Projeto em Consulta Nacional ABNTICB-021 q l PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Seguranga da informagao, seguranga cibernética e protegao da privacidade — Governanga da seguranga da informagao APRESENTACAO 1) Este Projeto de Revisao foi elaborado pela Comissao de Estudo de Seguranga da Informacao, Seguranga Cibernética e Protegao da Privacidade (CE-021:000.027) do Comité Brasileiro de Computadores e Processamento de Dados (ABNT/CB-021), nas reunides de: 27.10.2020 10.03.2021 a) € previsto para cancelar e substituir a ABNT NBR ISO/IEC 27014:2013, a qual foi tecnicamente revisada, quando aprovado, sendo que, nesse interim, a referida norma continua em vigor; b) € previsto para ser idéntico a ISO/IEC 27014:2020, que foi elaborada pelo Joint Technical Committee Information Technology (ISO/JTC 1), Subcommittee Information security, cybersecurity and privacy protection (SC 27); ©) no tem valor normativo. 2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informagao em seus comentarios, com documentagao comprobatéria. 3) Analista ABNT ~ Carolina Oliveira. © ABNT 2021 ‘Todos os direitos reservados. Salvo disposicao em contrario, nenhuma parte desta publicago pode ser modificada ou utlizada de outra forma que altere seu contetido. Esta publicagao nao 6 um documento normative e tem apenas a incumbéncia de permitir uma consulta prévia ao assunto tratado. Nao ¢ autorizado postar na internet ou intranet sem prévia permissao por escrito. A permissao pode ser solicitada aos meios de comunicagao da ABNT. NAO TEM VALOR NORMATIVO.to em Consulta Nacional oO Pro ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Seguranga da informagao, seguranga cibernética e protegao da privacidade — Governanga da seguranga da informagao Information security, cybersecurity and privacy protection — Governance of information security Prefacio Nacional ‘AAssociagao Brasileira de Normas Técnicas (ABNT) € 0 Foro Nacional de Normalizagao. As Normas Brasileiras, cujo contetido de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizacao Setorial (ABNT/ONS) e das Comissdes de Estudo Especiais (ABNT/CEE), sao elaboradas por Comissdes de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalizagao. Os Documentos Técnicos internacionais adotados sdo elaborados conforme as regras da ABNT Diretiva 3. AABNT chama a atengao para que, apesar de ter sido solicitada manifestagao sobre eventuais direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados & ABNT a qualquer momento (Lei n® 9.279, de 14 de maio de 1996). Os Documentos Técnicos ABNT, assim como as Normas Intemacionais (ISO ¢ IEC), sao voluntarios @ néo incluem requisites contratuais, legals ou estatutarios. Os Documentos Técnicos ABNT nao substituem Leis, Decretos ou Regulamentos, aos quais os usuarios devem atender, tendo precedéncia sobre qualquer Documento Técnico ABNT. Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citagao em Regulamentos Técnicos. Nestes casos, os 6rgaos responsaveis pelos Regulamentos Técnicos podem determinar as datas para exigéncia dos requisitos de quaisquer Documentos Técnicos ABNT. AABNT NBR ISO/IEC 27014 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNT/CB-021), pela Comissao de Estudo de Seguranca da Informagao, Seguranga Cibernética e Protegao da Privacidade (CE-021:000,027). O Projeto de Revisdo circulou em Consulta Nacional conforme Edital n° XX, de XX.XX.XXXX a XX.XX.XXXX. AABNT NBR ISO/IEC 27014 6 uma adogao idéntica, em contetido técnico, estrutura e redagao, & SP IISONEC 27014:2020, que foi elaborada pelo Joint Technical Committee Information Technology (ISOMTC 1}, Subcommittee Information security, cybersecurity and privacy protection (SC 27). AABNT NBR ISO/IEC 27014:2021 cancela e substitu a ABNT NBR ISO/IEC 27014:2013, a qual foi tecnicamente revisada. O Escopo da ABNT NBR ISO/IEC 27014 em inglés é o seguinte: Scope This document provides guidance on concepts, objectives and processes for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security-related processes within the organization. NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Introdugao ‘A seguranga da informacao é uma questao-chave para as organizagdes, amplificada por rapidos avangos em metodologias e tecnologias de ataque, @ com correspondente aumento por pressdes regulatorias. ‘Afalha de controles de seguranga da informagao de uma organizagao pode ter muitos impactos adversos na organizagao e em suas partes interessadas incluindo, mas nao limitado a, perda de confianca. A governanga da seguranga da informacao ¢ a utilizagao de recursos para assegurar a implementacao efetiva de seguranga da informagao, fomecendo garantia de que: — diretivas a respeito de seguranca da informacao sao seguidas; — 0 6190 diretivo recebe relatorios confidveis e relevantes sobre as alividades relacionadas a seguranga da informagao. 1380 auxilia 0 6rgao diretivo a tomar decisdes a respeito de objetivos estratégicos para a organizacao, ao fomecer informagao sobre seguranga da informagao que pode afetar esses objetivos. Também garante que a estratégia de seguranga da informacao esteja alinhada com os objetivos gerais da entidade. Gestores e outros que trabalhem nas organizagdes precisam entender: — 05 requisitos de governanga que afetam seu trabalho; e — como cumprir requisitos de governanca que requerem deles uma acao. NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Seguranga da informagao, seguranga cibernética e protegado da privacidade — Governanga da seguranga da informagao 1 Escopo Este Documento fornece orientago sobre conceitos, objetivos e processos para a governanga da seguranga da informacao pela qual as organizagdes podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas & seguranga da informagao dentro da organizagao. O publico-alvo deste Documento ¢: — Orga diretivo e Alta Direcao; — _aqueles que sao responsdveis por avaliar, direcionar e monitorar um sistema de gestéo da seguranga da informagao (SGSI) com base na ABNT NBR ISO/IEC 27001:2013; —_ responsaveis pela gestéo da seguranga da informagao que ocorre fora do escopo de um SGSI com base na ABNT NBR ISO/IEC 27001:2013, mas dentro do escopo da governanca. Este Documento é aplicavel a todos os tipos e tamanhos de organizagées. Todas as referéncias a um SGSI neste Documento se aplicam a um SGSI com base na ABNT NBR ISO/IEC 27001:2013. Este Documento tem foco nos trés tipos de organizages SGSI apresentados no Anexo B. Entretanto, este Documento pode também ser utilizado por outros tipos de organizagées, 2 Referéncia normativa (© documento a seguir é citado no texto de tal forma que seu contetido, total ou parcial, constitui requisitos para este Documento, Para referéncias datadas, aplicam-se somente as edigées citadas, Para referéncias nao datadas, aplicam-se as edigses mais recentes do referido documento (incluindo emendas). ISO/IEC 27000, Information technology ~ Security techniques - Information security management systems ~ Overview and vocabulary 3 Termos e definigées Para os efeitos deste Documento, aplicam-se os termos € definigdes da ISO/IEC 27000 e os seguintes. AISO ea IEC mantém bases de dados termii 1égicos para uso na normalizago nos seguintes enderegos: —_1SO Online browsing plataform ISO: disponivel em http:/www.iso.org/obp — Electropedia IEC: disponivel em http:/www.electropedia.org/ NAO TEM VALOR NORMATIVO. 1gABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 34 entidade organizagao e outros érgaos ou partes Nota 1 de entrada: Uma entidade pode ser um grupo de empresas, ou uma Unica empresa, ou uma empresa sem fins lucrativos ou outra. A entidade tem autoridade de governanga sobre a organizacéo. A entidade pode ser idéntica a organizagao, por exemplo, em empresas menores. 3.2 organizacao parte de uma entidade (3.1) que executa e gerencia um SGSI 3.3 6rgao diretivo Pessoa ou grupo de pessoas que sao responsaveis pelo desempenho e pela conformidade da entidade [FONTE: ISO/IEC 27000:2018, 3.24, modificada ~ “organizagao’ substituida por “entidade"] 3.4 Alta Diregao pessoa ou grupo de pessoas que dirige ¢ controla uma organizagao no mais alto nivel Nota 1 de entrada: A Alta Diregao tem 0 poder de delegar autoridade e prover recursos na organizagao. Nota 2 de entrada: Se o escopo do sistema de gestdo cobrir apenas parte de uma entidade, entdo a Alta Diregao se refere aqueles que dirigem e controlam aquela parte da entidade, Nessa situago, a Alta Diregaio 6 responsvel perante 0 draao diretivo da entidade. Nota 3 de entrada: Dependendo do tamanho e dos recursos da organizacao, a Alta Diregdo pode ser igual a0 drgiio diretivo. Nota 4 de entrada: A Alta Diregao responde ao érgiio diretivo, Nota 5 de entrada: A ABNT NBR ISO 37001 também fornece definigdes para érgao diretivo e Alta Direcao. IFONTE: ISO/IEC 27000:2018, 3.75, modificada — Na Nota 2 de entrada, a segunda frase foi adicionada e “organizacao’ foi alterada para “entidade”. A Nota 3 de entrada foi substituida. As Notas 4 e 5 foram adicionadas.] 4 Termos abreviados SGSI__ sistema de gestdo da seguranga da informacao Tl tecnologia da informagao Projeto em Consulta Nacional 5 Uso e estrutura deste Documento Este Documento descreve como a governanga da seguranga da informagao opera dentro de um SGSI, com base na ABNT NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governanca que operam fora do escopo de um SGSI, Ele destaca quatro processos principais de “avaliar’, “direcionar’, “monitorar’ e “comunicar’ nos quais um SGSI pode ser estruturado dentro de uma organizago e sugere abordagens para integrar a governanga da seguranga da informacao 218 NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 nas atividades de governanga organizacional em cada um desses processos. Finalmente, o Anexo A descreve as relagoes entre governanga organizacional, governanga da tecnologia da informagao e governanga da seguranga da informagao. © SGSI cobre toda a organizacao, por definicao (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela, Isso ¢ ilustrado na Figura B.1 6 Normas de governanga e gestao 6.1 Visdo geral ‘A governanga da seguranga da informagao € o meio pelo qual 0 6rgao diretivo de uma organizagao fornece orientagao geral e controle das atividades que afetam a seguranga das informagdes de uma organizago. Essa direcao e esse controle se concentram nas circunstancias em que uma seguranca da informacao inadequada pode afetar adversamente a capacidade da organizagao de atingir seus objetivos gerais. E comum que um 6rgao diretivo atinja seus objetivos de governanga por meio de: —_fornecimento de orientagao através do estabelecimento de estratégias ¢ pollticas; — monitoramento do desempenho da organizagao; e —_avallagéo das propostas e planos desenvolvidos pelos gestores. A gestao da seguranga da informagao esta associada a garantia do cumprimento dos objetivos da organizagao descritos nas estratégias e politicas estabelecidas pelo érgao diretivo. Isso pode incluir interagao com o érgao diretivo por meio de: — fornecimento de propostas e planos para consideragao do érgao diretivo; & —_ fornecimento de informagées ao draao diretivo sobre 0 desempenho da organizagao. ‘A governanga eficaz da seguranca da informagao requer que tanto os membros do 6rgao diretivo quanto 0s gestores cumpram suas respectivas funges de maneira consistente. 6.2. Atividades de governanga no escopo de um SGSI AABNT NBR ISO/IEC 27001 especifica os requisites para estabelecer, implementar, manter e melhorar continuamente um sistema de gestao da seguranga da Informagao no contexto de uma organizacao. ‘Também inclui requisitos para avaliagao e tratamento de riscos de seguranga da informagao ajustados &s necessidades da organizacao. AABNT NBR ISO/IEC 27001 néo usa 0 termo “governanga’, mas especifica uma série de requisitos que sao atividades de governanca. A lista a seguir fornece exemplos dessas atividades. As referéncias organizagdo e a Alta Diregao sao, conforme observado anteriormente, associadas ao escopo de um SGSI com base na ABNT NBR ISO/IEC 27001 — AABNT NBR ISO/IEC 27001:2013, 4.1, requer que a organizagao determine 0 que ela visa alcangar — suas metas e objetivos de seguranga da informagéo. Convém que eles estejam relacionados e deem suporte as metas e aos objetivos gerais da entidade. Isto se relaciona aos objetivos de governanga 1, 3 e 4, declarados em 7.2. NAO TEM VALOR NORMATIVO. 318Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 — _AABNT NBR ISO/IEC 27001:2013, 4.2, requer que a organizacao determine as partes interessadas que sao relevantes para o SGSI e os requisitos relevantes dessas partes interessadas para a seguranca da informagao. Isso se relaciona ao objetivo de governanga 4, declarado em 7.2 — AABNT NBR ISO/IEC 27001:2013, 4.3, requer que a organizagao determine os limites e a aplicabilidade do SGSI para estabelecer 0 seu escopo, considerando questées externas e internas, requisitos, interfaces e dependéncias, Também é especificado que “a organizagao deve incorporar 08 requisitos e as expectativas das partes interessadas em seu sistema de gestao de da seguranca da informagéio, bem como questées externas ¢ internas (como leis, regulamentos e contratos)’, Isso se relaciona ao objetivo de governanca 1, declarado em 7.2. — AABNT NBR ISO/IEC 27001:2013, Segao 5, especifica que “a organizagao deve estabelecer politicas, objetivos e integrar a seguranca da informacao em seus processos (os quais podem ser considerados para inclusdo nos processos de governanca)". Ela requer que a organizagao disponibilize recursos adequades @ comunique a importancia de uma gest4o da seguranga da informagao. Mais importante, também afirma que “a organizagao deve orientar e apoiar as pessoas que contribuam para a eficdcia do SGSI e que outros papéis relevantes de gestéio devem ser apoiados em suas areas de responsabilidade”. AABNT NBR ISO/IEC 27001:2013, Secao 5, contém instrugdes para definir politicas e atribuir papéis para a gestéo da seguranga da informagao e sua comunicagéo. Isso se relaciona aos objetivos de governanga 1 e 3, declarados em 7.2. — AABNT NBR ISO/IEC 27001:2013, Seco 6, considera o planejamento de uma abordagem de gestao de riscos para a organizagao, especificando que “a organizagao deve identificar os riscos © as oportunidades a serem considerados para garantir que seu SGSI seja efetivo”. Ela introduz © conceito de proprietarios de risco e coloca suas responsabilidades no contexto das atividades da organizagao para gerenciar e aprovar as atividades de tratamento de risco. Também requer que a organizacdo estabeleca objetivos de seguranga da informagao. Isso se relaciona ao objetivo de governanga 2, declarado em 7.2. — AABNT NBR ISO/IEC 27001:2013, Segdo 7, especifica que “as pessoas devem ser competentes no cumprimento de suas obrigacdes de seguranca da informacao”. Ela fornece também um Fequisito para comunicagdes organizacionais. Isso se relaciona ao objetivo de governanca 5, declarado em 7.2 — AABNT NBR ISO/IEC 27001:2013, Segao 8, requer que a organizagao planeje, implemente & controle seu SGSI, incluindo acordos com terceirizados. Isso se relaciona aos objetivos de govemanga 4 e 6, declarados em 7.2 — AABNT NBR ISO/IEC 27001:2013, Sedo 9, requer monitoramento e comunicagao de todos 98 aspectos relevantes do SGSI, como auditorias intemas, revisdo e decisao da Alta Diregao & do érgao diretivo sobre a eficdcia operacional do SGSI, incluindo quaisquer mudangas necessarias, Isso se relaciona ao objetivo de governanga 6, declarado em 7.2. — AABNT NBR ISO/IEC 27001:2013, Secao 10, especifica a identificagao e 0 tratamento de ndo conformidades, o requisito para a identificagao de oportunidades de melhoria continua e a atuacao nessas oportunidades. Isso se relaciona ao objetivo de governanga 4, declarado em 7.2. 6.3 Outras normas relacionadas AABNT NBR ISO/IEC 38500 fomece principios orlentadores para os membros do érgao diretivo de organizagées sobre 0 uso efetivo, eficiente @ aceitavel da tecnologia da informagaio dentro de suas organizagées. Ela também fornece orientagdes para aqueles que assessoram, informam ou auxiliam 08 6rgaos diretivos na governanga da TI. ang NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 6.4 Linha de governanga dentro da organizagao Essas linhas esto em correspondéncia exata com os processos de governana organizacional descritos na Seco 7. Os dois tiltimos itens da lista so equivalentes aos seus aspectos de governanca no contexto da seguranga da informagao —_alinhar os objetivos de seguranga da informacao com os objetivos do negécio; — promover a gestdo de riscos de seguranca da informagao de acordo com estes objetivos de seguranga da informaga\ — evitar conflitos de interesses na gestao da seguranga da informacao; — impedir que a tecnologia da informagao da organizagao seja usada para prejudicar outras organizagées. 7 Governanga de entidades e governanga da seguranga da informagao 7.4 Visao geral Existem muitas areas de governanga em uma entidade, incluindo seguranga da informacao, tecnologia da informago, satide e seguranga, qualidade e financas. Cada area de governanga 6 um componente dos objetivos gerais de governanca de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governanga as vezes se sobrepdem. Em 7.2 € 7.3 S80 descritos os objetivos e os processos envolvidos na governanga da seguranga da informagao, que podem ser aplicados a qualquer area sendo governada. Um SGSI se concentra na gesto de riscos relacionados & informago. Nao aborda diretamente questdes como lucratividade, aquisicao, uso e realizagao de ativos, ou a eficiéncia de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questoes. 7.2 Objetivos 7.2.1 Objetivo 1: Estabelecer seguranca da informacao abrangente e integrada em toda a entidade ‘Convém que a governanga da seguranga da informagao assegure que os objetivos da seguranga da informagao sejam abrangentes e integrados. Convém que a seguranga da informagao sela tratada em nivel de entidade, com a tomada de decisao levando em consideragao as prioridades da entidade. Convém que as atividades relacionadas a seguranga fisica e légica sejam coordenadas de perto. Isso nao requer, no entanto, um Unico conjunto de medidas de seguranga ou um Unico sistema de gestao da seguranga da informagao (SGSI) em toda a entidade. Para garantit a seguranga da informagéo em toda a entidade, convém que a responsabilidade e a responsabilizacao pela seguranga da informacao sejam estabelecidas em toda a extensao das atividades de uma entidade. Isto pode se estender além das “tronteiras’ geralmente percebidas de uma entidade, por exemplo, para incluir informagdes armazenadas ou transferidas por entidades externas. 7.2.2 Objetivo 2: Tomar decisdes usando uma abordagem baseada em risco Convém que a governanga da seguranga da informagao seja baseada em obrigagdes de compliance e também em decisées baseadas em risco especificas da entidade. Convém que a determinacao de quanta seguranga ¢ aceitavel seja baseada no apetite de risco de uma entidade, incluindo perda de NAO TEM VALOR NORMATIVO. 5/18ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 vantagem competitiva, riscos de compliance e de obrigagao legal, interrupgdes operacionais, danos reputagao e perda financeira. Convém que a gestdo de riscos de seguranga da informacao seja consistente em toda a entidade e inclua consideragdes sobre os impactos financeiros, operacionais e reputacionais adversos de violagdes e de nao compliance. Além disso, convém que a gestio de riscos de seguranga da informacao seja integrada com a abordagem de gestao de riscos geral da entidade, a fim de que nao seja feita ‘oladamente e ndo cause confusao, por exemplo, mapear para a metodologia da entidade ou capturar informagao estratégica de riscos no registro de risco da entidade. Convém que recursos apropriados para implementar a gestao de riscos de informagao sejam alocados como parte do processo de governanga da seguranga. 7.2.3 Objetivo 3: Definir o irecionamento de aquisigées Convém que 0 impacto do risco de seguranga da informacao seja avaliado de forma adequada ao empreender novas atividades, incluindo, mas nao se limitando @, qualquer investimento, compra, fusao, adogao de nova tecnologia, acordos de terceirizagao e contrato com fomecedores externos. ‘fim de otimizar a aquisigao de seguranca da informagao para apolar os objetivos da entidade, convém que o 6rgao diretivo garanta que a seguranga da informagao seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisigoes, despesas financeiras, compliance legal @ regulatorio gestdo de riscos estratégicos. Convém que a Alta Diregao de cada SGSI estabelega uma estratégia de seguranga da informagao com base nos objetivos organizacionais, garantindo a harmonizagao entre os requisitos da entidade e 08 requisitos de seguranga da informagao organizacional, atendendo, assim, as necessidades atuais e em evolugao das partes interessadas 7.2.4 Objetivo 4: Assegurar a conformidade com os requisitos internos e externos Convém que a governanga da seguranga da informagao assegure que as politicas e as praticas de seguranga da informagao estejam em conformidade com os requisitos das partes interessadas. Isso Pode incluir legislagao e regulamentacdo, bem como requisitos contratuais e compromissos internos. Para tratar de questées de conformidade e compliance, a Alta Diregao pode obter, por meio de auditorias, de seguranga independentes, a confirmagao de que as atividades de seguranca da informacao atendem satisfatoriamente aos requisitos internos e externos. jeto em Consulta Nacional 7.2.5 Objetivo 5: Promover uma cultura positiva de seguranca Convém que a governanca da seguranga da informagao seja construlda sobre a cultura da entidade, incluindo as necessidades em evolucdo de todas as partes interessadas, uma vez que o comportamento humano é um dos elementos fundamentais para apoiar o nivel adequado de seguranga da informagao. ‘Se no forem adequadamente coordenados, os objetivos, os papéis, as responsabilidades e os recursos podem entrar em conflito uns com os outros, resultando no fracasso em cumprir quaisquer objetivos. Portanto, a harmonizagao e a orientagao acordadas entre as varias partes interessadas so muito importantes. Para estabelecer uma cultura positiva de seguranga da informagao, convém que a Alta Dirego exija, promova @ apoie a coordenagao das atividades das partes interessadas para alcangar um direcionamento coerente para a seguranga da informacdo. Isso apoia a oferta de programas de educagao, treinamento @ conscientizagao sobre seguranca. Convém que as responsabilidades de seguranga da informagao a8 NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 sejam integradas as fungées da equipe e de outras partes, e que apoiem o sucesso de cada SGSI, assumindo essas responsabilidades. 7.2.6 Objetivo 6: Assegurar que o desempenho da seguranca atenda aos requisitos atuais e futuros da entidade Convém que a governanca da seguranga da informagao assegure que a abordagem adotada para proteger a informacdo seja adequada ao propésito de apoiar a entidade, fornecendo niveis acordados de seguranga da informacao. Convém que o desempenho da seguranca seja monitorado e mantido nos niveis exigidos para atender aos requisitos atuais e futuros. Para analisar criticamente 0 desempenho da seguranca da informacao sob uma perspectiva de governanga, convém que o érgao diretivo avalie 0 desempenho da seguranga da informagao em relagao ao seu impacto em nivel de entidade, nao apenas a eficdcia e a eficiéncia dos controles de seguranga Dentro de cada SGSI, convém que a Alta Direcao seja requerida a implementar um programa de medigéio de desempenho para monitorar, auditar ¢ identificar oportunidades de melhoria. Convém que © 6rgao diretivo vincule o desempenho da seguranca da informagao ao desempenho da organizacao e da entidade. 7.3 Processos 7.3.4 Visdo geral © érgio diretivo dentro de uma entidade realiza processos de “avaliar’, “direcionar’, “monitorar” e “comunicar’. A Figura 1 mostra a relacao entre esses processos. NAO TEM VALOR NORMATIVO. 78ABNTICB-021 i PROJETO DE REVISAO ABNT NBR ISONIC 27014 ‘AGO 2021 Expectativas Comunicar Figura 1 - Modelo de governanca para uma entidade com um SGSI NOTA1 A definigao de organizagao (3.2) assume que a Alta Diregao esta sempre totalmente envolvida na operagao da organizagao. NOTA2 Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, as quais se aplica a governanga, que nao fazem parte de um SGSI (ver Referncia [8] e Anexo B), to em Consulta Nacional 7.3.2 Avaliar oje “Avaliar’ 6 0 proceso de governanca que considera a realizacao atual e prevista dos objetivos com S— base nos processos atuais nas mudangas planejadas, e determina onde quaisquer ajustes sao oa necessarios para otimizar a realizacéo dos objetivos estratégicos futuros, Para executar 0 proceso de “avaliar’ —_convém que 0 6rgao diretivo da entidade: — _assegure que as iniciativas levem em consideracao os riscos e as oportunidades pertinentes; — responda as medigées e aos relatorios de seguranca da informagao e do SGSI, especificando priorizando objetivos no contexto de cada SGSI (0 que inclui a consideragao dos requisitos de fora do escopo do SGSI); € Bre NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q l PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 — convém que a Alta Diregao de cada SGS!: — assegure que a seguranga da informagao apoie e sustente adequadamente os objetivos da entidade; — submeta a aprovagao do érgao diretivo novos projetos de seguranga da Informagao com impacto significative 733 Di jonar “Direcionar” é 0 processo de governanga pelo qual 0 6rgao diretivo dé orlentagao sobre os objetivos € a estratégia da entidade. Direcionar pode incluir mudangas nos niveis de recursos, alocagao de recursos, priorizagao de atividades, aprovagées de politicas, aceitagao de riscos materiais e planos de gerenciamento de riscos. Para executar 0 processo “direcionar”: —_convém que o érgao dire — estabeleca a diregdo estratégica geral e os objetivos da entidade; — estabelega o apetite de risco da entidade: — aprove a estratégia de seguranga da informagao; ¢ — convém que a Alta Diregao de cada SGS!: — aloque investimentos e recursos adequados; —_alinhe os objetivos de seguranca da informagao organizacional com os objetivos da entidade; — aloque fungées e responsabilidades para seguranga da informagao; — estabelega uma politica de seguranga da informagao. NOTA —_O apetite de risco 6 a quantidade e 0 tipo de risco que uma organizagao esta disposta a perseguir ou reter. 7.3.4 Monitorar “Monitorar” 6 o processo de governanga que permite ao 6rgao diretivo avaliar 0 cumprimento dos objetivos estratégicos. Para executar 0 processo de "monitorar’: —_convém que o érgao diretivo" — receba 0 relatério sobre a eficacia da operagao de cada SGSI; — _avalie-os no contexto das prioridades da entidade; — comunique as prioridades a Alta Diregao de cada SGSI; € —_convém que a Alta Diregao de cada SGS|: — avalie a eficacia das atividades de gestao da seguranga da informagao; NAO TEM VALOR NORMATIVO. ongNaciona ta > n Cc E oO oO ~ oO = oO ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 —_assegure a conformidade com os requisites internos ¢ externos; — considere a mudanga na entidade, nos ambientes legais e regulatorios, e qualquer impacto potencial sobre o risco da informagao; — selecione as métricas adequadas de desempenho e requeira que as comunicagées estejam estabelecidas e ocorram em tempo habil a partir de uma perspectiva organizacional; — fornega realimentagao sobre os resultados de desempenho da seguranga da informagao a0 6rgao diretivo; — alerte 0 6rgao diretivo sobre novos desenvolvimentos que afetem os riscos de informagao e a seguranga da informagao. Para analisar criticamente o desempenho da seguranga da informacao a partir de uma perspectiva de governanca, convém que a Alta Direcao avalie o desempenho da seguranga da informagao em relacao a0 seu impacto em nivel organizacional e de entidade, nao apenas a eficacia e eficiéncia dos controles de seguranga. Isso pode ser feito implementando um programa de medi¢o de desempenho para monitorar, auditar e identificar oportunidades de melhoria, vinculando o desempenho da seguranga da informago ao desempenho da organizagao e da entidade. 7.3.5 Comunicar “Comunicar’ é 0 processo de governanga bidirecional pelo qual o érgao diretivo e as partes interessadas trocam informagoes adequadas as suas necessidades especificas. Um método que pode ser usado para “comunicar’ é uma declaragao do status de seguranga da informacao, que explica as atividades e as questées de seguranga da informagao para as partes interessadas. Um dos motivos da comunicacao ¢ permitir que as entidades prestem conlas as partes interessadas, como os acionistas. Isso esta se tomando mais importante © as organizagées agora fornecem Informagdes sobre sua implementacao @ manutengao de gestao da seguranca da informagao, bem como sua eficdcia na gestdo de riscos. Da mesma forma, no caso em que um incidente de seguranga da informagao tenha ocorrido, convém que as entidades expliquem o impacto, as causas e as mudangas nos controles para considerar o risco de incidentes repetidos as suas partes interessadas e separadamente ao piiblico, conforme apropriado. ‘A comunicagao pode ser realizada por uma variedade de métodos. Ela pode ter uma variedade de contetidos. Ela também tem uma variedade de publicos. Convém que qualquer comunicagao seja concebida de forma a levar em considera¢ao 0 publico, bem como a mensagem que se pretende que © pliblico compreenda. Convém que esses dois fatores sejam usados para determinar o contetido das comunicagées, bem como os canais usados para entregar as comunicag6es ao ptiblico-alvo. Um exemplo é mostrado no Anexo C. Para executar 0 processo de “comunicagao", convém que o érgo diretivo: — relate as partes interessadas externas que a entidade pratica um nivel de seguranga da informacao compativel com a natureza de suas atividades e prioridades; — identifique e priotize as obrigagées regulatorias, as expectativas das partes interessadas e os equisitos da entidace com relagao a seguranga da informagao; — _aconselhe a Alta Diregaio de cada SGSI sobre quaisquer assuntos que requeiram sua atengao e decisdo; 10/18 NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 —_ instrua as partes interessadas relevantes sobre os objetivos detalhados a serem seguidos para apolar as prioridades de seguranga da informacao; — _promova uma cultura positiva de seguranga da informacao; 1@ @ comunique-se com funciondi responsabllidades. 5 © outfas pessoas no escopo do SGSI sobre suas 8 Requisitos do orgao diretivo sobre SGSI 8.1 Organizacao e SGSI Convém que 0 érgao diretivo requeira 0 planejamento de um ou mais SGSI para apolar os objetivos da entidade. Os objetivos de cada SGSI podem ser os mesmos da entidade controladora, ou diferentes, dependendo do tamanho, da escala e da estrutura de toda a entidade, mas convém que estejam alinnados. Possivels relagdes entre a governanca da seguranca da informagao e a governanca da tecnologia da informagdo sao ilustradas no Anexo A. Convém que 0 érgao diretivo também requeira que o planejamento de cada SGSI seja consistent com as politicas e os processos gerais da entidade, incluindo a gestdo de riscos. Pode ser apropriado para um SGSI adotar 0 mesmo proceso de avaliagao de riscos que 0 orgao diretivo, para ter uma ‘comunicagao clara sobre riscos de informacdo. Se 0 érgao diretivo utilizar um processo de avaliacao de riscos que nao esteja em conformidade com os requisitos da ABNT NBR ISO/IEC 27001, entao, caso a organizacao deseje estar em compliance, convérn que o SGSI utilize uma abordagem de avaliacao de riscos diferente da utilizada pela entidade e acorde um método para comunicar ao érgao diretivo as informagées relacionadas ao risco, para que sejam compativeis com a abordagem do érgao diretivo. Alternativamente, 0 6rgao diretivo pode escolher alterar 0 proceso de avaliagao de riscos da entidade para estar em conformidade com os requisitos da ABNT NBR ISO/IEC 27001 © orgao diretivo pode requerer 0 uso de um SGSI para gerenciar os riscos estratégicos que estejam relacionados a perda de propriedade intelectual, danos a reputagao ¢ perdas financeiras associadas a danos a confidencialidade, integridade e disponibilidade das informagées. Um SGSI pode fomecer ao érgao diretivo informagées de gestao relacionadas a: —_ tiscos para a entidade; — eficdcia do SGSI Convém que 0 érgao diretivo: — aprove a criacdo de cada SGSI; —_ estabeleca o escopo de cada SGSI e para certificagao (estes escopos podem ser diferentes); —_ fornega a orientagao para cada SGSI, incluindo objetivos, requisitos, fungdes e recursos; — tome decisdes sobre os niveis aceitaveis de riscos residuais ou tratamentos de riscos apropriados; —_ fomega a cada SGSI canais de comunicagéo e autoridade para comunicar informagées apropriadas as partes interessadas e a todas as pessoas do escopo do SGSI NAO TEM VALOR NORMATIVO. 118Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 8.2 Cenarios (ver 0 Anexo B) Tipo A: A organizagao do SGSI é toda a entidade Onde 0 Unico sistema de gesto em vigor esté em conformidade com a ABNT NBR ISO/IEC 27001, ele pode ser utilizado para fornecer informagées sobre riscos e também para permitir que uma organizacao controle os riscos de informacao. Entretanto, ainda existem diferentes processos para apoiar a governanga da TI, a governanga financeira, a governanga operacional e outras atividades de governanga. No caso em que a organizacao do SGSI se aplique a toda a entidade: — 08 processos de governanga descritos em 7.3 sao inalterados; — alta Diregao tem responsabilidades de governanga adicionais as de governanga da seguranga da informagao, por exemplo, as de governanga corporativa © alinhamento dos objetivos da seguranga da informagao com os objetivos gerais da entidade provavelmente serd simples, uma vez que a Alta Diregao é responsdvel pela definigao de ambos. Se uma Unica fungo mantiver responsabilidade tanto pela governanga quanto pela direcao de seguranca da informagao, convém que uma orientacdo adequada seja fornecida para, assim, assegurar que as responsabilizacdes pela definicao de politica e por sua execugao sejam adequadamente separadas uma da outra. Tipo B: A organizagao do SGSI faz parte de uma entidade maior ‘Algumas organizagSes do SGSI so partes de uma entidade maior. Uma vez que as atividades de governanga se aplicam integraimente entidade legal, corporacdo, instituigSes de caridade, orgao piblico ou outra entidade, a governanga desta entidade se estende, neste caso, além do escopo do SGSI. Uma organizagéo pode ter muiltiplos SGSI nos seus limites. Dessa forma, 0 érgao diretivo pode direcionar miltiplos SGSI. A maior parte Documento foi escrita para permitir esta abordagem. Os quatro processos de govemanca descritos em 7.3 permanecem pertinentes. No entanto, dependendo da relacdo entre a(s) organizagao(6es) do SGSI e a entidade controladora, uma das situagdes abaixo pode se aplicar. — Cada organizagéo do SGSI opera como uma parte auténoma da organizagao controladora e, portanto, tem seus préprios objetivos de negécio. Nesse caso, convém que os objetivos de seguranga da informagao do SGSI sejam alinhados com os seus préprios objetivos de negécio. — Cada organizago do SGSI é responsavel por atingir um ou mais dos objetivos de negdcio da entidade controladora. Nesse caso, convém que os objetivos de seguranga da informagao da organizagao do SGSI estejam alinhados com os objetivos de negécio da entidade controladora. — Cada organizagao do SGSI tem responsabilidade de gerenciar um aspecto dos riscos de seguranga da informagao em nome da entidade controladora. Nesse caso, convém que os objetivos de seguranga da informagao da organizacao do SGSI sejam especificados pela entidade controladora, © que assegura 0 alinhamento com os objetivos de negécio da entidade controladora. ‘Também ha uma relagao entre a Alta Diregéio de cada organizagao do SGSI e 0 érgao diretivo da entidade controladora. O(s) time(s) da Alta Diregdo e o érgao diretivo podem ser os mesmos, podem ter algumas pessoas em comum ou podem nao ter nada em comum. Convém utilizar a Figura B.1 para determinar quais individuos convém que sejam designados para fungdes de membro do érgao diretivo e da parte interessada. 12/18 NAO TEM VALOR NORMATIVO.aciona Projeto em Consulta N ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Tipo C: A organizagao do SGSI inclui partes de algumas entidades Nessa situago, a organizagao do SGSI é direcionada e controlada pela Alta Diregao como de costume, mas abrange diversas entidades, Isso pode ser visto no caso em que uma entidade maior gerencia um grupo de entidades que compartitha o mesmo contexto de seguranga da informagao e os requisitos para um subconjunto de suas atividades (por exemplo, onde dados pessoais so coletados, processados, armazenados e usados para fornecer servigos). Diversos érgaos diretives também podem compartilhar um SGSI (por exemplo, uma organizagao pode fomecer um SGSI como servigo para ser utilizado por diversos clientes) No caso em que a organizacao do SGSI inclua partes de diversas entidades, —__ 08 processos de governanga descritos em 7.3 sao inalterados; — _convém que os objetivos de seguranga da informagao da organizacao do SGSI sejam alinhados com os objetivos de negécio muituos que unem as entidades-membro. NAO TEM VALOR NORMATIVO. 13/18ABNTICB-021 i PROJETO DE REVISAO ABNT NBR ISOMIEC 27014 ‘AGO 2021 Anexo A (informativo) Relagao de governanga A relacao de governanga da seguranga da informagao e de govemanga da tecnologia da informacao esta ilustrada na Figura A.1 Goveranga da seguranga ‘dainformasso Figura A.1 — Relagao entre governanga da seguranca da informagao e governanca da tecnologia da informacao Considerando que 0 escopo que abrange a govemanca da tecnologia da informacdo visa os recursos necessarios para adquirir, processar, guardar e disseminar informagao, 0 escopo da governanga da seguranga da informacao abrange confidencialidade, integridade e disponibilidade da informa. Ambos ‘9s esquemas de governanca podem ser controlados pelos seguintes processos de governanga; “avaliar’, “direcionar’, “monitorar” e “comunicar’. Projeto em Consulta Nacional 1418 NAO TEM VALOR NORMATIVO.Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Anexo B (informativo) Tipos de organizagao do SGSI Existem trés tipos de relagdo entre uma organizagao que gerencia um SGSI e uma entidade que requer um SGSI. Essas relagdes também afetam a associagao da Alta Diregao do SGSI e do drgao diretivo da entidade. A lista abaixo e a Figura B.1 ilustram esses tipos de relacdes. — Tipo A: A entidade e a organizacao do SGSI sao as mesmas. © 6raao diretivo 6 o mesmo que a Alla Direcao para o SGSI. — Tipo B: a organizagao do SGSI esté contida dentro da entidade (e mais de um SGSI pode estar em operagao dentro desta entidade). Q érgo diretivo pode compartilhar membros com cada SGSI, mas a associagao nao é idéntica. — Tipo C: Um SGSI é compartilhado por miltiplas entidades: — Sea entidade tiver um interesse direto no SGSI, 0 érgao diretivo de cada entidade pode ser membro da Alta Dirego do SGSI; — Se 0 SGSI estiver sendo fornecido como um servigo por um terceiro, ¢ improvavel que os membros da Alta Dire¢ao do SGSI incluam membros do érgao diretivo das entidades que compartilham o SGSI. NAO TEM VALOR NORMATIVO. 15/18Projeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Tipo A Tipo B Tipo Legenda © escopo do érgao diretivo 6 0 mesmo da Alta Diregao do SGS| Q escopo da entidade (incluindo 0 éraao diretivo) © escopo da organizaao do SGSI (incluindo a Alta Diregao) Figura B.1 — Possiveis relagdes da(s) entidade(s) e seu(s) SGSI 16/18 NAO TEM VALOR NORMATIVOProjeto em Consulta Nacional ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Anexo C (informativo) Exemplos de comunicagao Um exemplo de comunicagao é visto no mercado de agdes em que companhias sao obrigadas a divulgar riscos de seguranga da informacao devido a leis ou regras da industria. Outro exemplo é um relatorio ambiental, social e de governanga (ESG — Environmental, Social and corporate Governance) como meio para organizagdes explicarem/comunicarem seus esforgos nas perspectivas do meio ambiente, sociais e econémicas para as partes interessadas. Alguns relatorios ESG descrevem a abordagem para protegao da privacidade de dados, atividades de seguranga da informagao e gestdo de crises para a prevencao de incidentes de seguranga. Convém que alividades de planejamento de comunicacao também considerem os efeitos nao intencionais de no entendimento por parte do puiblico, ou a inferéncia de contetido adicional, e das comunicagées chegarem a outras pessoas que nao 0 piblico pretendido. NAO TEM VALOR NORMATIVO. 17/18Projeto em Consulta Nacional (1) (2) 3) (4 5) fd (8) io ABNTICB-021 q i PROJETO DE REVISAO ABNT NBR ISOMEC 27014 ‘AGO 2021 Bibliografia ABNT NBR ISO/IEC 27001, Tecnologia da informagao ~ Técnicas de seguranga — Sistemas de gestao da seguranga da informacao — Requisitos ABNT NBR ISO/IEC 27002:2013, Tecnologia da informagao ~ Técnicas de seguranca ~ Codigo de pratica para controles de seguranca da informagao ISONEC 27011:2016, Information security, cybersecurity and privacy protection — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations ABNT NBR ISO 37001:2017, Sistemas de gestao antissuborno — Requisitos com orientacées para uso ABNT NBR ISO/IEC 38500:2015, Tecnologia da informago - Governanga da T/ para a organizagéo Ohki E., Harada Y., Kawaguchi S., Shiozaki T., Kgaua T. Information Security Governance framework, Proceedings of the first ACM workshop on Information security governance, pp. 1-6, 2009 IT Govemance Institute (ITGI), Information Security Governance: Guidance for Information Security Managers: 2008 ITGI, Information Security Govermance Guidance for Boards of Directors and Executive Management 2nd Edition: 2006 ITGI, COBIT Control Practices: Guidance to Achieve Control Objective for Successful IT Govemance, 2nd Edition: 2007 [10] ISF, Standard of Good Practice for Information Security: 2018 18/18 NAO TEM VALOR NORMATIVO.