Cépia nao autorizada NORMA ABNT NBR BRASILEIRA ISO/IEC 27001 Primeira edig&io 31.03.2006 Valida a partir de 30.04.2006 Tecnologia da informagao — Técnicas de seguranga — Sistemas de gestao de seguranga da informagao — Requisitos Information technology — Security techniques — Information security ‘management systems — Requirements Palavras-chave: Tecnologia da informagao. Seguranga, Descriptors: Information technology. Security. ICS 35.040 assoccao Nimoro do roforcia q eek ABNT NBR ISONEC 27001-2006 VI) Tecnicas 34 paginas @ABNT 2006Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 © ABNT 2008, Todos 08 direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida ‘ou por qualquer meio, eletrénico ou mecénico, incluindo folocépia e microfilme, sem permissao por escrito pela ABNT. Sede da ABNT Av.Treze de Maio, 13- 28° andar 2031-901 - Rio de Janeiro - RJ Tel: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.or wow.abnt.org.br Impresso no Brasil ii @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Sumario Pagina Prefacio Nacional. ‘Anexo A (normative) Objetivos de controle e controles. Anexo B (informative) Principios da OECD e desta Norma. Anexo C (informative) Correspont Bibliografia. Introdugao. v Geral Abordagem de processo. Compatibi Objetivo Geral Aplicacao... Referé normativa Termos e definicées.. Sistema de gestdo de seguranca da informagao. Requisitos gerais. Estabelecendo e gerenciando 0 SGSI. Estabelecer o SGSI Implementar e operar 0 SGSI Monitorar e analisar criticamente o SGSI Manter e melhorar o SGSI Requisitos de documentagao. Geral Controle de documentos Controle de registros Responsabilidades da direcao.. Comprometimento da diregao. Gestao de recursos. Provisao de recursos Treinamento, conscientizagao e competéncia.. Auditorias internas do SGSl... Anilise critica do SGSI pela direcao . Geral Entradas para a anélise ci Saidas da analise critica.. Melhoria do SGSI. Melhoria continu: Agao corretiva, Agdo preventiva \cia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 & 32 34 esta Norma ‘GABNT 2006 - Tasos 08 direitos reservados iliCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Prefacio Nacional A Associagao Brasileira de Normas Técnicas (ABNT) 6 0 Férum Nacional de Normalizacaio. As Normas Brasileiras, ‘cujo contetide @ de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) e das Comissdes de Estudo Especiais Temporérias (ABNT/CEET), sao elaboradas por Comissées de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratérios e outros). A ABNT NBR ISO/IEC 27001 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNTICB-21), pela Comissao de Estudo de Seguranga Fisica em Instalagdes de Informatica (CE-21:204.01), © Projeto circulou em Consulta Nacional conforme Edital n° 12, de 31.12.2005, com o numero de Projeto 21:204.01-012. Esta Norma é uma tradug&o idéntica da ISO/IEC 27001:2005, que fol elaborada pelo Join Technical Committee Information Technology (ISONECIJTC 1), subcommittee IT Secunty Tecchniques (SC 27). Esta Norma contém o anexo A, de carater normativo, e os anexos Be C, de carater informativo. iv @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 0 Introdugao 0.4 Geral Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestéo de Seguranca da Informacao (SGSI). A adogo de um SGSI deve ser uma decisdo estratégica para uma organizagdo. A especificacdo e a implementagdo do SGSI de uma organizagao sao influenciadas pelas suas necessidades © objetivos, requisitos de seguranga, processos ‘empregados e tamanho e estrutura da organizagao. E esperado que este @ os sistemas de apoio mudem com o passar do tempo. E esperado que a implementagao de um SGSI seja escalada conforme as necessidades da organizagao, por exemplo, uma situagao simples requer uma solugao de um SGSI simples. Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas 0.2 Abordagem de processo Esta Norma promove a adogdo de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organizagao. Uma organizagao precisa identificar @ gerenciar muitas atividades para funcionar efetivamente, Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformagao de entradas em saidas pode ser considerada um processo. Freqilentemente a saida de um processo forma diretamente a entrada do processo seguinte. ‘A aplicagao de um sistema de processos dentro de uma organizago, junto com a identificagao e interagdes destes processos, ¢ a sua gestao podem ser consideradas como "abordagem de process A abordagem de proceso para a gestéo da seguranga da informagao apresentada nesta Norma encoraja que seus usuarios enfatizem a importancia de: a) entendimento dos requisites de seguranga da informagéo de uma organizagéo e da necessidade de ‘estabelecer uma politica e objetivos para a Seguranga de informaga b) implementago e operacéo de controles para gerenciar os riscos de seguranga da informagdo de uma ‘organizago no contexto dos riscos de negécio globais da organizagao; ©) monitoragao e analise critica do desempenho e eficacia do SGSI; e d)_ methoria continua baseada em medig6es objetivas. Esta Norma adota o modelo conhecido como “Plan-Do-Check-Acf’ (PDCA), que & aplicado para estruturar todos 98 processos do SGSI, A figura 1 ilustra como um SGSI considera as entradas de requisites de seguranga de informagao e as expectalivas das partes interessadas, e como as agdes necessérias ¢ processos de seguranca da iinformagao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 também ilustra os vinculos nos processos apresentados nas segdes 4, 5, 6, 7 © 8. ‘A adogéo do modelo PDCA também refletiré os prinefpios como definidos nas Diretrizes da OECD") (2002) para governar a seguranca de sistemas de informagao e redes. Esta Norma prové um modelo robusto para * Diretrizes da OECD para a Seguranga de Sistemas de Informagdo e Redes - Para uma Cultura de Seguranga Paris: OECD, 2002 de julho. htto:/www.oecd.ora, EABNT 2006 - Todos os direitos reservados vCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 implementar os principios nessas diretizes para direcionar a andliselavaliagao de iscos, especificagao © implementagao de seguranga, gerenciamento de seguranca e reavaliagao. EXEMPLO 1 Um requisito pode significar que violagées de seguranga da informagao nao causem sérios danos financeiros e/ou constrangimentos a organizagao. EXEMPLO 2 Uma expectativa pode significar que se um incidente grave ocorrer — por exemplo, a invasdo da pagina Internet de comércio eletronico de uma organizagao — deveria haver pessoas com treinamento suficiente nos procedimentos apropriados para minimizar 0 impacto. Panes Panes Inareseadae Tigeranerts SSE SD / Epectzivas co 5051 soguranga da raquo: intermagio de sequanga Check 4 cernciacs da ntormagse ~ “ Figura 1 — Modelo PDCA aplicado aos processos do SGSI Plan (planejar) (estabelecer 0 SGSI)_| Estabelecer a politica, objetivos, processos e procedimentos do SGSI, relevantes para a gestéo de riscos e a melhoria da seguranga da informagao para produzir resultados de acordo com as politicas e objelivos globais de uma organizacdo. ‘Do (fazer) (implementar e operar 0 SGSI Implementar e operar a politica, controles, processos e procedimentos do SGS1 Check (checar) (monitorar e analisar criticamente o SGSI) ‘Avaliar e, quando aplicavel, medir o desempenho de um proceso frente a politica, objetivos e experiéncia pratica do SGSI e apresentar os resultados para a andlise critica pela diregao, Act (agir) (manter e melhorar o SGSI) Executar as ag6es corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da analise critica pela diregao ou outra informagao pertinente, para alcancar a melhoria continua do SGSI 0.3 Compatibilidade com outros sistemas de gestao Esta Norma esté alinhada as ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apolar a implementagdo e a operacao de forma consistente e integrada com normas de gestdo relacionadas. Um sistema vi \GABNT 2006 - Todos os direitos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 de gestdo adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1 ilustra a relagao entre as segées desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004, Esta Norma 6 projetada para permitir a uma organizagdo alinhar ou integrar seu SGSI com requisites de sistemas de gestdo relacionados. EABNT 2006 - Todos os direitos reservados vCépia nao autorizadaCépia nao autorizada NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006 Tecnologia da informagdo — Técnicas de seguranga — Sistemas de gestao de seguranga da informacgao — Requisitos IMPORTANTE ~ Esta publicagéo nao tem o propésito de incluir todas as clausulas necessarias a um contrato. Os usuarios s4o responsavels pela sua correta aplicagao. Conformidade com esta Norma por si 86 nao confere imunidade em relagao as obrigacées legais. 1 Objetivo 1.1 Geral Esta Norma cobre todos os tipos de organizagées (por exemplo, empreendimentos comerciais, agéncias governamentais, organizaces sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negocio globais da organizagao. Ela especifica requisites para a implementagao de controles de seguranca personalizados para as necessidades individuals de organizagées ou suas partes, © SGSI 6 projetado para assegurar a selego de controles de seguranca adequados ¢ proporcionados para proteger os ativos de informagao e propiciar confianga as partes interessadas. NOTA1 — Convém que referéncias a “negécio” nesta Norma sejam interpretadas, de modo geral, tendo em vista as atividades que sao essenciais aos objetivos de existéncia da organizagao, NOTA2 A ABNT NBR ISO/IEC 17799:2005 prové orientagao para implementagao que pode ser usada quando da especificagao de controles, 1.2. Aplicagéo Os requisitos definidos nesta Norma sao genéricos e é pretendido que sejam aplicaveis a todas as organizagdes, independentemente de tipo, tamanho e natureza. A exclusdo de quaisquer dos requisitos especificados nas segdes 4, 5, 6, 7, e 8 ndo é aceitavel quando uma organizagao reivindica conformidade com esta Norma. Qualquer exclusao de controles considerados necessérios para satistazer aos critérios de aceitagao de riscos, precisa ser justificada e as evidéncias de que os riscos associados foram aceitos pelas pessoas responsaveis, precisam ser fornecidas. Onde quaisquer controles sejam excluidos, reivindicacées de conformidade a esta Norma do so aceitévels, a menos que tals exclus6es ndo afetem a capacidade da organizago, e/ou responsabilidade de prover seguranca da informagao que atenda os requisites de seguranga determinados pela analise/avaliagao de riscos e por requisitos legais e regulamentares aplicaveis, NOTA Se uma organizagaio [4 tiver um sistema de gestao de proceso de negécio em operago (por exemplo, em relacao com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), 6 preferivel na maioria dos casos satisfazer os requisites desta Norma dentro deste sistema de gestdo existente. ‘GABNT 2006 - Tasos 08 direitos reservados 1Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 2 Referéncia normativa (© documento a seguir referenciado é indispensavel para a aplicagdo desta Norma. Para referéncia datada, aplica- se apenas a edigao citada, Para referéncia nao datada, aplica-se a ultima edigéo do documento referenciado {incluindo as emendas).. ABNT NBR ISO/IEC 17799:2005, Tecnologia da informagao ~ Técnicas de seguranga — Cédigo de pratica para a gestéo da seguranga da informagao. 3. Termos e defi Para os efeitos desta Norma, aplicam-se os seguintes termos e definigées, 34 ative qualquer coisa que tenha valor para a organizagao [ISO/IEC 13335-1:2004] 3.2 disponibilidade propriedade de estar acessivel e utlizavel sob demanda por uma entidade autorizada [ISONEC 13335-1:2004] 3.3 confidencialidade propriedade de que a informacdo no esteja disponivel ou revelada a individuos, entidades ou processos néo autorizados [ISO/IEC 13335-1:2004] 34 seguranga da informagao preservagdo da confidencialidade, integridade e disponibilidade da informagao; adiclonalmente, outras propriedades, tals como autenticidade, responsabilidade, no replidio e conflabilidade, podem também estar envolvidas [ABNT NBR ISO/IEC 17799:2005) 35 evento de seguranga da informacao uma ocorréncia identificada de um estado de sistema, servigo ou rede, indicando uma possivel violacdo da politica de seguranca da informagao ou falha de controles, ou uma situagao previamente desconhecida, que possa ser relevante para a seguranga da informagao [ISO/IEC TR 18044:2004) 3.6 incidente de seguranca da informa: um simples ou uma série de eventos de seguranga da informagao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operagées do negocio © ameagar a seguranga da informagao [ISO/IEC TR 18044:2004) 2 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 37 sistema de gosto da seguranga da informagao SGSI a parte do sistema de gestao global, baseado na abordagem de riscos do negécio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a seguranga da informacao NOTA 0 sistema de gestao inclui estrutura organizacional, politicas, atividades de planejamento, responsabilidades, praticas, procedimentos, processos e recursos. 38 integridade propriedade de salvaguarda da exatidao e completeza de ativos [ISO/IEC 13335-1:2004} 39 risco residual risco remanescente apés o tratamento de riscos [ABNT ISO/IEC Guia 73:2005] 3.10 aceltagao do risco decisao de aceitar um risco IABNT ISO/IEC Guia 73:2005] 3a1 analise de riscos Uso sistematico de informagées para identificar fontes e estimar 0 risco [ABNT ISO/IEC Guia 73:2005] 3.42 anilise/avaliagao de riscos processo completo de andlise ¢ avaliagao de riscos (ABNT ISO/IEC Guia 73:2005] processo de comparar 0 risco estimado com critérios de risco predefinidos para determinar a importancia do risco [ABNT ISO/IEC Guia 73:2005] 3.44 gestao de riscos atividades coordenadas para direcionar e controlar uma organizagao no que se refere a riscos NOTA _Agestio de riscos geralmente inclu a andlise/avaliago de riscos, 0 tratamento de riscos, a aceltagao de riscos ¢ a comunicagao de riscos. (ABNT ISO/IEC Guia 73:2005] ‘GABNT 2006 - Tasos 08 direitos reservados 3Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 345 tratamento do risco processo de selegdo e implementagao de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] NOTA Nesta Norma o termo “controle” é usado como um sindnimo para "medida’. 3.16 declaragao de aplicabilidade declaraco documentada que descreve os objetivos de controle e controles que s4o pertinentes e aplicavels a0 SGSI da organizagao NOTA Os objetivos de controle © controles estio baseados nos resultados e conclusSes dos processos de andlisefavaliagae de riscos e tratamento de risco, dos requisites legais ou regulamentares, obrigagées contratuais os requisitos de negécio da organiza¢ao para a seguranca da informagao. 4 Sistema de gestdo de seguranga da informagao 4.1 Requisitos gerais A organizagto deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negécio globais da organizagao e os riscos que ela enfrenta. Para 0s efeitos desta Norma, o processo usado esta baseado no modelo de PDCA mostrado na figura 1 4.2 Estabelecendo e gerenciando o SGSI 4.2.1 Estabelecer o SGSI A organizagao deve: a) Definir 0 escopo e 08 limites do SGSI nos termos das caracteristicas do negécio, a organizagao, sua localizagao, ativos ¢ tecnologia, incluindo detalhes ¢ justificativas para quaisquer exclusdes do escopo (ver 12); b) _Definir uma politica do SGSI nos termos das caracteristicas do negécio, a organizagao, sua localizacéo, ativos @ tecnologia que: 1) _inclua uma estrutura para definir objetivos e estabelega um direcionamento global e principios para ages relacionadas com a seguranca da informacao; 2) considere requisitos de negécio, legais e/ou regulamentares, ¢ obrigagdes de seguranga contratuais; 3) _estoja alinhada com o contexto estratégico de gestao de riscos da organizacao no qual o estabelecimento e manuteng&o do SGSI irdo ocorrer ; 4) estabelega critérios em relago aos quais os riscos serao avaliados (ver 4.2.1¢)); & 5) _tenha sido aprovada pela direcdo. NOTA __ Para os efeitos desta Norma, a politica do SGSI 6 considerada um documento maior da politica de seguranga da informagao. Estas pollticas podem estar descritas em um documento, 4 @ABNT 2006 - Todos 08 dtotos reservados°) Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Definir a abordagem de analise/avaliagao de riscos da organizagao, 1) Identificar uma metodologia de andlise/avaliagao de riscos que seja adequada ao SGSI ¢ aos requisitos legais, regulamentares e de seguranga da informacdo, identificados para o negécio. 2) Desenvolver critérios para a aceitagdo de riscos e identificar os niveis aceitaveis de risco (ver 5.11). ‘A metodologia de andlise/avaliacao de riscos selecionada deve assegurar que as analises/avaliagdes de riscos produzam resultados comparaveis reproduziveis. NOTA _Existem diferentes metodologias para andliselavaliagao de riscos. Sao discutidos exemplos de metodologias de andliselavaliagao de riscos na ISO/IEC TR 13335-3, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT socurity. d) e) fy Identificar os riscos. 41) Identiicar 0s ativos dentro do escopo do SGSI e os proprietérios®) destes ativos 2) Identificar as ameagas a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameagas. 4) Identificar os Impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Analisar e avaliar 0s riscos. 41) Avaliar os impactos para o negécio da organizagao que podem resuttar de falhas de seguranga, levando fem consideragao as consequéncias de uma perda de confidencialidade, integridade ou disponibilidade dos ativos 2) Avaliar a probabilidade real da ocorréncia de falhas de seguranga a luz de ameacas e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os niveis de riscos. 4) Determinar se os riscos so aceitaveis ou se requerem tratamento utilizando os critérios para aceitagao de riscos estabelecidos em 4,2.1c)2). Identificar e avaliar as opgdes para o tratamento de riscos, Possiveis agées incluem: 2 1) _aplicar os controles apropriados; 2) aceitar os riscos consciente © objetivamente, desde que satisfagam claramente as politicas da organizacdo e aos critérios de aceitagdo de riscos (ver 4.2.1¢)2)); 3) evitar riscos; 4} transferir os riscos associados ao negécio a outras partes, por exemplo, seguradoras e fornecedores. © lermo ‘proprietario identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produgao, o desenvolvimento, a manulengao, 0 uso e a seguranga dos ativos. O terme ‘proprietario’ nao significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo, ‘GABNT 2006 - Tasos 08 direitos reservados 5Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 9) Selecionar objetivos de controle controles para o tratamento de riscos. Objetivos de controle © controles devem ser selecionados © implementados para atender aos requisitos identificados pela andlise/avaliago de riscos @ pelo proceso de tratamento de riscos. Esta selegéo deve considerar os critérios para aceltagdo de riscos (ver 4.2.1¢)2)) como também os requisitos legals, regulamentares e contratuais. Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste proceso, como adequados para cobrir 0s requisitos identificados. Os objetivos de controle e controles listados no anexo A ndo séo exaustivos, e objetivos de controles & controles adicionais podem também ser selecionados. NOTA © anexo A contém uma lista dotalhada de objetivos de controle © controles que foram comumente considerados relevantes nas organizagées, Os usuarios desta Norma sao direcionados para o anexo A como um ponte de parida para a sologdo de controles, para assogurar que nenhuma opeao de controle importante soja negligenciada hh) Obter aprovagao da direcao dos riscos residuais propostos. i) Obter autorizagao da diregdo para implementa e operar 0 SGSI. i) Preparar uma Declaragao de Aplicabilidade. Uma Dectaragao de Aplicabilidade deve ser preparada, incluindo o seguinte: 1) Os objetivos de controle e os controles selecionados em 4.2.19) @ as razOes para sua selecao; 2) Os objetivos de controle @ os controles atualmente implementados (ver 4.2.16)2)); € 3) Acexclusao de qualsquer objetivos de controle e controles do anexo A ¢ a justificativa para sua exclusdo. NOTA A Declaragao de Aplicabilidade prové um resumo das decisées relativas ao tralamento de riscos. ‘A justiicativa das exclusdes prové uma checagem cruzada de que nenhum controle foi omitido inadverti¢amente. 4.2.2 Implementar e operar 0 SGSI A organizagao deve: a) Formular um plano de tratamento de riscos que identifique a ago de gestéo apropriada, recursos, responsabilidades e prioridades para a gestao dos riscos de seguranca (ver segao 5). b) _Implementar o plano de tratamento de riscos para alcancar os objetivos de controle identificados, que inclua consideracées de financiamentos e atribuigao de papéis e responsabilidades. ¢)_Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle. 4d) Definir como medir a eficdcia dos controles ou grupos de controles selecionadas, e especificar como estas medidas devem ser usadas para avaliar a eficdcia dos controles de modo a produzir resultados comparaveis © reproduziveis (ver 4,2.3c)). NOTA A medigao da eficécia dos controles permite aos gestores & equipe determinar 0 quanto os controles alcangam de forma satisfatéria os objetivos de controle planejados. ) Implementar programas de conscientizagao e treinamento (ver 5.2.2) f) Gerenciar as operagées do SGSI. 9) Gerenciar os recursos para o SGSI (ver 5.2). 6 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 h) Implementar procedimentos e outros controles capazes de permitir a pronta detecgao de eventos de seguranca da informacao e resposta a incidentes de seguranga da informagao (ver 4.2.3 a). 4.2.3. Monitorar e analisar criticamente o SGSI Aoorganizagao deve: a) Executar procedimentos de monitorago e andlise critica © outros controles para: 41) _prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentalivas e violagdes de seguranga bem-sucedidas, e incidentes de seguranca da informagao; 3) permitir A diregao determinar se as atividades de seguranga da informagao delegadas a pessoas ou implementadas por meio de tecnologias de informacao so executadas conforme esperado; 4) ajudar a detectar eventos de seguranga da informagao © assim prevenir incidentes de seguranga da informago pelo uso de indicadores; e 5) determinar se as agées tomadas para solucionar uma violagéio de seguranga da informagao foram eficazes. b) Realizar andlises criticas regulares da eficacia do SGSI (incluindo o atendimento da politica e dos objetivos do SGSI, e a andlise critica de controles de seguranga), levando em consideragao os resultados de auditorias de seguranca da informagéo, incidentes de seguranca da informagdo, resultados da eficdcia das medigées, sugest6es e realimentagdo de todas as partes interessadas, ©) Medir a eficdcia dos controles para verificar que os requisitos de seguranga da informag&o foram atendidos, 4) Analisar criticamente as andlises/avaliagées de riscos a intervalos planejados e analisar criticamente os riscos residuais e 08 niveis de riscos aceitaveis identificados, levando em consideragao mudangas relativas a 1) organizagao; 2) tecnologias; 3) objetivos e processos de negécio; 4) ameacas identificadas; 5) _eficdcia dos controles implementados; 6) eventos externos, tais como mudangas nos ambientes legais ou regulamentares, alteragdes das obrigagdes contratuais e mudangas na conjuntura social ©) Conduzir auditorias internas do SGSI a intervalos planejados (ver segao 6). NOTA _Auditorias internas, as vezes chamadas de auditorias de primeira parte, sao conduzidas por ou em nome da propria organizagao para propésitos internos. f) Realizar uma analise critica do SGSI pela dirego em bases regulares para assegurar que 0 escopo permanece adequado © que sao identificadas melhorias nos processos do SGSI (ver 7.1) 9) Atualizar os planos de seguranga da informagao para levar em consideracao os resultados das atividades de monitoramento e analise critica. ‘GABNT 2006 - Tasos 08 direitos reservados 7Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 h) Registrar agdes e eventos que possam ter um impacto na eficdcia ou no desempenho do SGSI (ver 4.3.3). 424 Manter e melhorar 0 SGSI A organizagao deve regularmente a) _Implementar as melhorias identificadas no SGSI b) Executar as agdes preventivas e corretivas apropriadas de acordo com 8.2 © 8.3, Aplicar as ligGes aprendidas de experiéncias de seguranca da informacao de outras organizacées e aquelas da propria organizagao. ) Comunicar as agées e melhorias a todas as partes interessadas com um nivel de detalhe apropriado as circunstancias e, se relevante, obter a concordancia sobre como proceder. d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. 4.3 Requisitos de documentagao 4.3.1. Geral ‘A documentagao deve incluir registros de decisdes da direg40, assegurar que as agbes sejam rastreavels as politicas e decis6es da diregdo, e assegurar que os resultados registrados sejam reproduziveis. importante que se possa demonstrar a relagao dos controles selecionados com os resultados da andlise/avaliagdo de riscos e do pracesso de tratamento de riscos, e conseqdentemente com a politica e objetivos do SGSI ‘A documentagao do SGSI deve incluir: a) declaragées documentadas da politica (ver 4.2.1b)) ¢ objetivos do SGSI; b) oescopo do SGSI (ver 4.2.14); ©) procedimentos ¢ controles que apoiam o SGSI; d) uma descrigao da metodologia de andlise/avaliagao de riscos (ver 4.2.1c)); €) orelatbrio de andlise/avaliago de riscos (ver 4.2.1c) a 4.2.19)); f) © plano de tratamento de riscos (ver 4.2.2b)); 9) procedimentos documentados requerides pela organizagéo para assegurar o planejamento efetivo, a ‘operagao e o controle de seus processos de Seguranga de informagao e para descrever como medir a eficacia dos controles (ver 4.2.3¢)); h)__registros requeridos por esta Norma (ver 4.3.3); © i) a Declaragao de Aplicabilidade, NOTA1 — Onde o termo “procedimento documentado" aparecer nesta Norma, significa que 0 procedimento estabelecido, documentado, implementado e mantido. NOTA2 Aabrangéncia da documentacao do SGSI pode variar de uma organizagao para outra devido ao: — tamanho da organizagdo ¢ 0 tipo de suas atividades; e — escopo e complexidade dos requisites de seguranga @ o do sistema gerenciado. 8 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 NOTA3 — Documentos e registros podem estar em qualquer forma ou tipo de midia, 43.2 Controle de documentos (Os documentos requerides pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as agdes de gestao necessarias para: a) aprovar documentos para adequagao antes de sua emissao; b) analisar criticamente e atualizar, quando necessario, e reaprovar documentos; ©) assegurar que as alteragbes e a situagdo da revisdo atual dos documentos sejam identificadas; d) assegurar que as vers6es pertinentes de documentos aplicavels estejam disponiveis nos locais de uso; e) assegurar que os documentos permanegam legivels e prontamente identificaveis; f) assegurar que os documentos estejam disponivels aqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicaveis a sua classificagao; 9) assegurar que documentos de origem externa sejam identificados; h) assegurar que a distribuigao de documentos seja controlada; i) prevenir 0 uso nao intencional de documentos obsoletos; e i) aplicar identificagéo adequada nos casos em que sejam retidos para qualquer propésito. 433 Controle de registros Registros devem ser estabelecidos e mantidos para fomecer evidéncias de conformidade aos requisitos e da operacdo eficaz do SGSI. Eles devem ser protegidos e controlades. O SGSI deve levar em consideragéo quaisquer requisitos legais ou regulamentares pertinentes e obrigagdes contratuais. Os registros_devem Permanecer legiveis, prontamente identificéveis e recuperaveis. Os controles necessérios para a identificacao, armazenamento, protecdo, recuperagao, tempo de retencdo e disposigdo de registros devem ser documentados & implementados. Devem ser mantidos registros do desempenho do processo como definido em 4.2 ¢ de todas as ocorréncias de incidentes de seguranga da informagao significativos relacionados ao SGSI, EXEMPLO Exemplos de registros sfo: livros de visitantes, relatérios de auditoria @ formulérios de autorizagao de acesso preenchidos. 5 Responsabilidades da direcao 5.1 Comprometimento da diregdo A Direcdo deve fornecer evidéncia do seu comprometimento com o estabelecimento, implementacao, operacao, monitoramento, analise critica, manutencao e melhoria do SGSI mediante: a) o estabelecimento da politica do SGSI; b) a garantia de que so estabelecidos os planos e objetives do SGSI; ‘GABNT 2006 - Tasos 08 direitos reservados 9Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 ©) estabelecimento de papéis e responsabilidades pela seguranga de informagao; d) a comunicagao organizagao da importancia em atender aos objetivos de seguranga da informagao © a conformidade com a politica de seguranga de informagao, suas responsabilidades perante a lei e a necessidade para melhoria continua; €) a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI (ver 6.2.1); f) adefinigao de critérios para aceitagdo de riscos e dos niveis de riscos aceitaveis; 9) a garantia de que as auditorias internas do SGSI sejam realizadas (ver segao 6); & h) a condugao de analises criticas do SGS! peta diregao (ver segao 7). 5.2 Gestio de recursos 5.2.1 Provisdo de recursos A organizagao deve determinar e prover os recursos necessérios para: a) _estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;, b) assegurar que os procedimentos de seguranga da informagao apoiam os requisitos de negécio; ©) identificar e tratar os requisitos legais © regulamentares e obrigagdes contratuais de seguranga da informagao: dd) manter a seguranga da informagao adequada pela aplicagao correta de todos os controles implementados; ©) realizar andlises criticas, quando necessério, e reagir adequadamente aos resultados destas analises criticas; e f) onde requerido, melhorar a eficdcia do SGSI 5.2.2 Treinamento, conscientizagao e competéncia ‘A organizagio deve assegurar que todo 0 pessoal que tem responsabilidades atribuidas definidas no SGSI seja ‘competente para desempenhar as tarefas requeridas: a) determinando as competéncias necessarias para o pessoal que executa trabalhos que afetam o SGSI; ») fornecendo treinamento ou executando outras agées (por exemplo, contratar pessoal competente) para satisfazer essas necessidades; ©) avaliando a eficacia das agdes executadas; ¢ dd) mantendo registros de educagao, treinamento, habilidades, experiéncias e qualificagdes (ver 4.3.3), A organizago deve também assegurar que todo o pessoal pertinente esteja consciente da relevancia e importéncia das suas atividades de seguranga da informaco e como eles contribuem para o alcance dos objetivos do SGSI 10 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 6 Auditorias internas do SGSI ‘A organizagao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) _atendem aos requisitos desta Norma e a legistagao ou regulamentagées pertinentes; b) atendem aos requisitos de seguranga da informagao identificados; ©) esto mantidos e implementados eficazmente; e d) S80 executados conforme esperado. Um programa de auditoria deve ser planejado levando em considerago a situagao e a importancia dos processos © areas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, freqléncia e métodos devem ser definidos. A selegdo dos auditores e a execugao das auditorias devem assegurar objetividade e imparcialidade do proceso de auditoria. Os auditores ndo devem auditar seu proprio trabalho. As responsabilidades e 0s requisitos para planejamento e para execugo de auditorias ¢ para relatar os resultados ea manutengao dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado. © responsavel pela area a ser auditada deve assegurar que as agdes sejam executadas, sem demora indevida, para eliminar as ndo-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificagdo das aces executadas e o relato dos resultados de verificagio (ver se¢do 8). NOTA A ABNT NBR ISO 19011:2002 - Dirotnizes para auditorias de sistoma do gestéo da qualidade e/ou ambiental ~ pode prover uma orientacao iti para realizar auitorias intemas do SCSI 7 Anilise critica do SGSI pela diregéo 7.4 Geral A diregao deve analisar crilicamente 0 SGSI da organizaco a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua continua pertinéncia, adequagao e eficacia. Esta analise critica deve incluir a avaliagao de oportunidades para melhoria © a necessidade de mudangas do SGSI, incluindo a politica de seguranga da informagao e objetivos de seguranca da informagao. Os resultados dessas andlises criticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3). 7.2 Entradas para a anilise critica ‘As entradas para a andlise critica pela diregdo devem inclu: a) resultados de auditorias do SGSI e andlises criticas; b) realimentago das partes interessadas; ©) _técnicas, produtos ou procedimentos que podem ser usados na organizagao para melhorar o desempenho e a eficacia do SGSI ; d) _situagao das agées preventivas ¢ corretivas; e) Vulnerabilidades ou ameagas ndo_contempladas adequadamente nas andlises/avaliagdes de risco anteriores; f) resultados da eficacia das medigbes ‘GABNT 2006 - Tasos 08 direitos reservados "1Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 9) acompanhamento das agées oriundas de anélises criticas anteriores pela diregao; fh) quaisquer mudangas que possam afetar 0 SGSI; ¢ i) recomendagées para melhoria. 7.3. Saidas da anilise critica As saidas da analise critica pela diregao devem incluir quaisquer decisées e agdes relacionadas a: a) Methoria da eficacia do SGSI. b) Atualizagao da analise/avaliagao de riscos e do plano de tratamento de riscos. ©) Modificagdio de procedimentos e controles que afetem a seguranga da informagao, quando necessério, para responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudangas de 1) _requisitos de negécio; 2) requisitos de seguranga da informagao; 3) processos de negécio que afetem os requisitos de negécio existentes; 4) requisites legais ou regulamentares; 5) obrigagées contratuais; e 6) _niveis de riscos e/ou critérios de aceitagao de riscos. d) Nocessidade de recursos. ) Melhoria de como a eficacia dos controles esté sendo medida. 8.1 Melhoria continua A organizagao deve continuamente melhorar a eficacia do SGSI por meio do uso da politica de seguranga da informagéo, objetivas de seguranga da informagao, resultados de auditorias, andlises de eventos monitorados, ages corretivas e preventivas e andlise critica pela dirego (ver segao 7) 8.2 Agao corretiva A organizagao deve executar ages para eliminar as causas de ndo-conformidades com os requisitos do SGSI, de forma a evitar a sua repetigao, O procedimento documentado para agao corretiva deve definir requisitos para: a) _identificar nao-conformidades; b) determinar as causas de néo-conformidades; ©) _avaliar a necessidade de agdes para assegurar que aquelas ndo-conformidades nao ocorram novamente; 4) determinar e implementar as ages corretivas necessérias; @) registrar os resultados das agdes executadas (ver 4.3.3); 12 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 ) _analisar criticamente as ages corretivas executadas. 8.3 Aco preventiva A organizagao deve determinar ages para eliminar as causas de nao-conformidades potenciais com os requisitos, do SGSI, de forma a evitar a sua ocorréncia. As agées preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas. O procedimento documentado para agao preventiva deve definir requisitos para: a) identificar néo-conformidades potencials e suas causas; b) avaliar a necessidade de ages para evitar a ocorréncia de ndo-conformidades; ©) determinar e implementar as ages preventivas necessarias; 4) registrar os resultados de agées executadas (ver 4.3.3); € e) analisar criticamente as agées preventivas executadas, ‘A organizacao deve identificar mudangas nos riscos e identificar requisitos de agdes preventivas focando a tengo nos riscos significativamente alterados. A prioridade de ages preventivas deve ser determinada com base nos resultados da anélise/avaliagao de riscos. NOTA Aces para prevenir ndo-conformidades freqentemente tém melhor custo-beneficio que as agbes corretivas. ‘GABNT 2006 - Tasos 08 direitos reservados 13Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Anexo A (normativo) Objetivos de controle e controles Os objetivos de controle @ controles listados na tabela A.1 sao derivados diretamente e estdo alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005 — segdes 5 a 15. As listas na tabela A.1 ndo s4o exaustivas uma organizagao pode considerar que objetivos de controle e controles adicionais s40 necessarios, Os objetivos de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado em 4.24 A ABNT NBR ISO/IEC 17799:2005 - segdes 5 a 15 fornece recomendacdes e um guia de implementagdo das melhores praticas para apoiar os controles especificados em A.5 a A.15, Tabela A.1 — Objetivos de controle e controles AS _ Politica de seguranca A514 Polit -a de seguranga da informa Objetivo: Prover uma orientagao e apoio da diregao para a seguranga da informagao de acordo com os requisitos do negécio e com as leis e regulamentacées relevantes, Controle as.1.1 | Documento da politicade | Um documento da politica de seguranca da informagao deve Seguranga da informacéo | ser aprovado pela direcdo, publicado e comunicado para todos 0S funcionarios e partes externas relevantes, Controle sip | Anlise crtica da poltica de | A politica de seguranga da informagdo deve ser analsada Seguranga da informagao._| cfllicamente a intervalos planejados ou quando mudangas significativas ocorrerem, para assegurar a sua continua pertinéncia, adequacdo e eficacia. ‘A6 _Organizando a seguranga da informagao A.6.1 _ Infra-estrutura da seguranca da informacao Objetivo: Gerenciar a seguranga da informagao dentro da organizacao. Controle Comprometimento da diregao | A Diregdo deve apoiar ativamente a seguranca da informagéio 6.1.1 | coma seguranca da dentro da organizagao, por meio de um claro direcionamento, informagao demonstrando 0 seu comprometimento, definindo atribuices de forma explicita e conhecendo as responsabilidades pela seguranga da informagao. Controle A6.1.2 _ | Coerdenacao da seguranca | 1s atividades de seguranga da informago devem ser da informagao coordenadas por representantes de diferentes partes da organizagao, com fungdes © papéis relevantes. 14 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Atribuigao de Controle 6.1.3 | responsabilidades para a Todas as responsabllidades pela seguranga da informagao sSeguranga da informagéo__| devem estar claramente definidas Processo de autorizagéo para | Controle e14 — | oS ecursos de Deve ser definido ¢ implementado um processo de gestao de processamento da autorizacao para novos recursos de processamento da informagao informacao, Controle Os requisitos para confidencialidade ou acordos de no A615 — | Acordos de confidencialidade | divulgagao que refltam as necessidades da organizagao para a protegao da informagao devem ser identificados e analisados criticamente, de forma regular. Controle 6.1.6 | Contato com autoridades Contatos apropriados com autoridades relevantes devem ser mantidos. Controle ‘Ag.1.7 | Contato com grupos Contatos apropriados com grupos de interesses especiais ou especiais outros féruns especializados de seguranga da informagao © associagdes profissionals devem ser mantidos. Controle © enfoque da organizagao para gerenciar a seguranga da informagao ¢ a sua implementacao (por exemplo, controles ‘6.1.8 | Anélise critica independente | objetivo dos controles, politicas, processos e procedimentos de seguranga da informaga0_| para a seguranga da informagao) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudangas significativas relativas a implementagao da seguranga da informagao. ‘A6.2 Partes externas Objetivo: Manter a seguranga dos recursos de processamento da informagao e da informagao da organizacao, que sao acessados, processados, comunicados ou gerenciados por partes externas. Identificagao dos riscos Controie 5 riscos para os recursos de processamento da informagao e terceiros 4621 | relacionados compares _| Para informagao da organizagao oriundos de processos do oxtomas negécio que envolvam as partes externas devem ser identiicados e controles apropriados devem ser implementados antes de se conceder 0 acesso. Controle Identificando a seguranga da 46.22 | informagao quando tratando. | Todos os requisitos de seguranga da informagaio identiicados ‘com os clientes devem ser considerados antes de conceder aos clientes o acesso aos ativos ou as informages da organizagio. Controle 0 acordos com teresiros envolvendo 0 acesso, Identiicando seguranga da__| processamento, comunicagao ou gerenciamento dos recursos 46.2.3 | informagdo nos acordos com de processamento da informagao ou da informagao da organizagao, ou 0 acréscimo de produtos ou servicos aos recursos de processamento da informacao devem cobrir todos 08 requisitos de seguranga da informagao relevantes, ‘GABNT 2006 - Tasos 08 direitos reservados 15Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 AT Gestio de ativos A714 Responsabilidade pelos ativos Objetiva: Alcangar e manter a protegao adequada dos ativos da organizagao. Controle 7.1.1. | Inventatio dos ativos Todos os ativos devem ser claramente identificados @ um inventério de todos os ativos importantes deve ser estruturado mantido, Controle 7.1.2 | Proprietario dos ativos ‘Todas as informagées e ativos associados com os recursos de processamento da informagao devem ter um "proprietario"®) designado por uma parte definida da organizagéo. Controle . Devem ser identificadas, documentadas e implementadas A713 | Usoaceitavel dos atives | regras para que seja permilido 0 uso de informaces e de ativos associados aos recursos de processamento da informagao. A..2 Classificagao da informagao Objetivo: Assegurar que a informagao receba um nivel adequado de protego, Controle A724 | Recomendacées para | Classificagdo, A informagao deve ser classificada em termos do seu valor, requisites legais, sensibilidade e critcidade para a organizago Controle A722 | Rétulos e tratamento da Um conjunto apropriado de procedimentos para rotulare tratar informagao a informagao deve ser definido e implementado de acordo com © esquema de classificago adotado pela organizagao, ‘AB Seguranga em recursos humanos A8.1 _Antes da contratagao") Objetivo: Assegurar que os funcionérios, fomecedores ¢ terceiros entendam suas responsabilidades, © estejam de acordo com as seus papéls, e reduzir o risco de roubo, fraude ou mau uso de recursos. Controle Os papéis e responsabilidades pela seguranga da informagao ABI4 Papéis e responsabilidades | de funciondrios, fornecedores e terceiros devem ser definidos e documentados de acordo com a politica de seguranga da informagao da organizagao, Explicagao: © termo "proprietario” identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produedo, o desenvolvimento, a manutengao, 0 uso e a seguranca dos ativos. O termo “proprietério” nao significa que a pessoa realmente tenha qualquer direito de propriedade pelo ativo *) Explicagao: A palavra “contratagao", neste contexto, visa cobrir todas as seguintes diferentes siluacdes: contratagio de pessoas (lemporarias ou por longa duragao), nomeagao de fungbes, mudanga de fungies, alribuigdes de contratos © tencerramento de quaisquer destas situapoes, 16 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 ABA2 Selegao Controle Verificagées de controle de todos os candidatos a emprego, fornecedores ¢ terceiros devem ser realizadas de acordo com as leis relevantes, regulamentagGes e éticas, ¢ proporcionalmente aos requisitos do negécio, a classificagao das informagées a serem acessadas e aos riscos percebidos, A813 Termos e condigées de contratagao Controle Como parte das suas obrigagdes contratuais, os funcionérios, fornecedores e terceiros devem concordar e assinar os termos e condig6es de sua contratago para o trabalho, os quais devem declarar as suas responsabilidade e da organizagao para a seguranga da informacao. preparados ‘A.8.2 Durante a contratacao Objetivo: Assegurar que os funcionarios, fornecedores e terceiros esto conscientes das ameacas © preocupacées relativas a seguranca da informago, suas responsabilidades e obrigagées, e esto ara apoiar a politica de segura normais, e para reduzir 0 risco de erro humano. nga da informagao da organizacao durante os seus trabalhos Controle A diregao deve solicitar aos funcionarios, fornecedores A824 Responsabilidades da dire¢ao | terceiros que pratiquem a seguranga da informagao de acordo com 0 estabelecido nas politicas e procedimentos da organizacao. Controle Conscientizagao, educagao e | Todos os funcionérios da organizagao e, onde pertinente, 48.2.2 _ | treinamento em seguranga da | fornecedores e terceiros devem receber treinamento informagao apropriado em conscientizacao, e atualizagdes regulares nas politicas e procedimentos organizacionais relevantes para as suas fungées, Controle A823 | Processo disciplinar Deve existir um processo disciplinar formal para os funcionérios que tenham cometido uma violagao da seguranga da informagao, ‘A.8.3_ Encerramento ou mudanga da contratagao Objetivo: Assegurar que funcionérios, forecedores e terceiros deixem a organizacao ou mudem de trabalho de forma ordenada. A831 Encerramento de atividades Controle ‘As responsabilidades para realizar o encerramento ou a mudanga de um trabalho devem ser claramente definidas e atribuidas. A832 Devolugao de ativos Controle Todos os funcionarios, fornecedores e terceiros devem devolver todos os ativos da organizagao que estejam em sua posse apés o encerramento de suas atividades, do contrato ou acordo. ‘GABNT 2006 - Tasos 08 direitos reservados 7Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Retirada de direitos de A833 acesso Controle 0s direitos de acesso de todos os funcionarios, fornecedores terceiros as informagoes e aos recursos de processamento da informacao devem ser retirados apés o encerramento de suas atividades, contratos ou acordos, ou devem ser ajustados apés a mudanga destas atividades 9 Seguranga fisica e do ambiente Aaa Areas seguras da organizagao. Objetivo: Prevenir 0 acesso fisico nao autorizado, danos e interferéncias com as instalagdes @ informagoes Controle Devem ser utilizados perimotros de seguranga (barreiras tais salas e instalagoes 9.1.1 | Perimetro de seguranga fisica | como paredes, portdes de entrada controlados por cartao ou balodes de recepgdo com recepcionistas) para proteger as reas que contenham informagoes ¢ recursos de processamento da informagao. Controle A9.1.2 | Controles de entrada fisica | AS éreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Controle ng9.13 | Seguranga em escritérios Deve ser projetada e aplicada seguranca fisica para escritérios, salas e instalagées. Protegao contra ameagas Agta externas e do meio ambiente Controle Deve ser projetada e aplicada protegao fisica contra incéndios, enchentes, terremotos, explosdes, perturbagées da ordem iiblica e outras formas de desastres naturais ou causados pelo homem, ‘9.1.5 _ | Trabalhando em areas Controle Deve ser projetada e aplicada protegao fisica, bem como entrega e de carregamento seguras diretrizes para 0 trabalho em areas seguras, Controle Pontos de acesso, tais como areas de entrega e de rorg | Ace880do pibico, areas de | carregamento e outros pontos em que pessoas nao autorizadas possam entrar nas instalagées, devem ser controlados e, se possivel, isolados dos recursos de processamento da informagao, para evitar 0 acesso nao autorizado. ‘9.2 Seguranga de equipamentos organizaco. Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupgo das atividades da 19.2.1 _ | Instalagao e protegao do equipamento Controle Os equipamentos devem ser colocados no local ou protegidos para reduzir os riscos de ameagas e perigos do meio ambiente, bem como as oportunidades de acesso nao autorizado. 18 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 A922 Utlidades: Controle (Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupcdes causadas por falhas das utilidades, A923 Seguranga do cabeamento Controle O cabeamento de energia e de telecomunicacées que transporta dados ou da suporte aos servigos de intormagées, deve ser protegido contra interceptagao ou danos. Ag24 Manutengao dos equipamentos Controle Os equipamentos devem ter manutengao correta, para assegurar sua disponibilidade e integridade permanente, A925 ‘Seguranga de equipamentos fora das dependéncias da organizacao Controle Devem ser tomadas medidas de seguranca para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das, dependéncias da organizag&o, A928 Reutlizagao ¢ alienago segura de equipamentos Controte Todos os equipamentos que contenham midias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensiveis e softwares licenciados tenham sido removidos ou sobregravados com seguranga, Ag27 Remogao de propriedade Controle Equipamentos, informagoes ou software nao devem ser relirados do local sem autorizagAo prévia. ‘A.10 Gerenciamento das operages e comunicagées ‘A.10.1. Procedimentos e responsabilidades operacionais Objetivo: Garantir a operacao segura e correta dos recursos de processamento da informagao. AA0.1.1 Documentagao dos procedimentos de operacao Controle Os procedimentos de operagao devem ser documentados, mantidos atualizados e disponiveis a todos os usuarios que deles necessitem AA01.2 Gostao de mudangas Controle Modificagdes nos recursos de processamento da informagao & sistemas devem ser controladas. A10.1.3 Segregagao de funcées Controle Fungoes e areas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificago ou uso indevido nao autorizado ou nao intencional dos ativos da organizagao, A014 ‘Separagao dos recursos de desenvolvimento, teste e de producao Controle Recursos de desenvolvimento, teste e produgao devem ser separados para reduzir o risco de acessos ou modificagdes nao autorizadas aos sistemas operacionais. ‘GABNT 2006 - Tasos 08 direitos reservados 19Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 10.2 Gerenciamento de servicos terceirizados Objetivo: Implementar e manter o nivel apropriado de seguranga da informagao e de entrega de servigos em consonancia com acordos de entraga de servicos terceirizados, Controle Deve ser garantido que os controles de seguranca, as A10.21 | Entrega de servicos definigbes de servico e os niveis de entrega incluidos no acordo de entrega de servigos terceirizados sejam implementados, executados e mantidos pelo terceiro. Controle Monitoramento e andlise 10.22 | critica de servigos Os servigos, relatorios e registros fomecidos por terceiro terceirizados devem ser regularmente monitorados e analisados criticamente, e auditorias devem ser executadas regularmente. Controle Mudangas no provisionamento dos servigos, incluindo Gerenciamento de mudangas | manutencao e melhoria da politica de seguranca da para servigos terceirizados _| informagdo, dos procedimentos e controles existentes, devem ser gerenciadas levando-se em conta a criticidade dos sistemas e processos de negécio envolvidos e a reandlise/reavaliacdo de riscos, A10.2.3 ‘A.10.3. Planejamento e aceitagao dos sistemas Objetivo: Minimizar 0 risco de falhas nos sistemas. Controle . A.utilizagao dos recursos deve ser monitorada e sincronizada 10.3.1 | Gestao de capacidade as projegdes devem ser feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema, Controle . Devem ser estabelecidos critérios de aceitagao para novos 10.3.2 | Aceitagao de sistemas sistemas, atualizag6es e novas versdes e que sejam efetuados testes apropriados do(s) sistemia(s) durante seu desenvolvimento e antes da sua aceitagao. A.10.4. Protecao contra cédigos maliciosos e cédigos méveis Objetivo: Proteger a integridade do software e da informagao. Controle Controle contra cédigos Dever ser implantados contoles de detecpao, prevengao e Atoaa | Conor cs recuperagao para proteger contra cédigos maliciosos, assim Como procedimentos para a devida conscientizagao dos suas Controle Onde o uso de eédigos méveis 6 autorizado, a configuragéo ‘10.4.2 | Contfoles contra cédigos | deve garantir que o cédigo mével autorizado opere de acordo méveis ‘com uma politica de seguranga da informagao claramente, definida e que eédigos méveis nao autorizados tenham sua execugao impedida, 20 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 A105 Cépias de seguranca Objetivo: Manter a integridade e disponibilidade da informacao e dos recursos de processamento de informagao, Controle ‘Atos.1 | 6Pias de seguranca das | cépias de seguranga das informagSes e dos softwares devem informagoes ser efetuadas e testadas regularmente, conforme a politica de gerasao de cépias de seguranga definida, ‘A.10.6 Gerenciamento da seguranga em redes Objetivo: Garantir a protegdo das informagdes em redes e a protegdo da infra-estrutura de suporte. Controle Redes deve ser adequadamente gerenciadas e controladas, A.10.6.1 | Controles de redes de forma a protegé-las contra ameagas e manter a seguranga de sistemas e aplicagdes que utilizam estas redes, incluindo a informagao em transite. Controle Caracteristicas de seguranga, niveis de servigo e requisitos de gerenciamento dos servigos de rede devem ser identificados incluidos em qualquer acordo de servigos de rede, tanto para servigos de rede providos internamente como para terceirizados, Seguranga dos servigos de Ato6.2 | Sey A.10.7, Manuseio de midias Objetivo: Prevenir contra divulgagao nao autorizada, modificagao, remogao ou destrui¢ao aos ativos e interrupgdes das atividades do negécio. ; Controte ‘A107. | Serenciamento de midias 1 | removiveis Devem existir procedimentos implementados para 0 gerenciamento de midias removiveis. Controle 10.72 | Descarte de midias ‘As midias devem ser descartadas de forma segura e protegida quando nao forem mais necessérias, por meio de procedimentos formais. Controle Procedimentos para Devem ser estabelecidos procedimentos para o tratamento ¢ 0 ‘A10.7.3 | tratamento de informagao _| afmazenamento de informacbes, para proteger tais informagdes contra a divulgagao nao autorizada ou uso indevido Controfe ‘Seguranga da documentagao AN07.4 | a56 sistemas A documentagao dos sistemas deve ser protegida contra acessos nao autorizados. ‘A.10.8 Troca de informagoes Objetivo: Manter a seguranga na troca de informagdes softwares intemamente organizagao e com uaisquer entidades externas. Controte 10.8.1 | Politicas e procedimentos Politicas, procedimentos e controles devem ser estabelecidos e Para troca de informagées | formalizados para proteger a troca de informagoes em todos os tipos de recursos de comunicacao. ‘GABNT 2006 - Tasos 08 direitos reservados 2Cépia nao autorizada ABNT NBR ISO/IEC 27001:2006 A10,8.2 Acordos para a troca de informages Controle Devem ser estabelecides acordos para a troca de informagées @ softwares entre a organizaco e entidades externas. A10.8.3 Midias em transito Controle Midias contendo informagdes devem ser protegidas contra acesso nao autorizado, uso Impréprio ou alteragdo indevida durante o transporte extemo aos limites fisicos da organizagao. A10.8.4 Mensagens eletrénicas Controle As informagées que trafegam em mensagens eletrénicas devem ser adequadamente protegidas. A10.8.5 Sistemas de informag6es do negécio Controle Politicas e procedimentos devem ser desenvalvidos e implementados para proteger as informagdes associadas com a interconexao de sistemas de informagdes do negécio. A.10.9 Servigos de comércio eletrénico Objetivo: Garantir a seguranga de servigos de comércio eletrénico e sua utlizagao segura, A10.9.1 Comércio eletrénico Controle As informagées envolvidas em comércio eletrénico transitando sobre redes publicas devem ser protegidas de atividades fraudulentas, disputas contratuais, divulgagao e modificagoes nao autorizadas, A10.9.2 Transagées on-line Controle Informagdes envolvidas em transagdes on-line deve ser protegidas para prevenir transmissées incompletas, erros de roteamento, alterag6es ndo autorizadas de mensagens, divulgagao nao autorizada, duplicagao ou reapresentagao de mensagem néo autorizada A10.9.3 Informagdes publicamente disponiveis Controle A integridade das informagdes disponibiizadas em sistemas publicamente acessiveis deve ser protegida, para prevenir modificagées nao autorizadas. 4.10.10 Monitoramento Objetivo: Detectar atividades nao autorizadas de processamento da informagao. A10.10.1 Registros de auditoria Controle Registros (/og) de auditoria contendo atividades dos usuarios, ‘excegdes © outros eventos de seguranca da informagao devem ser produzidos e mantidos por um periodo de tempo acordado ara auxiliar em futuras investigagbes e monitoramento de controle de acesso, A.10.10.2 Monitoramento do uso do sistema Controle Devem ser estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informagao © os. resultados das atividades de monitoramento deve ser analisados criticamente, de forma regular. 22 @ABNT 2006 - Todos 08 dtotos reservadosCépia nao autorizada ABNT NBR ISO/IEC 27001:2006 Protecdo das informacées Controle 110.1023 | Tee (oe) Os recursos e informagdes de registros (log) devem ser protegidos contra falsificagao e acesso nao autorizado regis (09) Controle egistros (log) de 10.104 | Soministrador e operador _| AS atividades dos administradores e operadores do sistema devem ser registradas. Controle A.10.10.5. | Registros (logs) de falas | falhas ocorridas devem ser registradas 6 analisadas, © devem ser adotadas as agées apropriadas. Controle Os relégios de todos os sistemas de processamento de A10.10.6 | Sincronizagao dos relégios informagées relevantes, dentro da organizagao ou do dominio de seguranca, devem ser sincronizados de acordo com uma hora oficial ‘A.11_ Controle de acessos A111 Requis itos de negécio para controle de acesso Objetivo: Controlar 0 acesso a informagao, AMAA Politica de controle de acesso Controte A politica de controle de acesso deve ser estabelecida, documentada e analisada criticamente, tomando-se como base 05 requisitos de acesso dos negécios @ da seguranga da informagao, A.11.2. Gerenciamento de acesso do usuario Objetivo: Assegurar acesso de usuario autorizado e preveniir acesso nao autorizado a sistemas de acesso de usuario informago Controle 11.2.1 | Registro de usuario Deve existir um procedimento formal de registro e cancslamento de ueuario para garantie revogar avessos em todos os sistemas de informagao © servigos Controte A11.2.2 | Gerenciamento de privilégios | A concessao e 0 uso de privilégios devem ser restritos & controiados. Conroe ‘Ariza | Getenclamento de senha do . 3 | usuario A concessiio de senhas deve ser controlada por meio de um processo de gerenciamento formal Controte ‘ati24 | Anélise etica dos direitos de_| 0 gestor deve conduzir a intervalos regulares a andlis critica dos direitos de acesso dos usuarios, por meio de um processo formal. ‘GABNT 2006 - Tasos 08 direitos reservados 23