Norma NBR ISO - IEC27007 - 2021 - Apostila de Norma - Composição em Agosto - 2022

BUREAU VERITAS
TREINAMENTO
NBR ISO/IEC 27007

Segurança da
informação, segurança
cibernética e proteção
da privacidade
Nota: É proibida a reprodução deste material, por qualquer

meio,sem a prévia autorização do BUREAU VERITAS DO
BRASIL.
ABNT NBR ISO/IEC 27007:2021
Introdução
A auditoria de um sistema de gestão da segurança da informação (SGSI) pode ser realizada com base
em vários critérios de auditoria, separadamente ou combinados, incluindo, mas não limitados a:
— requisitos definidos na ABNT NBR ISO/IEC 27001:2013;
— políticas e requisitos especificados pelas partes interessadas relevantes;
— requisitos estatutários e regulamentares;
— processos e controles de SGSI definidos pela organização ou outras partes;
— plano(s) do sistema de gestão relacionado(s) ao fornecimento de saídas específicas de um

SGSI (por exemplo, planos para abordar riscos e oportunidades ao estabelecer o SGSI, planos
para alcançar objetivos de segurança da informação, planos de tratamento de riscos, planos de
projetos).
Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias
de SGSI de escopos e escalas variados, incluindo aquelas conduzidas por grandes equipes
de auditoria, geralmente de organizações maiores, e aquelas por auditores únicos, em organizações
grandes ou pequenas. Convém que esta orientação seja adaptada conforme apropriado ao escopo,
complexidade e escala do programa de auditoria do SGSI.
Este documento se concentra nas auditorias internas do SGSI (primeira parte) e nas auditorias
do SGSI conduzidas pelas organizações em seus fornecedores externos e outras partes interessadas
externas (segunda parte). Este documento também pode ser útil para auditorias externas
do SGSI realizadas para outros fins que não a certificação de sistemas de gestão de terceiros.
A ISO/IEC 27006 fornece requisitos para auditar o SGSI para certificação de terceira parte; este
documento pode fornecer orientações adicionais úteis.
Este documento deve ser usado em conjunto com as orientações contidas na ABNT NBR ISO 19011:2018.
Este documento segue a estrutura da ABNT NBR ISO 19011:2018.
A ABNT NBR ISO 19011:2018, fornece orientações sobre a gestão de programas de auditoria,
a realização de auditorias internas ou externas dos sistemas de gestão, bem como sobre a competência
e avaliação dos auditores do sistema de gestão.
O Anexo A fornece orientação para as práticas de auditoria do SGSI, juntamente com os requisitos
da ABNT NBR ISO/IEC 27001:2013, Seções 4 a 10.
NORMA BRASILEIRA ABNT NBR ISO/IEC 27007:2021
Segurança da informação, segurança cibernética e proteção da

privacidade — Diretrizes para auditoria de sistemas de gestão da
segurança da informação
1 Escopo
Este documento fornece orientações sobre como gerenciar um programa de auditoria de sistemas
de gestão da segurança da informação (SGSI), como executar as auditorias e a competência dos
auditores de SGSI, em complemento às orientações descritas na ABNT NBR ISO 19011.
Este documento é aplicável a todos que necessitam entender ou realizar auditorias internas
ou externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.
O próximo capítulo tratará de referências normativas

2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO 19011:2018, Diretrizes para auditoria de sistemas de gestão
ISO/IEC 27000:2018, Information technology – Security techniques – Information security management

systems – Overview and vocabulary.
O próximo capítulo tratará de termos e definições
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 19011:2018,
Versão Corrigida: 2019 e ISO/IEC 27000 .
A ISO e a IEC mantêm bases de dados terminológicas para uso na normalização nos seguintes
endereços:
— Plataforma de navegação online ISO: disponível em http://www.iso.org/obp
— Electropedia IEC: disponível em http://www.electropedia.org/
O próximo capítulo tratará dos princípios de auditoria

4 Princípios de auditoria
Os princípios de auditoria da ABNT NBR ISO 19011:2018, Seção 4, são aplicáveis.
O próximo capítulo tratará do gerenciamento de um programa de auditoria

5 Gerenciando um programa de auditoria
5.1 Generalidades
As diretrizes da ABNT NBR ISO 19011:2018, 5.1 são aplicáveis.

5.2 Estabelecendo os objetivos do programa de auditoria
5.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.2 são aplicáveis. As diretrizes específicas
em 5.2.2 também são aplicáveis.
5.2.2 Considerações específicas para o SGSI para determinar os objetivos do programa

de auditorias1 podem incluir:
a ) requisitos da segurança da informação identificados;
b ) requisitos da ABNT NBR ISO/IEC 27001;
c) nível de desempenho do auditado, conforme refletido na ocorrência de eventos e incidentes

de segurança da informação e medição de eficácia do SGSI.
NOTA Informações adicionais sobre o monitoramento do desempenho, medições, análises e avaliações

podem ser encontradas na ABNT NBR ISO/IEC 27004.
d ) riscos de segurança da informação para as partes pertinentes, ou seja, auditado e cliente

da auditoria.
Exemplos de objetivos de programas de auditoria específicos do SGSI incluem o seguinte:
— demonstração da conformidade com requisitos contratuais e legais pertinentes e outros requisitos

e suas implicações de segurança da informação;
— obtenção e manutenção da confiança na capacidade de gestão de riscos do auditado;
— avaliação da eficácia das ações para endereçar os riscos e as oportunidades de segurança

da informação.
5.3 Determinando e avaliando riscos e oportunidades do programa de auditoria
5.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.3, são aplicáveis.
5.3.2 Convém que medições para assegurar a confidencialidade e a segurança das informações
sejam determinadas, considerando os auditados e outros requisitos de partes pertinentes. Outros
requisitos de partes pertinentes podem incluir requisitos legais e contratuais relevantes.
5.4 Estabelecendo o programa de auditoria
5.4.1 Papéis e responsabilidades da(s) pessoa(s) que gerencia(m) o programa de auditoria
As diretrizes da ABNT NBR ISO 19011:2018, 5.4.1 são aplicáveis. As diretrizes de 5.4.1.2 também são
aplicáveis.
5.4.2 Competência da(s) pessoa(s) que gerencia(m) o programa de auditoria
As diretrizes da ABNT NBR ISO 19011:2018, a 5.4.2, são aplicáveis.
1 Para os efeitos deste documento, o termo “auditoria” se refere à auditoria do SGSI.

5.4.3 Estabelecendo a extensão do programa de auditoria
5.4.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.4.3, são aplicáveis. As diretrizes de 5.4.3.2
também são aplicáveis.
5.4.3.2 A extensão do programa de auditoria pode incluir o seguinte:
a ) o tamanho do SGSI, incluindo:
1) o número total de pessoas que trabalham sob o controle da organização e a relação com
os contratados e as partes pertinentes que são relevantes para o SGSI;
2) o número de sistemas de informação;
3) o número de localidades cobertas pelo SGSI;
b ) a complexidade do SGSI (incluindo o número e a criticidade das atividades e processos),

considerando diferenças entre localidades dentro do escopo do SGSI;
c) a importância dos riscos de segurança da informação identificados para o SGSI em relação
ao negócio;
d ) a importância dos riscos e oportunidades determinados no planejamento do SGSI;
e ) a importância da preservação da confidencialidade, integridade e disponibilidade da informação

dentro do escopo do SGSI;
f) a complexidade dos sistemas de informação a serem auditados, incluindo a complexidade

da tecnologia da informação adotada;
g ) o número de localidades similares.
Convém que consideração seja dada no programa de auditoria para estabelecer prioridades que
garantam um exame mais detalhado com base na importância dos riscos de segurança da informação
e nos requisitos do negócio em relação ao escopo do SGSI.
NOTA Informações adicionais sobre como determinar o tempo de auditoria podem ser encontradas
na ISO/IEC 27006. Informações adicionais sobre a amostragem em múltiplas localidades podem ser
encontradas na ISO/IEC 27006 e no documento obrigatório 1 do Fórum de Acreditação Internacional
(IAF MD1, ver referência [11]). As informações contidas na ISO/IEC 27006 e IAF MD1 são referentes apenas
a auditorias de certificação.
5.4.4 Determinando recursos do programa de auditoria
5.4.4.2 Convém que os auditores do SGSI dediquem tempo suficiente para analisar criticamente
a eficácia das ações de mitigação dos riscos de segurança da informação e das oportunidades
e riscos relacionados ao SGSI, em particular, para todos os riscos significantes aplicáveis ao auditado
e relevantes para os objetivos do programa de auditoria.
5.5 Implementando o programa de auditoria
5.5.1 Generalidades
As diretrizes da ABNT NBR ISO 19011:2018, 5.5.1, são aplicáveis.
5.5.2 Definindo os objetivos, escopo e critérios para uma auditoria individual
5.5.2.2 Os objetivos da auditoria podem incluir o seguinte:
a) avaliação sobre se o SGSI identifica adequadamente e considera os requisitos de segurança

da informação;
b) determinação da extensão da conformidade dos controles de segurança da informação com

os requisitos e procedimentos do SGSI.
Convém que o escopo da auditoria considere os riscos de segurança da informação bem como
os riscos e as oportunidades relevantes que afetam as partes pertinentes do SGSI, como por exemplo,
o cliente da auditoria e o auditado.
Os seguintes tópicos podem ser considerados como critérios da auditoria e usados como uma
referência, com base na qual a conformidade é determinada:
a) a política de segurança da informação, os objetivos de segurança da informação, as políticas

e os procedimentos adotados pelo auditado;
b ) os requisitos legais e contratuais e outros requisitos relevantes para o auditado;
c) os critérios dos riscos de segurança da informação do auditado, o processo de avaliação

de riscos e o processo de tratamento de riscos;
d) a Declaração de Aplicabilidade, a identificação de qualquer requisito específico do setor ou outros

controles necessários, a justificativa para inclusão, se os controles estão ou não implementados
e a justificativa para exclusão dos controles da ABNT NBR ISO/IEC 27001:2013, Anexo A.
e ) a definição de controles para tratar os riscos de forma apropriada;
f) os métodos e os critérios usados para o monitoramento, a medição, a análise e a avaliação

do desempenho da segurança da informação e da eficácia do SGSI;
g ) os requisitos de segurança da informação requeridos por um cliente;
h ) os requisitos de segurança da informação aplicáveis por um fornecedor ou terceirizado.
5.5.3 Selecionando e determinando os métodos de auditoria
5.5.3.2 Se uma auditoria conjunta for realizada, convém que atenção particular seja dada para
a divulgação de informações entre as partes pertinentes. Convém que acordos sobre este tema sejam
firmados com todas as partes interessadas antes do início da auditoria.
5.5.4 Selecionando os membros da equipe de auditoria
5.5.4.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.5.4, são aplicáveis a esta Norma. As diretrizes
de 5.5.4.2 também são aplicáveis.
5.5.4.2 Convém que a competência global da equipe de auditoria inclua conhecimento adequado
e entendimento da:
a ) gestão de riscos de segurança da informação, suficiente para avaliar os métodos usados pelo
auditado;
b ) segurança da informação e da gestão da segurança da informação suficiente para avaliar

a seleção dos controles, o planejamento, a implementação, a manutenção, e a eficácia do SGSI.
5.5.5 Atribuindo responsabilidade para uma auditoria individual ao líder da equipe da auditoria
5.5.6 Gerenciando os resultados do programa de auditoria
5.5.7 Gerenciando e mantendo registros do programa de auditoria
5.6 Monitorando o programa de auditoria
As diretrizes da ABNT NBR ISO 19011:2018, 5.6, são aplicáveis.
5.7 Analisando criticamente e melhorando o programa de auditoria
O próximo capítulo tratará da condução de uma auditoria
6 Conduzindo uma auditoria

6.1 Generalidades
6.2 Iniciando a auditoria

6.2.1 Generalidades
6.2.2 Estabelecendo contato com o auditado
6.2.2.2 Quando necessário, convém que seja tomado cuidado para assegurar que os auditores
obtenham a habilitação de segurança necessária para acessar informações documentadas
ou outras informações necessárias para as atividades de auditoria (incluindo, entre outras, informações
confidenciais ou sensíveis).
6.2.3 Determinando a viabilidade da auditoria
6.2.3.2 Antes do início da auditoria, convém que o auditado seja questionado se alguma evidência
de auditoria do SGSI não está disponível para análise crítica pela equipe de auditoria, por exemplo,
porque as evidências contêm dados pessoais ou outras informações confidenciais/sensíveis. Convém
que o responsável pela gestão do programa de auditoria determine se o SGSI pode ser adequadamente
auditado na ausência de evidência de auditoria. Se a conclusão for de que não é possível auditar
adequadamente o SGSI, sem analisar criticamente as evidências identificadas de auditoria, convém
que a pessoa responsável pelo gerenciamento do programa de auditoria aconselhe o auditado
de que não é possível que a auditoria ocorra até que acordos de acesso apropriados sejam concedidos
ou meios alternativos para realizar a auditoria sejam propostos para ou pelo auditado. Se a auditoria
prosseguir, convém que o plano de auditoria considere as limitações de acesso.
6.3 Preparando atividades de auditoria
6.3.1 Realizando análise crítica da informação documentada
6.3.2 Planejando a auditoria
6.3.2.2 Convém que o líder da equipe de auditoria esteja ciente de que riscos para o auditado podem
resultar da presença dos membros da equipe de auditoria. A presença da equipe de auditoria pode
influenciar a segurança das informações e apresentar uma fonte de risco adicional às informações
do auditado, por exemplo, registros confidenciais ou sensíveis ou infraestrutura do sistema
(por exemplo, apagamento acidental, divulgação não autorizada de informações, alteração não
intencional de informações).
6.3.3 Atribuindo trabalho para a equipe de auditoria
6.3.4 Preparando informação documentada para a auditoria
são aplicáveis.
6.3.4.2 Convém que o líder da equipe de auditoria assegure que todos os documentos de trabalho
de auditoria sejam classificados adequadamente e manipulados de acordo com essa classificação.
6.4 Conduzindo atividades de auditoria
6.4.1 Generalidades
6.4.2 Atribuindo papéis e responsabilidades para guias e observadores

6.4.3 Conduzindo a reunião de abertura
6.4.4 Comunicação durante a auditoria
6.4.5 Disponibilidade e acesso de informação de auditoria
6.4.5.2 Se alguma evidência de auditoria não estiver disponível para a equipe de auditoria durante
a auditoria por razões de classificação ou sensibilidade, convém que o auditor líder determine até
que ponto isso afeta a confiança nas constatações e conclusões da auditoria e refletir sobre isso
no relatório de auditoria sem comprometer a sensibilidade da evidência que não estava disponível.
6.4.6 Analisando criticamente a informação documentada ao conduzir a auditoria
6.4.6.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.4.6 são aplicáveis. As diretrizes de 6.4.6.2
6.4.6.2 Convém que os auditores do SGSI verifiquem se as informações documentadas, conforme

requeridas pelos critérios de auditoria e pertinentes ao escopo da auditoria, existem e estão
em conformidade com os requisitos dos critérios de auditoria.
Convém que os auditores do SGSI confirmem que os controles determinados no escopo da auditoria
estão relacionados aos resultados do processo de avaliação e tratamento de riscos e, posteriormente,
podem ser rastreados até a política e os objetivos de segurança da informação.
NOTA O Anexo A fornece orientações para a prática de auditoria do SGSI, incluindo como auditar o SGSI
usando informações documentadas relevantes.
6.4.7 Coletando e verificando informação
6.4.7.2 Os métodos possíveis para coletar informações pertinentes durante a auditoria incluem:
a ) análise crítica de informações documentadas (incluindo registros de computador e dados

de configuração);
b ) visita a instalações de processamento de informações;
c) observação de processos de SGSI e controles relacionados;
d ) uso de ferramentas de auditoria automatizadas
NOTA 1 O Anexo A fornece orientações sobre como auditar os processos do SGSI.
NOTA 2 O ISO/IEC TS 27008 fornece orientações adicionais sobre como avaliar os controles de segurança
da informação.
Convém que os membros da equipe de auditoria do SGSI assegurem o tratamento adequado

de todas as informações recebidas dos auditados, de acordo com o contrato entre o cliente de auditoria,
a equipe de auditoria e o auditado.
6.4.8 Gerando constatações de auditoria
As diretrizes da ABNT NBR 19011:2018, 6.4.8, são aplicáveis.
6.4.9 Determinando conclusões de auditoria
As diretrizes da ABNT NBR ISO 19011:2018,6.4.9, são aplicáveis.
6.4.10 Conduzindo a reunião de encerramento
6.5 Preparando e distribuindo o relatório de auditoria
6.5.1 Preparando o relatório de auditoria
As diretrizes da ABNT NBR ISO 19011:2018, 6.5.1 são aplicáveis.
6.5.2 Distribuindo o relatório da auditoria
6.5.2.1 As diretrizes da ABNT NBR ISO 19011:2018, 6.5.2, são aplicáveis a esta Norma. As diretrizes
de 6.5.2.2 também são aplicáveis.
6.5.2.2 NOTA
NOTA Ao usar meios eletrônicos para a distribuição do relatório de auditoria, a criptografia apropriada
é uma medida possível para assegurar requisitos confidenciais.
6.6 Concluindo a auditoria
6.7 Conduzindo o acompanhamento da auditoria
O próximo capítulo tratará da competência e avaliação de auditores
6 Competência e avaliação de auditores

6.1 Generalidades
6.2 Determinando a competência do auditor
6.2.1 Generalidades
Ao decidir o conhecimento e as habilidades apropriadas de um auditor de SGSI, convém queo

seguinte seja considerado:
a) complexidade do SGSI (por exemplo, criticidade dos sistemas de informação dentro do SGSI,
resultados da avaliação de riscos do SGSI);
b ) tipos de negócios realizados dentro do escopo do SGSI;
c) extensão e diversidade da tecnologia utilizada na implementação dos vários componentes

do SGSI (como controles implementados, informações documentadas e/ou controle de processos,
plataformas tecnológicas e soluções envolvidas etc.);
d ) desempenho do SGSI demonstrado anteriormente;
e ) dimensão dos acordos de terceirização e de entidades externas utilizadas no escopo do SGSI;
f) normas, requisitos legais e outros requisitos relevantes para o programa de auditoria.
7.2.2 Comportamento pessoal
7.2.3 Conhecimentos e habilidades
7.2.3.1 Generalidades
As diretrizes da ABNT NBR ISO 19011:2018, 7.2.3.1, são aplicáveis.
7.2.3.2 Conhecimento e habilidades genéricos de auditores do sistema de gestão
As diretrizes da ABNT NBR ISO 19011:2018, Versão corrigida:2019, 7.2.3.2, são aplicáveis.
7.2.3.3 Competência de auditores em disciplina e setor específicos
7.2.3.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 7.2.3.3, são aplicáveis. As

diretrizesde 7.2.3.3.2 também são aplicáveis.
7.2.3.3.2 Convém que os auditores do SGSI também sejam capazes de entender os

requisitospertinentes do negócio.
7.2.3.4 Competência genérica de líder de equipe de auditoria
7.2.3.5 Conhecimento e habilidades para auditar múltiplas disciplinas
7.2.4 Alcançando a competência de auditor
7.2.4.5.1 As diretrizes da ABNT NBR 19011:2018, 7.2.4, são aplicáveis. As diretrizes de 7.2.4.2
7.2.4.5.2 Convém que os auditores do SGSI tenham conhecimentos e habilidades em tecnologia

da informação e segurança da informação, demonstrados, por exemplo, por meio de certificações
pertinentes (por exemplo, credenciadas na ABNT NBR ISO/IEC 17024). Convém que a experiência
de trabalho dos auditores individuais do SGSI também contribua para o desenvolvimento de seus
conhecimentos e habilidades no campo do SGSI.
NOTA Informações adicionais sobre certificação para auditores do SGSI podem ser encontradas
na ISO/IEC 27006.
7.2.5 Alcançando a competência do líder da equipe de auditoria
7.3 Estabelecendo os critérios de avaliação de auditor
7.4 Selecionando o do método apropriado de avaliação de auditor
7.5 Conduzindo a avaliação de auditor
7.6 Mantendo e melhorando a competência de auditor
O próximo anexo tratará da diretriz para a prática de auditoria no SGSI

Anexo A
(informativo)
Diretriz para a prática de auditoria no SGSI
A.1 Visão geral

Este Anexo fornece orientações genéricas de como auditar um SGSI, para o qual uma organização
reivindica conformidade com a ABNT NBR ISO/IEC 27001. Como esta diretriz se destina para aplicação
em todas as auditorias de SGSI, independentemente do tamanho ou da natureza da organização
envolvida, é genérica. Esta diretriz se destina aos auditores executando auditoria de SGSI, quer seja
interna ou externamente.
NOTA A ABNT NBR ISO/IEC 27003 fornece orientações para implementação e operacionalização
de um SGSI, de acordo com a ABNT NBR ISO/IEC 27001.
A.2 Generalidades
A.2.1 Objetivos, escopo, critérios e evidências da auditoria
Convém que durante as atividades de auditoria, as informações pertinentes para os objetivos, o escopo
e os critérios da auditoria, incluindo informações relacionadas às interfaces entre funções, atividades e
processos, sejam coletadas por meio amostral adequado e comprovadas. Convém que somente uma
informação comprovada seja aceita como evidência da auditoria. Convém que sejam registradas as
evidências da auditoria que levem a pontos de auditoria.
A obtenção de informação inclui os seguintes métodos:
— entrevistas;
— observações;
— análise crítica de documentos, incluindo registros.
A.2.2 Estratégia para auditar um SGSI
Existem algumas subseções da ABNT NBR ISO/IEC 27001:2013 que estão intimamente ligadas
e que, na prática, é melhor tratar ao mesmo tempo durante a realização da auditoria. Ver a Tabela A.2
para obter exemplos.
Os exemplos são ABNT NBR ISO/IEC 27001:2013 6.1.3 e 8.3 e 6.2, 5.1, 5.2, 5.3, 7.1, 7.4, 7.5, 9.1, 9.3
e 10.2 onde é coerente que sejam auditadas considerando as subseções referenciadas e correlatas.
A ABNT NBR ISO IEC 27001:2013, 7.5, apresenta os requisitos relativos à informação
documentada. Como explicado na Tabela A.2, A.4.5 cada vez que os auditores examinam um item
de informação documentada, tem a oportunidade de verificar a conformidade com os requisitos da
ABNT NBR ISO/IEC 27001:2013, 7.5. A diretriz sobre como fazer isso está localizada na Tabela A.2,
A.4.5. Os requisitos referentes à informação documentada não são repetidos para cada ocorrência
de “informações documentadas” na tabela.
A.2.3 Auditoria e informação documentada
As atividades de auditoria podem envolver informação documentada, a saber:
a ) as declarações com os requisitos de informação documentada da ABNT NBR ISO/IEC 27001

podem ser usadas como critérios de auditoria;
b ) informação documentada requerida pela ABNT NBR ISO/IEC 27001:2013, 7.5.1-b);
c) informação documentada determinada pela organização como necessária para a eficácia do
SGSI, da ABNT NBR ISO/IEC 27001:2013, 7.5.1-c).
Podem existir outras evidências da auditoria além de A.2.3-b), as quais os auditores obterão por meio
de entrevista, observações e análise crítica de documentos, incluindo registros.
Uma discussão detalhada de informação documentada referente à ABNT NBR ISO/IEC 27001 pode
ser encontrada em A.3.
A.3 Diretrizes sobre os requisitos da ABNT NBR ISO/IEC 27001 para informação
documentada
A.3.1 Justificativa
Convém que os auditores tenham cuidado ao solicitar informação documentada para fins de evidência
de conformidade.
Existem:
a ) 16 requisitos explícitos para informação documentada, incluindo a Declaração de Aplicabilidade,

como listado na Tabela A.1;
b ) os demais requisitos são requisitos para os quais:
1) seria razoável esperar que a evidência de conformidade seja encontrada na informação
documentada acima mencionada;
2) não existe um requisito explícito ou implícito para informação documentada.

Tabela A.1 – Requisitos para informação documentada na ABNT NBR ISO/IEC 27001
Referência na ABNT NBR
Requisito de informação documentada sobre
ISO/IEC 27001
Escopo do SGSI 4.3
Política de Segurança da Informação 5.2
Processo de avaliação de riscos de segurança da informação 6.1.2
Processo de tratamento de riscos de segurança da informação 6.1.3
Declaração de Aplicabilidade 6.1.3 d)
Objetivos de segurança da informação 6.2
Evidência da competência 7.2-d)
Informação documentada determinada pela organização como
7.5.1-b)
sendo necessária para a eficácia do SGSI
Planejamento operacional e controle 8.1
Resultados da avaliação de riscos de segurança da informação 8.2
Resultados do tratamento de riscos de segurança da informação 8.3
Evidência dos resultados de monitoramento e medição 9.1
Evidência do(s) programa(s) de auditoria e dos resultados da
9.2 g)
Auditoria
Evidência dos resultados das análises críticas pela Direção 9.3
Evidência da natureza das não-conformidades e de quaisquer
10.1 f)
ações subsequentes tomadas
Evidência dos resultados de qualquer ação corretiva 10.1 g)
NOTA A definição de uma auditoria declara que ela é um processo documentado e, consequentemente,
o auditor pode esperar que o requisito da ABNT NBR ISO/IEC 27001:2013, 9.2, tenha como resultado
um processo de auditoria documentado.
A.3.2 Exemplo de requisito implícito para informação documentada
Conforme exemplo emA.3.1-b)-1), considerar a 6.1.2 da ABNT NBR ISO/IEC 27001: 2013, 6.1.2,
o qual requer que as organizações “mantenham informação documentada sobre o processo de avaliação
de riscos de segurança da informação”. Os requisitos anteriores [ABNT NBR ISO/IEC 27001:2013,
6.1.2 a) até e)] se referem ao processo de avaliação de risco. Portanto, é razoável esperar que
a evidência de conformidade com esses requisitos seja encontrada na informação documentada
requerida pelo processo de avaliação de riscos.
A.3.3 Exemplo onde não existe um requisito explícito ou implícito para informação
documentada
Conforme exemplo em A.3.1-b)-2), considerar a ABNT NBR ISO/IEC 27001:2013, 4.1.1. Não existe
requisito para informação documentada relativo a questões externas e internas. Convém que
os auditores, portanto, não solicitem vê-las. No entanto, uma falha da organização em demonstrar
essas questões constituirá uma não-conformidade em relação à ABNT NBR ISO/IEC 27001:2013, 4.1.1.
O ônus, no entanto, está em a organização determinar como ela escolhe demonstrar a conformidade.
Pode ser que a Alta Direção possa explica-lo (ou seja, alguém sabe); pode ser que existam atas
de reunião onde este assunto foi discutido; pode ser evidenciado em informação documentada
que está sob uma gestão de configuração formal ou pode ser evidenciada de alguma outra forma.
Naturalmente, é provável que a evidência esteja dispersa na informação documentada do SGSI.
Por exemplo, o objetivo 4.1.1 da ABNT NBR ISO/IEC 27001:2013, 4.1.1, é auxiliar a organização
na compreensão do contexto do seu SGSI. Esse contexto prevalece em todo o SGSI, particularmente
na determinação do escopo e política e no desempenho dos processos de avaliação de riscos
e tratamento de riscos. Se a organização cumpriu os requisitos da ABNT NBR ISO/IEC 27001:2013,
4.1.1, é provável que seu conhecimento sobre as questões externas e internas sejam utilizadas
em outras áreas do SGSI, seu uso será consistente e provavelmente haverá evidência de conformidade
na informação documentada relativa a essas outras áreas.
A.4 A Declaração de aplicabilidade

A Declaração de Aplicabilidade (SoA) é outra área que requer cuidados. Convém que a SoA
contenha todos os controles necessários, ou seja, os controles que a organização possui, como
resultado do seu processo de tratamento de riscos [ABNT NBR ISO/IEC 27001:2013, 6.1.3-c)],
determinados como sendo necessários para a modificação dos riscos de segurança da informação,
de modo a atender aos critérios de aceitação de risco. Todos os controles necessários são os próprios
requisitos da organização.
Os controles necessários podem ser os controles da ABNT NBR ISO IEC 27001:2013, Anexo A,
porém não são mandatórios. Eles podem ser controles retirados de outros padrões (por exemplo,
na ABNT NBR ISO/IEC 27017) ou outras fontes, ou podem ter sido especialmente projetados pela
organização.
Em alguns casos, a organização usa um controle que é uma variação de um controle

ABNT NBR ISO/IEC 27001:2013, Anexo A, e exclui o controle original ABNT NBR ISO/IEC 27001:2013,
Anexo A, justificando a exclusão pela variação do controle da organização. Alternativamente,
a variação pode incorporar o controle ABNT NBR ISO/IEC 27001:2013, Anexo A, e, consequentemente,
não seria excluído.
Convém que os auditores busquem a conformidade em relação aos controles necessários especificados
pela organização, e não com a especificação apontada na ABNT NBR ISO/IEC 27001:2013, Anexo A.
Se a especificação da organização requer um procedimento documentado, isto faz parte da
conformidade da organização com a ABNT NBR ISO IEC 27001:2013, 7.5.1-b). Senão, convém que
os auditores não solicitem vê-las. Convém que os auditores observem, no entanto, o requisito
[ABNT NBR ISO/IEC 27001:2013, 8.1] em que convém que a organização “mantenha informação
documentada na medida necessária para ter confiança de que os processos foram realizados
conforme planejado”. Uma vez que a ABNT NBR ISO/IEC 27001:2013, 8.1, se refere à
ABNT NBR ISO/IEC 27001:2013, 6.1, os planos de tratamento de riscos da organização e por
consequência seus controles necessários, estão dentro do escopo deste requisito de informação
documentada.
Ao auditar a seleção de controles, é melhor auditar o(s) plano(s) de tratamento de riscos conforme
declarado na ABNT NBR ISO/IEC 27001:2013, 6.1.3-e) em vez dos controles necessários individuais,
conforme listado na Declaração de Aplicabilidade. Isto ocorre porque é provável que o(s) plano(s)
de tratamento de riscos especifiquem a interação entre os controles necessários, que é uma
consideração que pode ser perdida se apenas a Declaração de Aplicabilidade fosse usada.
A.5 Outras informações documentadas

O foco da ABNT NBR ISO/IEC 27001 está em resultados. Dos 16 requisitos explícitos para informação
documentada (ver Tabela A.1), apenas três se referem a especificações (o processo de avaliação
de riscos de segurança da informação, o processo de tratamento de riscos de segurança da informação
e o programa de auditoria). No entanto, isto não impede que uma organização tenha procedimentos
documentados. Essa documentação de suporte está no escopo da ABNT NBR ISO/IEC 27001:2013,
7.5.1-b) (informação documentada determinada pela organização como sendo necessária para
a efetividade de seu SGSI). Torna-se assim um requisito de uma organização e como tal, convém que
esteja no escopo da auditoria.
A.6 Notas
As informações necessárias podem ser parte de uma página da web ou apresentadas ao leitor
como os resultados de uma consulta de banco de dados. Além disso, com exceção da Declaração
de Aplicabilidade, a ABNT NBR ISO/IEC 27001 não dá nomes para documentos. Assim, é possível
que a informação documentada relativa à política de segurança da informação não esteja em um
documento ou página web chamada “Política de Segurança da Informação”. As organizações têm
o direito de chamar a política de segurança da informação por outro nome. A(s) pessoa(s) com
responsabilidade e autoridade para assegurar que o Sistema de Gestão da Segurança da Informação
esteja em conformidade com os requisitos da da ABNT NBR ISO/IEC 27001:2013, 5.3 a) é a mesma,
e convém que conheça(m) a relação entre os requisitos de informação documentada exigidos pela
ABNT NBR ISO IEC 27001 e sua informação documentada.
A.7 Diretriz para auditoria do SGSI

A Tabela A.2 lista as seguintes informações:
— primeira linha: o número e o nome da subseção correspondente da ABNT NBR ISO/IEC 27001:2013;
— segunda linha: seções relacionadas (ver A.2.2 para informações sobre como usar essa linha);
— terceira linha: definições relevantes de ISO/IEC 27000:2018 para a subseção correspondente

da ABNT NBR ISO/IEC 270012013;
— quarta linha: possíveis fontes de informação de “Evidência de Auditoria” para a subseção

correspondente da ABNT NBR ISO/IEC 27001:2013;
— quinta linha: diretriz para a auditoria “ Direcionamento para prática de auditoria” (ver A.3);
— sexta linha: “Documentos de apoio” refere-se a outros documentos que podem ser úteis para
a auditoria da subseção correspondente da ABNT NBR ISO/IEC 27001:2013.
Tabela A.2 – Diretrizes de auditoria para ABNT NBR ISO/IEC 27001

A.1 Contexto da organização (ABNT NBR ISO/IEC 27001:2013, Seção 4)
A.1.1 Entendendo a organização e seu contexto (ABNT NBR ISO/IEC 27001:2013, 4.1)
Subseções ABNT NBR ISO/IEC 27001:2013, 6.1, 9.3
relacionadas da ABNT
NBR ISO/IEC 27001
Definições pertinentes Contexto externo, segurança da informação, contexto interno, sistema
da ISO/IEC 27000 de gestão, organização
Evidência de auditoria Evidência de auditoria pode ser obtida por meio de informação
documentada ou outras informações sobre:
a) as questões importantes que podem afetar positiva ou negativamente
o SGSI;
b) a organização;
c) o propósito da organização;
d) o resultado pretendido do SGSI.
Possíveis fontes das questões importantes podem incluir:

a) características ou condições ambientais relacionadas com o clima,
poluição, disponibilidade de recursos e biodiversidade, e o efeito que
estas condições podem ter sobre a capacidade da organização de
alcançar seus objetivos
b) contexto externo cultural, social, político, jurídico, regulatório,

financeiro, tecnológico, econômico, natural e competitivo, seja
internacional, nacional, regional ou local;
c) características ou condições da organização, como governança

organizacional, fluxos de informação e processos de tomada de
decisão;
1) políticas organizacionais, objetivos e estratégias que estão em

vigor para alcançá-los;
2) cultura da organização;
3) normas, diretrizes e modelos adotados pela organização;
4) ciclo de vida dos produtos e serviços da organização;
5) sistemas de informação, processos, ciência e tecnologia

subjacentes à gestão da segurança da informação;
d) tendências de auditorias e avaliação de riscos.

Tabela A.2 (continuação)

A.1.1 Entendendo a organização e seu contexto (ABNT NBR ISO/IEC 27001:2013, 4.1)
Diretriz prática da Convém que o auditor confirme que a organização:
auditoria a) possui uma compreensão de alto nível (por exemplo, estratégica) das
questões importantes que podem afetar, positiva ou negativamente,
o SGSI;
b) conhece as questões externas e internas que são relevantes para

o seu propósito e que afetam sua capacidade de alcançar o(s)
resultado(s) pretendido(s) do seu SGSI.
NOTA 1 O requisito da ABNT NBR ISO/IEC 27001, 4.3, é “considerar as

questões externas e internas referenciadas na ABNT NBR ISO/IEC 27001:2013,
4.1”. Uma organização pode considerar algo que não aparece necessariamente
na saída.
Convém que o auditor também confirme que os resultados
pretendidos incluem a preservação da confidencialidade, integridade e
disponibilidade da informação por meio da aplicação de um processo de
gestão de riscos e que os riscos sejam gerenciados adequadamente.
Convém que o auditor também verifique se as questões incluem os
tópicos importantes para a organização, os problemas para debate
e discussão ou mudança de circunstâncias e também verifiquem
se o conhecimento adquirido é usado para orientar os esforços da
organização em planejar, implementar e operar o sistema de gestão.
Documentos de apoio ABNT NBR ISO 31000:2018, 5.3
ABNT NBR ISO/IEC 27003:2020, 4.1
A.1.2 Entendendo as necessidades e expectativas das partes interessadas
(ABNT NBR ISO/IEC 27001:2013, 4.2)
NBR ISO/IEC 27001
Definições pertinentes Partes interessadas
da ISO/IEC 27000
Evidência de auditoria Evidência de auditoria pode ser obtida através de informação
a) as partes interessadas;
b) as necessidades e expectativas das partes interessadas relevantes

que são aplicáveis ao SGSI e à ABNT NBR ISO/IEC 27001.
NOTA 2 Potenciais partes interessadas podem incluir:

a) autoridades legais e reguladoras (locais, regionais, estaduais/
provinciais, nacionais ou internacionais);

(ABNT NBR ISO/IEC 27001:2013, 4.2)
Evidência de auditoria b) organizações coligadas;
c) clientes;
d) associações comerciais e profissionais;
e) grupos comunitários;
f) organizações não governamentais;
g) fornecedores;
h) vizinhos;
i) membros da organização e outros que trabalham em nome da

organização;
j) especialistas em segurança da informação.
NOTA 3 Os requisitos das partes interessadas podem incluir:

a) leis;
b) permissões, licenças ou outras formas de autorização;
c) ordens emitidas pelas agências reguladoras;
d) julgamentos de tribunais ou tribunais administrativos;
e) tratados, convenções e protocolos;
f) códigos e normas relevantes da indústria;
g) contratos celebrados;
h) acordos com grupos comunitários ou organizações não

governamentais;
i) acordos com autoridades públicas e clientes;
j) requisitos organizacionais;
k) princípios voluntários ou códigos de prática;
l) rotulagem voluntária ou compromissos ambientais;
m) obrigações decorrentes de acordos contratuais com a organização;


(ABNT NBR ISO/IEC 27001:2013, 4.2)
Evidência de auditoria n) intercâmbio de informação e comunicação.
NOTA 4 As partes interessadas podem ter interesses diferentes, os quais

podem ser totalmente alinhados, parcialmente alinhados ou opostos aos objetivos
comerciais da organização. Um exemplo de onde uma parte interessada tem
interesses contrários aos objetivos da organização é o hacker. O hacker requer
que a organização tenha uma segurança fraca. Convém que a organização
considere este requisito da parte interessada tendo o oposto completo, ou seja,
uma forte segurança.
Convém que o auditor esteja ciente de que o SGSI considera todas as
fontes de risco internas e externas. Assim sendo, a compreensão da
organização nas partes interessadas que se opõem à organização e
seus requisitos é altamente relevante.
Diretriz prática da Convém que o auditor confirme que a organização possui uma
auditoria compreensão de alto nível (por exemplo, estratégica) sobre as
necessidades e expectativas das partes interessadas relevantes que são
aplicáveis ao SGSI e a ABNT NBR ISO/IEC 27001.
Convém que o auditor verifique se a organização identificou os
requisitos da parte interessada que decide adotar ou com quem celebrar
voluntariamente um acordo ou contrato, bem como as necessidades e
expectativas que são obrigatórias porque foram incorporadas em leis,
regulamentos, permissões e licenças por ação governamental ou judicial.
Nota-se que nem todos os requisitos das partes interessadas são
requisitos da organização e alguns não são aplicáveis à organização ou
relevantes para o SGSI. Algumas necessidades das partes interessadas
(por exemplo, as de um hacker) serão contrárias ao propósito do SGSI
e seria esperado que a organização assegure, através de controles
adequados de segurança da informação, que estas necessidades e
expectativas não estão atendidas.
O auditor também pode confirmar que existem partes interessadas
que se percebem afetadas pelo SGSI e, se houver, ele informa para a
organização.
O auditor também pode verificar se a organização usa o conhecimento
adquirido para orientar seus esforços para planejar, implementar e
operar o SGSI.

A.1.3 Determinando o escopo do sistema de gestão de segurança da informação
(ABNT NBR ISO/IEC 27001:2013, 4.3)
NBR ISO/ IEC 27001
Definições pertintes Terceirização
da ISO/IEC 27000
Evidência de auditoria Evidência de auditoria pode ser obtida por meio de informação
— o escopo do sistema de gestão da organização (conforme estabelecido
na ABNT NBR ISO/IEC 27001:2020, 4.3);
— o escopo da certificação de uma organização, se aplicável;
— a Declaração de Aplicabilidade.
NOTA 5 O escopo da certificação de uma organização não é necessariamente

o mesmo que o escopo do seu SGSI. Em geral, o escopo da certificação estará
limitado ao escopo do SGSI da organização.
Diretriz prática da Convém que o auditor confirme que a organização estabelece os limites
auditoria físicos, informativos, legais e organizacionais para os quais o SGSI é
aplicado, por sua própria vontade e escolhe implementar a
ABNT NBR ISO/IEC 27001 em toda a organização ou como uma
unidade específica ou função particular(es) dentro de uma organização.
Convém que o auditor verifique que o entendimento da organização
do seu contexto (ABNT NBR ISO/IEC 27001:2013, 4.1), os requisitos
das partes interessadas relevantes (ABNT NBR ISO/IEC 27001:2013,
4.2) e as interfaces e dependências entre as atividades realizadas pela
organização e as que são realizadas por outras organizações
[ABNT NBR ISO/IEC 27001:2013, 4.3 c)] foram adequadamente
considerados ao estabelecer o escopo do SGSI.
Convém que o auditor ainda confirme que a análise/avaliação de
riscos de segurança da informação da organização e o tratamento
de riscos refletem adequadamente suas atividades e se estende aos
limites de suas atividades conforme definido no escopo do SGSI, na
medida aplicável ao escopo da auditoria. Convém que os auditores
verifiquem se há pelo menos uma Declaração de Aplicabilidade
por escopo e que todos os controles determinados no processo
de gestão de riscos estão incluídos na(s) Declaração(ões) de
Aplicabilidade. Estes controles são os controles necessários referidos na
ABNT NBR ISO IEC 27001:2013, 6.1.3-b), e não são necessariamente
controles ABNT NBR ISO IEC 27001:2013, Anexo A. Eles podem incluir
controles e controles específicos do setor que são projetados pela
organização ou identificados a partir de qualquer fonte.

A.1.3 Determinando o escopo do sistema de gestão de segurança da informação
(ABNT NBR ISO/IEC 27001:2013, 4.3)
Diretriz prática da Convém que o auditor também confirme que as interfaces com serviços
auditoria ou atividades que não estão completamente dentro do escopo do
SGSI são abordadas no assunto do SGSI para serem auditadas e
estão incluídas na avaliação de riscos de segurança da informação
da organização. O exemplo desta situação é o compartilhamento de
instalações (por exemplo, sistemas de TI, bancos de dados e sistemas
de telecomunicações ou a terceirização de uma função de negócios)
com outras organizações.
Convém que seja verificado que a documentação do escopo é criada
e controlada de acordo com os requisitos da informação documentada
(ABNT NBR ISO/IEC 27001:2013, 7.5).
ISO/IEC 27006:2015, 8.2, 9.1.3.5 IS 9.1.3 Escopo da certificação
ABNT NBR ISO/IEC 17021-1:2016, 8.2.2
A.1.4 Sistema de gestão da segurança da informação (ABNT NBR ISO/IEC 27001:2013, 4.4)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 6.1.1, 6.1.2, 6.1.3, 8.1, 8.2, 8.3
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Melhoria contínua, segurança da informação, sistema de gestão
da ISO/IEC 27000
Evidência da auditoria Evidência de auditoria pode ser obtida por meio de informação
documentada ou outras informações sobre os processos requeridos para
serem estabelecidos na ABNT NBR ISO/IEC 27001, que incluem:
a) processos de sistema de gestão (ABNT NBR ISO/IEC 27001:2013, 4.4);
b) processos de planejamento operacional e controle, incluindo

processos terceirizados (ABNT NBR ISO/IEC 27001:2013, 8.1);
c) processos para endereçar riscos e oportunidades quando planejando

o SGSI, incluindo os processos de avaliação dos riscos de segurança
da informação (ABNT NBR ISO/IEC 27001:2013, 6.1.2 e/ou 8.1.2) e
os processos de tratamento dos riscos de segurança da informação
(ABNT NBR ISO/IEC 27001:2013, 6.1.3 e/ou 8.1.3);
d) processos para alcançar os objetivos de segurança da informação.


A.1.4 Sistema de gestão da segurança da informação (ABNT NBR ISO/IEC 27001:2013, 4.4)
Diretriz prática da Convém que o auditor confirme que a organização cria o conjunto
auditoria de processos e controles “necessários, mas suficientes” que, juntos,
formam um sistema de gestão efetivo em conformidade com
ABNT NBR ISO/IEC 27001 e estabelece o SGSI do conjunto destes
elementos inter-relacionados ou interagentes.
Convém que o auditor também confirme que a organização, na
sua capacidade existente, mantém autoridade, responsabilização e
autonomia para decidir como cumprirá os requisitos do SGSI, incluindo
o nível de detalhe e a extensão em que integrará os requisitos do SGSI
em seus negócios
A.2 Liderança (ABNT NBR ISO/IEC 27001:2013, Seção 5)

A.2.1 Liderança e comprometimento (ABNT NBR ISO/IEC 27001:2013, 5.1)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 4.1, 4.2, 4.4, 5.2, 5.3, 6.1.1, 6.2, 7.1,
NBR ISO IEC 27001 7.4, 8.1, 9.3, 10.2
relacionadas
Definições pertinentes Alta Direção, segurança da informação
da ISO/IEC 27000
a) política de segurança da informação
[ABNT NBR ISO/IEC 27001:2013, 5.1 a)];
b) objetivos de segurança da informação

[ABNT NBR ISO/IEC 27001:2013, 5.1 a)];
c) processos da organização;
d) resultados das análises críticas pela Direção

[ABNT NBR ISO/IEC 27001:2013, 5.1-c), e) e g)];
e) avaliação da necessidade de recursos;
f) comunicação sobre a importância de uma gestão efetiva da segurança

da informação e da conformidade com os requisitos do sistema de
gestão da segurança da informação.
Evidência também pode ser obtida através de entrevistas com a Alta

Direção. Os resultados das análises críticas pela direção podem também
fornecer evidência de auditoria com subseções diferentes da
ABNT NBR ISO/IEC 27001:2013, 5.1-c), e) e g).

A.2.1 Liderança e comprometimento (ABNT NBR ISO/IEC 27001:2013, 5.1)
Diretriz prática da Convém que o auditor confirme o suporte visível, envolvimento e
auditoria comprometimento da Alta Direção da organização, o que é importante
para a implementação bem-sucedida da ABNT NBR ISO/IEC 27001.
Convém que o auditor também verifique que:
a) tarefas delegadas pela Alta Direção são identificadas;
b) a Alta Direção permanece responsabilizada pela conclusão satisfatória

das atividades atribuídas à organização;
c) a Alta Direção assegura que a política e os objetivos de segurança da

informação sejam estabelecidos e estejam alinhados com a direção
estratégica geral da organização;
d) a Alta Direção comunica a importância de uma gestão efetiva da

segurança da informação e da conformidade com os requisitos do
SGSI;
e) a Alta Direção assegure que o SGSI atinja o(s) resultado(s)

desejado(s) apoiando a implementação de todos os processos de
gestão de segurança da informação e, em particular, solicitando e
analisando criticamente relatórios sobre o status e a eficácia do SGSI
[ver ABNT NBR ISO/IEC 27001:2013, 5.3 b)];
f) a Alta Direção direciona e apoia pessoas da organização diretamente

envolvidas com a segurança da informação e o SGSI;
g) a Alta Direção assegura a integração dos requisitos do SGSI nos

processos da organização;
h) a Alta Direção assegura a disponibilidade de recursos para ter um

SGSI eficaz;
i) a Alta Direção avalia as necessidades de recursos durante as

análises críticas e estabelece objetivos para melhoria contínua e para
monitorar a eficácia de atividades planejadas;
j) a Alta Direção cria uma cultura e um ambiente que incentiva as

pessoas a trabalharem ativamente na implementação dos requisitos
do SGSI e na busca por alcançar os objetivos de segurança da
informação.

A.2.2 Política (ABNT NBR ISO/IEC 27001:2013, 5.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 6.2, 7.4
NBR ISO IEC 27001
relacionadas
Definições pertinentes Segurança da informação, política
da ISO/IEC 27000
a) política de segurança da informação
(ABNT NBR ISO/IEC 27001:2013, 5.1);
b) objetivos de segurança da informação

[ABNT NBR ISO/IEC 27001:2013, 5.2 b) e 6.2].
Diretriz prática da Convém que o auditor confirme que:
auditoria a) a política de segurança da informação especifica os compromissos
organizacionais de alto nível exigidos pela ABNT NBR ISO/IEC 27001,
considerando o propósito da organização;
b) a política de segurança da informação é usada para construir ou

criar os objetivos de segurança da informação que a organização
especifica para si mesma, ou, são explicitamente especificados como
parte da política de segurança da informação;
c) a informação documentada da política de segurança da informação

é criada e controlada de acordo com os requisitos da informação
documentada (ABNT NBR ISO/IEC 27001:2013, 7.5);
d ) a política de segurança da informação é comunicada internamente,

de acordo com os requisitos da subseção de comunicação (ABNT
NBR ISO/IEC 27001:2013, 7.4);
e) a política de segurança da informação também está disponível para

outras partes interessadas, conforme apropriado.
Com a política de segurança da informação contendo um compromisso

para satisfazer os requisitos aplicáveis, em particular, as leis e
regulamentos relevantes, não convém que o SGSI seja considerado fora
de conformidade, desde que resulte na pronta detecção e ação corretiva
das deficiências do sistema que contribuíram para a(s) instância(s) de
não conformidade.
Documentos de apoio ABNT NBR ISO 31000:2018, 4.3.2

A.2.3 Autoridades, responsabilidades e papéis organizacionais
(ABNT NBR ISO/IEC 27001:2013, 5.3)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 7.4, 9.2, 9.3
NBR ISO IEC 27001
relacionadas
Definições pertinentes Segurança da informação, organização, Alta Direção
da ISO/IEC 27000
Evidência da auditoria Considerando a ABNT NBR ISO/IEC 27001:2013, 7.5.1-b), evidência
da auditoria pode ser obtida por meio de informação documentada ou
outras informações:
a) nos papéis organizacionais;
b) na descrição do trabalho das pessoas que trabalham sob seu controle
que podem ter impacto no desempenho da segurança da informação
da organização;
c) na implementação de programa de auditoria interna e seus resultados;
d) no escopo do SGSI e estrutura da organização.
Adicionalmente, pode haver mais evidências de auditoria obtidas através

de informação documentada ou outras informações nos resultados da
análise crítica pela Direção.
Diretriz prática da Convém que o auditor confirme por meio de análise crítica de informação
auditoria documentada e/ou entrevista que:
a) responsabilidades e autoridades para a implementação dos requisitos
do SGSI são atribuídas à papéis relevantes dentro da organização;
b) a Alta Direção é responsabilizada por estas responsabilidades e as

autoridades são atribuídas e comunicadas às respectivas pessoas
que desempenham esses papéis;
c) as responsabilidades e autoridades são comunicadas de

acordo com os requisitos da subseção de comunicação
(ABNT NBR ISO/IEC 27001:2013, 7.4);
d) demonstração de conformidade com os requisitos da

ABNT NBR ISO/IEC 27001 é realizada de acordo com os requisitos
de auditoria interna (ABNT NBR ISO/IEC 27001:2013, 9.2);
e) relatório de desempenho é realizado de acordo com os requisitos da

análise crítica pela Direção (ABNT NBR ISO/IEC 27001:2013, 9.3).

A.2.3 Autoridades, responsabilidades e papéis organizacionais
(ABNT NBR ISO/IEC 27001:2013, 5.3)
Diretriz prática da Convém que o auditor verifique se os indivíduos responsáveis têm
auditoria acesso suficiente à Alta Direção para manter a Direção informada da
situação e desempenho do SGSI.
NOTA 6 O papel de assegurar que o sistema de gestão esteja em conformidade
com os requisitos da ABNT NBR ISO/IEC 27001 pode ser atribuído a um indivíduo,
compartilhado por vários indivíduos ou atribuído a uma equipe.

A.3 Planejamento (ABNT NBR ISO/IEC 27001, Seção 6)
A.3.1 Ações para contemplar riscos e oportunidades (ABNT NBR ISO/IEC 27001:2013, 6.1)
A.3.1.1 Geral (6.1.1)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 4.1, 4.2, 8.1, 9, 10.2
NBR ISO IEC 27001
relacionadas
Definições Segurança da informação, risco, gestão de riscos
pertinentesda ISO/IEC
27000
Evidência da auditoria Evidência da auditoria pode ser obtida por meio de informação
a) planejamento para o SGSI
[ABNT NBR ISO/IEC 27001:2013, 6.1.1, 7.5.1 b) e 8.1)];
b) o processo de avaliação de riscos de segurança da informação

(ABNT NBR ISO/IEC 27001:2013, 6.1.2);
c) os resultados do processo de avaliação de riscos de segurança da

informação (ABNT NBR ISO/IEC 27001:2013, 8.2);
d) o processo de tratamento de riscos de segurança da informação

(ABNT NBR ISO/IEC 27001:2013, 6.1.3);
e) os resultados do tratamento de riscos de segurança da informação

(ABNT NBR ISO/IEC 27001:2013, 8.3);
f) os resultados do monitoramento e medição

(ABNT NBR ISO/IEC 27001:2013, 9.1);
g) o(s) programa(s) de auditoria interna e os resultados da auditoria

interna (ABNT NBR ISO/IEC 27001:2013, 9.2);
h) os resultados da análise crítica pela Direção

(ABNT NBR ISO/IEC 27001:2013, 9.3);

A.3.1.1 Geral (6.1.1)
Evidência da auditoria i) o contexto da organização (ABNT NBR ISO/IEC 27001:2013, 4);
j) os objetivos de segurança da informação

(ABNT NBR ISO/IEC 27001:2013, 6.2).
Diretriz prática da Convém que o auditor confirme que o planejamento:
auditoria a) está sendo realizado em um nível apropriado para estabelecer
o SGSI;
b) inclui a consideração das questões relevantes para o contexto

da organização identificado na (ABNT NBR ISO/IEC 27001:2013,
4.1) e os requisitos aplicáveis da organização identificados na
(ABNT NBR ISO/IEC 27001:2013, 4.3), para atender a qualquer
consequência negativa ou positiva relacionada à
ABNT NBR ISO/IEC 27001:2013 6.1.1-a) a c);
c) antecipou potenciais consequências e cenários e, como tal, sendo

preventivo ao endereçar os efeitos indesejáveis antes de ocorrerem;
d) aborda os resultados pretendidos [ABNT NBR ISO/IEC 27001:2013

6.1.1-a)] determinados pela organização, que incluem a preservação
da disponibilidade, integridade e confidencialidade da informação,
aplicando um processo de gestão de riscos;
e) inclui determinar como incorporar as ações consideradas

necessárias ou benéficas no SGSI, seja por meio do
estabelecimento de objetivos (ABNT NBR ISO/IEC 27001:2013 6.2),
de controle operacional (ABNT NBR ISO/IEC 27001:2013 8.1) ou
de outras seções específicas da ABNT NBR ISO IEC 27001, por
exemplo: provisões de recursos (ABNT NBR ISO/IEC 27001:2013
7.1), competência (ABNT NBR ISO/IEC 27001:2013, 7.2),
análise/avaliação de riscos de segurança da informação
(ABNT NBR ISO/IEC 27001:2013, 8.2), tratamento de riscos de
segurança da informação (ABNT NBR ISO/IEC 27001:2013, 8.3);
f) inclui determinar o mecanismo para avaliação da eficácia da ação

tomada também está planejada, e pode incluir monitoramento,
técnicas de medição (ABNT NBR ISO/IEC 27001:2013, 9.1), auditoria
interna (ABNT NBR ISO/IEC 27001:2013, 9.2) ou análise crítica pela
Direção (ABNT NBR ISO/IEC 27001:2013, 9.3).
Documentos de apoio ABNT NBR ISO 31000:2018, 5.3 a 5.7
ABNT NBR ISO/IEC 27003:2020, 6.1.1

A.3.1.2 Avaliação de riscos de segurança da informação (ABNT NBR ISO/IEC 27001:2013, 6.1.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 8.2
NBR ISO IEC 27001
relacionadas
Definições pertinentes Disponibilidade, confidencialidade, segurança da informação,
da ISO/IEC 27000 integridade, aceitação de risco, análise de risco, avaliação de riscos,
critérios de risco, identificação de risco
Evidência da auditoria Evidência da auditoria pode ser obtida através de informação
a) planejamento para o SGSI [ABNT NBR ISO/IEC 27001:2013, 6.1.1,
7.5.1-b) e 8.1)];
b) o processo de avaliação de riscos de segurança da informação

(ABNT NBR ISO/IEC 27001: 2013, 6.1.2) e os resultados
da avaliação de riscos de segurança da informação
(ABNT NBR ISO/IEC 27001:2013, 8.2).
Diretriz prática da Convém que o auditor confirme que uma avaliação de riscos de
auditoria segurança da informação:
a) identifica os riscos de informação de segurança associados ao SGSI;
b) consiste em identificação de risco, análise de risco e processos

de avaliação de risco.
Critérios de risco [ABNT NBR ISO/IEC 27001:2013, 6.1.2-a)]
Convém que o auditor confirme que a organização estabeleceu e
mantém os critérios de aceitação de risco e os critérios para a realização
de avaliação de riscos de segurança da informação.
Embora a organização tenha a liberdade de considerar quaisquer fatores
que considere relevantes ao estabelecer seus critérios de risco, incluindo
critérios de aceitação de risco e os critérios para a realização de
avaliação de riscos de segurança da informação, convém que o auditor
avalie que a organização estabeleceu seus critérios de risco, incluindo
critérios de aceitação de risco e seus critérios para realizar avaliação de
riscos de segurança de informações com base em decisão informada.
É razoável esperar que os critérios de risco da organização estejam
incluídos na informação documentada sobre o processo de avaliação de
riscos. Caso contrário, convém que a organização possa explicar aos
auditores o que são. No mínimo, convém que incluam os critérios de
aceitação de riscos das organizações e os critérios para a realização de
avaliação de riscos.

Diretriz prática da Critérios de risco [ABNT NBR ISO/IEC 27001:2013, 6.1.2-a)]
auditoria
NOTA 7 A ABNT NBR ISO IEC 27001:2013, 8.2, requer que as organizações
realizem avaliação de riscos de segurança da informação em intervalos planejados
ou quando mudanças significativas são propostas ou ocorrem. A avaliação de
riscos pode ser realizada em todo o SGSI ou em partes dele (este último caso
pode mostrar quando mudanças significativas têm impactos em partes do SGSI
e, em seguida, uma nova avaliação de riscos parcial é necessária).
Consistência, validade e comparabilidade dos resultados
[ABNT NBR ISO IEC 27001:2013, 6.1.2-b)]
Convém que o auditor confirme que os resultados das avaliações de
risco pelo processo de avaliação de riscos de segurança da informação
são consistentes, válidos e comparáveis. Esta confirmação pode ser
realizada:
— perguntando à organização por que seus próprios resultados de
avaliação de risco são consistentes, válidos e comparáveis;
— amostragem da informação documentada sobre os resultados da

avaliação de riscos de segurança da informação.
Para avaliar consistência e validade, os auditores podem verificar se:

— os riscos semelhantes em contextos semelhantes foram avaliados de
forma semelhante;
— os riscos avaliados de forma diferente têm razão para essa diferença;
— os resultados gerais da avaliação são inequivocamente

compreensíveis.
Para avaliar a comparabilidade, os auditores podem verificar:

— como o mesmo risco foi avaliado na análise/avaliação de riscos
anterior e se é compreensível se mudou;
— se for inequivocamente compreensível se um risco for maior ou

menor do que outros.
Identificação do risco [ABNT NBR ISO/IEC 27001:2013, 6.1.2-c)]
Convém que o auditor confirme que a organização identificou os riscos
de segurança da informação associados à perda de confidencialidade,
integridade e disponibilidade para informações dentro do escopo do
SGSI.

Diretriz prática da NOTA 8 A ABNT NBR ISO/IEC 27001 não requer a identificação de riscos
auditoria pela identificação de ativos, ameaças e vulnerabilidades. Outros métodos de
identificação de risco são aceitáveis, como a identificação de riscos através da
consideração de eventos e consequências.
É razoável esperar encontrar uma descrição do processo de
identificação de riscos da organização em sua informação documentada
sobre o processo de avaliação de riscos (ver abaixo). Os fatores que a
organização pode ter considerado (mas não precisa) na formulação de
sua abordagem para identificação de riscos podem incluir:
a) como os riscos são encontrados, reconhecidos e descritos;
b) as fontes de risco a serem consideradas.
Outros fatores que a organização pode ter considerado (mas não

precisa) são:
a) como os riscos podem criar, melhorar, prevenir, degradar, acelerar
ou atrasar a realização dos objetivos de segurança da informação
da organização; os riscos associados com não perseguir uma
oportunidade;
b) riscos cuja fonte está ou não sob o controle da organização, mesmo
que a fonte ou causa de risco possa não ser evidente;
c) exame dos efeitos prejudiciais de determinadas consequências,

incluindo efeitos tipo cascata e cumulativos;
d) consideração de uma ampla gama de consequências, mesmo que a

fonte de risco ou causa possa não ser evidente;
e) consideração de possíveis causas e cenários que mostrem quais

consequências podem ocorrer;
f) consideração de todas as causas e consequências significativas;
g) como uma lista abrangente de riscos pode ser gerada.
NOTA 9 A descoberta de que um grande número de controles necessários foi

inadvertidamente omitido pode ser indicativo de um processo de identificação de
risco fraco.
Convém que seja confirmado na amostragem que toda a informação
importante dentro do escopo do SGSI está incluída na avaliação de
riscos.

Diretriz prática da Convém que o auditor verifique se existem riscos identificados na
auditoria informação documentada sobre os resultados da avaliação de riscos
associados à perda de confidencialidade, integridade e disponibilidade
de informações dentro do escopo do SGSI. Os objetivos de segurança
da informação da organização podem auxiliar os auditores a identificar
riscos de segurança da informação.
Convém que o auditor confirme que:
a) para cada risco, o(s) proprietário(s) do risco foram identificados;
b) cada proprietário de risco tem a responsabilidade e autoridade para

gerenciar seus riscos identificados.
Análise de riscos [ABNT NBR ISO/IEC 27001:2013, 6.1.2-d)]
a) a organização compreende a natureza do risco identificado e
determina o nível do risco, como a análise de riscos no processo de
avaliação de riscos de segurança da informação;
b) a análise de risco fornece uma contribuição para a avaliação de riscos

e para as decisões sobre como os riscos precisam ser tratados e sobre
os métodos, estratégias e tratamento de riscos mais adequados.
Convém que o auditor confirme que a organização avaliou as possíveis

consequências e probabilidades associadas aos riscos que identificou
em conformidade com a ABNT NBR ISO/IEC 27001:2013, 6.1.2-c) e
determinou os níveis de risco.
É razoável esperar encontrar uma descrição da abordagem da
organização para análise de riscos na informação documentada a
respeito do processo de avaliação de riscos, e os resultados estarão na
informação documentada referente aos resultados da avaliação de risco
(ver a seguir). Convém que o auditor referencie os métodos, estratégias
e políticas de gestão de riscos da organização.
A análise de riscos pode ser:
a) realizada com diferentes graus de detalhe, dependendo do risco, o
objetivo da análise e as informações, dados e recursos disponíveis;
b) qualitativa, semiquantitativa ou quantitativa ou uma combinação

destas, dependendo das circunstâncias.

Diretriz prática da Avaliação de risco [ABNT NBR ISO/IEC 27001: 2013, 6.1.2-e)]
auditoria
Convém que o auditor confirme que a organização comparou os
resultados de sua análise de riscos com os critérios de aceitação de
riscos de segurança da informação para determinar a aceitabilidade dos
riscos identificados.
Convém que o auditor confirme também que os resultados da(s)
avaliação(s) de riscos revelam evidência de que os critérios de aceitação
de riscos foram adequadamente aplicados e os riscos identificados e
analisados foram priorizados para o tratamento.
Em mais detalhes, convém que o auditor analise criticamente que a
avaliação de riscos:
a) auxilia na tomada de decisões, com base nos resultados da análise
de riscos, sobre como os riscos precisam de tratamento e a prioridade
para a implementação do tratamento;
b) envolve a comparação do nível de risco encontrado durante o

processo de análise com os critérios de risco de segurança da
informação estabelecidos quando o contexto foi considerado.
Convém que o auditor também avalie que as decisões:

a) consideram o contexto mais amplo do risco;
b) consideram os requisitos das partes interessadas relevantes,

incluindo requisitos legais, regulamentares e outros.
Informação documentada [ABNT NBR ISO/IEC 27001:2013, 6.1.2 e 8.2]
Convém que o auditor confirme que existe informação documentada
sobre o processo de avaliação de riscos.
Seria razoável esperar que a informação documentada sobre o processo
de avaliação de riscos de segurança da informação contivesse:
a) uma definição dos critérios de risco, incluindo os critérios de aceitação
de riscos e os critérios para a realização de avaliação de riscos de
segurança da informação;
b) justificativa da consistência, validade e comparabilidade dos

resultados;
c) uma descrição do processo de identificação do risco (incluindo a

identificação dos proprietários de risco);

Diretriz prática da Informação documentada [ABNT NBR ISO/IEC 27001:2013, 6.1.2 e 8.2]
auditoria
d) uma descrição do processo de análise de riscos de segurança da
informação (incluindo a avaliação de possíveis consequências,
probabilidade realista e nível de risco resultante);
e) uma descrição do processo de comparação dos resultados com os

critérios de risco e a priorização dos riscos para o tratamento de
riscos.
NOTA 10 Os itens mencionados anteriormente correspondem a um requisito

ABNT NBR ISO/IEC 27001, razão pela qual é razoável que informações sejam
encontradas na informação documentada sobre o processo de avaliação de
riscos.
Documentos de apoio ABNT NBR ISO 31000:2018, 5.3, 5.4, 5.7

ABNT NBR ISO/IEC 27003:2020, 6.1.2, 8.2
A.3.1.3 Tratamento de riscos de segurança da informação (ABNT NBR ISO/IEC 27001:2013, 6.1.3)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 8.3 e Anexo A
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Controle, objetivo de controle, informação documentada, segurança
da ISO/IEC 27000 da informação, risco residual, avaliação de riscos, critérios de risco,
responsáveis pelos riscos, tratamento de riscos
Evidência da auditoria Evidência de auditoria pode ser obtida através de informação
documentada ou outras informações de:
a) planejamento para o SGSI;
b) processo de tratamento de riscos de segurança da informação;
c) resultados de tratamento de riscos de segurança da informação;
d) Declaração de Aplicabilidade.

Diretriz prática da Tratamento de riscos de segurança da informação
auditoria (ABNT NBR ISO/IEC 27001:2013, 6.1.3)
Convém que o auditor confirme que a organização modifica os riscos de
segurança da informação como um processo de tratamento de riscos de
segurança da informação.

Diretriz prática da Tratamento de riscos de segurança da informação
auditoria (ABNT NBR ISO/IEC 27001:2013, 6.1.3)
Convém que o auditor também analise criticamente que o tratamento de
riscos de segurança da informação envolva:
a) selecionar uma ou mais opções para modificar os riscos de segurança
da informação e implementar essas opções, as quais proveem ou
modificam controles;
b) um processo crítico de avaliação da eficácia deste tratamento.

Selecionar, de forma apropriada, as opções de tratamento de riscos
de segurança da informação [ABNT NBR ISO/IEC 27001:2013, 6.1.3 a)]
Convém que o auditor confirme que a informação documentada relativa
ao processo de tratamento de riscos contenha uma descrição do método
que a organização utiliza para selecionar, de forma apropriada, as
opções de tratamento de riscos de segurança da informação. Também
convém que o auditor confirme que esta descrição corresponda ao que
realmente a organização executa.
Observar que a ISO/IEC 27000:2018, 3.72, Nota 1 enumera sete opções
de tratamento dos riscos e há uma nota de referência à
ABNT NBR ISO 31000 na ABNT NBR ISO/IEC 27001:2013, 6.1.3
da qual elas são derivadas.
Convém que o auditor verifique a consistência entre os critérios de risco
e o plano de tratamento de riscos. Convém que a organização possa
explicar as decisões que tomou em relação às opções de tratamento de
riscos, mesmo que não estejam documentadas.
Convém que o auditor analise criticamente as opções de tratamento de
riscos selecionadas pela organização. Convém que o auditor também
analise criticamente a adequação das opções de tratamento de riscos
selecionadas.
Convém que o auditor verifique se as mudanças recentes (por
exemplo: novos sistemas de TI ou processos de negócios) tenham sido
adequadamente incorporados na avaliação de riscos e nas decisões de
tratamento de riscos.
Determinar todos os controles que são necessários
[ABNT NBR ISO/IEC 27001:2013, 6.1.3-b)]
ao processo de tratamento de riscos contenha a descrição do método
que a organização utiliza para determinar os controles de segurança da
informação necessários. Convém que o auditor também confirme que
esta descrição corresponda ao que realmente a organização faz.

Diretriz prática da Determinar todos os controles que são necessários
auditoria [ABNT NBR ISO/IEC 27001:2013, 6.1.3-b)]
É um requisito [ABNT NBR ISO/IEC 27001:2013, 6.1.3-d)] que a
Declaração de Aplicabilidade contenha os controles necessários.
Os controles necessários não precisam ser os controles da
ABNT NBR ISO/IEC 27001, Anexo A. Eles podem ser controles
específicos do setor (como os definidos nas normas específicas de setor,
como a ISO/IEC 27011 e a ABNT NBR ISO/IEC 27017). Eles também
podem ser “controles personalizados”, quando organizações podem
desenhar seus próprios ou identificar de qualquer fonte
[ver ABNT NBR ISO/IEC 27001:2013, 6.1.3-b)].
Convém que todos os controles determinados a implementar opções de
tratamento de riscos sejam incluídos na Declaração de Aplicabilidade.
Além disso, convém que quaisquer controles personalizados sejam
explicitamente definidos em requisito e implementação.
Comparar com o Anexo A [ABNT NBR ISO/IEC 27001:2013, 6.1.3-c)]
A conformidade com este requisito é evidenciada através da análise
crítica da Declaração de Aplicabilidade como descrito a seguir.
Produzir uma Declaração de Aplicabilidade
[ABNT NBR ISO/IEC 27001:2013, 6.1.3-d)]
Convém que o auditor verifique que a Declaração de Aplicabilidade
contenha:
a) os controles necessários como determinado pelo processo
de aplicação ABNT NBR ISO/IEC 27001:2013, 6.1.3-b) e c);
b) a justificativa para sua inclusão (por exemplo: por referência

às opções de tratamento de riscos em que é utilizado);
c) se os controles necessários são implementados ou não;
d) uma justificativa para todos os controles do Anexo A excluídos, por

exemplo:
1) o controle se aplica no contexto de uma atividade que

a organização não está envolvida;
2) a organização utiliza um controle personalizado que evita

a necessidade de um controle do Anexo A;

Diretriz prática da Produzir uma Declaração de Aplicabilidade

auditoria [ABNT NBR ISO/IEC 27001:2013, 6.1.3-d)]
3) a organização utiliza um controle personalizado que apresenta
o mesmo propósito que o controle do Anexo A
(ver ABNT NBR ISO/IEC 27003 para mais informações);
e) controles específicos de setor pertinentes, que serão designados

como controles necessários ou tratados da mesma forma que os
controles excluídos do Anexo A.
Convém que o auditor, portanto, confirme a consistência entre a

realização das opções selecionadas de tratamento de riscos dos
controles necessários e a Declaração de Aplicabilidade.
Preparar um plano de tratamento de riscos
[ABNT NBR ISO/IEC 27001:2013, 6.1.3-e)]
ao processo de tratamento de riscos contenha a descrição do método
que a organização utiliza para produção de seu plano de tratamento de
riscos.
Convém que o auditor também confirme que o plano de tratamento de
riscos é preparado a partir das saídas da ABNT NBR ISO/IEC 27001:2013,
6.1.3-a) a c).
Convém que o auditor confirme ainda que as informações fornecidas no
plano de tratamento incluem ou vinculem a:
a) o(s) risco(s) que o plano endereça;
b) controle(s) necessário(s);
c) como se espera que os controles necessários modifiquem o risco

para que os critérios de aceitação de riscos sejam atendidos;
d) os proprietários dos riscos.
NOTA 11 Os proprietários dos riscos são responsáveis por aprovar o plano

de tratamento de riscos e pela aceitação do risco residual.
e) opção(ões) de tratamento de riscos selecionada(s);
f) o status da implementação dos controles necessários;
g) as razões para a seleção das opções de tratamento, incluindo ganhos

esperados;

Diretriz prática da Preparar um plano de tratamento de riscos
auditoria [ABNT NBR ISO/IEC 27001:2013, 6.1.3-e)]
h) ações propostas, incluindo indivíduos responsáveis, prazos e
cronograma;
i) requisitos de recursos, incluindo contingências;
j) medidas de desempenho e restrições;
k) relatórios e monitoramento.
Convém que o auditor analise criticamente se o plano de tratamento

de riscos leva em consideração a configuração objetiva e os processos
de gestão da organização e seja discutido com as partes interessadas
relevantes.
Obter a aprovação dos proprietários dos riscos
[ABNT NBR ISO IEC 27001:2013, 6.1.3-f)]
Convém que o auditor confirme que a organização:
a) identifica apropriadamente os proprietários dos riscos;
b) documenta riscos residuais;
c) obtém aprovação dos proprietários dos riscos para o plano de

tratamento de riscos de segurança da informação e a aceitação dos
riscos residuais.
Informação documentada
ao processo de tratamento de riscos exista.
Seria razoável esperar que a informação documentada sobre o processo
de tratamento de riscos de segurança da informação contivesse
descrições de:
a) o método para selecionar as opções de tratamento de riscos de
segurança da informação apropriadas;
b) o método para determinar os controles necessários;
c) como é usado a NBR ISO IEC 27001:2013, Anexo A, para

determinar que os controles necessários não foram negligenciados
inadvertidamente;
d) como a Declaração de Aplicabilidade é produzida;


Diretriz prática da Informação documentada
auditoria
e) como o plano de tratamento de riscos é produzido;
f) como a aprovação dos proprietários dos riscos é obtida.
NOTA 12 Não existe um requisito particular para o conteúdo ou o formato do

plano de tratamento de riscos de uma organização.
Documentos de apoio ABNT NBR ISO 31000:2018, 5.5, 5.7

ABNT NBR ISO/IEC 27003:2017, 6.1.3, 8.3
A.3.2 Objetivos de segurança da informação e planejamento para alcançá-los
(ABNT NBR ISO/IEC 27001:2013, 6.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 5.1, 5.2, 7.1, 7.3, 7.4, 7.5, 9.1, 9.3,
NBR ISO/IEC 27001 10.2
relacionadas
Definições pertinentes Segurança da informação, objetivo.
da ISO/IEC 27000
Evidência da auditoria A evidência de auditoria pode ser obtida por meio de informações
documentadas ou outras informações sobre os objetivos e planos de
segurança da informação para alcançá-los.
Diretriz prática da Observar que existem vínculos de objetivos de segurança da informação
auditoria e planejamento para alcançá-los (ABNT NBR ISO/IEC 27001:2013, 6.2)
para liderança e comprometimento (ABNT NBR ISO/IEC 27001:2013, 5.1)
e, política (ABNT NBR ISO/IEC 27001:2013, 5.2).
a) os objetivos de segurança da informação estão estabelecidos nas
funções e níveis pertinentes da organização;
b) os objetivos de segurança da informação estão especificados de

forma a permitir a determinação de sua realização;
c) os objetivos são mensuráveis, se aplicável (podem existir situações

quando pode não ser viável medir um objetivo de segurança da
informação);
d) o status e o progresso dos objetivos e dos planos de segurança

da informação para alcançá-los são verificados periodicamente
de acordo com os requisitos de monitoramento, medição, análise
e avaliação (ABNT NBR ISO/IEC 27001:2013, 9.1) e atualizados
conforme apropriado, consistentes com os requisitos de melhoria
contínua (ABNT NBR ISO/IEC 27001:2013, 10.2);

A.3.2 Objetivos de segurança da informação e planejamento para alcançá-los
(ABNT NBR ISO/IEC 27001:2013, 6.2)
Diretriz prática da e) os objetivos de segurança da informação e os planos para alcançá-
auditoria los são comunicados de acordo com os requisitos da comunicação
(ABNT NBR ISO/IEC 27001:2013, 7.4);
f) a informação documentada dos objetivos é criada e controlada

de acordo com os requisitos da informação documentada
(ABNT NBR ISO/IEC 27001:2013 7.5).
Convém que o auditor também verifique que:

a) as ações requeridas para alcançar os objetivos de segurança da
informação (ou seja, “o quê”) e o prazo associado (ou seja, “quando”)
são determinados;
b ) a atribuição de responsabilidade por fazê-lo (ou seja,

“quem”) é estabelecida de acordo com os requisitos dos
papéis, responsabilidades e autoridades da organização
(ABNT NBR ISO/IEC 27001:2013, 5.3);
c) os requisitos de segurança da informação aplicáveis e os resultados

da avaliação de riscos e do tratamento de riscos são levados em
consideração nos objetivos e no planejamento para alcançá-los;
d) qualquer necessidade de orçamentos, habilidades especializadas,

tecnologia ou infraestrutura, por exemplo, para atingir os objetivos são
determinados e fornecidos de acordo com os requisitos de recursos
(ABNT NBR ISO/IEC 27001:2013, 7.1);
e) um mecanismo para avaliar os resultados globais do que foi

realizado é determinado de acordo com os requisitos de monitoramento,
medição, análise e avaliação (ABNT NBR ISO/IEC 27001:2013,
9.1) e reportado de acordo com a análise crítica pela Direção
(ABNT NBR ISO/IEC 27001:2013, 9.3).
Documentos de apoio ABNT NBR ISO/IEC 27003:2020, 6.2
A.4 Apoio (ABNT NBR ISO/IEC 27001:2013, Seção 7)
A.4.1 Recursos (ABNT NBR ISO/IEC 27001:2013, 7.1)
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Melhoria contínua, sistema de gestão
da ISO/IEC 27000

A.4.1 Recursos (ABNT NBR ISO/IEC 27001:2013, 7.1)
documentadas ou outras informações sobre os recursos que a
organização precisa para:
a) estabelecer e implementar o SGSI (incluindo suas operações e
controles);
b) manter e melhorar continuamente o SGSI.
Os recursos podem incluir:

a) pessoas;
b) habilidades ou conhecimentos especializados;
c) infraestrutura organizacional (por exemplo, edifícios, linhas de

comunicação etc.);
d) tecnologia;
e) informações, outros ativos associados a informações e instalações

de processamento de informações;
f) dinheiro (por exemplo, dinheiro vivo, títulos líquidos e linhas de

crédito).
Diretriz prática da Convém que o auditor confirme que a organização antecipa, determina
auditoria e aloca os recursos necessários para estabelecer e implementar o
SGSI (incluindo suas operações e controles), bem como os recursos
necessários para sua manutenção e melhoria contínua.
A.4.2 Competência (ABNT NBR ISO/IEC 27001:2013, 7.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 5.3, 7.1, 7.5.1 Nota, 9.1 d), e) e 9.2 e)
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Competência, eficácia.
em ISO/IEC 27000
Evidência da auditoria A evidência de auditoria pode ser obtida por meio de informação
documentada ou outra informação relevante:
auditoria a) autoridades, responsabilidades e papéis organizacionais;
b) descrições de cargos;
c) competência requerida;


A.4.2 Competência (ABNT NBR ISO/IEC 27001:2013, 7.2)
Diretriz prática da d) registros de educação;
auditoria
e) programas de treinamento, cursos e atividades educacionais;
f) registros das ações adotadas para adquirir e reter a competência

necessária;
g) avaliação de sua eficácia.
A NBR ISO/IEC 27001:2013, 7.2, amplia o escopo de competência para

pessoas que não são membros da organização. O requisito especifica
que eles estão “realizando o trabalho sob o controle da organização”.
Os exemplos podem incluir subcontratados e trabalhadores voluntários.
Convém que a evidência de auditoria solicitada a terceiros seja restrita
à evidência das funções e atividades desempenhadas para a
organização do SGSI
auditoria a) determina:
1) as pessoas que trabalham sob seu controle que afetam o

desempenho da segurança da informação;
2) os conhecimentos e habilidades para as pessoas alcançarem os

resultados pretendidos;
3) a capacidade das pessoas de aplicar os conhecimentos e

habilidades para alcançar os resultados pretendidos;
b) assegura que essas pessoas tenham a capacidade com base em

educação, treinamento ou experiência adequados;
c) quando aplicável, toma ações para adquirir a capacidade necessária

e avaliar a eficácia das ações tomadas.
ISO/IEC 27021:2017, Anexo A
A.4.3 Conscientização (ABNT NBR ISO/IEC 27001:2013, 7.3)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 5.1 d), 5.2, 9.1, 9.2, 10.1, 10.2
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Conformidade, eficácia, desempenho, política
da ISO/IEC 27000

A.4.3 Conscientização (ABNT NBR ISO/IEC 27001:2013, 7.3)
documentadas ou outras informações sobre:
a) política de segurança da informação;
b) objetivos de segurança da informação;
c) desempenho da segurança da informação;
d) não conformidade e ação corretiva;
e) autoridades, responsabilidades e papéis organizacionais;
f) descrições de cargos;
g) programas de conscientização e material de treinamento, quando

aplicável.
Diretriz prática da Convém que o auditor confirme que as pessoas que trabalham sob o
auditoria controle da organização estão cientes sobre:
a) a política de segurança da informação;
b) sua contribuição para a eficácia do SGSI, incluindo os benefícios de

um melhor desempenho da segurança da informação;
c) as implicações de não conformidade com os requisitos do SGSI.
Convém que o auditor entreviste um número apropriado de pessoas

como amostra para confirmar que estão cientes destas informações.
Não convém que a conscientização da política seja entendida como
significando que ela precisa ser memorizada; ao contrário, convém que
as pessoas estejam cientes dos principais compromissos políticos e de
seu papel para alcançá-los.
O auditor pode encontrar evidências de conscientização sobre
segurança da informação também em iniciativas de conscientização e
treinamento não dedicadas à segurança da informação. Essas atividades
podem estar intimamente relacionadas às atividades de comunicação
pela Alta Direção [ABNT NBR ISO/IEC 27001:2013, 5.1-d) e 7.4].
A.4.4 Comunicação (ABNT NBR ISO/IEC 27001:2013, 7.4)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 5.1, 5.2, 5.3, 6.2, 9.2
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Política
da ISO/IEC 27000

a) política de segurança da informação;
b) papéis, responsabilidades e autoridades organizacionais;
c) o processo de avaliação de riscos de segurança da informação;
d) o processo de tratamento de riscos de segurança da informação;
e) objetivos de segurança da informação;
f) informação de que os processos foram realizados conforme o

planejado;
g) os resultados das avaliações de risco de segurança da informação;
h) os resultados do tratamento de riscos de segurança da informação;
i) desempenho do SGSI;
j) resultados das auditorias;
k) resultados de análises críticas pela Direção.

Diretriz prática da Convém que o auditor confirme que as necessidades de comunicação
auditoria da organização são identificadas, implementadas e mantidas
efetivamente de acordo com os requisitos de comunicação da ABNT
NBR ISO/IEC 27001.
Exemplos de evidências podem incluir:
a) respostas documentadas nas atas de uma reunião, ou
b) um plano formal de comunicação, procedimentos e resultados

documentados; ou
c) entrevistas com pessoas designadas para funções definidas, a fim

de demonstrar que elas sabem, por comunicação pertinente para
suas funções, sobre o que, quando, quem comunicar, quem tem
autoridade para tal comunicação e como são os processos pelos
quais a comunicação é afetada.
Essas evidências podem ser complementadas por:

a) informações de comunicação sobre o seguinte:
1) importância da gestão eficaz da segurança da informação e

da conformidade com os requisitos do sistema de gestão da
segurança da informação;

Diretriz prática da 2) política;
auditoria
3) responsabilidades e autoridades;
4) desempenho do SGSI;
5) objetivos;
6) contribuição para a eficácia do SGSI, incluindo os benefícios de

um melhor desempenho;
7) implicações de não conformidade com os requisitos do SGSI;
8) resultados das auditorias;
b) um plano formal de comunicação, procedimentos e resultados

documentados.
Convém que o auditor verifique se a organização determinou suas

necessidades de comunicação relacionadas ao SGSI. Por exemplo, isso
pode incluir transparência, adequação, credibilidade, capacidade de
resposta, clareza e proteção.
A comunicação pode ser verbal ou escrita, unidirecional ou bidirecional,
interna ou externa.
Documentos de apoio ABNT NBR ISO 31000:2018, 4.3.6, 4.3.7
A.4.5 Informação documentada (ABNT NBR ISO/IEC 27001:2013, 7.5)
A.4.5.1 Generalidades(ABNT NBR ISO/IEC 27001:2013, 7.5.1)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 4.3, 5.2-e), 6.1.2, 6.1.3, 6.2, 7.2-d),
NBR ISO/IEC 27001 8.1, 8.2, 8.3, 9.1, 9.2-g), 9.3, e 10.1
relacionadas
Definições pertinentes Informação documentada.
da ISO/IEC 27000
documentada ou outra informação criada, controlada e/ou mantida em
um SGSI, incluindo:
a) escopo do sistema de gestão;
b) política;
c) objetivos;
d) evidência de competência;


Evidência da auditoria e) informações de origem externa necessárias para o planejamento e
operação do sistema de gestão;
f) processo de avaliação de riscos de segurança da informação;
g) processo de tratamento de riscos de segurança da informação;
h) Declaração de Aplicabilidade;
i) informações necessárias para ter certeza de que os processos e

controles determinados foram executados conforme o planejado;
j) resultados da avaliação de riscos de segurança da informação;
k) resultados do tratamento de riscos de segurança da informação;
l) monitoramento, medição, análise e avaliação dos resultados;
m) programa de auditoria interna e evidência de sua implementação;
n) resultados da auditoria interna;
o) resultados da análise crítica pela Direção;
p) natureza das não conformidades e medidas tomadas;
q) resultados de ações corretivas.
Informações documentadas, criadas originalmente para outros

propósitos que não o cumprimento dos requisitos da
ABNT NBR ISO/IEC 27001, podem ser usadas.
Diretriz prática da Convém que o auditor confirme que o SGSI da organização inclui:
auditoria a) informações documentadas requeridas pela
ABNT NBR ISO/IEC 27001;
b) informações documentadas determinadas pela organização como

necessárias para a eficácia do SGSI.
A frase “informação documentada como evidência de ...” implica o termo

anterior “registro”.
Convém que o auditor confirme que a organização determina de
quais informações documentadas precisa além daquelas requeridas
explicitamente pela ABNT NBR ISO/IEC 27001 para a eficácia de seu
SGSI. Os fatores que convém que sejam levados em consideração estão
listados na linha de evidência de auditoria.

Diretriz prática da O termo “informação documentada” se refere à informação que a
auditoria ABNT NBR ISO/IEC 27001 determina que é necessária para controlar e
manter em qualquer formato ou mídia
(ver ABNT NBR ISO/IEC 27001:2013, 7.5.3).
Convém que o auditor confirme que as informações documentadas são
criadas e controladas de acordo com os requisitos da
ABNT NBR ISO/IEC 27001:2013, 7.5.2 e 7.5.3.
ABNT NBR ISO/IEC 27003:2020, 7.5.1
A.4.5.2 Criando e atualizando (ABNT NBR ISO/IEC 27001:2013, 7.5.2)
NBR ISO IEC 27001 8.1, 8.2, 8.3, 9.1, 9.2-g), 9.3, e 10.1
relacionadas
Definições pertinentes Informação documentada
da ISO/IEC 27000
a) atributos comuns que permitem uma identificação clara e única;
b) formato e mídia utilizados;
c) data da última análise crítica ou atualização;
d) histórico de mudanças;
e) identidade do revisor e aprovador.

Diretriz prática da Convém que o auditor confirme que, ao criar e atualizar informações
auditoria documentadas, a organização assegure:
a) identificação e descrição (por exemplo, título, data, autor ou número
de referência);
b) formato (por exemplo, idioma, versão do software, gráficos) e mídia

(por exemplo, papel, eletrônico);
c) análise crítica e aprovação de informações documentadas sobre

adequação e adequação.
NOTA 13 A identificação, formato e mídia usados para informações

documentadas são escolha da organização que implementa a
ABNT NBR ISO/IEC 27001; elas não precisam estar na forma de um texto ou
de um manual em papel.

A.4.5.2 Criando e atualizando (ABNT NBR ISO/IEC 27001:2013, 7.5.2)
Diretriz prática da Convém que o auditor aproveite a oportunidade para realizar essas
auditoria tarefas de auditoria sempre que as informações documentadas no
escopo do SGSI forem apresentadas à auditoria. Elas não precisam ser
executadas todas as vezes, apenas um número suficiente para confirmar
a conformidade com a ABNT NBR ISO/IEC 27001:2013, 7.5.2.
Documentos de apoio ABNT NBR ISO/IEC 27003:2020, 7.5.2
A.4.5.3 Controle de informação documentada (ABNT NBR ISO/IEC 27001: 2013, 7.5.3)
NBR ISO/IEC 27001 8.1, 8.2, 8.3, 9.1, 9.2-g), 9.3, e 10.1
relacionadas
Definições pertinentes Informação documentada
da ISO/IEC 27000
documentada ou outras informações sobre as seguintes atividades:
a) distribuição, acesso, recuperação e uso;
b) armazenamento e preservação, incluindo a preservação da

legibilidade;
c) controle de alterações (por exemplo, controle de versão);
d) retenção e disposição;
e) estrutura e configuração da biblioteca de informações documentadas.

Diretriz prática da Convém que o auditor confirme que as informações documentadas
auditoria requeridos pelo SGSI e pela ABNT NBR ISO/IEC 27001 são controladas
para assegurar que:
a) esteja disponível e adequada para uso, onde e quando for necessário;
b) esteja adequadamente protegida (por exemplo, contra perda de

confidencialidade, uso inadequado ou perda de integridade).
Convém que o auditor confirme que a organização aborda as seguintes

atividades, conforme aplicável:
a) distribuição, acesso, recuperação e uso;
b) armazenamento e preservação, incluindo a preservação da

legibilidade (em formato digital ou outros formatos ou manuscrito);
c) controle de alterações (por exemplo, controle de versão);


A.4.5.3 Controle de informação documentada (ABNT NBR ISO/IEC 27001: 2013, 7.5.3)
Diretriz prática da d) retenção e disposição.
auditoria
Convém que o auditor aproveite a oportunidade para realizar essas
tarefas de auditoria sempre que as informações documentadas no
escopo do SGSI forem apresentadas à auditoria. Elas não precisam ser
executadas todas as vezes, apenas um número suficiente para confirmar
a conformidade com a ABNT NBR ISO/IEC 27001:2013, 7.5.3.
ABNT NBR ISO/IEC 27003:2020, 7.5.3
A.5 Operação (ABNT NBR ISO/IEC 27001:2013, Seção 8)
A.5.1 Planejamento operacional e controle (NBR ISO/IEC 27001:2013, 8.1)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 4.4, 6.1.1, 6.1.2, 6.1.3, 6.2, 7.5.1, 9.1,
NBR ISO/IEC 27001 e 9.2
relacionadas
Definições pertinentes Consequência, segurança da informação, objetivo, organização,
da ISO/IEC 27000 terceirização, processo, requisito
documentada ou outras informações que são:
a) necessárias para a organização ter confiança de que os processos de
controle operacional foram executados conforme o planejado, criado
e controlado (ABNT NBR ISO/IEC 27001:2013, 8.1);
b) determinada pela organização como sendo necessário para a eficácia

do SGSI [ABNT NBR ISO/IEC 27001:2013, 7.5.1 b)];
c) no planejamento do SGSI (ABNT NBR ISO/IEC 27001:2013, 6.1.1);
d) nos objetivos de segurança da informação (ABNT NBR ISO/IEC

27001:2013, 6.2).
Diretriz prática da Convém que o auditor confirme que a organização planeja, implementa
auditoria e controla os processos necessários para atender aos requisitos de
segurança da informação nas operações da organização, para assegurar
que os requisitos da ABNT NBR ISO/IEC 27001 sejam atendidos e os
riscos e oportunidades prioritários sejam abordados.

Diretriz prática da Convém que o auditor confirme que o controle operacional inclui os
auditoria métodos e controles de segurança da informação implementados
para assegurar que as operações, atividades ou equipamentos de
negócios estejam em conformidade com as condições especificadas,
padrões de desempenho ou limites de conformidade regulamentar e,
assim, alcançar efetivamente o resultado pretendido do SGSI. Esses
controles estabelecem os requisitos técnicos necessários para alcançar
a funcionalidade ideal desejada para os processos de negócios, como
especificações técnicas ou parâmetros operacionais ou uma metodologia
prescrita
Convém que análise crítica seja realizada para as situações em que
o controle operacional e os controles de segurança da informação
são necessários, relacionados aos processos de negócios em que
a ausência do controle operacional e dos controles de segurança
da informação pode levar a desvios da política e dos objetivos
ou apresentar riscos inaceitáveis. Essas situações podem estar
relacionadas a operações, atividades ou processos de negócios,
produção, instalação ou serviço, manutenção ou contratados,
fornecedores ou vendedores. O grau de controle exercido variará
dependendo de muitos fatores, incluindo as funções desempenhadas,
sua importância ou complexidade, as consequências potenciais de
desvio ou variabilidade ou a competência técnica envolvida versus o que
está disponível.
Convém que os auditores verifiquem se a organização:
a) implementa as ações determinadas em “ações para contemplar riscos
e oportunidades” (ABNT NBR ISO/IEC 27001:2013, 6.1);
b) implementa os planos para alcançar os objetivos de segurança da

informação determinados em Objetivos de segurança da informação
e o planejamento para alcançá-los (ABNT NBR ISO/IEC 27001:2013,
6.2);
c) cria e controla a documentação necessária para ter certeza de que

os processos de controle operacional e controles de segurança da
informação foram executados conforme o planejado, de acordo com
os requisitos de informação documentada (ABNT NBR ISO/IEC
27001:2013, 7.5);
d) controla as mudanças planejadas e analisa criticamente as

consequências de mudanças não intencionais, para impedir ou
minimizar a chance de os requisitos técnicos não serem cumpridos
ou novos riscos serem introduzidos;

Diretriz prática da e) toma as ações necessárias para lidar com qualquer efeito indesejável
auditoria resultante quando os controles operacionais falham;
f) assegura que os processos terceirizados sejam determinados

e controlados, ou seja, aplique o controle das operações sob
considerações de modo que o grau de controle possa ser limitado
a controle ou influência parcial e não pretenda alterar nenhum
relacionamento legal com a entidade externa que executa o processo
terceirizado.
A.5.2 Avaliação de riscos de segurança da informação (ABNT NBR ISO/IEC 27001: 2013, 8.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 6.1.2
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Segurança da informação
da ISO/IEC 27000
a) planejamento para o SGSI (ABNT NBR ISO/IEC 27001:2013, 6.1.1);
b) o processo de avaliação de riscos de segurança da informação (ABNT

NBR ISO/IEC 27001:2013, 6.1.2);
c) os resultados da avaliação de riscos de segurança da informação

(ABNT NBR ISO/IEC 27001:2013, 8.2);
d) a Declaração de Aplicabilidade;
e) os planos de tratamento de riscos.

Diretriz prática da Convém que o auditor confirme que o processo de avaliação de riscos
auditoria de segurança da informação especificado e aplicado em (ABNT NBR
ISO/IEC 27001:2013, 6.1) é implementado e integrado às operações
da organização e deve ser executado em intervalos planejados ou
quando mudanças significativas são propostas ou ocorrem, levando
em consideração os critérios estabelecidos na ABNT NBR ISO/IEC
27001:2013, 6.1.2-a).
Convém que o auditor avalie que:
a) os intervalos planejados nos quais a avaliação de riscos é realizada
são adequados ao SGSI;

A.5.2 Avaliação de riscos de segurança da informação (ABNT NBR ISO/IEC 27001: 2013, 8.2)
Diretriz prática da b) quando ocorrerem mudanças significativas no SGSI (ou em seu
auditoria contexto) ou nos incidentes de segurança da informação, a organização
determina quais dessas mudanças ou incidentes requerem uma
avaliação adicional dos riscos de segurança da informação e como
essas avaliações são acionadas.
Para informações adicionais, vera diretriz prática da auditoria de A.3.1.2.

ABNT NBR ISO/IEC 27005
A.5.3 Tratamento de riscos à segurança da informação (ABNT NBR ISO/IEC 27001: 2013, 8.3)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 6.1.3, Anexo A
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Controle, objetivo de controle, informação documentada, segurança
da ISO/IEC 27000 da informação, risco residual, avaliação de risco, critérios de risco,
proprietário do risco, tratamento de risco.
a) o planejamento para o SGSI;
b) o processo de tratamento de riscos de segurança da informação;
c) os planos de tratamento de risco;
d) os resultados do tratamento de riscos de segurança da informação;
e) a Declaração de Aplicabilidade.

Diretriz prática da Convém que o auditor confirme que o processo de tratamento de
auditoria riscos de segurança da informação definido e aplicado em “Ações para
contemplar riscos e oportunidades” (ABNT NBR ISO/IEC 27001:2013,
6.1) é implementado e integrado às operações da organização e deve
ser realizado após cada repetição do processo de avaliação de riscos
de segurança da informação (ABNT NBR ISO/IEC 27001:2013, 8.2) ou
quando a implementação do (ou partes do) tratamento de riscos falhou.
Para informações adicionais, ver a diretriz prática da auditoria de A.3.1.3.
ABNT NBR ISO/IEC 27005

A.6 Avaliação do desempenho (ABNT NBR ISO/IEC 27001: 2013, Seção 9)
A.6.1 Monitoramento, medição, análise e avaliação (ABNT NBR ISO/IEC 27001: 2013, 9.1)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 5.3-b), 6.1.1-e), 6.2
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Melhoria contínua, eficácia, medição, monitoramento, desempenho,
da ISO/IEC 27000 evento de segurança da informação, incidente de segurança da
informação, necessidade de informação, medida
Evidência da auditoria Evidência da auditoria pode ser obtida por meio de informação
documentada ou outras informações nos resultados de monitoramento,
medição, análise e avaliação (ver ABNT NBR ISO IEC 27001:2013, 9.1).
Evidência também pode ser obtida através de informação documentada
ou outras informações sobre:
a) os objetivos de segurança da informação em funções e níveis
pertinentes;
b) o planejamento de como atingir os objetivos de segurança da

informação;
c) a situação e a extensão em que os objetivos de segurança da

informação são atendidos;
d) relatórios sobre o desempenho do SGSI para a Alta Direção [ver

ABNT NBR ISO IEC 27001:2013, 5.3 b)];
e) os resultados da avaliação de riscos e status do plano de tratamento

de riscos;
f) os métodos para monitoramento, medição, análise e avaliação;
g) o(s) programa(s) e resultados de auditoria interna;
h) análise(s) crítica(s) pela Direção, e resultados da(s) análise(s)

críticas(s) pela Direção;
i) notificação de eventos de segurança da informação (ver ABNT NBR

ISO IEC 27001:2013, A.16.1.2);
j) notificação de fragilidades de segurança da informação (ver ABNT

NBR ISO IEC 27001:2013, A.16.1.3);
k) notificação de incidentes de segurança da informação (ver ABNT

NBR ISO IEC 27001:2013, A.16.1.4).

auditoria a) avaliou o desempenho e a eficácia da segurança da informação de
seu SGSI;
b) determinou:
1 ) o que deve ser monitorado e medido (qualitativa e

quantitativamente), incluindo processos e controles de segurança
da informação;
2) os métodos de monitoramento, medição, análise e avaliação,

conforme aplicável, para assegurar resultados válidos;
3) quando o monitoramento e a medição devem ser realizados;
4) quem realiza monitoramento e medição;
5) quando os resultados do monitoramento e medição devem ser

analisados e avaliados;
6) quem conduz a análise e avaliação desses resultados.
Convém que o auditor analise criticamente o desempenho da segurança

da informação usando informação documentada como evidência, como
planos, relatórios sobre o desempenho do SGSI à Alta Direção, os
resultados da análise crítica pela Direção, relatórios de auditoria interna
e eventos de segurança da informação, relatórios de incidentes de
fragilidade.
Convém que o auditor avalie até que ponto as não conformidades, erros
de processamento, violações da segurança da informação e outros
incidentes são previstos, detectados, relatados e solucionados.
Convém que o auditor determine se e como a organização avalia
a eficácia das ações para lidar com os riscos e oportunidades para
garantir que os controles de segurança da informação identificados no
tratamento de riscos sejam efetivamente implementados e estejam em
operação.
Convém que o auditor também verifique a avaliação do desempenho
da segurança da informação de forma a ser utilizada para impulsionar
melhorias contínuas do SGSI.

Diretriz prática da Convém que os auditores também confirmem que as mudanças a serem
auditoria consideradas (ABNT NBR ISO/IEC 27001:2013, 8.1 e 8.2) a partir dos
resultados são refletidas nos processos de avaliação e tratamento
de riscos. Além disso, convém que os auditores confirmem que a
informação documentada relacionada às ações para contemplar riscos e
oportunidades foram atualizadas.
Convém que os auditores analisem criticamente se as informações
resultantes das especificidades monitoradas ou medidas, analisadas
e avaliadas são necessárias e suficientes para julgar em que medida
as atividades planejadas do SGSI são realizadas e seus resultados
planejados são alcançados. Convém que os auditores confirmem que as
informações obtidas por meio do monitoramento ou medição, análise e
avaliação são apresentadas à Alta Direção de acordo com os requisitos
da análise crítica pela Direção (ABNT NBR ISO/IEC 27001:2013, 9.3).
NOTA 14 Se uma organização seguir as orientações fornecidas na ABNT
NBR ISO/IEC 27004, além de “necessidade de informações”, ela pode usar os
termos “medida de desempenho” e “medida de eficácia”.
Documentos de apoio ABNT NBR ISO/IEC 27004

A.6.2 Auditoria interna (ABNT NBR ISO/IEC 27001:2013, 9.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 9.3
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Auditoria, escopo da auditoria, competência.
da ISO/IEC 27000
a) um programa de auditoria interna;
b) planos de auditoria interna;
c) resultados da auditoria interna;
d) competência dos auditores internos;
e) resultados de análises críticas pela direção.

Diretriz prática da NOTA 15 Esta subseção fornece orientação para auditoria externa ou
auditoria autoavaliação ou orientação de avaliação por pares em relação à auditoria
interna.

Diretriz prática da Convém que o auditor confirme que a organização planeja, implementa
auditoria e mantém um programa de auditoria interna com o objetivo de fornecer
informações sobre se o SGSI está em conformidade com os requisitos
da ABNT NBR ISO/IEC 27001 e com quaisquer outros requisitos
relacionados ao SGSI que a organização auto determine e que o SGSI
está sendo efetivamente implementado e mantido conforme planejado.
Convém que o auditor verifique se o programa de auditoria interna é tal
que:
a) as auditorias internas são planejadas e programadas com base na
importância dos processos auditados e nos resultados de auditorias
anteriores;
b) a abordagem para planejar e realizar auditorias internas é estabelecida;
c) os papéis e responsabilidades do programa de auditoria são

atribuídos levando em consideração a integridade e a independência
do processo de auditoria interna;
d) os objetivos, critérios e escopo da auditoria são estabelecidos para

cada auditoria planejada;
e) foi projetado para fornecer informações para confirmar que o SGSI
está em conformidade com:
1) os requisitos da ABNT NBR ISO/IEC 27001;
2) os próprios requisitos da organização;
f) foi projetado para fornecer informações para confirmar que o SGSI é
efetivamente implementado e mantido.
Um exemplo de critério de auditoria é uma referência (por exemplo,

políticas, procedimentos e requisitos) com a qual os registros pertinentes
e verificáveis, declarações de fatos ou outras informações serão
comparados. Os escopos de auditoria podem incluir descrições dos
locais físicos, unidades organizacionais, atividades e processos, bem
como o período coberto pelas auditorias em questão.

Diretriz prática da Convém que o auditor confirme que o programa de auditoria interna e
auditoria as auditorias são planejadas e implementadas e mantidas por pessoal
interno ou devem ser gerenciadas por pessoas externas que agem
em nome da organização. Em qualquer um dos casos, convém que
os auditores confirmem que a seleção das pessoas responsáveis pelo
gerenciamento do programa de auditoria interna e os auditores que
realizam as auditorias internas atendem aos requsitos e diretrizes (ver
ABNT NBR ISO/IEC 27001: 2013, 7.2) de competência (ver ABNT NBR
ISO/IEC 27001: 2013, 7.2 e 9.2).
Convém que os auditores confirmem que os resultados das auditorias
internas são relatados à gerência responsável pelas funções/ unidade
auditada e quaisquer outros indivíduos considerados adequados,
de acordo com os requisitos de comunicação (ABNT NBR ISO/
IEC 27001:2013, 7.4). Convém que os auditores confirmem que as
informações, incluindo tendências, sobre os resultados da auditoria
interna, são analisados criticamente de acordo com os requisitos da
análise crítica pela Direção (ver ABNT NBR ISO/IEC 27001:2013, 9.3).
Documentos de apoio Este documento, isto é, ABNT NBR ISO/IEC 27007
ISO/IEC TS 27008
ABNT NBR ISO/IEC 17021-1:2016, 9.3.1.2.2-g), 9.3.1.3-e), 9.4.8.3-a),
9.6.2.2-a)
ISO/IEC 27006:2015, 9.1.5.1, 9.3.1.2.2-h), 9.5.1, 9.6.2.1.1-a)
A.6.3 Análise crítica pela Direção (ABNT NBR ISO/IEC 27001:2013, 9.3)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 4.1, 4.2, 8.1.2, 8.1.3, 9.1, 9.2, 10.1, e
relacionadas
Definições pertinentes Melhoria contínua, eficácia, desempenho
da ISO/IEC 27000
a) conduzir as análises críticas em intervalos planejados;
b) a situação das ações de análises críticas pela Direção anteriores;
c) mudanças em questões externas e internas relevantes para o SGSI;
d) feedback sobre o desempenho da segurança da informação, incluindo

tendências em não-conformidades e ações corretivas, resultados de
monitoramento e medição, resultados de auditoria e cumprimento
dos objetivos de segurança da informação;
e) feedback das partes interessadas;


A.6.3 Análise crítica pela Direção (ABNT NBR ISO/IEC 27001:2013, 9.3)
Evidência da auditoria f) resultados da avaliação de riscos e status do plano de tratamento de
riscos;
g) oportunidades para melhoria contínua.

Diretriz prática da Convém que o auditor confirme que a Alta Direção conduziu a análise
auditoria crítica pela Direção de acordo com um cronograma planejado,
analisando as informações a serem cobertas e fornecendo as saídas
esperadas.
Convém que o auditor avalie, por meio da auditoria, que a Alta Direção
se envolve pessoalmente nessa análise crítica, executando esse
mecanismo para conduzir mudanças no SGSI e direcionar prioridades de
melhoria contínua, particularmente em relação às questões de mudança
no contexto da organização, desvios dos resultados pretendidos ou
favoráveis, condições que oferecem uma vantagem com resultado
benéfico.
Convém que o auditor verifique se a análise crítica pela Direção inclui
a consideração de todos os itens b) até g) listados na evidência de
auditoria de A.6.3.
Convém que o auditor também confirme que os resultados da análise
crítica pela Direção incluem decisões relacionadas a oportunidades de
melhoria contínua e quaisquer necessidades de alterações no SGSI.
A.7 Melhoria (ABNT NBR ISO/IEC 27001:2013, Seção 10)
A.7.1 Não conformidade e ação corretiva (ABNT NBR ISO/IEC 27001:2013, 10.1)
NBR ISO/IEC 27001
relacionadas
Definições pertinentes Correção, ação corretiva, eficácia, não conformidade.
da ISO/IEC 27000
a) a natureza das não conformidades e quaisquer ações subsequentes
tomadas;
b) os resultados de qualquer ação corretiva;
c) os resultados de monitoramento e medição;
d) o(s) programa(s) de auditoria e resultados da auditoria;
e) os resultados da análise crítica pela Direção;


A.7.1 Não conformidade e ação corretiva (ABNT NBR ISO/IEC 27001:2013, 10.1)
Evidência da auditoria f) os requisitos das partes interessadas relevantes para a segurança da
informação;
g) as alterações no SGSI provocadas por ações corretivas.

Diretriz prática da Convém que o auditor confirme que:
auditoria a) a organização responde encontrando não conformidade e requerendo
ações corretivas quando os requisitos da ABNTNBR ISO/IEC 27001
e SGSI (incluindo operacionais) não são atendidos;
b) a não conformidade e as ações corretivas incluem ações para

corrigir a situação, examinar a causa e determinar se existem outras
ocorrências ou potenciais ocorrências em outro local, para que ações
possam ser tomadas para evitar a recorrência;
c) a resposta da organização abrange a avaliação das ações tomadas

para confirmar que o resultado pretendido foi alcançado e a avaliação
do SGSI para determinar se são necessárias alterações para evitar
ocorrências futuras de não conformidades semelhantes;
d) a documentação da não conformidade, da ação corretiva e dos

resultados é criada e controlada de acordo com os requisitos de
informação documentada (ver ABNT NBR ISO/IEC 27001:2013, 7.5).
Documentos de apoio
A.7.2 Melhoria contínua (ABNT NBR ISO/IEC 27001:2013, 10.2)
Subseções da ABNT ABNT NBR ISO/IEC 27001:2013, 5.1, 5.2, 6.1, 6.2, 7.1, 8.1, 9.1, 9.2, 9.3,
relacionadas
Definições pertinentes Melhoria contínua, eficácia, desempenho.
da ISO/IEC 27000
a) a natureza das não conformidades e quaisquer ações subsequentes
tomadas, incluindo o relato de ações corretivas;
b) os resultados de qualquer ação corretiva;
c) os resultados de monitoramento e medição;
d) o(s) programa(s) de auditoria e resultados da auditoria;
e) os resultados da análise crítica pela Direção;
f) os requisitos das partes interessadas relevantes para a segurança da

informação;
Tabela A.2 (conclusão)

A.7.2 Melhoria contínua (ABNT NBR ISO/IEC 27001:2013, 10.2)
Evidência da auditoria g) avaliação e decisão sobre eventos e incidentes de segurança da
informação (ver ABNT NBR ISO/IEC 27001:2013, A.16.1.4).
Diretriz prática da Convém que o auditor confirme que a organização conduz sua atividade
auditoria recorrente para aprimorar resultados mensuráveis da pertinência,
adequação e eficácia do SGSI.
Convém que o auditor analise criticamente e verifique se a melhoria
contínua envolve fazer alterações no design e na implementação do
SGSI, a fim de melhorar a capacidade da organização de alcançar a
conformidade com os requisitos do SGSI e cumprir seus objetivos e
compromissos da política.
Convém que o auditor confirme, por meio da auditoria, que a
organização:
a) desenvolve uma implementação para alcançar essa melhoria,
incluindo, entre outros:
1) tomar ações para contemplar riscos e oportunidades

(ver ABNT NBR ISO/IEC 27001:2013, 6.1);
2) estabelecimento de objetivos

3) atualização dos controles operacionais

(ver ABNT NBR ISO/IEC 27001:2013, 8.1),
considerando novas tecnologias, métodos ou informações;
4) analisar e avaliar o desempenho

b) realiza auditorias internas (ver ABNT NBR ISO/IEC 27001:2013, 9.2);
c) conduz análises críticas pela Direção

d) detecta não conformidades e implementa ações corretivas

e) avalia e analisa criticamente periodicamente seu SGSI, de

acordo com os requisitos de monitoramento, medição, análise e
avaliação (ABNT NBR ISO/IEC 27001:2013, 9.1) e auditoria interna
(ABNT NBR ISO/IEC 27001:2013, 9.2) e análise crítica pela
Direção (ABNT NBR ISO/IEC 27001:2013, 9.3) para identificar
oportunidades de melhoria e planejar ações apropriadas a serem
tomadas de acordo com ações para lidar com riscos e oportunidades
(ABNT NBR ISO/IEC 27001:2013, 6.1), objetivos e planejamento para
alcançá-los (ABNT NBR ISO/IEC 27001:2013, 6.2) e planejamento e
controles operacionais (ABNT NBR ISO/IEC 27001:2013, 8.1).
Bibliografia
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27007 Segurança da informação, segurança
cibernética e proteção da privacidade — Diretrizes para auditoria de sistemas de gestão da segurança da
informação.2021.

Norma NBR ISO - IEC27007 - 2021 - Apostila de Norma - Composição em Agosto - 2022

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Norma NBR ISO - IEC27007 - 2021 - Apostila de Norma - Composição em Agosto - 2022

Uploaded by

Copyright:

Available Formats

BUREAU VERITAS

NBR ISO/IEC 27007

Nota: É proibida a reprodução deste material, por qualquer

— requisitos definidos na ABNT NBR ISO/IEC 27001:2013;

— políticas e requisitos especificados pelas partes interessadas relevantes;

— requisitos estatutários e regulamentares;

— processos e controles de SGSI definidos pela organização ou outras partes;

— plano(s) do sistema de gestão relacionado(s) ao fornecimento de saídas específicas de um

Este documento segue a estrutura da ABNT NBR ISO 19011:2018.

Segurança da informação, segurança cibernética e proteção da

O próximo capítulo tratará de referências normativas

ABNT NBR ISO 19011:2018, Diretrizes para auditoria de sistemas de gestão

ISO/IEC 27000:2018, Information technology – Security techniques – Information security management

— Plataforma de navegação online ISO: disponível em http://www.iso.org/obp

— Electropedia IEC: disponível em http://www.electropedia.org/

O próximo capítulo tratará dos princípios de auditoria

O próximo capítulo tratará do gerenciamento de um programa de auditoria

As diretrizes da ABNT NBR ISO 19011:2018, 5.1 são aplicáveis.

5.2 Estabelecendo os objetivos do programa de auditoria

5.2.2 Considerações específicas para o SGSI para determinar os objetivos do programa

a ) requisitos da segurança da informação identificados;

b ) requisitos da ABNT NBR ISO/IEC 27001;

c) nível de desempenho do auditado, conforme refletido na ocorrência de eventos e incidentes

NOTA Informações adicionais sobre o monitoramento do desempenho, medições, análises e avaliações

d ) riscos de segurança da informação para as partes pertinentes, ou seja, auditado e cliente

Exemplos de objetivos de programas de auditoria específicos do SGSI incluem o seguinte:

— demonstração da conformidade com requisitos contratuais e legais pertinentes e outros requisitos

— obtenção e manutenção da confiança na capacidade de gestão de riscos do auditado;

— avaliação da eficácia das ações para endereçar os riscos e as oportunidades de segurança

5.3 Determinando e avaliando riscos e oportunidades do programa de auditoria

5.3.1 As diretrizes da ABNT NBR ISO 19011:2018, 5.3, são aplicáveis.

5.4 Estabelecendo o programa de auditoria

5.4.1 Papéis e responsabilidades da(s) pessoa(s) que gerencia(m) o programa de auditoria

5.4.2 Competência da(s) pessoa(s) que gerencia(m) o programa de auditoria

As diretrizes da ABNT NBR ISO 19011:2018, a 5.4.2, são aplicáveis.

1 Para os efeitos deste documento, o termo “auditoria” se refere à auditoria do SGSI.

5.4.3 Estabelecendo a extensão do programa de auditoria

5.4.3.2 A extensão do programa de auditoria pode incluir o seguinte:

a ) o tamanho do SGSI, incluindo:

2) o número de sistemas de informação;

3) o número de localidades cobertas pelo SGSI;

b ) a complexidade do SGSI (incluindo o número e a criticidade das atividades e processos),

d ) a importância dos riscos e oportunidades determinados no planejamento do SGSI;

e ) a importância da preservação da confidencialidade, integridade e disponibilidade da informação

f) a complexidade dos sistemas de informação a serem auditados, incluindo a complexidade

g ) o número de localidades similares.

5.4.4 Determinando recursos do programa de auditoria

5.5 Implementando o programa de auditoria

As diretrizes da ABNT NBR ISO 19011:2018, 5.5.1, são aplicáveis.

5.5.2 Definindo os objetivos, escopo e critérios para uma auditoria individual

5.5.2.2 Os objetivos da auditoria podem incluir o seguinte:

a) avaliação sobre se o SGSI identifica adequadamente e considera os requisitos de segurança

b) determinação da extensão da conformidade dos controles de segurança da informação com

a) a política de segurança da informação, os objetivos de segurança da informação, as políticas

b ) os requisitos legais e contratuais e outros requisitos relevantes para o auditado;

c) os critérios dos riscos de segurança da informação do auditado, o processo de avaliação

d) a Declaração de Aplicabilidade, a identificação de qualquer requisito específico do setor ou outros

e ) a definição de controles para tratar os riscos de forma apropriada;

f) os métodos e os critérios usados para o monitoramento, a medição, a análise e a avaliação

g ) os requisitos de segurança da informação requeridos por um cliente;

h ) os requisitos de segurança da informação aplicáveis por um fornecedor ou terceirizado.

5.5.3 Selecionando e determinando os métodos de auditoria

5.5.4 Selecionando os membros da equipe de auditoria