Professional Documents
Culture Documents
Convém que a política de SI seja analisada Convém que a política de SI tenha um gestor
5.1.2- Análise crítica das políticas criticamente em intervalos planejados ou (Owner) declarado / A direção deve analisar Nada consta
para SI quando mudanças significativas
ocorrerem (controle de versão) e aprovar as revisões da política de SI
6- Organização da Estabelecer uma estrutura de Convém que todas as responsabilidades As responsabilidades pela SI devem estar de
Segurança da 6.1- Organização Interna gerenciamento da segurança da 6.1.1- Responsabilidades e
papéis pela SI pela segurança da informação sejam acordo com a Política de SI / Estejam claras Deve haver um gestor global da política de
as responsabilidades pelos Ativos / Gestão SI e gestores para cada Ativo
Informação informação na organização definidas e atribuídas de Riscos definida
Convém que as áreas de responsabilidade Convém evitar que uma única pessoa seja Segregação de funções é um método para
6.1.2- Segregação de funções sejam segregadas (separadas) para para responsável pela gestão dos Ativos / Sempre reduzir o risco de mau uso dos Ativos da
reduzir a possibilidade de modificação não que possível separar a Autorização da organização
autorizada e o uso indevido dos Ativos Execução dos processos de SI
Assegurar que funcionários e Convém que verificações do histórico do As verificações devem levar em
7- Segurança em partes externas entendam suas candidadto sejam realizadas, de forma consideração a legislação pertinente a
recursos humanos 7.1- Antes da contratação responsabilidades e estejam em 7.1.1- Seleção ética, e seja proporcional aos requisitos de privacidade e quando for possível, levar em Nada consta
(RH) conformidade com os papéis negócio e classificação das informações a consideração os itens técnicos constantes da
para os quais foram selecionados serem acessadas norma
Convém que as obrigações contratuais Convém que as obrigações contratuais para Um código de conduta (ou nomenclatura
7.1.2- Termos e condições de com funcionários e partes externas, funcionários e partes externas, estejam equivalente) pode ser usado para
contratação declarem suas responsabilidades e da alinhadas com a política de SI observando estabelecer as responsabilidade de SI e
Organização em relação a SI os itens constantes na norma assuntos conexos
Assegurar que funcionários e Convém que a direção da Organização Os funcionários e partes externas devem
partes externas estão solicite a todos os funcionários e partes estar instruídos sobres suas
7.2- Durante a contratação conscientes e cumpram as suas 7.2.1- Responsabilidades da externas que pratiquem a SI de acordo responsabilidades em relação a SI / recebam Funcionários e partes externas tem de estar
informados, treinados e serem motivados a
responsabilidades em relação a direção com o estabelecimento nas políticas e diretrizes / estejam motivados a cumprir a
política de SI / tenham habilidades e cumprir com seus papéis em relação a SI
SI procedimentos da organização qualificação necessárias
Convém qure todos os Os treinamentos devem tornar os
funcionários/partes externas conscientes de
7.2.2- Conscientização, educação funcionários/partes externas recebam
treinamento e atualização regulares a suas responsabilidade em relação a política O programa de conscientização deve focar
e treinamento em SI de SI / Programas de conscientização
cerca da política de SI relevantes para suas permanentes no: O que? Como? E por que?
funções / Ações diferentes em razão
de perfil diferentes de usuários
Identificar os Ativos da Os Ativos associados com SI e com Convém que haja um Inventário dos ativos A ISO 27005 (Gestão de Riscos em TI)
8- Gestão de Ativos 8.1- Responsabilidade pelos organização e definir as da organização, completo e atualizado, e
ativos responsabilidades apropriadas 8.1.1- Inventários dos Ativos recursos de processamento de TI sejam que seja indicado o Responsável por cada fornece exemplos de Ativos que devem ser
para a proteção destes Ativos identificados e constem em Inventário um dos Ativos considerados pelo organização
Convém que um conjunto apropriado de Deve tratar da informação nos formatos A rotulação de informações classificadas é
8.2.2- Rótulos e Tratamento da procedimentos para Rotular e Tratar a físicos e eletrônicos / Devem orientar onde um requisito chave para acordos de
informação informação seja desenvolvido e e como os Rótulos são colocados / Deve compartilhamento de informações / Rótulos
implementado de acordo com a política haver um nível para informações críticas ou Físicos e Metadados são a forma mais
de Classificação das informações sensíveis comum de rotulagem
Convém que a concessão e uso de direitos A alocação de direitos de acesso privilegiado O uso inapropriado de privilégios de
9.2.3- Gerenciamento de Direitos de acesso privilegiado sejam restritos e sejaautorização
controlada por meio de um processo de administrador de sistemas pode ser um
de acesso privilegiados controlados Formal, de acordo com a grande fator de contribuição para falhas ou
Política de controle de acesso pertinente violações de sistemas
Convém que os acessos de todos os Remover Acessos após encerramento de Retirar pessoas que estão saindo da
funcionários e partes Externas sejam atividades e contratos / Caso o funcionário organização de todos os grupos que façam
9.2.6- Retirada ou ajustes de retirados após o encerramento de suas ou terceiro que esteja saindo possuir senhas parte / Atentar para o fato de que antes de
direitos de acesso atividades, contratos ou acordos ou importantes, as mesmas devem ser sair da organização as pessoas podem ser
ajustados após a mudança destas alteradas / Analisar fatores de Risco citados tentadas a apagar ou corromper
atividades na Norma informações importantes
Convém que os sistemas para Convém que o "sistema" de gerenciamento Poderão haver cituações específicas que
9.4.3- Sistema de gerenciamento gerenciamento de senhas sejam
de Senha interativos e assegurem senhas de de senhas siga as recomendações citadas na podem conflitar com as recomendações
Norma deste controle citadas na Norma
qualidade
Os acessos ao código-fonte e
documentações de programas devem ser
9.4.5- Controle de acesso ao Convém que o acesso aos código-fonte de restritos / Manter guarda centralizada de Nada consta
código-fonte de programas programas seja restrito código-fonte e documentos conexos /
Atentar para as orientações da Norma em
relação ao controle de acesso a código-fonte
Convém que uma política sobre o uso, A política deve conter requisitos para
10.1.2- Gerenciamento de proteção e ciclo de vida das chaves gerenciamento de chaves criptográficas O ISO 11170 trata da gestão de chaves e
Chaves criptográficas, seja desenvolvida e conforme as orientações da Norma técnicas criptográficas
implementada
Convém que seja adotada uma Política de Considerar a classificação das informações / Mesa limpa e tela protegida reduz os Ricos
11.2.9- Política de mesa limpa e mesa limpa de papéis e mídias de
armazenamento removíveis e uma política Requisitos contratuais e legais / Aspectos de acesso não autorizado / Considerar o uso
tela limpa de tela limpa para os recursos de culturais da Organização e demais diretrizes de Impressoras com PIN para liberação de
processamento de informações citadas na Norma documentos
Os procedimentos documentados para
Garantir a operação segura e 12.1.1- Documentação dos Convém que os procedimentos de atividades operacionais tais como:
12- Segurança nas 12.1- Responsabilidades e operação sejam documentados e Nada consta
Operações procedimentos operacionais correta dos recursos de Inicialização e desligamento de sistemas /
processamento de informação procedimentos de operação disponibilizados a todos os usuários que Geração de Backup / Tratamento de mídias /
necessitem deles Observar as diretrizes citadas na Norma
Convém que as cópias de segurança das Convém que haja um Política de Backup
Proteger contra a perda de 12.3.1- Cópias de segurança das informações, software e das imagens do definindo controles e requisitos / Deve Testar procedimentos de Backup e Restore
12.3- Cópias de Segurança SO, sejam efetuadas e testadas haver procedimentos de recuperação de perodicamente / Usar mecanismos
dados informações regularmente conforme a política de Desastres / Observar os itens citados na automatizados para cópias de segurança
geração de cópias de segurança definidas Norma
Convém que regsitros (log) de eventos das Tomar medidas de proteção da privacidade
quanto ao conteúdo e gerenciamento dos
12.4- Registros e Registrar eventos e gerar atividades do usuário, exceções, falhas e Convém que os registros de Logs incluam os Logs - Ver controle 18.1.4 / Os
Monitoramento evidências 12.4.1- Registros de eventos eventos de segurança da informação itens citados na Norma administradores de sistemas não devem ter
sejam produzidos, mantidos e analisados acesso para exclusão, alteração e
criticamente, a intervalos regulares
desativação dos Logs - Ver controle 12.4.3
Garantir a proteção das Convém que as redes sejam gerenciadas e Garantir a segurança das comunicações em
13- Segurança nas 13.1- Gerenciamento da informações em redes e dos 13.1.1- Controles de Redes Informações adicionais podem ser
Comunicações segurança em Redes recursos de processamento da controladas para proteger as informações redes e serviços a elas conectados / consultadas na Norma ISO 27033
informação que os apoiam nos sistemas e aplicações Observar as diretrizes citadas na Norma
13.1.2- Segurança nos Serviços Os mecânismos de segurança, níveis de Determinar e monitorar os níveis de Serviços de redes incluem o fornecimento
segurança, serviços e requisitos devem ser de conexões / Serviços de rede privada /
de Redes incluídos nos Acordos de serviço de rede serviço / Auditar os níveis de serviço / soluções de segurança / Firewall e IDS
Convém que sejam estabelecidos acordos Deve haver um gestor para controle e
13.2.2- Acordos para para transferência segura de informações notificação de transmissões / Os acordes podem ser contratos formais /
transferência de informações do negócio entre a organização e partes Rastreabilidade dos eventos / Padrões Mecanismos de transmissão seguros para
técnicos de transmissão /Usar chaves informações sensíveis
externas criptográficas / Ver controles 8.2 e 8.3.3
14.2.2- Procedimentos para Convém que as mudanças em sistemas no Os procedimentos de controle de mudanças Testar novos softwares em ambiente de
controle de mudanças de ciclo de vida de desenvolvimento sejam operacionais e de aplicação devem ser Testes / Não é recomendado o uso de
controladas utilizando procedimentos integrados e observar o itens citados na atualizações automáticas / Ver controle
sistemas formais de controle de mudanças Norma / Ver controles 12.1.1 e 12.1.2 12.1.4
Manter um nível acordado de Convém que a organização monitore, Convém manter um processo de Gestão do
15.2- Gerenciamento da segurança da informação e de 15.2.1- Monitoramento e análise
entrega do serviço do entrega de serviços em crítica de serviços com analise criticamente e Audite a intervalos relacionamento dos serviços entre a Nada consta
regulares, a entrega dos serviços organização e os forncedores, conforme
fornecedor consonância com os acordos fornecedores executados pelos fornecedores itens citados na Norma
com Fornecedores
Assegurar um enfoque
16- Gestão de consistente e efetivo para Convém que as responsabilidades e Convém que sejam consideradas em relação incidentes de Segurança da Informação
16.1- Gestão de incidentes gerenciar os incidentes de procedimentos de Gestão sejam
incidentes de de segurança da informação segurança da informação, 16.1.1- Responsabilidades e estabelecidos para assegurar respostas as responsabilidades e procedimentos em podem exceder os limites da organização /
segurança da procedimentos relação a gestão de incidentes, os itens
informação e melhorias incluindo a comunicação sobre rápidas, efetivas e ordenadas a incidentes citados na Norma Ver Norma ISO 27035
fragilidades e eventos de de segurança da informação
segurança da informação
Convém que os eventos de segurança da Funcionários e partes externas tem de estar Mau comportamento ou comportamento
informados de suas responsabilidades em fora da normalidade de sistemas, serviços e
16.1.2- Notificação de eventos informação sejam relatados através de função de relatar incidentes de segurança aplicações podem ser sinal de violação de
de segurança da informação canais apropriados da direção, o mais
rápido possível da informação / Considerar as situações segurança e devem ser reportados como
citadas na Norma eventode segurança da informação
17- Aspectos de É recomendado que a Convém que a organização determine A continuidade da Segurança da Informação
segurança da continuidade da segurança da 17.1.1- Planejando a seus requisitos para a segurança da deve estar prevista no Plano de
informação na 17.1- Continuidade da informação seja considerada nos continuidade da segurança da informação e a continuidade da gestão da Continuidade dos Negócios (PCN) / Pode-se Observar a norma ISO 22301 e 22313
gestão da segurança da informação sistemas de gestão da segurança da informação em situações também realizar uma análise de impacto do
continuidade do continuidade do negócio da informação adversas, por exemplo, durante uma crise negócio (BIA) em relação a segurança da
negócio organização ou desastre informação
Convém que a organização verifique os Os procedimentos de Continuidade do Quando possível é recomendado integrar a
17.1.3- Verificando, análise controles de continuidade da segurança Negócio devem estar atualizados, verificação dos controles da continuidade de
crítica da continuidade da da informação, estabelecidos e implementados, testados e verificados a segurança da informação, com os testes de
implementados, a intervalos regulares,
segurança da informação para garantir que eles são válidos e intervalos regulares e pré-determinados / recuperação de desastres ou da
eficazes em situações adversas Observar itens citados na Norma continuidade dos negócios da organização
Garantir que a segurança da Convém que o enfoque da organização Convém que a análise crítica de Segurança
informação está implementada e 18.2.1- Análise crítica para gerenciar a segurança da informação da Informação seja realizada por Auditor Ver a norma ISO 27007 - Diretrizes para
18.2- Análise crítica da operada de acordo com as independente da segurança da e a sua implenetação seja analisado externo / Convém que os resultados da Auditoria de Sistemas de Gestão da SI / e a
segurança da informação políticas e procedimentos da informação criticamente, de forma independente, a Auditoria sejam analisadas e apresentados a ISO TR 27008 - Diretrizes para Auditores
intervalos planejados, ou quando ocorrem sobre controles de segurança da informação
organização mudanças significativas direção da organização
10
11
12
13
14
15
16
17
18
19
20
Documentos Conexos
Objetivos
Observações
Normas Con
Nº da Norma Ano/Revisão Nome da Norma
10
11
12
13
14
15
16
17
18
19
20
Normas Conexas
Controles (em relação a ISO 27002) Descritivo
Objetivos