Professional Documents
Culture Documents
Norma NBR ISO - IEC27007 - 2021 - Apostila de Norma - Composição em Agosto - 2022
Norma NBR ISO - IEC27007 - 2021 - Apostila de Norma - Composição em Agosto - 2022
TREINAMENTO
Introdução
A auditoria de um sistema de gestão da segurança da informação (SGSI) pode ser realizada com base
em vários critérios de auditoria, separadamente ou combinados, incluindo, mas não limitados a:
Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias
de SGSI de escopos e escalas variados, incluindo aquelas conduzidas por grandes equipes
de auditoria, geralmente de organizações maiores, e aquelas por auditores únicos, em organizações
grandes ou pequenas. Convém que esta orientação seja adaptada conforme apropriado ao escopo,
complexidade e escala do programa de auditoria do SGSI.
Este documento se concentra nas auditorias internas do SGSI (primeira parte) e nas auditorias
do SGSI conduzidas pelas organizações em seus fornecedores externos e outras partes interessadas
externas (segunda parte). Este documento também pode ser útil para auditorias externas
do SGSI realizadas para outros fins que não a certificação de sistemas de gestão de terceiros.
A ISO/IEC 27006 fornece requisitos para auditar o SGSI para certificação de terceira parte; este
documento pode fornecer orientações adicionais úteis.
Este documento deve ser usado em conjunto com as orientações contidas na ABNT NBR ISO 19011:2018.
A ABNT NBR ISO 19011:2018, fornece orientações sobre a gestão de programas de auditoria,
a realização de auditorias internas ou externas dos sistemas de gestão, bem como sobre a competência
e avaliação dos auditores do sistema de gestão.
O Anexo A fornece orientação para as práticas de auditoria do SGSI, juntamente com os requisitos
da ABNT NBR ISO/IEC 27001:2013, Seções 4 a 10.
NORMA BRASILEIRA ABNT NBR ISO/IEC 27007:2021
1 Escopo
Este documento fornece orientações sobre como gerenciar um programa de auditoria de sistemas
de gestão da segurança da informação (SGSI), como executar as auditorias e a competência dos
auditores de SGSI, em complemento às orientações descritas na ABNT NBR ISO 19011.
Este documento é aplicável a todos que necessitam entender ou realizar auditorias internas
ou externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 19011:2018,
Versão Corrigida: 2019 e ISO/IEC 27000 .
A ISO e a IEC mantêm bases de dados terminológicas para uso na normalização nos seguintes
endereços:
5.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.2 são aplicáveis. As diretrizes específicas
em 5.2.2 também são aplicáveis.
5.3.2 Convém que medições para assegurar a confidencialidade e a segurança das informações
sejam determinadas, considerando os auditados e outros requisitos de partes pertinentes. Outros
requisitos de partes pertinentes podem incluir requisitos legais e contratuais relevantes.
As diretrizes da ABNT NBR ISO 19011:2018, 5.4.1 são aplicáveis. As diretrizes de 5.4.1.2 também são
aplicáveis.
5.4.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.4.3, são aplicáveis. As diretrizes de 5.4.3.2
também são aplicáveis.
1) o número total de pessoas que trabalham sob o controle da organização e a relação com
os contratados e as partes pertinentes que são relevantes para o SGSI;
c) a importância dos riscos de segurança da informação identificados para o SGSI em relação
ao negócio;
Convém que consideração seja dada no programa de auditoria para estabelecer prioridades que
garantam um exame mais detalhado com base na importância dos riscos de segurança da informação
e nos requisitos do negócio em relação ao escopo do SGSI.
NOTA Informações adicionais sobre como determinar o tempo de auditoria podem ser encontradas
na ISO/IEC 27006. Informações adicionais sobre a amostragem em múltiplas localidades podem ser
encontradas na ISO/IEC 27006 e no documento obrigatório 1 do Fórum de Acreditação Internacional
(IAF MD1, ver referência [11]). As informações contidas na ISO/IEC 27006 e IAF MD1 são referentes apenas
a auditorias de certificação.
5.4.4.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.4.4, são aplicáveis. As diretrizes de 5.4.4.2
também são aplicáveis.
5.4.4.2 Convém que os auditores do SGSI dediquem tempo suficiente para analisar criticamente
a eficácia das ações de mitigação dos riscos de segurança da informação e das oportunidades
e riscos relacionados ao SGSI, em particular, para todos os riscos significantes aplicáveis ao auditado
e relevantes para os objetivos do programa de auditoria.
ABNT NBR ISO/IEC 27007:2021
5.5.1 Generalidades
5.5.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.5.2, são aplicáveis. As diretrizes de 5.5.2.2
também são aplicáveis.
Convém que o escopo da auditoria considere os riscos de segurança da informação bem como
os riscos e as oportunidades relevantes que afetam as partes pertinentes do SGSI, como por exemplo,
o cliente da auditoria e o auditado.
Os seguintes tópicos podem ser considerados como critérios da auditoria e usados como uma
referência, com base na qual a conformidade é determinada:
5.5.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.5.3, são aplicáveis. As diretrizes de 5.5.3.2
também são aplicáveis.
5.5.3.2 Se uma auditoria conjunta for realizada, convém que atenção particular seja dada para
a divulgação de informações entre as partes pertinentes. Convém que acordos sobre este tema sejam
firmados com todas as partes interessadas antes do início da auditoria.
ABNT NBR ISO/IEC 27007:2021
5.5.4.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.5.4, são aplicáveis a esta Norma. As diretrizes
de 5.5.4.2 também são aplicáveis.
5.5.4.2 Convém que a competência global da equipe de auditoria inclua conhecimento adequado
e entendimento da:
a ) gestão de riscos de segurança da informação, suficiente para avaliar os métodos usados pelo
auditado;
5.5.5 Atribuindo responsabilidade para uma auditoria individual ao líder da equipe da auditoria
6.2.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.2.2, são aplicáveis. As diretrizes de 6.2.2.2
também são aplicáveis.
6.2.2.2 Quando necessário, convém que seja tomado cuidado para assegurar que os auditores
obtenham a habilitação de segurança necessária para acessar informações documentadas
ou outras informações necessárias para as atividades de auditoria (incluindo, entre outras, informações
confidenciais ou sensíveis).
ABNT NBR ISO/IEC 27007:2021
6.2.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.2.3, são aplicáveis. As diretrizes de 6.2.3.2
também são aplicáveis.
6.2.3.2 Antes do início da auditoria, convém que o auditado seja questionado se alguma evidência
de auditoria do SGSI não está disponível para análise crítica pela equipe de auditoria, por exemplo,
porque as evidências contêm dados pessoais ou outras informações confidenciais/sensíveis. Convém
que o responsável pela gestão do programa de auditoria determine se o SGSI pode ser adequadamente
auditado na ausência de evidência de auditoria. Se a conclusão for de que não é possível auditar
adequadamente o SGSI, sem analisar criticamente as evidências identificadas de auditoria, convém
que a pessoa responsável pelo gerenciamento do programa de auditoria aconselhe o auditado
de que não é possível que a auditoria ocorra até que acordos de acesso apropriados sejam concedidos
ou meios alternativos para realizar a auditoria sejam propostos para ou pelo auditado. Se a auditoria
prosseguir, convém que o plano de auditoria considere as limitações de acesso.
6.3.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.3.2, são aplicáveis. As diretrizes de 6.3.2.2
também são aplicáveis.
6.3.2.2 Convém que o líder da equipe de auditoria esteja ciente de que riscos para o auditado podem
resultar da presença dos membros da equipe de auditoria. A presença da equipe de auditoria pode
influenciar a segurança das informações e apresentar uma fonte de risco adicional às informações
do auditado, por exemplo, registros confidenciais ou sensíveis ou infraestrutura do sistema
(por exemplo, apagamento acidental, divulgação não autorizada de informações, alteração não
intencional de informações).
6.3.4.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.3.4, são aplicáveis. As diretrizes de 6.3.4.2
são aplicáveis.
6.3.4.2 Convém que o líder da equipe de auditoria assegure que todos os documentos de trabalho
de auditoria sejam classificados adequadamente e manipulados de acordo com essa classificação.
6.4.1 Generalidades
6.4.5.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.4.5, são aplicáveis. As diretrizes de 6.4.5.2
também são aplicáveis.
6.4.5.2 Se alguma evidência de auditoria não estiver disponível para a equipe de auditoria durante
a auditoria por razões de classificação ou sensibilidade, convém que o auditor líder determine até
que ponto isso afeta a confiança nas constatações e conclusões da auditoria e refletir sobre isso
no relatório de auditoria sem comprometer a sensibilidade da evidência que não estava disponível.
6.4.6.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.4.6 são aplicáveis. As diretrizes de 6.4.6.2
também são aplicáveis.
Convém que os auditores do SGSI confirmem que os controles determinados no escopo da auditoria
estão relacionados aos resultados do processo de avaliação e tratamento de riscos e, posteriormente,
podem ser rastreados até a política e os objetivos de segurança da informação.
NOTA O Anexo A fornece orientações para a prática de auditoria do SGSI, incluindo como auditar o SGSI
usando informações documentadas relevantes.
6.4.7.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.4.7, são aplicáveis. As diretrizes de 6.4.7.2
também são aplicáveis.
6.4.7.2 Os métodos possíveis para coletar informações pertinentes durante a auditoria incluem:
NOTA 2 O ISO/IEC TS 27008 fornece orientações adicionais sobre como avaliar os controles de segurança
da informação.
ABNT NBR ISO/IEC 27007:2021
6.5.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.5.2, são aplicáveis a esta Norma. As diretrizes
de 6.5.2.2 também são aplicáveis.
6.5.2.2 NOTA
NOTA Ao usar meios eletrônicos para a distribuição do relatório de auditoria, a criptografia apropriada
é uma medida possível para assegurar requisitos confidenciais.
6.2.1 Generalidades
6.2.1.1 As diretrizes da ABNT NBR ISO 19011:2018, 7.2.1, são aplicáveis. As diretrizes de 7.2.1.2
também são aplicáveis.
ABNT NBR ISO/IEC 27007:2021
a) complexidade do SGSI (por exemplo, criticidade dos sistemas de informação dentro do SGSI,
resultados da avaliação de riscos do SGSI);
f) normas, requisitos legais e outros requisitos relevantes para o programa de auditoria.
7.2.3.1 Generalidades
As diretrizes da ABNT NBR ISO 19011:2018, Versão corrigida:2019, 7.2.3.2, são aplicáveis.
7.2.4.5.1 As diretrizes da ABNT NBR 19011:2018, 7.2.4, são aplicáveis. As diretrizes de 7.2.4.2
também são aplicáveis.
pertinentes (por exemplo, credenciadas na ABNT NBR ISO/IEC 17024). Convém que a experiência
de trabalho dos auditores individuais do SGSI também contribua para o desenvolvimento de seus
conhecimentos e habilidades no campo do SGSI.
NOTA Informações adicionais sobre certificação para auditores do SGSI podem ser encontradas
na ISO/IEC 27006.
Anexo A
(informativo)
NOTA A ABNT NBR ISO/IEC 27003 fornece orientações para implementação e operacionalização
de um SGSI, de acordo com a ABNT NBR ISO/IEC 27001.
A.2 Generalidades
Convém que durante as atividades de auditoria, as informações pertinentes para os objetivos, o escopo
e os critérios da auditoria, incluindo informações relacionadas às interfaces entre funções, atividades e
processos, sejam coletadas por meio amostral adequado e comprovadas. Convém que somente uma
informação comprovada seja aceita como evidência da auditoria. Convém que sejam registradas as
evidências da auditoria que levem a pontos de auditoria.
— entrevistas;
— observações;
Existem algumas subseções da ABNT NBR ISO/IEC 27001:2013 que estão intimamente ligadas
e que, na prática, é melhor tratar ao mesmo tempo durante a realização da auditoria. Ver a Tabela A.2
para obter exemplos.
Os exemplos são ABNT NBR ISO/IEC 27001:2013 6.1.3 e 8.3 e 6.2, 5.1, 5.2, 5.3, 7.1, 7.4, 7.5, 9.1, 9.3
e 10.2 onde é coerente que sejam auditadas considerando as subseções referenciadas e correlatas.
A ABNT NBR ISO IEC 27001:2013, 7.5, apresenta os requisitos relativos à informação
documentada. Como explicado na Tabela A.2, A.4.5 cada vez que os auditores examinam um item
de informação documentada, tem a oportunidade de verificar a conformidade com os requisitos da
ABNT NBR ISO/IEC 27001:2013, 7.5. A diretriz sobre como fazer isso está localizada na Tabela A.2,
ABNT NBR ISO/IEC 27007:2021
A.4.5. Os requisitos referentes à informação documentada não são repetidos para cada ocorrência
de “informações documentadas” na tabela.
c) informação documentada determinada pela organização como necessária para a eficácia do
SGSI, da ABNT NBR ISO/IEC 27001:2013, 7.5.1-c).
Podem existir outras evidências da auditoria além de A.2.3-b), as quais os auditores obterão por meio
de entrevista, observações e análise crítica de documentos, incluindo registros.
Uma discussão detalhada de informação documentada referente à ABNT NBR ISO/IEC 27001 pode
ser encontrada em A.3.
A.3 Diretrizes sobre os requisitos da ABNT NBR ISO/IEC 27001 para informação
documentada
A.3.1 Justificativa
Convém que os auditores tenham cuidado ao solicitar informação documentada para fins de evidência
de conformidade.
Existem:
1) seria razoável esperar que a evidência de conformidade seja encontrada na informação
documentada acima mencionada;
Tabela A.1 – Requisitos para informação documentada na ABNT NBR ISO/IEC 27001
Referência na ABNT NBR
Requisito de informação documentada sobre
ISO/IEC 27001
Escopo do SGSI 4.3
Política de Segurança da Informação 5.2
Processo de avaliação de riscos de segurança da informação 6.1.2
Processo de tratamento de riscos de segurança da informação 6.1.3
Declaração de Aplicabilidade 6.1.3 d)
Objetivos de segurança da informação 6.2
Evidência da competência 7.2-d)
Informação documentada determinada pela organização como
7.5.1-b)
sendo necessária para a eficácia do SGSI
Planejamento operacional e controle 8.1
Resultados da avaliação de riscos de segurança da informação 8.2
Resultados do tratamento de riscos de segurança da informação 8.3
Evidência dos resultados de monitoramento e medição 9.1
Evidência do(s) programa(s) de auditoria e dos resultados da
9.2 g)
Auditoria
Evidência dos resultados das análises críticas pela Direção 9.3
Evidência da natureza das não-conformidades e de quaisquer
10.1 f)
ações subsequentes tomadas
Evidência dos resultados de qualquer ação corretiva 10.1 g)
NOTA A definição de uma auditoria declara que ela é um processo documentado e, consequentemente,
o auditor pode esperar que o requisito da ABNT NBR ISO/IEC 27001:2013, 9.2, tenha como resultado
um processo de auditoria documentado.
Conforme exemplo emA.3.1-b)-1), considerar a 6.1.2 da ABNT NBR ISO/IEC 27001: 2013, 6.1.2,
o qual requer que as organizações “mantenham informação documentada sobre o processo de avaliação
de riscos de segurança da informação”. Os requisitos anteriores [ABNT NBR ISO/IEC 27001:2013,
6.1.2 a) até e)] se referem ao processo de avaliação de risco. Portanto, é razoável esperar que
a evidência de conformidade com esses requisitos seja encontrada na informação documentada
requerida pelo processo de avaliação de riscos.
A.3.3 Exemplo onde não existe um requisito explícito ou implícito para informação
documentada
Conforme exemplo em A.3.1-b)-2), considerar a ABNT NBR ISO/IEC 27001:2013, 4.1.1. Não existe
requisito para informação documentada relativo a questões externas e internas. Convém que
os auditores, portanto, não solicitem vê-las. No entanto, uma falha da organização em demonstrar
ABNT NBR ISO/IEC 27007:2021
essas questões constituirá uma não-conformidade em relação à ABNT NBR ISO/IEC 27001:2013, 4.1.1.
O ônus, no entanto, está em a organização determinar como ela escolhe demonstrar a conformidade.
Pode ser que a Alta Direção possa explica-lo (ou seja, alguém sabe); pode ser que existam atas
de reunião onde este assunto foi discutido; pode ser evidenciado em informação documentada
que está sob uma gestão de configuração formal ou pode ser evidenciada de alguma outra forma.
Naturalmente, é provável que a evidência esteja dispersa na informação documentada do SGSI.
Por exemplo, o objetivo 4.1.1 da ABNT NBR ISO/IEC 27001:2013, 4.1.1, é auxiliar a organização
na compreensão do contexto do seu SGSI. Esse contexto prevalece em todo o SGSI, particularmente
na determinação do escopo e política e no desempenho dos processos de avaliação de riscos
e tratamento de riscos. Se a organização cumpriu os requisitos da ABNT NBR ISO/IEC 27001:2013,
4.1.1, é provável que seu conhecimento sobre as questões externas e internas sejam utilizadas
em outras áreas do SGSI, seu uso será consistente e provavelmente haverá evidência de conformidade
na informação documentada relativa a essas outras áreas.
Os controles necessários podem ser os controles da ABNT NBR ISO IEC 27001:2013, Anexo A,
porém não são mandatórios. Eles podem ser controles retirados de outros padrões (por exemplo,
na ABNT NBR ISO/IEC 27017) ou outras fontes, ou podem ter sido especialmente projetados pela
organização.
Convém que os auditores busquem a conformidade em relação aos controles necessários especificados
pela organização, e não com a especificação apontada na ABNT NBR ISO/IEC 27001:2013, Anexo A.
Se a especificação da organização requer um procedimento documentado, isto faz parte da
conformidade da organização com a ABNT NBR ISO IEC 27001:2013, 7.5.1-b). Senão, convém que
os auditores não solicitem vê-las. Convém que os auditores observem, no entanto, o requisito
[ABNT NBR ISO/IEC 27001:2013, 8.1] em que convém que a organização “mantenha informação
documentada na medida necessária para ter confiança de que os processos foram realizados
conforme planejado”. Uma vez que a ABNT NBR ISO/IEC 27001:2013, 8.1, se refere à
ABNT NBR ISO/IEC 27001:2013, 6.1, os planos de tratamento de riscos da organização e por
consequência seus controles necessários, estão dentro do escopo deste requisito de informação
documentada.
Ao auditar a seleção de controles, é melhor auditar o(s) plano(s) de tratamento de riscos conforme
declarado na ABNT NBR ISO/IEC 27001:2013, 6.1.3-e) em vez dos controles necessários individuais,
conforme listado na Declaração de Aplicabilidade. Isto ocorre porque é provável que o(s) plano(s)
de tratamento de riscos especifiquem a interação entre os controles necessários, que é uma
consideração que pode ser perdida se apenas a Declaração de Aplicabilidade fosse usada.
ABNT NBR ISO/IEC 27007:2021
A.6 Notas
As informações necessárias podem ser parte de uma página da web ou apresentadas ao leitor
como os resultados de uma consulta de banco de dados. Além disso, com exceção da Declaração
de Aplicabilidade, a ABNT NBR ISO/IEC 27001 não dá nomes para documentos. Assim, é possível
que a informação documentada relativa à política de segurança da informação não esteja em um
documento ou página web chamada “Política de Segurança da Informação”. As organizações têm
o direito de chamar a política de segurança da informação por outro nome. A(s) pessoa(s) com
responsabilidade e autoridade para assegurar que o Sistema de Gestão da Segurança da Informação
esteja em conformidade com os requisitos da da ABNT NBR ISO/IEC 27001:2013, 5.3 a) é a mesma,
e convém que conheça(m) a relação entre os requisitos de informação documentada exigidos pela
ABNT NBR ISO IEC 27001 e sua informação documentada.
— primeira linha: o número e o nome da subseção correspondente da ABNT NBR ISO/IEC 27001:2013;
— segunda linha: seções relacionadas (ver A.2.2 para informações sobre como usar essa linha);
— quinta linha: diretriz para a auditoria “ Direcionamento para prática de auditoria” (ver A.3);
— sexta linha: “Documentos de apoio” refere-se a outros documentos que podem ser úteis para
a auditoria da subseção correspondente da ABNT NBR ISO/IEC 27001:2013.
ABNT NBR ISO/IEC 27007:2021
b) a organização;
c) clientes;
g) fornecedores;
h) vizinhos;
— a Declaração de Aplicabilidade.
Diretriz prática da Convém que o auditor confirme que a organização estabelece os limites
auditoria físicos, informativos, legais e organizacionais para os quais o SGSI é
aplicado, por sua própria vontade e escolhe implementar a
ABNT NBR ISO/IEC 27001 em toda a organização ou como uma
unidade específica ou função particular(es) dentro de uma organização.
Convém que o auditor verifique que o entendimento da organização
do seu contexto (ABNT NBR ISO/IEC 27001:2013, 4.1), os requisitos
das partes interessadas relevantes (ABNT NBR ISO/IEC 27001:2013,
4.2) e as interfaces e dependências entre as atividades realizadas pela
organização e as que são realizadas por outras organizações
[ABNT NBR ISO/IEC 27001:2013, 4.3 c)] foram adequadamente
considerados ao estabelecer o escopo do SGSI.
Convém que o auditor ainda confirme que a análise/avaliação de
riscos de segurança da informação da organização e o tratamento
de riscos refletem adequadamente suas atividades e se estende aos
limites de suas atividades conforme definido no escopo do SGSI, na
medida aplicável ao escopo da auditoria. Convém que os auditores
verifiquem se há pelo menos uma Declaração de Aplicabilidade
por escopo e que todos os controles determinados no processo
de gestão de riscos estão incluídos na(s) Declaração(ões) de
Aplicabilidade. Estes controles são os controles necessários referidos na
ABNT NBR ISO IEC 27001:2013, 6.1.3-b), e não são necessariamente
controles ABNT NBR ISO IEC 27001:2013, Anexo A. Eles podem incluir
controles e controles específicos do setor que são projetados pela
organização ou identificados a partir de qualquer fonte.
ABNT NBR ISO/IEC 27007:2021
b) na descrição do trabalho das pessoas que trabalham sob seu controle
que podem ter impacto no desempenho da segurança da informação
da organização;
b) riscos cuja fonte está ou não sob o controle da organização, mesmo
que a fonte ou causa de risco possa não ser evidente;
A.3.1.3 Tratamento de riscos de segurança da informação (ABNT NBR ISO/IEC 27001:2013, 6.1.3)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 8.3 e Anexo A
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Controle, objetivo de controle, informação documentada, segurança
da ISO/IEC 27000 da informação, risco residual, avaliação de riscos, critérios de risco,
responsáveis pelos riscos, tratamento de riscos
Evidência da auditoria Evidência de auditoria pode ser obtida através de informação
documentada ou outras informações de:
a) planejamento para o SGSI;
d) tecnologia;
5) objetivos;
b) política;
c) objetivos;
b) determinou:
e) foi projetado para fornecer informações para confirmar que o SGSI
está em conformidade com:
f) foi projetado para fornecer informações para confirmar que o SGSI é
efetivamente implementado e mantido.
b) realiza auditorias internas (ver ABNT NBR ISO/IEC 27001:2013, 9.2);
Bibliografia
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27007 Segurança da informação, segurança
cibernética e proteção da privacidade — Diretrizes para auditoria de sistemas de gestão da segurança da
informação.2021.