excluso de quaisquer dos requisitos especificados nas sees 4 a 10 no aceitvel
quando a organizao busca a conformidade com esta Norma.
2 Referncias normativas
O documento relacionado a seguir indispensvel aplicao deste documento. Para referncias
datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies
mais recentes do referido documento (incluindo emendas).
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies apresentados na ISO/IEC 27000
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que so relevantes para o seu
propsito e que afetam sua capacidade para alcanar os resultados pretendidos do seu sistema de
gesto da segurana da informao.
NOTA Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como
obrigaes contratuais.
5 Liderana
5.1 5.1 Liderana e comprometimento
A Alta Direo deve demostrar sua liderana e comprometimento em relao ao sistema de gesto da
segurana da informao pelos seguintes meios:
f) orientando e apoiando pessoas que contribuam para eficcia do sistema de gesto da segurana
da informao;
h) apoiando outros papis relevantes da gesto para demostrar como sua liderana se aplica s reas
sob sua responsabilidade.
5.2 Poltica
b) inclua os objetivos de segurana da informao (ver 6.2) ou fornea a estrutura para estabelecer os
objetivos de segurana da informao;
A Alta Direo deve assegurar que as responsabilidades e autoridades dos papis relevantes para a
segurana da informao sejam atribuidos e comunicados.
NOTA A Alta Direo pode tambm atribuir responsabilidades e autoridades para relatar o desempenho do
sistema de gesto da segurana da informao dentro da organizao.
6 Planejamento
6.1 Aes para contemplar riscos e oportunidades
6.1.1 Geral
a) assegurar que o sistema de gesto da segurana da informao pode alcanar seus resultados
pretendidos;
b) como:
1) integrar e implementar estas aes dentro dos processos do seu sistema de gesto da
segurana da informao; e
A organizao deve definir e aplicar um processo de tratamento dos riscos de segurana da informao
para:
NOTA: As organizaes podem projetar os controles,conforme requerido, ou identific-los de qualquer outra fonte.
c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que
nenhum controle necessrio tenha sido omitido;
NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos objetivos de controle. Os usurios desta
Norma so instrudos a utilizar o Anexo A para garantir que nenhum controle necessrio foi omitido;
NOTA 2 Os objetivos de controle esto implicitamente includos nos controles escolhidos. Os objetivos de
controle e os controles listados no Anexo A no so exaustivos e controles e objetivos de controles adicionais
podem ser necessrios;
f) obter a aprovao dos responsveis pelos riscos do plano de tratamento dos riscos de segurana
da informao, e a aceitao dos riscos residuais de segurana da informao;
A organizao deve manter a informao documentada relativa ao processo de tratamento dos riscos
de segurana da informao;
NOTA O processo de tratamento e a avaliao dos riscos de segurana da informao desta norma est
alinhada com os princpios e diretrizes gerais definidas na ABNT NBR ISO 31000 Gesto de riscos Princpios e
diretrizes.
d) ser comunicados; e
7 Apoio
7.1 Recursos
7.2 Competncia
A organizao deve:
a) determinar a competncia necessria das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurana da informao;
c) onde aplicado, tomar aes para adquirir a competncia necessria e avaliar a eficcia das aes
tomadas; e
NOTA Aes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os
funcionrios atuais, ou pessoas competentes, prprias ou contratadas.
7.3 Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem estar cientes da:
7.4 Comunicao
a) o que comunicar;
b) quando comunicar;
c) quem comunicar;
7.5.1 Geral
b) informao documentada determinada pela organizao como sendo necessria para a eficcia do
sistema de gesto da segurana da informao.
b) formato (por exemplo, linguagem, verso do software, grficos) e o seu meio (por exemplo, papel,
eletrnico); e
A informao documentada requerida pelo sistema de gesto da segurana da informao e por esta
norma, deve ser controlada para assegurar:
b) que est adequadamente protegida (por exemplo, contra perda de confidencialidade, uso imprprio
ou perda de integridade).
d) f)Reteno e disposio.
A informao documentada de origem externa, determinada pela organizao como necessria para o
planejamento e operao do sistema de gesto da segurana da informao, deve ser identificada
como apropriada, e controlada.
NOTA O acesso implica em uma deciso quanto permisso para apenas ler a informao documentada, ou
a permisso e autoridade para ver e alterar a informao documentada.
8 Operao
8.1 Planejamento operacional e controle
A organizao deve manter a informao documentada na abrangncia necessria para gerar confiana
de que os processoas esto sendo realizados conforme planejado.
A organizao deve reter informao documentada dos resultados das avaliaes de risco de
segurana da informao.
A organizao deve reter informao documentada dos resultados do tratamento dos riscos de
segurana da informao.
9 Avaliao do desempenho
9.1 Monitoramento, medio, anlise e avaliao
b) os mtodos para monitoramento, medio, anlise e avaliao, conforme aplicvel, para assegurar
resultados vlidos;
NOTA Os mtodos selecionados devem produzir resultados comparveis e reproduzveis para serem vlidos.
A organizao deve reter informao documentada apropriada como evidncia do monitoramento e dos
resultados da medio.
A organizao deve conduzir auditorias internas a intervalos planejados para prover informaes sobre
o quanto o sistema de gesto da segurana da informao:
Organizao deve:
e) reter a informao documentada como evidncia dos programas da auditoria e dos resultados da
auditoria.
b) mudanas nas questes internas e externas, que sejam relevantes para o sistema de gesto da
segurana da informao;
3) resultados de auditorias; e
Os resultados da anlise crtica pela Direo devem incluir decises relativas a oportunidades para
melhoria contnua e quaisquer necessidades para mudanas do sistema de gesto da segurana da
informao.
A organizao deve reter informao documentada como evidncia dos resultados das anlises crticas
pela direo.
10 Melhoria
10.1 No conformidade e ao corretiva
b) avaliar a necessidade de aes para eliminar as causas de no conformidade, para evitar sua
repetio ou ocorrncia, por um dos seguintes meios:
As aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.
Anexo A
(normativo)
A.11.2 Equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo
das operaes da organizao.
A.17.2 Redundncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informao.
A.17.2.1 Disponibilidade dos Controle
recursos de Os recursos de processamento da informao
processamento da devem ser implementados com redundncia
informao suficiente para atender aos requisitos de
disponibilidade.
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo:Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou
contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana.
A.18.1.1 Identificao da legislao Controle
aplicvel e de requisitos Todos os requisitos legislativos estatutrios,
contratuais regulamentares e contratuais relevantes, e o
enfoque da organizao para atender a esses
requisitos, devem ser explicitamente
identificados, documentados e mantidos
atualizados para cada sistema de informao
da organizao.
A.18.1.2 Direitos de propriedade Controle
intelectual Procedimentos apropriados devem ser
implementados para garantir a conformidade
com os requisitos legislativos, regulamentares e
contratuais relacionados com os direitos de
propriedade intelectual, e sobre o uso de
produtos de software proprietrios.
A.18.1.3 Proteo de registros Controle
Registros devem ser protegidos contra perda,
destruio, falsificao, acesso no autorizado
e liberao no autorizada, de acordo com os
requisitos regulamentares, estatutrios,
contratuais e do negcio.
A.18.1.4 Proteo e privacidade de Controle
informaes de A privacidade e proteo das informaes de
identificao de pessoal identificao pessoal devem ser asseguradas
conforme requerido por legislao e
regulamentao pertinente, quando aplicvel.
A.18.1.5 Regulamentao de Controle
controles de criptografia Controles de criptografia devem ser usados em
conformidade com todas as leis, acordos,
legislao e regulamentaes pertinentes.
Bibliografia
[1] ABNT NBR ISO IEC 27002:2013, Tecnologia da Informao-Tcnicas de Segurana Cdigo de
Prtica para controles de segurana da informao
[2] ABNT NBR ISO IEC 27003:2011- Tecnologia da Informao-Tcnicas de Segurana Diretrizes
para implantao de um sistema de gesto da segurana da informao
[3] ABNT NBR ISO/IEC 27004:2010, Tecnologia da informao Tcnicas de segurana Gesto
da segurana da informao Medio
[4] ABNT NBR ISO/IEC 27005:2011, Tecnologia da informao Tcnicas de segurana Gesto
de riscos de segurana da informao
[6] ISO IEC Directives, Part 1 Consolidated ISO Supplement Procedures specific to ISO :2012