Seção Categoria Objetivos Controle Descritivo Diretrizes Informações Adicionais Status Justificativa Necessidade de Ações

A política de SI pode ser um único

5- Políticas de 5.1- Orientação da direção Prover orientação e apoio da Convém que uma política de SI seja Uma política de SI deve ser aprovada pela documento, ou um conjunto de documentos
direção para a SI, de acordo com 5.1.1- Políticas para segurança definida, aprovada pela direção, publicada
Segurança da para segurança da os requisitos do negócio e da informação e comunicada para todos os funcionários direção e estabeleça como serão / Se a política de SI for distribuída fora da
Informação Informação gerenciados os objetivos de SI organização, não se pode divulgar
leis/regulamentações relevantes e parceiros externos relevantes informações confidenciais

Convém que a política de SI seja analisada Convém que a política de SI tenha um gestor
5.1.2- Análise crítica das políticas criticamente em intervalos planejados ou (Owner) declarado / A direção deve analisar Nada consta
para SI quando mudanças significativas
ocorrerem (controle de versão) e aprovar as revisões da política de SI

6- Organização da Estabelecer uma estrutura de Convém que todas as responsabilidades As responsabilidades pela SI devem estar de
Segurança da 6.1- Organização Interna gerenciamento da segurança da 6.1.1- Responsabilidades e
papéis pela SI pela segurança da informação sejam acordo com a Política de SI / Estejam claras Deve haver um gestor global da política de
as responsabilidades pelos Ativos / Gestão SI e gestores para cada Ativo
Informação informação na organização definidas e atribuídas de Riscos definida

Convém que as áreas de responsabilidade Convém evitar que uma única pessoa seja Segregação de funções é um método para
6.1.2- Segregação de funções sejam segregadas (separadas) para para responsável pela gestão dos Ativos / Sempre reduzir o risco de mau uso dos Ativos da
reduzir a possibilidade de modificação não que possível separar a Autorização da organização
autorizada e o uso indevido dos Ativos Execução dos processos de SI

A organização deve ter procedimentos Manter contatos que possam apoiar a

6.1.3- Contato com autoridades Convém que os contatos apropriados com implementados que definam quando e gestão de incidentes de SI e Planejamento
autoridades relevantes sejam mantidos quais autoridades devem ser contatadas em de Contingência e Continuidade de
relação a incidentes de SI Negócios

Manter associação com grupos especiais a

Convém que contatos com grupos
6.1.4- Contato com grupos especiais, associações ou outros fóruns
especiais especializados em SI sejam mantidos
fim de: Ampliar conhecimento sobre
melhores práticas / Manter o conhecimento Formalizar e documentar os
atualizado / Receber alertas acordos/contatos de cooperação
antecipadamente / Compartilhar e trocar
informações relevantes

A SI deve ser integrada ao gerenciamento de

6.1.5- SI no gerenciamento de Convém que a SI seja considerada no projetos para que os Riscos de SI sejam
gerenciamento de projetos, Nada consta
projetos independentemente de tipo de projeto identificados e considerados como parte dos
Projetos

Quando dispositivos móveis são utilizados,

6.2- Dispositivos Móveis e Garantir a segurança das Convém que sejam adotados controles Convém que a Política de SI determine os
informações no trabalho Remoto 6.2.1- Política para o uso dos para gestão dos Riscos em relação ao uso cuidados especiais devem ser tomados para quesitos técnicos para o uso e gestão dos
trabalho Remoto e no uso dos dispositivos Móveis dispositivos móveis dos Dispositivos Móveis que as informações do Negócio não sejam Dispositivos Móveis
comprometidas

A política de SI tem de definir condições e

Convém que a Política de SI determine restrições para o uso do Trabalho Remoto, Trabalho Remoto refere-se a qualquer forma
6.2.2- Trabalho remoto controles para proteger as informações considerando o que pode ser aplicado por de trabalho fora das instalações da
em locais de trabalho Remoto lei Organização

Assegurar que funcionários e Convém que verificações do histórico do As verificações devem levar em
7- Segurança em partes externas entendam suas candidadto sejam realizadas, de forma consideração a legislação pertinente a
recursos humanos 7.1- Antes da contratação responsabilidades e estejam em 7.1.1- Seleção ética, e seja proporcional aos requisitos de privacidade e quando for possível, levar em Nada consta
(RH) conformidade com os papéis negócio e classificação das informações a consideração os itens técnicos constantes da
para os quais foram selecionados serem acessadas norma

Convém que as obrigações contratuais Convém que as obrigações contratuais para Um código de conduta (ou nomenclatura
7.1.2- Termos e condições de com funcionários e partes externas, funcionários e partes externas, estejam equivalente) pode ser usado para
contratação declarem suas responsabilidades e da alinhadas com a política de SI observando estabelecer as responsabilidade de SI e
Organização em relação a SI os itens constantes na norma assuntos conexos

Assegurar que funcionários e Convém que a direção da Organização Os funcionários e partes externas devem
partes externas estão solicite a todos os funcionários e partes estar instruídos sobres suas
7.2- Durante a contratação conscientes e cumpram as suas 7.2.1- Responsabilidades da externas que pratiquem a SI de acordo responsabilidades em relação a SI / recebam Funcionários e partes externas tem de estar
informados, treinados e serem motivados a
responsabilidades em relação a direção com o estabelecimento nas políticas e diretrizes / estejam motivados a cumprir a
política de SI / tenham habilidades e cumprir com seus papéis em relação a SI
SI procedimentos da organização qualificação necessárias

7.3- Encerramento e
mudança da contratação
8- Gestão de Ativos 8.1- Responsabilidade pelos
ativos
8.2- Classificação da
Informação
8.3- Tratamento de mídias
7.2.2- Conscientização, educação funcionários/partes
e treinamento em SI
cerca da política de SI relevantes para suas permanentes
7.2.3- Processo disciplinar
Proteger os interesses da 7.3.1- Responsabilidades pelo
organização como parte do
processo de mudança ou encerramento ou mudança da
encerramento da contratação contratação
Identificar os Ativos da
organização e definir as
responsabilidades apropriadas 8.1.1- Inventários dos Ativos
para a proteção destes Ativos
8.1.2- Proprietário dos Ativos
8.1.3- Uso aceitável dos Ativos
8.1.4- Devolução de Ativos
8.2.1- Classificação da
informação
8.2.2- Rótulos e Tratamento da
informação
8.2.3- Tratamento dos Ativos
Prevenir a divulgação não
autorizada, modificação, 8.3.1- Gerenciamento de midias
remoção ou destruição de removíveis
informação armazenada nas
midias
Convém qure todos os
externas recebam
treinamento e atualização regulares a
funções
Deve haver um processo disciplinar
Formal, implantado e comunicado, com
vistas a violações da política de SI
As responsabilidades e obrigações pela SI
que sejam válidas após o encerramento
ou mudança da contratação devem ser
comunicados aos funcionários/partes
externas
Os Ativos associados com SI e com
recursos de processamento de TI sejam
identificados e constem em Inventário
Convém que os Ativos mantidos no
inventário tenham um
proprietário/responsável
As regras para o uso aceitável das
informações e dos Ativos, devem ser
identificadas, documentadas e
implementadas
Todos os funcionários/partes externas
devem devolver todos os Ativos da
organização após o encerramento de suas
atividades, contrato ou acordo
As informações devem ser classificadas de leve em consideração as necessidades do
acordo com o valor, requisitos legais,
sensibilidade e criticidade, visando evitar proprietários dos Ativos são responsaveis
modificação ou divulgação não autorizada pela classificação / Deve estar alinhado com
Convém que um conjunto apropriado de
procedimentos para Rotular e Tratar a
informação seja desenvolvido e
implementado de acordo com a política
de Classificação das informações
Convém que os procedimentos para o
tratamento dos Ativos sejam
desenvolvidos e implementados de transmissão de informações devem ser de
acordo com o esquema de classificação da acordo com a classificação / Considerar os
informação adotada pela organização
Convém que existam procedimentos
implementados para o gerenciamento de
mídias removíveis, de acordo com o
esquema de classificação adotado pela
Organização
Os treinamentos devem tornar os
funcionários/partes externas conscientes de
suas responsabilidade em relação a política O programa de conscientização deve focar
de SI / Programas de conscientização
no: O que? Como? E por que?
/ Ações diferentes em razão
de perfil diferentes de usuários
O processo disciplinar deve ser justo e
correto / Somente deve iniciar após a
comprovação da situação de Violação / Pode prever recompensas positivas em
relação ao cumprimento da política de SI
Deve ser comunicado de forma preventiva
às violações da política de SI
A comunicação de encerramento de
atividades deve incluir os requisitos de A gestão de RH deve ser responsável pelo
processo de encerramento de atividades
segurança, quando for o caso / com suporte da área de SI quanto a
Gerenciamento das mudanças de questões técnicas
responsabilidade e reflexos na política de SI
Convém que haja um Inventário dos ativos A ISO 27005 (Gestão de Riscos em TI)
da organização, completo e atualizado, e
que seja indicado o Responsável por cada fornece exemplos de Ativos que devem ser
um dos Ativos considerados pelo organização
O responsável pelo Ativo pode ser um
Os proprietários pelos Ativos definidos pela indivíduo ou equipe / Em sistemas
direção serão os responsáveis pelos mesmos complexos o Ativo pode ter a
/ Acompanhe todo ciclo de vida do Ativo responsabilidade dividida por módulos ou
grupos de funcionalidades
Os funcionários/partes externas que usam
ou tem acesso as informações devem estar Nada consta
conscientes dos requisitos de SI e sua
responsabilidades em relação aos mesmos
Convém que o processo de encerramento
de atividades seja formalizado para que haja
a devolução dos Ativos da organização,
quando for o caso / Se o funcionário ou Nada consta
parte externa compre o Ativo da
organização ou use o seu próprio
equipamento toda a informação da
organização deve ser excluída ou transferida
Convém que a classificação da informação
negócio / Observar requisitos legais / Os Seguir as orientações da Norma para criar o
esquema de confidencialidade
a política de controle de Acesso
Deve tratar da informação nos formatos A rotulação de informações classificadas é
físicos e eletrônicos / Devem orientar onde um requisito chave para acordos de
e como os Rótulos são colocados / Deve compartilhamento de informações / Rótulos
haver um nível para informações críticas ou Físicos e Metadados são a forma mais
sensíveis comum de rotulagem
Os procedimentos de tratamento,
processamento e armazenamento e A informações que transitam entre
Organizações podem ter classificações
diferentes de acordo com sua Origem
itens citados na Norma
Observar as diretrizes para gerenciamento Os níveis de Autorização devem ser
de mídias Removíveis citadas na Norma Documentados

Convém que mídias sejam descartadas de
8.3.2- Descarte de mídias forma segura, quando não forem mais
necessárias, por meio de procedimentos
formais
Os procedimentos formais para o descarte
seguro das mídias sejam definidos para
minimizar o Risco de vazamento de
informações sensíveis a pessoas não
Autorizadas / Considerar os itens citados na
Norma
Equipamentos danificados contendo dados
sensíveis podem exigir avaliação de Riscos
para determinar se serão destruídos e não
enviados para conserto/descartados

Convém que as mídias contendo Quando a informação confidencial não é

8.3.3- Transferência física de informações sejam protegidas contra Observar as recomendações da Norma criptografada na mídia, convém que seja
mídias Acessos não autorizados, uso impróprio quanto ao transporte de Mídias considerada a Proteção física Adicional
ou corrupção durante o Transporte desta mídia

Convém que uma política de controle de Os proprietários dos Ativos determinem

9- Controle de 9.1- Requisitos do negócio Limitar o acesso à informação e 9.1.1- Política de controle de Acesso seja estabelecida, documentada e regras de controle de Acesso, direitos e Tomar cuidado na especificação de regras
Acesso para controle de Acesso aos recursos de processamento acesso analisada criticamente, baseada nos Restrições / Considerar acesso Lógicos e de controle de Acesso em relação aos itens
de informação requisitos de segurança da informação é Físicos de forma conjunta / Observar os citados na Norma
dos Negócios itens citados na Norma

Convém que os Usuários somente

9.1.2- Acesso às redes e aos recebam acesso às redes e aos Serviços de O uso de Redes e Serviços de redes devem Deve haver controle sobre Conexões sem
serviços de rede rede que tenham sido especificamente estar especificados na Política de SI autorização e inseguras nos Serviços de
Autorizados a usar conforme itens citados na Norma Redes

Assegurar acesso de usuários Convém que um processo formal de

9.2- Gerenciamento de autorizado e prevenir acesso não 9.2.1- Registro e cancelamento Registro e cancelamento de usuário seja Odeve
processo para gerenciar o ID dos usuários Gerenciar o processo de Fornecer ou
observar os itens citados na Norma, Revogar acessos, conforme itens citados na
acesso do Usuário Autorizado a Sistemas e Serviços do usuário implementado para permitir atribuição de tais como: LOGIN único / Remoção de IDs Norma
direitos de Acesso

Convém que o processo Formal de Aprovações separadas para a Direção da

provisionamento de acesso do usuário
9.2.2- Provisionamento para seja implementado para Conceder e
acesso de usuário Revogar os direitos de acesso para todos
os tipos de usuários em todos os Sistemas
e Serviços
empresa / Verificar o nivel de acesso
solicitado em relação a PSI / Não ativar
acessos antes da Análise de Solicitação /
Manutenção de Registros / Adaptação de
direitos de acesso quando da alteração de
função
Estabelecer regras de acesso dos usuários
baseada nos requisitos de Negócio /Prever
considerações quanto aos acessos em
contratos de trabalho e termos de
responsabilidade

Convém que a concessão e uso de direitos A alocação de direitos de acesso privilegiado O uso inapropriado de privilégios de
9.2.3- Gerenciamento de Direitos de acesso privilegiado sejam restritos e sejaautorização
controlada por meio de um processo de administrador de sistemas pode ser um
de acesso privilegiados controlados Formal, de acordo com a grande fator de contribuição para falhas ou
Política de controle de acesso pertinente violações de sistemas

Solicitar assinatura formal em solicitação /

9.2.4- Gerenciamento da
informação de Autenticidade
secreta de usuários
Convém que a concessão de informação Senhas
de grupo somente com usuários do
de autenticação secreta seja controlada Grupo / Verificar identidade antes de passar Informações de autenticação secretas:
por meio de um processo de informações secretas / Senhas Temporárias Senhas, Chaves de Criptografia, outros
gerenciamento Formal devem ser alteradas já no primeiro acesso

Revisar os direitos de Acesso em intervalos

Convém que os proprietários de Ativos
9.2.5- Análise crítica dos direitos analisem criticamente os direitos de
de acesso de usuário acesso dos usuários, em Intervalos
regulares
regulares / Analisar os direitos de acesso
quando houver movimentação do usuário / Este controle compensa possíveis
Acessos privilegiados devem ser revisados Vulnerabilidades dos controles
em intervalos de tempo mais curtos / 9.2.1/9.2.2/9.2.6
Modificações de contas Privilegiadas devem
ser registrados e analisadas periodicamente

9.2.6- Retirada ou ajustes de
direitos de acesso
Convém que os acessos de todos os
funcionários e partes Externas sejam
retirados após o encerramento de suas
atividades, contratos ou acordos ou
ajustados após a mudança destas
atividades
Remover Acessos após encerramento de Retirar pessoas que estão saindo da
atividades e contratos / Caso o funcionário organização de todos os grupos que façam
ou terceiro que esteja saindo possuir senhas parte / Atentar para o fato de que antes de
importantes, as mesmas devem ser sair da organização as pessoas podem ser
alteradas / Analisar fatores de Risco citados tentadas a apagar ou corromper
na Norma informações importantes

Convém que os usuários sejam orientados

9.3- Responsabilidades dos Tornar os usuários responsáveis 9.3.1- Uso da informação de a seguir as práticas da organização quanto Seguir os itens citados na Norma em relação Atentar para o fornecimento de SSO
Usuários pela proteção das suas Autenticidade secreta ao uso da informação de autenticação as orientações e questões técnicas em (Simples Sign On) ou ferramentas de
informações de autenticação secreta relação as Senhas de Acesso gerenciamento de autenticação

Convém que as restrições para o acesso

Convém que o acesso à informação e às sejam baseadas nos requisitos das
9.4- Controle de acesso ao Prevenir Acesso não autorizado 9.4.1- Restrição de Acesso à funções dos sistemas de aplicações seja aplicações individuais do negócio e de Nada consta
Sistema e à Aplicação aos sistemas e aplicações informação restrito, de acordo com a política de acordo com a política de controle de acesso
controle de acesso definida / Atentar para os Controles citados
na Norma

Assegurar o uso efetivo e
adequado da criptografia para
10- Criptografia 10.1- Controles proteger a confidencialidade, 10.1.1- Controles criptográficos
criptográficos autenticidade e integridade das
informações
Prevenir o acesso Físico não
11- Segurança física e 11.1- Áreas seguras autorizado, danos e
interferências com os recursos 11.1.1- Perímetro de segurança
do Ambiente de processamento das
informações da organização
9.4.2- Procedimentos seguros de sistemas
entrada no Sistema (log-On)
9.4.3- Sistema de gerenciamento
de Senha
9.4.4- Uso de programas
utilitários Privilegiados
9.4.5- Controle de acesso ao
código-fonte de programas
10.1.2- Gerenciamento de
Chaves
física
11.1.2- Controles de entrada
Física
11.1.3- Segurança em
escritórios, salas e instalações
11.1.4- Proteção contra ameaças Convém que sejam projetadas a aplicadas
externas e do meio-ambiente
11.1.5- Trabalhando em áreas
seguras
Convém que, onde aplicável pelo política
de controle de acesso, o acesso aos
e aplicações sejam controlados
por um procedimento seguro de entrada
no sistema (log-On)
Convém que os sistemas para
gerenciamento de senhas sejam
interativos e assegurem senhas de
qualidade
Convém que o uso de programas
utilitários que podem ser capazes de
sobrepor os controles dos sistemas e
aplicações sejam restritos e estritamente
controlados
Convém que o acesso aos código-fonte de
programas seja restrito
Convém que seja desenvolvida e
implementada uma política para o uso de
controles criptográficos para proteção da
informação
Convém que uma política sobre o uso,
proteção e ciclo de vida das chaves
criptográficas, seja desenvolvida e
implementada
Convém que Perímetros de segurança
sejam definidos e usados para proteger
tanto as áreas que contenham as
instalações de processamento da
informação como as informações críticas
ou sensíveis
Convém que as áreas seguras sejam
protegidas por controles apropriados de
entrada para assegurar que somente
pessoas autorizadas tenham acesso
Permitido
Convém que seja projetada e aplicada
segurança física para escritórios, salas e
demais instalações
proteção física contra desastres naturais,
ataques maliciosos ou acidentes
Convém que seja projetado e aplicado
procedimentos para o trabalho em áreas
seguras
Usar técnicas de autenticação adequadas /
Usar métodos alternativos à autenticação A complexidade de autenticação do usuário
por Senha / Minimizar as possibilidades de deve ser apropriado em relação a
acesso não autorizado via Sistema classificação da informação associada /
Operacional / Atentar para os detalhes Evitar a transmissão de Senhas em texto
quanto ao processo de Log-On citados na puro (sem criptografia)
Norma
Convém que o "sistema" de gerenciamento Poderão haver cituações específicas que
de senhas siga as recomendações citadas na podem conflitar com as recomendações
Norma deste controle citadas na Norma
A maioria das instalações de computadores
Convém atentar para os itens citados na
Norma em relação ao uso de programa tem um ou mais programas utilitários que
podem ser capazes de sobrepor controles
utilitários dos sistemas e aplicações
Os acessos ao código-fonte e
documentações de programas devem ser
restritos / Manter guarda centralizada de Nada consta
código-fonte e documentos conexos /
Atentar para as orientações da Norma em
relação ao controle de acesso a código-fonte
A definição de uma política relacionada a
Quando do desenvolvimento de uma criptografia deve ser amplamente discutida
política de criptografia, convém que seja e analisada / Buscar auxílio de um
consideradas as orientações da Norma especialista no assunto para buscar as
melhores práticas
A política deve conter requisitos para
gerenciamento de chaves criptográficas O ISO 11170 trata da gestão de chaves e
conforme as orientações da Norma técnicas criptográficas
Criar barreiras físicas de segurança / Ter
Observar as orientações da Norma quanto atenção especial em espaços
aos perímetros de segurança Física compartilhados / Seguir a avaliação de
Riscos
Controlar e registrar entrada e saída de
visitantes / Restringir o acesso as áreas
sensíveis / Manter Auditoria de acessos / Nada consta
Utilizar identificação pessoal visível /
Observar os controles 9.2.4 e 9.2.5
Instalações-chave localizadas de maneira a
evitar o acesso público / Identificar de
forma discreta setores com atividade de Nada consta
processamento de informações / Utilizar
proteção magnética e isolamento acústico
quando possível
Convém que a orientação de especialistas
sejam obtidas sobre como evitar danos
oriundos de Fogo, Inundação, Terremoto, Nada consta
Explosão, Manifestações civis e outras
formas de desastres natual ou provocado
pela natureza
Divulgação de áreas sensíveis somente
quando necessário / Evitar o trabalho não
supervisionado / Áreas sensíveis sem uso
trancadas e verificadas com frequência / Nada consta
Não permitir o uso de equipamentos
eletrônicos nas áreas sensíveis a fim de
minimizar a exposição destes espaços

11.1.6- Áreas de entrega e de
carregamento
Impedir perdas, danos e furto ou
roubo, ou comprometimento de 11.2.1- Escolha do local e
11.2- Equipamentos Ativos e interrupção das proteção do equipamento
operações da organização
11.2.2- Utilidades
11.2.3- Segurança do
cabeamento
11.2.4- Manutenção dos
equipamentos
11.2.5- Remoção de Ativos
11.2.6- Segurança de
equipamentos e ativos fora das
dependências da Organização
11.2.7- Reutilização e alienação
segura de equipamentos
11.2.8- Equipamentos de usuário Convém que os Usuários assegurem que
os equipamentos não monitorados
sem monitoração
11.2.9- Política de mesa limpa e
tela limpa
Convém que áreas de fácil acesso ao
público externo tenham instalações físicas Observar as orientações e controles Nada consta
e lógicas isoladas e monitoradas em previstos na Norma
relação ao restante da Organização
Convém que os equipamentos sejam
colocados em local seguro ou protegidos Levar em consideração as orientações
para reduzir os riscos de ameaças e constantes na Norma Nada consta
perigos do meio-ambiente, bem como, as
oportunidades de acesso Não autorizado
Convém que todas as utilidades (energia
elétrica, telecomunicações, água, gás,
Convém que os equipamentos sejam esgoto, ar-condicionado) estejam em Redundância adicional para conectividade
protegidos contra falta de energia elétrica Conformidade / Sejam avaliadas em rede pode ser obtida por meio de
e outras interrupções causadas por falhas regularmente / Sejam inspecionadas e múltiplas rotas de mais de um provedor de
das utilidades Testadas / tenham Alarme de mau utilidades
funcionamento / Tenham multiplas fontes
de alimentação
Convém que o cabeamento de energia e Convém que linhas de energia e
de telecomunicações que transporta dado telecomunicações tenham entradas
ou dá suporte aos serviços de informações subterrâneas / Cabos de alimentação de Nada consta
seja contra interceptação, interferência ou energia separados dos cabos de dados /
dano Observar controles citados na Norma
Convém que os equipamentos tenham
manutenção correta para assegurar sua Observar as diretrizes citadas na Norma em Nada consta
disponibilidade e integridade permanente relação a Manutenção dos equipamentos
Identificar funcionários e partes externas
que tem autoridade para retirada de Ativos
da Organização / Deve haver limite de Devem haver inspeções para verificar se há
Convém que os equipamentos, tempo para devolução dos ativos / Deve retirada de Ativos sem prévia autorização /
informações ou software não sejam
retirados do local sem autorização prévia haver registro dos Ativos retirados da Com prévio aviso e autorização da área ou
organização / Deve haver registro e pessoa responsável
documentação das pessoas que menuseiam
e retirar Ativos da organização
Convém que sejam tomadas medidas de São considerados todos os equipamentos
segurança para Ativos que operem fora do Observar as diretrizes de utilização citadas utilizados para processamento e
local, levando em conta os diferentes
riscos decorrentes de se trabalhar fora das na Norma armazenamento de informações / Observar
dependências da organização o controle 6.2
Convém que todos os equipamentos que
contenham mídias de armazenamento de Inspecionar equipamentos antes do
dados sejam examinados antes de descarte verificando a presença de mídias /
descarte, para assegurar os dados Destruir fisicamente mídias que contenham Observar recomendações citadas na Norma
sensíveis e softwares licenciados tenham informação sensível / Formatar ou sobre-
sido removidos ou sobre-gravados com gravar as informações de modo que não
segurança, antes do descarte ou de seu seja possível sua recuperação
uso
Todos os usuários devem estar cientes dos
controles de segurança / Bloquear ou
encerrar sessões ativas de sistemas / Nada consta Entendo que não não como assegurar este
tenham proteção adequada Desconectar serviços de redes ou aplicações controle
/ Proteger dispositivos móveis do uso não
autorizado
Convém que seja adotada uma Política de Considerar a classificação das informações / Mesa limpa e tela protegida reduz os Ricos
mesa limpa de papéis e mídias de
armazenamento removíveis e uma política Requisitos contratuais e legais / Aspectos de acesso não autorizado / Considerar o uso
de tela limpa para os recursos de culturais da Organização e demais diretrizes de Impressoras com PIN para liberação de
processamento de informações citadas na Norma documentos

Garantir a operação segura e 12.1.1- Documentação dos
12- Segurança nas 12.1- Responsabilidades e
Operações procedimentos operacionais
processamento de informação procedimentos de operação
Assegurar que as informações e
12.2- Proteção contra
os recursos de processamento 12.2.1- Controles contra códigos recuperação
códigos maliciosos da informação estão protegidos maliciosos
Proteger contra a perda de
12.3- Cópias de Segurança
12.4- Registros e
Monitoramento
correta dos recursos de
12.1.2- Gestão de mudanças
12.1.3- Gestão de capacidade
12.1.4- Separação dos ambientes desenvolvimento, teste e produção sejam
de desenvolvimento, teste e de
produção
contra códigos maliciosos
12.3.1- Cópias de segurança das
dados informações
Registrar eventos e gerar
evidências 12.4.1- Registros de eventos
12.4.2- Proteção das
informações dos registros de
eventos (logs)
12.4.3- Registros de eventos
(log) de administrador e
operador
12.4.4- Sincronização dos
relógios
Os procedimentos documentados para
Convém que os procedimentos de atividades operacionais tais como:
operação sejam documentados e Nada consta
Inicialização e desligamento de sistemas /
disponibilizados a todos os usuários que Geração de Backup / Tratamento de mídias /
necessitem deles Observar as diretrizes citadas na Norma
Convém que a mudança na organização,
A falta de controle em modificações de
nos processos do negócio, nos recursos de Considerar os itens em particular citados na infraestrutura
e sistema são causas comuns
processamento da informação e nos Norma de falhas de segurança e mau
sistemas que afetam a segurança da
informação, sejam controladas funcionamento / Ver controle 14.2.2
Convém que a utilização dos recursos seja
monitorada e ajustada e as projeções Este controle também considera a
sejam feitas para necessidades de Observar as diretrizes citadas na Norma capacidade dos recursos humanos, bem
capacidade futura para garantir o como dos escritórios e instalações
desempenho requerido no sistema
O nível de separação dos ambientes de
Convém que os ambientes de produção, testes e desenvolvimento, que é Segmentar os ambientes de Testes e
Desenvolvimento faz com que os riscos de
necessário para prevenir problemas operações mau sucedidas sejam
separados para reduzir os Riscos de operacionais, seja identificado e os
acessos ou modificações não autorizadas controles apropriados sejam minimizados, bem como a garantia da
no ambiente de produção inplementados / Observar os itens citados confidencialidade da informações de
na Norma "produção" / Observar o controle 14.3
A proteção contra códigos maliciosos seja
Convém que sejam implementados baseada em Software de detecção e Sob certas condições, a proteção contra
resposta a códigos maliciosos, na
controles de detecção, prevenção e
conscientização da segurança da códigos maliciosos pode causar perturbação
para proteger contra códigos informação, no controle de acesso nas operações / O uso de dois ou mais
maliciosos, combinado com um adequado adequado a nos controles de gerenciamento software de proteção no mesmo ambiente
programa de conscientização do usuário pode aumentar a eficácia de proteção
de mudanças / Observar os controles
citados na Norma
Convém que as cópias de segurança das Convém que haja um Política de Backup
informações, software e das imagens do definindo controles e requisitos / Deve Testar procedimentos de Backup e Restore
SO, sejam efetuadas e testadas haver procedimentos de recuperação de perodicamente / Usar mecanismos
regularmente conforme a política de Desastres / Observar os itens citados na automatizados para cópias de segurança
geração de cópias de segurança definidas Norma
Convém que regsitros (log) de eventos das Tomar medidas de proteção da privacidade
quanto ao conteúdo e gerenciamento dos
atividades do usuário, exceções, falhas e Convém que os registros de Logs incluam os Logs - Ver controle 18.1.4 / Os
eventos de segurança da informação itens citados na Norma administradores de sistemas não devem ter
sejam produzidos, mantidos e analisados acesso para exclusão, alteração e
criticamente, a intervalos regulares
desativação dos Logs - Ver controle 12.4.3
Os controle implementados objetivem a
proteção contra modificações não
autorizadas às informações dos (logs) e
Convém que as informações dos registros problemas Automatizar cópia dos registros que tem
operacionais com os recursos relação com SI a partir dos logs / Convém
(log) e seus recursos sejam protegidas dos registros (log) tais como: Alteração dos que sejam feitas cópias externas dos
contra acesso não autorizado e
Adulteração logs gravados / Arquivos editados ou arquivos de log para proteção e
excluídos / gestão sobre a área de confidencialidade
armazenamento dos Logs para evitar perda
e sobreposição
Convém que as atividades dos É necessário proteger e analisar
administradores e operadores dos criticamente os registros (logs) para manter Um sistema de IDS (Detecção de Intrusão)
sistemas sejam registradas e os registros o controle dos usuários privilegiados, fora do controle dos administradores de Quem faria o monitoramento?
(logs) protegidos e analisados reduzindo o risco de manipulação dos rede pode ser utilizado para monitorar as
atividades dos mesmos
criticamente, a intervalos Regulares registros
Convém que os relógios de todos os
sistemas de processamento de informação Documentar qual a fonte de sincronização O uso de sincronização dos relógios dos
relevantes, dentro da organização ou (NTP) é utilizada pela organização, assim sistemas é de suma importância para a
domínio de segurança, sejam como os requisitos técnicos confiabilidade dos registros de Logs
sincronizados com uma única fonte de
tempo precisa
 12.5- Controle de software
operacional
12.6- Gestão de
vulnerabilidades técnicas
12.7- Considerações quanto
à auditoria de software atividades de Auditoria nos SOs sistemas de informação
13- Segurança nas 13.1- Gerenciamento da
Comunicações segurança em Redes
13.2- Transferência de informação transferida dentro da 13.2.1- Políticas e procedimentos transferência formais sejam estabelecidos
Informação
14- Aquisição, informação é parte integrante de
desenvolvimento e 14.1- Requisitos de todo o ciclo de vida dos sistemas 14.1.1- Análise e especificação
manutenção de segurança de sistemas de
informação inclui os requisitos para sistemas informação
sistemas
Assegurar a integridade dos
Sistemas Operacionais
Prevenir a exploração de
vulnerabilidades técnicas
Minimizar o impacto das 12.7.1- Controles de auditoria de Auditoria envolvendo verificação nos SOs
Garantir a proteção das
informações em redes e dos 13.1.1- Controles de Redes
recursos de processamento da
informação que os apoiam
Manter a segurança da
organização e com quaisquer para transferência de informação informações, por meio de uso de todos os
entidades externas
Garantir que a segurança da
de informação. Isto também dos requisitos de segurança da
de informação que fornecem
serviços sobre as redes públicas
12.5.1- Instalação de software
nos sistemas operacionais
12.6.1- Gestão de
vulnerabilidades técnicas
12.6.2- Restrições quanto à
instalação de software
Convém que os requisitos e atividades de
sejam cuidadosamente planejados e
acordados para minimizar interrupção dos
13.1.2- Segurança nos Serviços
de Redes
13.1.3- Segregação de Redes
13.2.2- Acordos para
transferência de informações
13.2.3- Mensagens eletrônicas
13.2.4- Acordos de
confidencialidade e não
divulgação
Convém que os procedimentos para Convém que as diretrizes citadas na Norma
controlar a instalação de software em SO sejam observadas Nada consta
sejam implementados
As informações sobre vulnerabilidades
técnicas dos sistemas de informação em A gestão de vulnerabilidades técnicas pode
uso, sejam obtidas em tempo hábil, Observar as diretrizes citadas na Norma ser vista com um item de Gestão de
avaliando as vulnerabilidades e tomando mudanças - Ver controles 12.1.2 e 14.2.2
medidas apropriadas
Convém que sejam estabelecidas e Definir uma Política sobre instalações de
software por usuários / De maneira geral,
implementadas regras definindo critérios trabalhar com privilégio mínimo / Uso Evitar ao máximo a instalação de software
para a instalação de software pelos pelos usuários
usuários privilegiado somente com autorização e
registro de ações
Os processos de Auditoria devem se
restringir a acesso e leitura de dados / Nada consta
Devem ser documentados e executados
com autorização dos gestores de negócio
processos de negócio
Convém que as redes sejam gerenciadas e Garantir a segurança das comunicações em
Informações adicionais podem ser
controladas para proteger as informações redes e serviços a elas conectados / consultadas na Norma ISO 27033
nos sistemas e aplicações Observar as diretrizes citadas na Norma
Os mecânismos de segurança, níveis de Determinar e monitorar os níveis de Serviços de redes incluem o fornecimento
segurança, serviços e requisitos devem ser de conexões / Serviços de rede privada /
incluídos nos Acordos de serviço de rede serviço / Auditar os níveis de serviço / soluções de segurança / Firewall e IDS
Convém que grupos de serviços de Segmentar as redes em Domínios / Pode-se
informação, usuários e sistemas de utilizar VPNs e VLANs / Usar controle por Atentar para o uso de extensões de Redes
Firewall / Atenção especial quanto a redes
informação sejam segregados (separados) Wireless / Utilizar autenticação e na organização
em Redes
encriptação sempre que possível
Convém que políticas e controles de
para proteger a transferência de Considerar os tópicos citados na Norma
Considerar as questões técnicas e legais
para troca e transferência eletrônica de
dados
tipos de recursos de comunicação
Convém que sejam estabelecidos acordos Deve haver um gestor para controle e
para transferência segura de informações notificação de transmissões / Os acordes podem ser contratos formais /
do negócio entre a organização e partes Rastreabilidade dos eventos / Padrões Mecanismos de transmissão seguros para
técnicos de transmissão /Usar chaves informações sensíveis
externas criptográficas / Ver controles 8.2 e 8.3.3
Proteção das mensagens contra acesso não
autorizado, modificação ou negação de
Convém que as informações que trafegam serviço / Confiabilidade e Disponibilidade do Considerar o uso de EDIs e Redes Sociais
em mensagens eletrônicas sejam
adequadamente protegidas Serviço / Respeitar aspectos legais / para comunicação do negócio da empresa
Aprovação prévia para uso de serviços
Públicos
Convém que os requisitos para
confidencialidade ou acordos de não Pode haver a necessidade de diferentes
divulgação que reflitam as necessidades Os acordos de confidencialidade devem
da organização para a proteção da observar os elementos citados na Norma Acordos de privacidade em diferentes
circunstâncias
informação sejam identificados,
analisados criticamente e documentados
Convém que os requisitos relacionados
com segurança da informação sejam Os requisitos de segurança devem observar Observar as Normas ISO 27005 e ISO 31000
incluidos nos requisitos para novos os itens citados na Norma / Observar os que tratam de gestão de Riscos
sistemas de informação ou melhorias dos controles: 8.2 e 14.1.2 e 14.1.3
sistemas de informação existentes

14.1.2- Serviços de aplicação
seguras em redes públicas
14.1.3- Protegendo as
transações nos aplicativos de
serviços
Garantir que a segurança da
14.2- Segurança em informação está protegida e 14.2.1- Política de
Processos de
desenvolvimento e de implementada no
suporte desenvolvimento do ciclo de desenvolvimento seguro
vida dos sistemas de informação
14.2.2- Procedimentos para
controle de mudanças de
sistemas
14.2.3- Análise crítica das
aplicações após mudanças nas
plataformas operacionais
14.2.4- Restrições sobre
mudanças em pacotes de
software
14.2.5- Princípios para projetar
sistemas seguros
14.2.6- Ambiente seguro para
desenvolvimento
14.2.7- Desenvolvimento
terceirizado
14.2.8- Teste de segurança do
sistema
14.2.9- Teste de aceitação de
sistemas
Convém que as informações envolvidas
nos serviços de aplicação que transitam As considerações de segurança para serviços
sobre redes públicas sejam protegidas de de aplicação que rodam sobre redes Para reduzir os riscos deve-se utilizar
autenticação segura / assinaturas digitais /
atividades fraudulentas, disputas públicas devem observar os itens citados na chaves criptográficas
contratuais e divulgação e modificações Norma
não autorizadas
Convém que as informações envolvidas
em transações nos aplicativos de serviços Uso de assinaturas eletrônicas /
sejam protegidas para prevenir Autenticação secreta / Privacidade das Observar requisitos legais quanto as
transmissões incompletas, erros de partes envolvidas / Protocolos seguros / transações e seus registros
roteamento, alteração não autorizada, Armazenamento seguro dos registros das
divulgação, duplicação ou reapresentação transações
não autorizada
Convém que as regras para o
desenvolvimento de sistemas e software Deve haver uma política de O desenvolvimento seguro também deve
sejam estabelecidas e aplicadas aos desenvolvimento seguro, considerando os ser aplicado a criação de Scripts, gestão de
desenvolvimentos realizados dentro da aspectos citados na Norma Navegadores e banco de dados
organização
Convém que as mudanças em sistemas no Os procedimentos de controle de mudanças Testar novos softwares em ambiente de
ciclo de vida de desenvolvimento sejam operacionais e de aplicação devem ser Testes / Não é recomendado o uso de
controladas utilizando procedimentos integrados e observar o itens citados na atualizações automáticas / Ver controle
formais de controle de mudanças Norma / Ver controles 12.1.1 e 12.1.2 12.1.4
Quando plataformas operacionais forem Análise crítica das aplicações após
modificadas, convém que as aplicações mudanças de plataforma / Comunicar Plataforma operacionais incluem sistemas
críticas sejam analisadas criticamente e mudanças de plataforma a fim de agendar operacionais, banco de dados e plataformas
testadas para assegurar que não ocorreu
nenhum impacto adverso nas operações testes / Observar Plano de Continuidade dos intermediárias
Negócios
da organização ou na segurança
Convém que as mudanças em pacotes de
software sejam desencorajadas e estejam Quando um pacote de software requer
limitadas às mudanças necessárias, e modificação, convém que sejam Ver controle 12.6.1
todas as mudanças sejam estritamente considerados os itens citados na Norma
controladas
Convém que os princípios para projetar Observar principios de Segurança em
sistemas seguros sejam estabelecidos, sistemas / Projetar e utilizar funções de Técnicas de engenharia segura provêm
documentados, mantidos e aplicados para segurança em todas camadas da arquitetura técnicas de autenticação de usuários /
qualquer implementação de sistema de / Auditar o uso das funcionalidades de controle de sessões / validação de dados /
eliminação de depuração de códigos
informação segurança
Convém que as organizações mantenham Avaliar os Riscos em relação a
ambientes seguros de desenvolvimento e desenvolvimento seguro / Observar itens Nada consta
integração de sistemas, durantre todo o
ciclo de vida dos sistemas citados na Norma
Convém que a organização supervisione e
monitore as atividades de Quando houver uso de desenvolvimento Observar informações sobre relações com
terceirizado, observar os itens citados na
desenvolvimento de sistemas Norma / Ver controles 14.2.1 e 18.1.2 fornecedores contante na norma ISO 27036
terceirizados
Sistemas novos e atualizados requerem
Convém que os testes de funcionalidade verificação e testes de funcionamento / A
de segurança sejam realizados durante o abrangência dos testes deve ser Nada consta
desenvolvimento de sistemas proporcional a importância de cada
sistema / Ver controles 14.1.1 e 14.1.2
Convém que programas de testes de Testes de requisitos de segurança (14.1.1 e
14.1.2) / Aderência as práticas de
aceitação e critérios relacionados sejam desenvolvimento seguro (14.2.1) / Utilizar Nada consta
estabelecidos para novos sistemas de ferramentas de análise de vulnerabilidades /
informação, atualizações e novas versões Realizar os Testes em ambientes confinados
 Não utilizar para testes, massa de dados
Convém que ao dados de teste sejam com dados confidenciais / Se for utilizados Os testes devem utilizar um volume
14.3- Dados para Teste Assegurar a proteção dos dados 14.3.1- Proteção dos dados para dados confidenciais, observar a norma ISO
usados para testes Teste selecionados com cuidado, protegidos e 29101 / Registrar as ações durantes os substâncial de dados, o mais próximo
controlados possível dos dados operacionais
testes / Garantir a segurança dos dados de
testes

Convém que os requisitos de segurança da Controlar e registrar as acesso de

15- Relacionamento 15.1- Segurança da Garantir a proteção dos ativos da 15.1.1- Política de segurança no informação para mitigar os riscos Deve haver uma política que contenha os fornecedores / Estar ciente de que as
associados com o acesso dos procedimentos e requisitos de segurança
na cadeia de Informação na cadeia de organização que são acessíveis relacionamento com os fornecedores aos ativos da organização quanto a fornecedores / Os controles devem obrigações contratuais e legais continuam a
Suprimentos suprimento pelos fornecedores fornecedores cargo da organização em relação a
sejam acordados com o fornecedor e observar os itens citados na Norma segurança da informação
documentados

Convém que todos os requisitos de

segurança da informação relevantes sejam
15.1.2- Identificando segurança estabelcidos e acordados com cada
da informação nos acordos com
fornecedores fornecedor que possa acessar, processar,
armazenar comunicar componentes de
arquitetura de TI em relação a organização
Considerar nos Acordos/Termos
Convém considerar os termos citados na
Norma em relação aos Acordos/Termos com procedimentos de Continuidade nos casos
Fornecedores do fornecedor se tornar incapaz de fornecer
seus produtos e serviços

Convém que os Acordos com Manter práticas de Gestão de Riscos para a

15.1.3- Cadeia de suprimento na fornecedores incluam requisitos para Convém que os tópicos citados na Norma cadeia de suprimentos / Selecionar de
tecnologia da comunicação e contemplar os Riscos de segurança da sejam considerados para inclusão nos forma criteriosa os fornecedores para a área
informação informação associados com a cadeia de acordos com fornecedores de TI / Considerar também os serviços de
suprimentos de produtos e serviços de TI Computação em Nuvem

Manter um nível acordado de
15.2- Gerenciamento da segurança da informação e de
entrega do serviço do entrega de serviços em
fornecedor consonância com os acordos
com Fornecedores
15.2.1- Monitoramento e análise
crítica de serviços com
fornecedores
Convém que a organização monitore, Convém manter um processo de Gestão do
analise criticamente e Audite a intervalos relacionamento dos serviços entre a Nada consta
regulares, a entrega dos serviços organização e os forncedores, conforme
executados pelos fornecedores itens citados na Norma

Convém que as mudanças no

15.2.2- Gerenciamento de
mudanças para serviços com
fornecedores
provisionamento dos serviços pelos
fornecedores, incluindo manutenção e
melhoria das políticas de Segurança da
informação, dos procedimentos e Levar em consideração os itens citados na Nada consta
controles existentes, sejam gerenciadas, Norma
levando-se em conta a criticidade das
informações do negócio, dos sistemas e
processos envolvidos, e a reavaliação de
riscos

Assegurar um enfoque
16- Gestão de consistente e efetivo para Convém que as responsabilidades e Convém que sejam consideradas em relação incidentes de Segurança da Informação
16.1- Gestão de incidentes gerenciar os incidentes de procedimentos de Gestão sejam
incidentes de de segurança da informação segurança da informação, 16.1.1- Responsabilidades e estabelecidos para assegurar respostas as responsabilidades e procedimentos em podem exceder os limites da organização /
segurança da procedimentos relação a gestão de incidentes, os itens
informação e melhorias incluindo a comunicação sobre rápidas, efetivas e ordenadas a incidentes citados na Norma Ver Norma ISO 27035
fragilidades e eventos de de segurança da informação
segurança da informação

Convém que os eventos de segurança da Funcionários e partes externas tem de estar Mau comportamento ou comportamento
informados de suas responsabilidades em fora da normalidade de sistemas, serviços e
16.1.2- Notificação de eventos informação sejam relatados através de função de relatar incidentes de segurança aplicações podem ser sinal de violação de
de segurança da informação canais apropriados da direção, o mais
rápido possível da informação / Considerar as situações segurança e devem ser reportados como
citadas na Norma eventode segurança da informação

Convém que os funcionários e partes Os funcionários e partes externas devem ser

externas que usam os sistemas e serviços
16.1.3- Notificando fragilidades de informação da organização, sejam
instruídos a registrar e notificar quaisquer
de segurança da informação fragilidades de segurança da informação
suspeita ou observada, nos sistemas e
serviços
Notificar as situações para o ponto de
contato o mais rápido possível / O
mecânismo de notificação deve ser fácil,
acessível e disponível
instruídos a não tentar testar suspeitas de
fraqueza em relação a segurança da
informação / Testar fraquezas pode ser
considerardo com tentativa de mal uso ou
uso mau intencionado

16.1.4- Avaliação e decisão dos
eventos de segurança da
informação
Convém que os eventos de segurança da
informação sejam avaliados e seja
decidido se eles são classificados como
incidentes de segurança da informação
Avaliar cada evento de segurança segundo
uma escala de classificação de incidentes e
sua devida priorização / Havendo uma
Nada consta
equipe de resposta a incidentes, o evento
deve ser encaminhado aos mesmos / A
avaliação e as respostas ao evento devem
ser registrados

Convém que os incidentes de segurança

16.1.5- Resposta aos incidentes
de segurança da informação
Convém que incidentes de segurança da
informação sejam reportados de acordo
com procedimentos documentados
sejam reportados a um ponto de contato, éO"voltar
primeiro objetivo de resposta a incidente
ao nível de segurança normal" para
pessoas relevantes da organização ou ainda depois iniciar a recuperação necessária,
partes externas quando for o caso /
Observar os itens citados na Norma desde que seja técnicamente viável

Convém que os conhecimentos obtidos da Os incidentes podem apontar para a

16.1.6- Aprendendo com os
incidentes de segurança da
informação
análise e resolução dos incidentes de Monitorar e quantificar os tipos, volumes e necessidade de melhorias e controles
custos dos incidentes de segurança / Usar adicionais / Respeitando a
segurança sejam usados para reduzir a estas informações para identificar incidentes confidencialidade, pode-se utilizar
probabilidade/impacto de incidentes
futuros recorrentes e de alto impacto incidentes de segurança como cases de
treinamento e conscientização

Convém que a organização defina e Convém que procedimentos internos sejam

aplique procedimentos para identificação, aplicados para obter evidências para fins A norma ISO 27037 fornece diretrizes para a
16.1.7- Coleta de evidências coleta, aquisição e preservação das legais e disciplinares / Estes procedimentos identificação, coleta, aquisição e
informações, as quais podem servir como devem levar em conta os itens citados na preservação de evidências digitais
evidências Norma

17- Aspectos de É recomendado que a Convém que a organização determine A continuidade da Segurança da Informação
segurança da continuidade da segurança da 17.1.1- Planejando a seus requisitos para a segurança da deve estar prevista no Plano de
informação na 17.1- Continuidade da informação seja considerada nos continuidade da segurança da informação e a continuidade da gestão da Continuidade dos Negócios (PCN) / Pode-se Observar a norma ISO 22301 e 22313
gestão da segurança da informação sistemas de gestão da segurança da informação em situações também realizar uma análise de impacto do
continuidade do continuidade do negócio da informação adversas, por exemplo, durante uma crise negócio (BIA) em relação a segurança da
negócio organização ou desastre informação

Convém que a organização estabeleça, Ter pessoal treinado e com autoridade

17.1.2- Implementando a documente, implemente e mantenha
continuidade da segurança da processos, procedimentos e controles
informação para assegurar o nível requerido de
continuidade para a segurança da
informação, durante uma situação adversa
suficiente para tratar situações adversas / Buscar apoio de especialistas em segurança
Ter responsabilidades definidas em relação da informação e continuidade dos negócios
a situações de crise e desastre / Manter para auxiliar nos requisitos de Recuperação
documentação com instruções e requisitos de Desastres
em relação a crises e desastres (ver 17.1.1)

17.1.3- Verificando, análise
crítica da continuidade da
segurança da informação
Convém que a organização verifique os
controles de continuidade da segurança
da informação, estabelecidos e
implementados, a intervalos regulares,
para garantir que eles são válidos e
eficazes em situações adversas
Os procedimentos de Continuidade do
Negócio devem estar atualizados,
implementados, testados e verificados a
intervalos regulares e pré-determinados /
Observar itens citados na Norma
Quando possível é recomendado integrar a
verificação dos controles da continuidade de
segurança da informação, com os testes de
recuperação de desastres ou da
continuidade dos negócios da organização

A organização tem de identificar os

Convém que os recursos de requisitos de negócio em relação ao A implementação de redundâncias pode
Assegurar a disponibilidade dos 17.2.1- Disponibilidade dos processamento da informação sejam funcionamento dos sistemas e
17.2- Redundâncias recursos de processamento da Recursos de processamento de implementados com redundância infraestrutura de TI / Considerar a introduzir Riscos de integridade e
confidencialidade, os quais devem ser
informação informação suficiente para atender aos requisitos de necessidade de componentes redundantes / considerados em projetos de Continuidade
disponibilidade Testar os componentes e técnicas de
redundância

Convém que todos os requisitos

Evitar violação de quaisquer legislativos estatutários, regulamentares e Convém que os controles específicos e as
obrigações legais, estatutárias, contratuais pertinentes, e o enfoque da responsabilidades individuais, sejam
18.1- Conformidade com regulamentares ou contratuais 18.1.1- Identificação da organização para atender a esses definidos e documentados / Convém que os
18- Conformidade requisitos legais e legislação aplicável e de Nada consta
contratuais relacionadas a segurança da requisitos contratuais requisitos, sejam explicitamente gestores identifiquem as obrigações
informação e de quaisquer identificados, documentados e mantidos (compliances) legais da organização, tanto
requisitos de segurança atualizados para cada sistema de no Brasil como em outros países
informação da organização

18.1.2- Direitos de Propriedade
intelectual
18.1.3- Proteção de Registros
18.1.4- Proteção e privacidade
de informações de identificação
pessoal
18.1.5- Regulamentação de
controle de criptografia
Garantir que a segurança da
informação está implementada e 18.2.1- Análise crítica
18.2- Análise crítica da operada de acordo com as independente da segurança da
segurança da informação políticas e procedimentos da informação
organização
18.2.2- Conformidade com as
políticas e procedimentos de
segurança da informação
18.2.3- Análise crítica da
conformidade técnica
Convém que os procedimentos
apropriados sejam implementados para
garantir a conformidade com os requisitos Direitos de propriedade intelectual incluem
Em relação a Propriedade Intelectual, direitos autorais de software ou documento,
legais, regulamentares e contratuais observar os itens citados na Norma direitos de projetos, marcas, patentes e
relacionados com os direitos de
propriedade intelectual, e sobre o uso de licenças de código fonte
produtos de software proprietário
Convém que registros sejam protegidos A legislação nacional ou a regulamentação
contra perda, destruição, falsificação, pode definir conteúdo de dados e o período
acesso não autorizado e liberação não Observar as situações citadas na Norma de tempo para a retenção de informações /
autorizada, de acordo com os requisitos Outras informações para o gerencimento de
regulamentares, estatutários, contratuais registros organizacionais podem ser
e do negócio encontrados na norma ISO 15489-1
Convém que uma política de dados da
organização para proteção e privacidade Desenvolver e implementar uma política de
proteção a privacidade da informação / A A norma ISO 29100 fornece uma estrutura
da informação de identificação pessoal, responsabilidade pelo manuseio de de alto nível para a proteção da informação
seja desenvolvida e implementada. Esta informações de identificação pessoais de identificação pessoal, no âmbito dos
política deve ser comunicada a todas as devem ser tratados conforme sistemas de tecnologia da informação e
pessoas envolvidas no processamento de comunicação
informação de identificação pessoal regulamentações e legislação pertinentes
Convém que os controles de criptografia
sejam usados em conformidade com Observar as diretrizes citadas na Norma Nada consta
todas as leis, acordos, legislação e
regulamentação pertinentes
Convém que o enfoque da organização Convém que a análise crítica de Segurança
para gerenciar a segurança da informação da Informação seja realizada por Auditor Ver a norma ISO 27007 - Diretrizes para
e a sua implenetação seja analisado externo / Convém que os resultados da Auditoria de Sistemas de Gestão da SI / e a
criticamente, de forma independente, a Auditoria sejam analisadas e apresentados a ISO TR 27008 - Diretrizes para Auditores
intervalos planejados, ou quando ocorrem sobre controles de segurança da informação
mudanças significativas direção da organização
Convém que os gestores analisem
criticamente, a intervalos regulares, a
conformidade dos procedimentos e do Identificar as causas das Não conformidades
processamento da informação, dentro das / Avaliar as necessidades de ações corretivas A monitoração operacional de sistemas em
suas áreas de responsabilidade, com as / Implementar as ações corretivas / Avaliar o uso é apresentada no controle 12.4
normas e políticas de segurança e resultado das ações corretivas
quaisquer outros requisitos de segurança
da informação
A verificação da conformidade técnica seja
Convém que os sistemas de informação analisada criticamente, preferencialmente
sejam analisados criticamente, a por uso de ferramenta automática, a qual A norma ISO TR 27008 fornece orientações
intervalos regulares, para verificar a gera relatórios para especialistas técnicos / específicas sobre as análises críticas de
conformidade com as normas e políticas Se forem usados testes de invasão ou conformidade técnica
de segurança da informação da avaliações de vulnerabilidades, tomar
organização preocupações em relação a segurança e
integridade dos sistemas
 Controles de acordo com o Anexo A da norma ISO/IEC 27001

A.5.1.1 Políticas para a segurança da informação

A.5.1.2 Revisão das políticas para a segurança da informação
A.6.1.1 Funções e responsabilidades da segurança da informação
A.6.1.2 Segregação de funções
A.6.1.3 Contato com autoridades
A.6.1.4 Contato com grupos de interesse especial
A.6.1.5 Segurança da informação na gerência de projeto
A.6.2.1 Política de dispositivo móvel
A.6.2.2 Trabalho remoto
A.7.1.1 Seleção
A.7.1.2 Termos e condições de contratação
A.7.2.1 Responsabilidades da direção
A.7.2.2 Conscientização, educação e treinamento de segurança da informação
A.7.2.3 Processo disciplinar
A.7.3.1 Rescisão ou mudança das responsabilidades do funcionário
A.8.1.1 Inventário de ativos
A.8.1.2 Proprietário dos ativos
A.8.1.3 Uso aceitável de ativos
A.8.1.4 Devolução de ativos
A.8.2.1 Classificação da informação
A.8.2.2 Rótulos da informação
A.8.2.3 Manuseio de ativos
A.8.3.1 Gestão de mídia removível
A.8.3.2 Descarte de mídia
A.8.3.3 Transferência de mídia física
A.9.1.1 Política de controle de acesso
A.9.1.2 Acesso às redes e serviços de rede
A.9.2.1 Registro e cancelamento do registro de usuário
A.9.2.2 Provisionamento de acesso de usuário
A.9.2.3 Gestão de direitos de acesso privilegiados
A.9.2.4 Gestão da autenticação de informações secretas de usuários
A.9.2.5 Revisão dos direitos de acesso de usuário
A.9.2.6 Remoção ou ajuste de direitos de acesso
A.9.3.1 Use de autenticação de informações secretas
A.9.4.1 Restrição de acesso à informação
A.9.4.2 Procedimentos seguros de login
A.9.4.3 Sistema de gestão de senhas
A.9.4.4 Uso privilegiado de programas utilitários
A.9.4.5 Controle de acesso ao código fonte do programa
A.10.1.1 Política para o uso de controles criptográficos
A.10.1.2 Gestão de chaves
A.11.1.1 Perímetro de segurança física
A.11.1.2 Controles de entrada física
A.11.1.3 Segurança de escritórios. ambientes e instalações
A.11.1.4 Proteção contra ameaças externas e ambientais
A.11.1.5 Trabalhar em áreas seguras
A.11.1.6 Áreas de recebimento e carga
A.11.2.1 Instalação e proteção do equipamento
A.11.2.2 Suporte para serviços públicos
A.11.2.3 Segurança do cabeamento
A.11.2.4 Manutenção dos equipamentos
A.11.2.5 Remoção de ativos
A.11.2.6 Segurança de equipamentos e ativos fora das instalações
A.11.2.7 Descarte ou reutilização segura de equipamentos
A.11.2.8 Usuário de equipamento não acompanhado
A.11.2.9 Política de mesa limpa e tela limpa
A.12.1.1 Procedimentos operacionais documentados
A.12.1.2 Gestão de mudanças
A.12.1.3 Gestão de capacidade
A.12.1.4 Separação dos ambientes de desenvolvimento, de testes e operacionais
A.12.2.1 Controle contra malware
A.12.3.1 Cópia de segurança das informações
A.12.4.1 Registro de eventos
A.12.4.2 Proteção das informações dos registros
A.12.4.3 Registros do administrador e operador
A.12.4.4 Sincronização dos relógios
A.12.5.1 Instalação de software em sistemas operacionais
A.12.6.1 Gestão de vulnerabilidades técnicas
A.12.6.2 Restrições sobre a instalação de software
A.12.7.1 Controles de auditoria de sistemas de informações
A.13.1.1 Controles de redes
A.13.1.2 Segurança de serviços de rede
A.13.1.3 Segregação nas redes
A.13.2.1 Políticas e procedimentos para transferência de informação
A.13.2.2 Contratos de transferência de informação
A.13.2.3 Mensagens eletrônicas
A.13.2.4 Contratos de confidencialidade ou não divulgação
A.14.1.1 Análise e especificação de requisitos de segurança da informação
A.14.1.2 Segurança de aplicativos de serviços em redes públicas
A.14.1.3 Proteção de transações de aplicativo de serviços
A.14.2.1 Política de desenvolvimento seguro
A.14.2.2 Procedimentos de controle de mudanças de sistemas
A.14.2.3 Revisão técnica de aplicativos após mudanças da plataforma operacional
A.14.2.4 Restrições sobre mudanças em pacotes de software
A.14.2.5 Princípios de engenharia de sistemas segura
A.14.2.6 Ambiente de desenvolvimento seguro
A.14.2.7 Desenvolvimento contratado
A.14.2.8 Teste de segurança do sistema
A.14.2.9 Teste de aceite de sistemas
A.14.3.1 Proteção dos dados de teste
A.15.1.1 Política de segurança da informação para relações com o fornecedor
A.15.1.2 Endereçar a segurança nos contratos com fornecedores
A.15.1.3 Cadeia de suprimento de tecnologia da informação e comunicações
A.15.2.1 Monitoramento e revisão de serviços do fornecedor
A.15.2.2 Gestão de mudanças de serviços do fornecedor
A.16.1.1 Responsabilidades e procedimentos
A.16.1.2 Relatório de eventos da segurança da informação
A.16.1.3 Relatório de vulnerabilidades da segurança da informação
A.16.1.4 Avaliação de e decisão de eventos da segurança da informação
A.16.1.5 Resposta aos incidentes de segurança da informação
A.16.1.6 Aprender de incidentes se segurança da informação
A.16.1.7 Coleta de evidências
A.17.1.1 Planejamento da continuidade da segurança da informação
A.17.1.2 Implementação da continuidade da segurança da informação
A.17.1.3 Verificar, rever e avaliar a continuidade da segurança da informação
A.17.2.1 Disponibilidade de instalações para o processamento de informações
A.18.1.1 Identificação da legislação aplicável e dos requisitos contratuais
A.18.1.2 Direitos de propriedade intelectual
A.18.1.3 Proteção de registros
A.18.1.4 Privacidade e proteção de informações pessoais identificáveis
A.18.1.5 Regulamento de controles criptográficos
A.18.2.1 Revisão independente da segurança da informação
A.18.2.2 Conformidade com políticas e normas de segurança
A.18.2.3 Revisão de conformidade técnica
 Plano
Controle O que? (What?)

5.1.1- Políticas para segurança da 0

informação
0
5.1.2- Análise crítica das políticas para SI
0
6.1.1- Responsabilidades e papéis pela SI
0
6.1.2- Segregação de funções
0
6.1.3- Contato com autoridades
0
6.1.4- Contato com grupos especiais
0
6.1.5- SI no gerenciamento de projetos
6.2.1- Política para o uso dos dispositivos 0
móveis
0
6.2.2- Trabalho remoto
0
7.1.1- Seleção
0
7.1.2- Termos e condições de contratação
0
7.2.1- Responsabilidades da direção
7.2.2- Conscientização, educação e 0
treinamento em SI
0
7.2.3- Processo disciplinar
7.3.1- Responsabilidades pelo 0
encerramento ou mudança da contratação
0
8.1.1- Inventários dos Ativos
0
8.1.2- Proprietário dos Ativos
0
8.1.3- Uso aceitável dos Ativos
0
8.1.4- Devolução de Ativos
0
8.2.1- Classificação da informação
0
8.2.2- Rótulos e Tratamento da informação
 0
8.2.3- Tratamento dos Ativos
0
8.3.1- Gerenciamento de midias removíveis
0
8.3.2- Descarte de mídias
0
8.3.3- Transferência física de mídias
9.1.1- Política de controle de acesso 0
9.1.2- Acesso às redes e aos serviços de
rede 0

9.2.1- Registro e cancelamento do usuário 0

9.2.2- Provisionamento para acesso de
usuário 0
9.2.3- Gerenciamento de Direitos de acesso
privilegiados 0
9.2.4- Gerenciamento da informação de
Autenticidade secreta de usuários 0
9.2.5- Análise crítica dos direitos de acesso
de usuário 0
9.2.6- Retirada ou ajustes de direitos de
acesso 0
9.3.1- Uso da informação de Autenticidade
secreta 0

9.4.1- Restrição de Acesso à informação 0

9.4.2- Procedimentos seguros de entrada
no Sistema (log-On) 0

9.4.3- Sistema de gerenciamento de Senha 0

9.4.4- Uso de programas utilitários
Privilegiados 0
9.4.5- Controle de acesso ao código-fonte
de programas 0
10.1.1- Controles criptográficos 0
10.1.2- Gerenciamento de Chaves 0
11.1.1- Perímetro de segurança física 0
11.1.2- Controles de entrada Física 0
11.1.3- Segurança em escritórios, salas e
instalações 0
11.1.4- Proteção contra ameaças externas e
do meio-ambiente 0
11.1.5- Trabalhando em áreas seguras 0
11.1.6- Áreas de entrega e de
carregamento 0
11.2.1- Escolha do local e proteção do
equipamento 0
11.2.2- Utilidades 0
11.2.3- Segurança do cabeamento 0
11.2.4- Manutenção dos equipamentos 0
11.2.5- Remoção de Ativos 0

11.2.6- Segurança de equipamentos e

ativos fora das dependências da
Organização 0
11.2.7- Reutilização e alienação segura de
equipamentos 0
11.2.8- Equipamentos de usuário sem
monitoração 0

11.2.9- Política de mesa limpa e tela limpa 0

12.1.1- Documentação dos procedimentos
de operação 0
12.1.2- Gestão de mudanças 0
12.1.3- Gestão de capacidade 0
12.1.4- Separação dos ambientes de
desenvolvimento, teste e de produção 0

12.2.1- Controles contra códigos maliciosos 0

12.3.1- Cópias de segurança das
informações 0
12.4.1- Registros de eventos 0
12.4.2- Proteção das informações dos
registros de eventos (logs) 0
12.4.3- Registros de eventos (log) de
administrador e operador 0
12.4.4- Sincronização dos relógios 0
12.5.1- Instalação de software nos sistemas
operacionais 0

12.6.1- Gestão de vulnerabilidades técnicas 0

12.6.2- Restrições quanto à instalação de
software 0
12.7.1- Controles de auditoria de sistemas
de informação 0
13.1.1- Controles de Redes 0

13.1.2- Segurança nos Serviços de Redes 0

13.1.3- Segregação de Redes 0
13.2.1- Políticas e procedimentos para
transferência de informação 0
13.2.2- Acordos para transferência de
informações 0
13.2.3- Mensagens eletrônicas 0
13.2.4- Acordos de confidencialidade e não
divulgação 0
14.1.1- Análise e especificação dos
requisitos de segurança da informação 0
14.1.2- Serviços de aplicação seguras em
redes públicas 0
14.1.3- Protegendo as transações nos
aplicativos de serviços 0

14.2.1- Política de desenvolvimento seguro 0

14.2.2- Procedimentos para controle de
mudanças de sistemas 0

14.2.3- Análise crítica das aplicações após

mudanças nas plataformas operacionais 0
14.2.4- Restrições sobre mudanças em
pacotes de software 0
14.2.5- Princípios para projetar sistemas
seguros 0
14.2.6- Ambiente seguro para
desenvolvimento 0
14.2.7- Desenvolvimento terceirizado 0
14.2.8- Teste de segurança do sistema 0
14.2.9- Teste de aceitação de sistemas 0
14.3.1- Proteção dos dados para Teste 0
15.1.1- Política de segurança no
relacionamento com os fornecedores 0

15.1.2- Identificando segurança da

informação nos acordos com fornecedores 0

15.1.3- Cadeia de suprimento na tecnologia

da comunicação e informação 0
15.2.1- Monitoramento e análise crítica de
serviços com fornecedores 0
15.2.2- Gerenciamento de mudanças para
serviços com fornecedores 0

16.1.1- Responsabilidades e procedimentos 0

16.1.2- Notificação de eventos de
segurança da informação 0
16.1.3- Notificando fragilidades de
segurança da informação 0
16.1.4- Avaliação e decisão dos eventos de
segurança da informação 0
16.1.5- Resposta aos incidentes de
segurança da informação 0
16.1.6- Aprendendo com os incidentes de
segurança da informação 0
16.1.7- Coleta de evidências 0
17.1.1- Planejando a continuidade da
segurança da informação 0
17.1.2- Implementando a continuidade da
segurança da informação 0

17.1.3- Verificando, análise crítica da

continuidade da segurança da informação 0
17.2.1- Disponibilidade dos Recursos de
processamento de informação 0
18.1.1- Identificação da legislação aplicável
e de requisitos contratuais 0

18.1.2- Direitos de Propriedade intelectual 0

18.1.3- Proteção de Registros 0
18.1.4- Proteção e privacidade de
informações de identificação pessoal 0
18.1.5- Regulamentação de controle de
criptografia 0
18.2.1- Análise crítica independente da
segurança da informação 0

18.2.2- Conformidade com as políticas e

procedimentos de segurança da informação 0
18.2.3- Análise crítica da conformidade
técnica 0
 Plano de Ação
Quando? (When?) Onde? (Where?) Quem? (Who?)
 Quanto Custa?
Como? (How?) (How Much?)
 Documentos Conexos
Descrição

10

11

12

13

14

15

16

17

18

19

20
Documentos Conexos
Objetivos
Observações
 Normas Con
Nº da Norma Ano/Revisão Nome da Norma

10

11

12

13

14

15

16

17

18

19

20
 Normas Conexas
Controles (em relação a ISO 27002) Descritivo
Objetivos