NORMA ABNT NBR BRASILEIRA ISO/IEC 27001 ‘Segunda edicao 08.11.2013 Valida a partir de 08.12.2013 Tecnologia da informagao — Técnicas de seguran¢ga — Sistemas de gestao da seguran¢a da informagao — Requisitos Information technology — Security techniques — Information security management systems — Requirements ASSOCIACAO Numero de referéncia sarge GN sas sv son S163 TECNICAS 30 paginas @ISONEC 2013 -© ABNT 2013ABNT NBR ISOAEC 27001:2013 @isonec 2013 Todos 08 direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicagao pode ser reproduzida ov ulllzada por qualquer mei, eletrénico ou mecénico,incluind fotocépia e microfime, sem permisséo por escrlo da ABNT, Gnico representante da ISO no teitro brasilro. @ABNT 2013 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida ou utlizada por qualquer meio, eletrénico ou mecéinico, incluindo fotocépia e microflme, sem permissao por escrito da ABNT. ABNT ‘Av-Treze de Maio, 13 - 28% andar 2031-901 - Rio de Janelro - RJ Tel + 55 21 3974-2300 Fax: + 55 21 9974-2346 abnt@abnt.org.br wwwabnt.org.br ii (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Sumario Pagina Pretacio Nacional 0 0.4 0.2 10.1 Introdugao. Geral . Compatibilidade com outras normas de sistemas de gestdo .. Escopo . Referéncia normativa. Termos e definigées.. Contexto da organizacao. Entendendo a organizagao seu contexto. Entendendo as necessidades e as expectativas das partes interessadas . Determinando o escopo do sistema de gestdo da seguranga da informagao Sistema de gestdo da seguranga da informacai Lideranca Lideranga e comprometimento. Politica Autoridades, responsabilidades e papéis organizacionai: Planejamento ‘Agées para contemplar riscos e oportunidades . Geral. Avaliagao de riscos de seguranca da informagao .. Tratamento de riscos de seguranca da informacao. Objetivo de seguranga da informagao e planejamento para alcangé-los, Apoio Recursos.. Competénci Conscientizagao Comunicagao.. Informagao documentada Geral Criando e atualizando . Controle da informacao documentada Operagao.. Planejamento operacional e controle .. Avaliagao de riscos de seguranca da informagao .. Tratamento de riscos de seguranca da informagao. Avaliagao do desempenho Monitoramento, medigao, andlise e avaliagao. Auditoria interna. Anélise critica pela Diregao Melhoria. Nao conformidade e agao corretiva. (© ISOMIEC 2018 - © ABNT 2013 - Todos os drei reservados iilABNT NBR ISOAEC 27001:2013 10.2 Melhoria continua... Bibliografia Anexo Anexo A (normativo) Referéncia aos controles e objetivos de controles.. Tabela Tabela A.1— Objetivos de controle e controles iv (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Prefacio Nacional A Associacao Brasileira de Normas Técnicas (ABNT) é 0 Foro Nacional de Normalizacao. As Normas Brasileiras, cujo contetido é de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizacao Setorial (ABNT/ONS) e das Comissdes de Estudo Especiais (ABNT/CEE), sao elaboradas por Comissdes de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laborat6rios e outros). Os Documentos Técnicos ABNT sao elaborados conforme as regras da Diretiva ABNT, Parte 2. A Associagao Brasileira de Normas Técnicas (ABNT) chama ateneao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsavel pela identificagao de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27001 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comissao de Estudo de Técnicas de Seguranca (CE-21:027.00). © Projeto circulou em Consulta Nacional conforme Edital n® 09, de 26.09.2013 a 25.10.2013, com © nlimero de Projeto ABNT NBR ISO/IEC 27001. Esta Norma é uma adogao idéntica, em conteUido técnico, estrutura e redacao, a ISO/IEC 27001 :2013, que foi elaborada pelo Technical Committee Information Technology (ISO/MEC JTC 1), Subcommittee Security Techniques (SC 27), conforme ISO/IEC Guide 21-1:2005. Esta segunda edigéio cancela e substitui a edigao anterior (ABNT NBR ISO/IEC 27001:2006), a qual foi tecnicamente revisada. © Escopo desta Norma Brasileira em inglés 6 0 seguinte: Scope This Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this Standard. (© ISOMIEC 2018 - © ABNT 2013 - Todos os drei reservados vABNT NBR ISOAEC 27001:2013 0 Introducdo 01 Geral Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter ¢ melhorar continuamente um sistema de gestdo de seguranga da informacao (SGSI). A adocao de um SGSI 6 uma decisao estratégica para uma organizacao. O estabelecimento e a implementagao do SGSI de uma organizagao so influenciados pelas suas necessidades e objetivos, requisitos de seguranca, processos organizacionais usados, tamanho e estrutura da organizagao. E esperado que todos estes fatores de influéncia mudem ao longo do tempo. O sistema de gestao da sequranga da informacao preserva a confidencialidade, integridade e disponi- bilidade da informacéo por meio da aplicacao de um proceso de gestdo de riscos e fornece confianga pata as partes interessadas de que os riscos so adequadamente gerenciados. E importante que um sistema de gestéo da seguranga da informagao seja parte de, e esteja integrado com, os processos da organizagao e com a estrutura de administracao global, e que a seguranga da informacao seja considerada no projeto dos processos, sistemas de informagao ¢ conttoles. E esperado que a implementacao de um sistema de gestao de seguranca da informacao seja planejada de acordo com as necessidades da organizacao. Esta Norma pode ser usada por partes intemas e externas, para avaliar a capacidade da organizagao em atender aos seus prdprios requisitos de seguranca da informacao. A ordem na qual os requisitos so apresentados nesta Norma nao reflete sua importéncia nem implica a ordem em que devem ser implementados. Os itens listados so numerados apenas para fins de referéncia. AISO IEC 27000 descreve a visio geral e 0 vocabulério do sistema de gestao da seguranga da infor- mago ¢ referéncia as normas da familia do sistema de gestao da sequranga da informacao (incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos € definigdes relacionados. 0.2 Compatibilidade com outras normas de sistemas de gestao Esta Norma aplica a estrutura de alto nivel, 0s titulos de subsegdes idénticos, textos idénticos, termos comuns é definicdes basicas, apresentadas no Anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de sistemas de gestdo que adotaram o Anexo SL. Esta abordagem comum definida no Anexo SL seré util para aquelas organizagoes que escolhem operar um tinico sistema de gestdo que atenda aos requisitos de duas ou mais normas de sistemas de gestao. vi (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosNORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2013 Tecnologia da informacao — Técnicas de seguranca — Sistemas de gestao da seguranga da informa¢cao — Requisitos 1 Escopo Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestéo da seguranga da informagéo dentro do contexto da organizagao. Esta Norma também inclui requisitos para a avaliacdo ¢ tratamento de riscos de seguranga da informagao voltados para as necessidades da organizagao. Os requisitos definidos nesta Norma séo genéricos e sdo pretendidos para serem aplicaveis a todas as organizag6es, independentemente do tipo, tamanho ou natureza, A exclusao de quaisquer dos requisitos especificados nas Segdes 4 a 10 nao é aceitavel quando a organizacao busca a conformidade com esta Norma. 2 Referéncia normativa © documento relacionado a seguir é indispensavel @ aplicagao deste documento. Para referéncias datadas, aplicam-se somente as edicGes citadas. Para referéncias nao datadas, aplicam-se as edigdes mais recentes do referido documento (incluindo emendas). ISO/IEC 27000, Information technology ~ Security techniques — Information security management systems — Overview and vocabulary 3 Termos e definigées Para 0s efeitos deste documento, aplicam-se os termos ¢ definicdes apresentados na ISO/IEC 27000. 4 Contexto da organizagao 4.1 Entendendo a organizacao e seu contexto A organizacdo deve determinar as questdes internas e externas que so relevantes para o seu prop6- sito @ que afetam sua capacidade para alcangar os resultados pretendidos do seu sistema de gestao da seguranga da informagao. NOTA A determinagao destas questdes refere-se ao estabelecimento do contexto interno e extemno da organizacao apresentado em 5.3 da ABNT NBR ISO 31000:2009 | 4.2 Entendendo as necessidades e as expectativas das partes interessadas A organizacao deve determinar: a) as partes interessadas que sao relevantes para o sistema de gestdo da seguranca da informacao; € b) os requisitos dessas partes interessadas relevantes para a seguranga da informagao. NOTA Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como obrigagdes contratuais. (© ISOMIEC 2018 - © ABNT 2013 - Todos os drei reservados 1ABNT NBR ISOAEC 27001:2013 4.3. Determinando o escopo do sistema de gestao da seguranga da informagao A organizacao deve determinar os limites e a aplicabilidade do sistema de gestéo da seguranga da informagao para estabelecer 0 seu escopo, Quando da determinagao deste escopo, a organizacao deve considerar: a) as questées internas e externas referenciadas em 4.1; b) 08 requisitos referenciados em 4.2: ©) asinterfaces e dependéncias entre as atividades desempenhadas pela organizacao e aquelas que sao desempenhadas por outras organizacées. O escopo deve estar disponivel como informacao documentada. 4.4. Sistema de gestao da seguranga da informagao A organizacao deve estabelecer, implementar, manter e continuamente melhorar um sistema de ges- tao da seguranga da informagao, de acordo com os requisites desta Norma. 5 Lideranga 5.1. Lideranga e comprometimento A Alta Diregao deve demonstrar sua lideranga e comprometimento em relacao ao sistema de gestao da segurana da informagao pelos seguintes meios: a) _assegurando que a politica de seguranga da informagao e os objetivos de seguranca dainformagao estdo estabelecidos e séio compativeis com a diregao estratégica da organizagao; b) garantindo a integracao dos requisitos do sistema de gestdo da seguranca da informagao dentro dos processos da organizacao; ©) assegurando que os recursos necessarios para o sistema de gestao da seguranga da informagao esto disponiveis; d) comunicando a importancia de uma gest eficaz da seguranca da informagao e da conformidade com os requisitos do sistema de gestao da seguranga da informacéo; e) assegurando que o sistema de gestéo da seguranga da informagao alcanga seus resultados pretendidos; f) oflentando e apoiando pessoas que contribuam para eficdcia do sistema de gestéo da seguranca da informagao; 9) promovendo a melhoria continua; € h) apoiando outros papéis relevantes da gesto para demonstrar como sua lideranga se aplica as reas sob sua responsabilidade. 2 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 5.2 Politica A Alta Diregao deve estabelecer uma politica de seguranga da informagao qu a) _seja apropriada ao propésito da organizagao; b)__inclua os objetivos de seguranga da informagao (ver 6.2) ou fornega a estrutura para estabelecer os objetivos de seguranca da informacao; ©) inclua o comprometimento em satisfazer os requisites aplicdveis, relacionados com a seguranca da informagao; d) inclua 0 comprometimento com a melhoria continua do sistema de gestao da seguranca da informagao. A politica de seguranca da informacao deve: a) estar disponivel como informagao documentada; b) ser comunicada dentro da organizagao; e ©) estar disponivel para as partes interessadas, conforme apropriado. 5.3 Autoridades, responsabilidades e papéis organizacionais A Alta Diregao deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a seguranca da informagao sejam atribufdos e comunicados. A Alta Direcao deve atribuir a responsabilidade e autoridade para: a) assegurar que o sistema de gestéo da seguranga da informagao esté em conformidade com os requisitos desta Norma; b) _relatar sobre o desempenho do sistema de gestao da seguranga da informacao para a Alta Diregao. NOTA A Alta Diregao pode também atribuir responsabilidades e autoridades para relatar 0 desempenho do sistema de gestao da seguranca da informagao dentro da organizagao. 6 Planejamento 6.1 Agées para contemplar riscos e oportunidades 6.1.1 Geral Quando do planejamento do sistema de gestéo da seguranca da informagao, a organizago deve considerar as questées referenciadas em 4.1 e os requisitos descritos em 4.2 e determinar os riscos € oportunidades que precisam ser consideradas pata’ a) assegurar que o sistema de gestéo da seguranga da informagao pode alcangar seus resultados pretendidos; b) _ptevenir ou reduzir os efeitos indesejados; e ©) alcangar a methoria continua @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 3ABNT NBR ISOAEC 27001:2013 A organizagao deve planejar: a) as ages para considerar estes riscos e oportunidades; € b) como 1) integrar e implementar estas agdes dentro dos processos do seu sistema de gestéo da seguranga da informagao; € 2) avaliar a eficdcia destas agdes. 6.1.2 Avaliagao de riscos de seguranga da informagao A organizagao deve definir e aplicar_um processo de avaliagao de riscos de seguranga da informagao que: a) estabelega e mantenha critérios de riscos de seguranga da informacao que incluam’ 1) os critérios de aceitacao do risco; ¢ 2) o8 critérios para o desempenho das avaliagdes dos riscos de seguranga da informagao: b) assegure que as continuas avaliagdes de riscos de seguranga da informagao produzam resultados comparaveis, validos e consistentes; ©) _identifique os riscos de sequranca da informacao: 1) aplicando o proceso de avaliagao do risco de seguranca da informacao para identificar os ris- cos associacios com a perda de confidencialidade, integridade e disponibilidade da informagao dentro do escopo do sistema de gest4o da seguranca da informacao; e 2) identificando os responsaveis dos riscos. d) analise os riscos de seguranga da informagao: 4) avalie as consequéncias potenciais que podem resultar se 08 riscos identificados em 6.1.2 c) 1) forem materializados 2) avalie a probabilidade realistica da ocorréncia dos riscos identificados em 6.1.2 ¢) 1); 3) determine os niveis de risco; ©) _avalie os riscos de seguranga da informagao: 1) compare os resultados da andlise dos riscos com os critérios de riscos estabelecidos em 6.12a);e 2) priorize os riscos analisados para o tratamento do risco. A organizagao deve reter informagao documentada sobre o processo de avaliagao de risco de segu- ranga da informagao. 4 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 6.1.3 Tratamento de riscos de seguranga da informa A organizagao deve definir ¢ aplicar um processo de tratamento dos riscos de seguranga da informagao para: a) _selecionar, de forma apropriada, as opgdes de tratamento dos riscos de seguranga da informacao, levando em consideragao os resultados da avaliagao do risco; b) determinar todos os controles que séo necessérios para implementar as opgdes escolhidas do tratamento do risco da seguranca da informacao; NOTA As organizagdes podem projetar os controles, conforme requerido, ou identiicd-los de qualquer outra fonte, ©) comparar os controles determinados em 6.1.3 b) com aqueles do Anexo A e verificar se algum controle necessario foi omitido; NOTA 1 © Anexo A contém uma lista detalhada dos controles dos objetivos de controle. Os usuarios desta Norma sao instruldos a utilizar 0 Anexo A para garantir que nenhum controle necessario seja omitido; NOTA 2 Os objetivos de controle esto implicitamente incluidos nos controles escolhidos. Os objetivos de controle e os controles listados no Anexo Ando sao exaustivos, e controles e objetivos de controles adicio- nais podem ser necessarios. d)_elaborar uma declaragao de aplicabilidade que contenha os controles necessérios (ver 6.1.3 b) eC), € ajustificativa para includes, sejam eles implementados ou nao, bem como a justificativa para a exclusao dos controles do Anexo A; e) _preparar um plano para tratamento dos riscos de seguranga da informagao; € 1) obter a aprovaco dos responsavels pelos riscos do plano de tratamento dos riscos de seguranca da informagao e a aceitagao dos riscos residuais de seguranga da informagao. A organizagao deve reter a informagao documentada relativa ao processo de tratamento dos riscos de seguranga da informagao. NOTA 0 proceso de tratamento € a avaliagéo dos riscos de seguranga da informat estéo alinhados com os principios e diretrizes gerais definidos na ABNT NBR ISO 31000 | 10 desta Norma 6.2 Objetivo de seguranga d formacao e planejamento para alcancé-los A organizagao deve estabelecer os objetivos de seguranga da informacao para as fungdes ¢ niveis relevantes. Os objetivos de seguranga da informacéo devem: a) ser consistentes com a politica de seguranga da informagao; b) ser mensuraveis (quando aplicavel); ©) _levar em conta os requisitos de seguranga da informagao aplicaveis e os resultados da avaliagéo e tratamento dos riscos; d) ser comunicados; ¢ @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 5ABNT NBR ISOAEC 27001:2013 €) seratualizados, conforme apropriado. A organizagao deve reter informagéio documentada dos objetivos de seguranga da informacao. Quando do planejamento para alcangar os seus objetivos de seguranga da informagao, a organizagao deve determinar: a) o que sera feito; b) quails recursos serao necessérios; ©) quem sera responsavel; d) quando estaré concluido; ) como os resultados serdo avaliados 7 Apoio 7.1 Recursos Aorganizagao deve determinar e prover recursos necessarios para o estabelecimento, implementacao, manutenedo e melhoria continua do sistema de gestao da seguranga da informacao. 7.2 Competéncia A organizacao deve: a) determinar a competéncia necesséria das pessoas que realizam trabalho sob 0 seu controle e que afeta o desempenho da seguranga da informacéo; b) assegurar que essas pessoas sao competentes, com base na educagao, treinamento ou experi- €ncia apropriados; ©) onde aplicavel, tomar agdes para adquirir a competéncia necessétia ¢ avaliar a eficacia das ages tomadas; e d)__reter informacao documentada apropriada como evidéncia da competéncia, NOTA _AgGes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, 98 funcionérrios atuais ou pessoas competentes, proprias ou contratadas. 7.3 Conscientizagao Pessoas que realizam trabalho sob 0 controle da organizagao devem estar cientes da: a) politica de seguranga da informagao; b) suas contribuigdes para a eficdcia do sistema de gestao da seguranca da informaco, incluindo 08 beneficios da melhoria do desempenho da seguranga da informacao; ¢ ©) implicagées da nao conformidade com os requisitos do sistema de gestéio da seguranga da informacao. 6 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 7.4 Comunicagao A organizagao deve determinar as comunicagoes internas e externas relevantes para o sistema de gestao da seguranga da informagao incluindo: a) 0 que comunicar; b) quando comunicar; cc) quem comunicar; d) quem sera comunicado; e e) o processo pelo qual a comunicagao sera realizada. 7.5 Informagdo documentada 7.5.1 Geral O sistema de gestdo da seguranga da informagao da organizagao deve incluir: a) _informagao documentada requerida por esta Norma; b) _informagao documentada determinada pela organizago como sendo necessaria para a eficacia do sistema de gestio da seguranca da informacao. NOTA A abrangéncia da informagao documentada para o sistema de gestao da seguranga da informagao pode variar de uma organizacao para outra devido: 1) ao tamanho da organizacao e seu tipo de atividades, processos, produtos e servicos; 2) acomplexidade dos processos e suas interagées; 3) competéncia das pessoas. 7.5.2 Criando e atualizando Quando da criagfio ¢ atualizagdo da informagéo documentada, a organizagéo deve assegurar, de forma apropriada: a) _identificagao e desctigao (por exemplo, titulo, data, autor ou um ntimero de referéncia); b) formato (por exemplo, linguagem, versao do software, gréficos) e o seu meio (por exemplo, papel, eletrénico); € ©) _andlise critica e aprovagao para pertinéncia e adequacéo. 7.5.3 Controle da informacdo documentada A informagéio documentada requerida pelo sistema de gestdo da seguranga da informagao e por esta Norma deve ser controlada para assegurar que: a) esteja disponivel e adequada para 0 uso, onde e quando necessério; b) _esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso indevido ‘ou perda de integridade). @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 7ABNT NBR ISOAEC 27001:2013 Para o controle da informagao documentada, a organizagao deve considerar as seguintes atividades, conforme aplicadas: a) distribui¢do, acesso, recuperagio e uso; b) _armazenagem e preservagao, incluindo a preservagao da legibilidade; ©) controle de mudangas (por exemplo, controle de verséo); d) _retengao e disposigao. A informagéio documentada de origem externa, determinada pela organizagaio como necesséria para © planejamento e operagao do sistema de gestéo da seguranca da informagao, deve ser identificada como apropriado, e controlada. NOTA — Oacesso implica em uma deciséo quanto & permissao para apenas ler a informagao documentada ou a permissao e autoridade para ver e alterar a informago documentada, 8 Operagéo 8.1. Planejamento operacional e controle A organizagao deve planejar, implementar e controlar os processos necessérios para atender aos requisitos de seguranga da informagao e para implementar as agdes determinadas em 6.1. A orga- nizago deve também implementar planos pata alcancar os objetivos de seguranca da informacao determinados em 6.2. A organizagao deve manter a informagio documentada na abrangéncia necessaria para gerar con- fianga de que os processos esto sendo realizados conforme planejado. A organizagao deve controlar as mudancas planejadas e analisar criticamente as consequéncias de mudangas nao previstas, tomando agdes para mitigar quaisquer efeitos adversos, conforme necessério. A rganizagao deve assegurar que os processos terceirizados esto determinados e sao controlados. 8.2 Avaliacao de riscos de seguranga da informacao A organizagao deve realizar avaliagdes de riscos de seguranga da informacao a intervalos planejados, ‘ou quando mudangas significativas so propostas ou ocorrem, levando em conta os critérios estabe- lecidos em 6.1.2 a) A organizacao deve reter informac&o documentada dos resultados das avaliagdes de risco de segu- ranga da informagao. 8.3 Tratamento de riscos de seguranga da informagao A organizacao deve implementar o plano de tratamento de riscos de seguranca da informacao. A organizacao deve reter informacao documentada dos resultados do tratamento dos tiscos de segu- ranga da informagao. 8 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 9 Avaliagao do desempenho 9.1 Monitoramento, medigao, andlise e avaliagéo A organizaco deve avaliar 0 desempenho da seguranga da informagao e a eficdcia do sistema de gestdo da seguranga da informagao. A organizagao deve determinar: a) 0 que precisa ser monitorado e medido, incluindo controles e processos de seguranga da informagao; b) osmétodos para monitoramento, medi¢ao, andlise e avaliagao, conforme aplicavel, para assegurar resultados validos; NOTA — Recomenda-se que os métodos selecionados produzam resultados comparaveis e reproduziveis para serem validos. ©) quando © monitoramento e a medigaio devem ser realizados; d) 0 que deve ser monitorado e medido; €) quando os resultados do monitoramiento e da medigdo devem ser analisados e avaliados; f) quem deve analisar e avaliar estes resultados. A organizacao deve reter informagao documentada apropriada como evidéncia do monitoramento e dos resultados da medigao. 9.2 Auditoria interna A organizagao deve conduzir ausitorias intemas a intervalos planejados para prover informagoes sobre o quanto o sistema de gestdo da seguranga da informagao: a) est em conformidade com: 1) 08 prdprios requisitos da organizagdo para o seu sistema de gesto da seguranga da informacao; 2) os requisitos desta Norma; b) _estd efetivamente implementado e mantido. A organizagao deve: a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequéncia, métodos, responsabilidades, requisitos de planejamento e relatdrios. Os programas de auditoria devem levar em conta a importancia dos processos pertinentes e os resultados de aucitorias anteriores; b) definir os critérios e 0 escopo da auditoria, para cada auditoria; ©) _selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do pro- cesso de auditoria; @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 9ABNT NBR ISOAEC 27001:2013 d) _assegurar que os resultados das auditorias sao relatados para a direpao pertinente e) Teter a informagao documentada como evidéncia dos programas da auditoria e dos resultados da auditoria. 9.3 Analise cri pela Diregdo A Alta Diregao deve analisar criticamente o sistema de gestéo da seguranga da informagao da organi- zagao a intervalos planejados, para assegurar a sua continua adequacao, pertinéncia e eficacia. Aanalise critica pela Direcao deve incluir consideragdes com relagao a: a) _situagao das agoes de andlises criticas anteriores, realizadas pela Dire¢ao; b)_mudangas nas questées internas e externas, que sejam relevantes para o sistema de gestao da seguranga da informagao; ©) _realimentagao sobre o desempenho da seguranga da informacao, incluindo tendéncias em: 1) nao conformidades e ages corretivas; 2) monitoramento e resultados da medicao; 3) resultados de auditorias; e 4) cumprimento dos objetivos de seguranga da informagao; d) _realimentagao das partes interessadas; e) resultados da avaliago dos riscos e situagao do plano de tratamento dos riscos; e f) _oportunidades para methoria continua. Os resultados da analise critica pela Ditego devem incluir decisdes relativas a oportunidades para melhoria continua ¢ quaisquer necessidades para mudancas do sistema de gesto da seguranga da informagao. A organizagéo deve reter informagao documentada como evidéncia dos resultados das anélises crfticas pela Diregao. 10 Methoria 10.1 Nao conformidade e acao corretiva Quando uma no conformidade ocorre, a organizacao deve: a) reagir a no conformidade e, conforme apropriado: 1) tomar agées para controlar e corrigi-la; € 2) tratar com as consequéncias; 10 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 2700 013, b) avaliar a necessidade de acdes para eliminar as causas de nao conformidade, para evitar sua repeti¢ao ou ocorréncia, por um dos seguintes meios: 1) analisando criticamente a nao conformidade; 2) determinando as causas da nao conformidade; ¢ 3) determinando se nao conformidades similares existe, ou podem potencialmente ocorrer. ©) implementar quaisquer agdes necessarias; d) _analisar criticamente a eficdcia de quaisquer agdes corretivas tomadas; ¢ e) realizar mudangas no sistema de gestao da seguranga da informagdo, quando necessério, As ages corretivas devem ser apropriadas aos efeitos das nao conformidades encontradas. A organizagao deve reter informagao documentada como evidéncia da: a) _natureza das nao conformidades e quaisquer agdes subsequentes tomadas; € b) resultados de qualquer acao corretiva, 10.2 Melhoria continua A organizagao deve continuamente melhorar a pertinéncia, adequacao e eficacia do sistema de gestao da seguranga da informagao. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 4"ABNT NBR ISOAEC 27001:2013 AnexoA (normativo) Referéncia aos controles e objetivos de controles Os controles e objetivos de controles listados na Tabela A.1 sao derivados diretamente e estio alinhados com aqueles listados na ABNT NBR ISO/IEC 27002:2018 |", Segdes 5 a 18, e devem ser usados em alinhamento com 6.1.3, Tabela A.1 - Objetivos de controle e controles A.5 Politicas de seguranga da informacao 5.1 Orientagao da Diregao para seguranga da informagao Objetivo: Prover orientagao da Diregdo e apoio para a seguranca da informaco de acordo com 08 requisitos do negécio e com as leis e regulamentagdes relevantes. ASAA Politicas para seguranga da | Controle informagao Um conjunto de politicas de seguranca da informagao deve ser definido, aprovado pela Diregao, publicado e comunicado para os funcionérros e partes externas relevantes. A512 Andlise critica das politicas | Controle para seguranga da As politicas de seguranga da informagao inforiiaro devem ser analisadas criticamente a intervalos planejados ou quando mudaneas significativas ocorrerem, para assegurar a sua continua pertinéncia, adequagao e eficacia 6 Organizagao da seguranga da informagao A.6.1 Organizagao interna Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementagao € operagao da seguranga da informagao dentro da organizagao. ABA Responsabilidades e Controle papéis da seguranga da Todas as responsabilidades pela seguranca informagao da informagao devem ser definidas e atribuidas. A612 Segregacdo de fungdes | Controle Fungées conflitantes e areas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificagao nao autorizada ou nao intencional, ou uso indevido dos ativos da organizacao, A613 Contato com autoridades | Controle Contatos apropriados com autoridades relevantes devem ser mantidos. 12 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Tabela A.1 (continuagao) 6 Organizacao da seguranga da informagao ‘A6.1 Organizagao interna no gerenciamento de projetos Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementacaio © operago da seguranga da informagao dentro da organizagao. AGIA Contato com grupos Controle especiais, Contatos apropriados com grupos especiais, associacées profissionais ou outros féruns especializados em seguranga da informagao devem ser mantidos. AAS Seguranga da informagao | Controle ‘Seguranga da informagao deve ser considerada no gerenciamento de projetos, independentemente do tipo do projeto. A.6.2 Dispositivos méveis e trabalho remoto. Objetivo: Garantir a sequranca das informagées no trabalho remoto e no uso de dispositivos méveis Ag21 Politica para 0 uso de Controle dispositive mével Uma politica e medidas que apoiam a seguranca da informagao devem ser adotadas para gerenciar os riscos decorrentes do uso de dispositivos méveis. A622 Trabalho remoto Controle Uma politica e medidas que apoiam a seguranga da informagao devem ser implementadas para proteger as informagées acessadas, processadas ou armazenadas em locais de trabalho remoto, ‘7 Seguranca em recursos humanos ATA Antes da contratagao Objetivo: Assegurar que funcionarios e partes externas entendem as suas responsabilidades © esto em conformidade com os papéis para os quais eles foram selecionados, ATAA Selecao Controle Verificagdes do histérico devem ser realizadas pata todos os candidatos a emprego, de acordo com a ética, regulamentagées ¢ leis relevantes, @ deve ser proporcional aos requisitos do negécio, aos riscos percebidos e a classificagao das informagdes a serem acessadas. ATAZ Termos e condigées de contratagao Controle As obrigagées contratuais com funciondrios € partes externas devem declarar a sua responsabilidade e a da organizacao para a seguranga da informacao @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 13ABNT NBR ISOAEC 27001:2013 Tabela A. 4 (continuagao) ‘A.7.2 Durante a contratagao Objetivo: Assegurar que os funcionarios e partes externas estdo conscientes e cumprem as suas responsabilidades pela seguranga da informagao. AT24 Responsabilidades da Direcao Controle A Diregao deve requerer aos funcionarios partes externas que pratiquem a seguranca da informagao de acordo com o estabelecido nas Politicas e procedimentos da organizagao. A722 Conscientizagao, educagao e treinamento em seguranga da informagao Controle Todos os funcionarios da organizagao e, onde pertinente, as partes externas devem receber treinamento, educacao e conscientizagao apropriados, @ as atualizagSes regulares das Politicas e procedimentos organizacionais relevantes para as suas fung6es. A723 Processo disciplinar Controle Deve existir um processo disciplinar formal, implantado e comunicado, para tomar ages contra funcionarios que tenham cometido uma violagao de seguranga da informacao. A.7.3 Encerra mento e mudanca da contratagao Objetivo: Proteger os interesses da organizacao como parte do processo de mudanca ou encerramento da contratagao. A734 Responsabilidades pelo encerramento ou mudanga da contratacao Controle As responsabilidades e obrigagdes pela seguranga da informagao que permanegam. validas apés um encerramento ou mudanga da contratagao devem ser definidas, comunicadas aos funciondrios ou partes extemas e cumpridas. A8 Gestao de ativos ‘A.8.1. Responsabilidade pelos ativos Objetivo: Identificar os ativos da organizagao e definir as devidas responsabilidades pela protecao dos ativos. A814 Inventario dos ativos Controle Os ativos associados com informagao e com os recursos e processamento da informacao devem ser identificados, e um inventario destes ativos deve ser estruturado e mantido. A812 Proprietério dos ativos Controle Os ativos mantidos no inventario devem ter um proprietari. 14 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Tabela A.1 (continuagao) A8 Gestao de ativos A8.1. Responsabilidade pelos ativos protegao dos ativos. Objetivo: Identificar os ativos da organizacao e definir as devidas responsabilidades pela ABS Uso aceitavel dos ativos Controle Regras para 0 uso aceitavel das informagdes, dos ativos associados com informacao e os recursos de processamento da informacao deve ser identificados, documentados e implementados. ABA Devolugao de ativos Controle ‘Todos os funcionarios e partes externas dever devolver todos os ativos da organizagao que estejam em sua posse apés 0 encerramento de suas atividades, do contrato ou acordo. A.8.2 Classificagao da informagao a sua importancia para a organizagao. Objetivo: Assegurar que a informagao receba um nivel adequado de protecao, de acordo com AB24 Classificagao da informagao Controle A informagao deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificagao ou divulgagao nao autorizada. A822 Rétulos e tratamento da informagao Controle Um conjunto apropriado de procedimentos para rotular ¢ tratar a informacao deve ser deservolvido e implementado de acordo com © esquema de classificagao da informacao adotado pela organizagao. A823 Tratamento dos ativos Controle Procedimentos para 0 tratamento dos ativos dever ser desenvolvidos e implementados de acordo com o esquema de classificago da informagao adotado pela organizagao. A8.3Tratamento de midias informagdo armazenada nas midias. Objetivo: Prevenir a divulgagao nao autorizada, modificacao, remogao ou destruigao da A831 Gerenciamento de midias removiveis Controle Procedimentos devem ser implementados para o gerenciamento de midias removiveis, de acordo com 0 esquema de classificacaio adotado pela organizagao. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 15ABNT NBR ISOAEC 27001:2013 Tabela A.1 (continuagao) AB3.2 Descarte de midias Controle ‘As midias devern ser descartadas de forma segura e protegida quando nao forem mais necessatias, por meio de procedimentos formas. A833 Transteréncia fisica de Controle midias Midias contendo informagdes devem ser protegidas contra acesso nao autorizado, uso impréprio ou corrupedo, durante o transporte. A.9 Controle de acesso A.9.1 Requisitos do negécio para controle de acesso Objetivo: Limitar 0 acesso & informagAo e aos recursos de processamento da informacao. AAA Politica de controle de Controle acegag Uma politica de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada nos requisitos de seguranca da informacao e dos negécios. A912 Acesso as redes e aos Controle servigos de rede Os usuarios devem somente receber acesso as tedes e aos servicos de rede que tenham sido especificamente autorizados a usar. A.9.2 Gerenciamento de acesso do usuério Objetivo: Assegurar acesso de usudirio autorizado e prevenir acesso nao autorizado a sistemas e servicos. A924 Registro e cancelamento | Controle de usuario Um processo formal de registro e cancelamento de usuario deve ser implementado para permitir atribuigéo dos direitos de acesso, A.9.2 Gerenciamento de acesso do usudrio Objetivo: Assegurar acesso de usuario autorizado e prevenir acesso nao autorizado a sistemas @ servicos. A92.2 Provisionamento para Controle acesso de usuario Um processo formal de provisionamento de acesso do usuario deve ser implementado para conceder ou revogar os direitos de acesso para todos 0s tipos de usuarios em todos os tipos de sistemas e servigos. 16 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Tabela A.1 (continuagao) A923 Gerenciamento de direitos | Controle de acesso privilegiado A concessao e uso de direitos de acesso privilegiado devem ser restritos e controlados, A924 Gerenciamento da Controle informagao de autenticacao | A concesséo de informagao de autenticagao secreta de usuarios secreta deve ser controlada por meio de um processo de gerenciamento formal. AI25 Andlise critica dos direitos Controle de acesso do usuario Os proprietatios de ativos devem analisar criticamente os direitos de acesso dos usuarios, a intervalos regulares A926 Retirada ou ajuste dos Controle direitos de acesso Os direitos de acesso de todos os funcionarios e partes externas as informacées e aos recursos de processamento da informacao devem ser tetirados apés o encerramento de suas atividades, contratos ou acordos, ou ajustado apés a mudanca destas atividades. ‘A.9.3 Responsabilidades dos usuarios Objetivo: Tornar os usudrios responsaveis pel la protegao das suas informagées de autenticagao. A931 Uso da informagao de autenticacao secreta Controle Os usuarios devem ser orientados a seguir as praticas da organizagao quanto ao uso da informagao de aultenticacao secreta. A.9.4 Controle de acesso ao sistema e a aplicagao Objetivo: Prevenir 0 acesso nao autorizado a‘ 108 sistemas e aplicagées. AQAA Restrigao de acesso A informagao Controle © acesso a informacdo e as funges dos sistemas de aplicagdes deve ser restrito de acordo com a politica de controle de acesso. de senha A942 Procedimentos seguros de | Controle entrada no sistema Onde aplicavél pela politica de controle de acesso, (log-on) © acesso aos sistemas e aplicagdes devem ser controlados por um procedimento seguro de entrada no sistema (log-on). A943 Sistema de gerenciamento | Controle Sistemas para gerenciamento de senhas devem ser interativos e devem assegurar senhas de qualidade, @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 17ABNT NBR ISOAEC 27001:2013 Tabela A.1 (continuagao) A944 Controle © uso de programas utlitérios que podem ser capazes de sobrepor os controles dos sistemas @ aplicagées deve ser restrito e estritamente controlado. A945 Controle de acesso a0 cédigo-fonte de programas Controle © acesso ao cédigo-fonte de programa deve ser restrito. A.10 Criptogr: tia A.10.1 Controles criptogréficos Objetivo: Asse .gurar 0 uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informacao. A10.1.1 Politica para 0 uso de controles criptograficos Controle Deve ser desenvolvida e implementada uma politica para o uso de controles criptograficos para a protegao da informagao. A10.1.2 Gerenciamento de chaves Controle Uma politica sobre 0 uso, protecdo e tempo de vida das chaves criptograficas deve ser desenvolvida e implementada ao longo de todo seu ciclo de vida. A.11 Seguran \¢a fisica e do ambiente A.11.1 Areas seguras Objetivo: Prevenir 0 acesso fisico nao autorizado, danos e interferéncias nos recursos de processamento das informagoes € nas informagdes da organizagao. AAAS AANA Perimetto de seguranca fisica Controles de entrada fisica Controle Perimetros de seguranga devem ser definidos @ usados para proteger tanto as instalagoes de processamento da informagao como as reas que contenham informacées criticas ou sensiveis. Controle As areas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido. AAAS Seguranga em escritorios, salas ¢ instalacbes Controle Deve ser projetada e aplicada seguranga fisica para escritérios, salas ¢ instalagdes. 18 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Tabela A.1 (continuagao) carregamento A.11.2 Equipamentos AAA Protegdo contra ameacas | Controle externas e do meio Deve ser projetada e aplicada protegao fisica ambiente contra desastres naturais, ataques maliciosos ou acidentes, A11.1.5 | Trabalhando em éreas Controle seguras Dever ser projetados e aplicados procedimentos para o trabalho em areas seguras. AMA. Areas de entrega e de Controle Pontos de acesso, como areas de entrega e de cartegamento, e outros pontos em que pessoas no autorizadas possam entrar nas instalagdes, devem ser controlados e, se possivel, isolados das instalagdes de processamento da informacao, para evitar o acesso nao autorizado. Objetivo: Impedir perdas, dlanos, roubo, ou comprometimento de ativos ¢ interrupeao das operagées da organizagao. A241 Localizacao e protegao do | Controle equipamento Os equipamentos devem ser protegidos e colocados em locais para reduzir os riscos de ameacas e perigos do meio ambiente, bem como as oportunidades de acesso nao autorizado. A.11.2 Equipamentos Objetivo: Impedir perdas, danos, furto ou rout das operagdes da organizacao. AA1.22 Utilidades bo, ou comprometimento de ativos e interrupgao Controle Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupgdes causadas por falhas das utilidades. A123 ‘Seguranga do cabeamento Controle O cabeamento de energia e de telecomunicagdes que transporta dados ou dé suporte aos servigos de informagdes deve ser protegido contra interceptagao, interferéncia ou danos. A112.4 Manutencao dos equipamentos Controle Os equipamentos devem ter uma manutengao correta para assegurar a sua continua integridade e disponibilidade. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 19ABNT NBR ISOAEC 27001:2013 Tabela A.1 (continuagao) AN12.5 Remocao de ativos Controle Equipamentos, informagdes ou software nao devem ser retirados do local sem autorizacao prévia. AAL26 Seguranga de Controle equipamentos e ativos Devem ser tomadas medidas de seguranga fora das dependéncias da _| para ativos que operem fora do local, levando Organizagao em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependéncias da organizagao. AA12.7 Reutilizagéo e oudescarte | Controle seguro de equipamentos —_| Todos os equipamentos que contenham midias de armazenamento de dados deve ‘ser examinados antes da reutilizacao, para assegurar que todos os dados sensiveis & softwares licenciados tenham sido removidos ou sobregravados com seguranga AMN2.8 Equipamento de usuario Controle sem monitoragao (Qs usuérios devem assegurar que os equipamentos nao monitorados tenham protecao adequada, AA12.9 Politica de mesa limpa e Controle tela limpa ‘A.12 Seguranca nas operagées _ Devem ser adotadas uma politica de mesa limpa para papéis e midias de armazenamento removiveis e uma politica de tela limpa para os recursos de processamento da informagao. A.12.1 Responsabilidades e procedimento: Otjetivo: Garantir a operago segura e corret 's operacionais fa dos recursos de processamento da informacdo. AA244 Documentagéio dos procedimentos de operacao Controle Os procedimentos de operacao devem ser documentados e disponibilizados para todos os usuarios que necessitam deles. AN241.2 Gestao de mudangas Controle Mudangas na organizacao, nos processos do negécio, nos recursos de processamento da informagao e nos sistemas que afetam a seguranga da informagao devem ser controladas. A12.1.3 Gestdo de capacidade Controle A utilizagaéo dos recursos deve ser monitorada e ajustada, as projegdes devem ser feitas para necessidades de capacidade futura para garantir © desempenho requerido do sistema. 20 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosTabela A. ABNT NBR ISO/IEC 27001:20 41 (continuagao) 13 AA2A4 ‘Separagao dos ambientes de desenvolvimento, teste & de produgao Controle Ambientes de desenvolvimento, teste e producao devem ser separados para reduzir os riscos de acessos ou modificagdes nao autorizadas no ambiente de produgao. A.12.2 Protecao contra malware Objetivo: Assegurar que as informagées e os recursos de processamento da informacao estao protegidos contra malware. AN2.21 Controles contra malware Controle Devem ser implementados controles de deteccao, prevencao e recuperagao para proteger contra malware, combinados com um adequado programa de conscientizagao do usuario. A.12.3 Copias de seguranca Proteger contra a perda de dads. Cépias de seguranga das informagées ‘A.12.4 Registros e monitoramento Controle Cépias de seguranga das informagées, softwares e das imagens do sistema devem ser efetuadas. € testadas regularmente conforme a politica de | geragao de odpias de seguranga definida Objetivo: Registrar eventos e gerar evidéncias. At244 Registros de eventos Controle Registros de eventos (Jog) das atividades do usuatio, excecdes, falhas e eventos de seguranga da informagao deve ser produzidos, mantidos e analisados criticamente, a intervalos regulares: At242 Protecdo das informacées | Controle dos registros de eventos As informacées dos registros de eventos (/og) (logs) @ seus recursos devem ser protegidos contra acesso nao autorizado ¢ adulteragao. A143 Registros de eventos (/og) | Controle de administrador As atividades dos administradores e operadores © operador do sistema devem ser registradas e os registros (logs) devem ser protegidos e analisados criticamente, a intervalos regulares. A124.4 Sincronizagao dos relégios | Controle s relogios de todos os sistemas de processamento de informacdes relevantes, dentro da organizacao ou do dominio de ‘seguranga, devem ser sincronizados com uma fonte de tempo precisa. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 21ABNT NBR ISOAEC 27001:2013 Tabela A.1 (continuagao) A125 Controle de software operacional Objetivo: Assegurar a integridade dos sistemas operacionais. AN25.1 Instalagdo de software nos sistemas operacionais Controle Procedimentos para controlar a instalagao de software em sistemas operacionais devem ser implementados. A.12.6 Gestao de vulnerabilidades técnicas Otjetivo: Prevenir a exploragao de vulnerabili idades técnicas. A126.1 Gestio de vulnerabilidades técnicas Controle Informagées sobre vulnerabilidades técnicas dos sistemas de informagao em uso devern ser obtidas em tempo hdbil; a exposicao da organizagao a estas vulnerabilidades deve ser avaliada e devem ser tomadas as medidas apropriadas para lidar com os riscos associados. A12.6.2 Restrigdes quanto & instalagao de software Controle Regras definindo critérios para a instalagao de software pelos usuarios devem ser estabelecidas e implementadas. A.12.7 Consideragées quanto a auditoria de sistemas de informagao Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais AA274 Controles de auditoria de sistemas de informagao Controle As atividades e requisitos de auditoria envolvendo a verificagao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar Interrupgo nos processos do negécio. A.13 Seguranga nas comu! agoes A.13.1 Gerenciamento da seguranca em redes da informagao que as apoiam. Objetivo: Assegurar a protegao das informagdes em redes e dos recursos de processamento rede AnB44 Controles de redes Controle As redes devem ser gerenciadas e controladas para proteger as informagoes nos sistemas € aplicagdes. A18.1.2 Seguranga dos servigos de | Controle Mecanismos de seguranca, niveis de servigo € requisitos de gerenciamento de todos os servigos de rede deve ser identificados incluidos em qualquer acordo de servigos de rede, tanto para servigos de rede providos internamente como pata terceirizados. 22 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosTabela A, ABNT NBR ISO/IEC 27001:2013 .1 (continuagao) A13.1.3 Segregacao de redes A.13.2 Transferéncia de informagao Controle Grupos de servigos de informagao, usuarios & sistemas de informagao devem ser segregados em redes. Objetivo: Manter a seguranga da informagao quaisquer entidades externas. transferida dentro da organizagao e com de informagées A13.2.4 Politicas e procedimentos | Controle para transferéncia de Politicas, procedimentos e controles de informagoes transferéncias formais devem ser estabelecidos para proteger a transferéncia de informacdes por meio do uso de todos 0s tipos de recursos de comunicagao, A13.22 Acordos para transferéncia_ | Controle Devem ser estabelecidos acordos para transferéncia segura de informacdes do negécio entre a organizacao e partes externas. ‘A.13.2 Transferéncia de informagao Objetivo: Manter a seguranga da informacao quaisquer entidades externas. transferida dentro da organizagao e com A13.2.3 Mensagens eletrénicas Controle As informagdes que trafegam em mensagens eletrénicas devem ser adequadamente protegidas. AN3.2.4 Acordos de Controle confidencialidade e nao Os requisitos para confidencialidade ou acordos divulgagao de nao divulgagéo que reflitam as necessidades da organizagao para a protecao da informacao devem ser identificados, analisados criticamente e documentados. ‘A.14 Aquisigao, desenvolvimento e manutengao de sistemas ‘A.14.1 Requisitos de seguranga de femas de informagao fornecem servigos sobre as redes puiblicas. Objetivo: Garantir que a seguranga da informacdo é parte integrante de todo o ciclo de vida dos sistemas de informagao. Isto também inclui os requisitos para sistemas de informagao que Anata Analise e especificagao dos requisitos de seguranga da informagao Controle Os requisitos relacionados com seguranca da informagao dever ser inclufdos nos requisitos para novos sistemas de informagao ou melhorias dos sistemas de informagao existentes. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 23ABNT NBR ISOEC 27001:2013 Tabela A.1 (continuagao) AsaA2 Servigos de aplicacao Controle seguros em redes publicas | As informagdes envolvidas nos servicos de aplicagao que transitam em redes publicas devem ser protegidas de atividades fraudulentas, disputas contratuais ¢ divulgagdo e modificages nao autorizadas. AAAS Protegendo as transagées | Controle nos aplicativos de servigos Informagées envolvidas em transacées nos aplicativos de servigos devem ser protegidas para prevenir transmissGes incompletas, eros de roteamento, alterages nao autorizadas de mensagens, divulgacao nao autorizada, duplicagao ou reapresentagao de mensagem nao autorizada. ‘A.14.2 Seguranga em processos de desen wolvimento e de suporte Objetivo: Garantir que a seguranga da inform: vida de desenvolvimento dos sistemas de informacao. 1agao esté projetada e implementada no ciclo de AN24 Politica de desenvolvimento | Controle seguro Regras para o desenvolvimento de sistemas & software devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organizagao. A1422 Procedimentos para Controle controle de mudangas de | Mudangas em sistemas dentro do ciclo de vida SiStemieas de desenvolvimento devem ser controladas utilizando procedimentos formais de controle de mudangas. A142.3 Andlise critica técnica Controle das aplicagdes apos Aplicagées criticas de negécios devem ser mudangas nas plataformas | analisadas criticamente testadas quando operacionais plataformas operacionais sao mudadas, para garantir que nao haveré nenhum impacto adverso na operagao da organizagao ou na seguranga. A124 Restrigdes sobre mudangas | Controle em pacotes de software Modificagdes em pacotes de software devem ser desencorajadas e devem estar limitadas as mudangas necessarias, @ todas as mudangas devem ser estritamente controladas. AN425 Principios para projetar Controle sistemas seguros Prineipios para projetar sistemas seguros devem ser estabelecidos, documentados, mantidos @ aplicados para qualquer implementagao de sistemas de informagao. 24 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosABNT NBR ISO/IEC 27001:2013 Tabela A.1 (continuagao) A14.2.6 Ambiente seguro para Controle desenvolvimento As organizagdes devem estabelecer ¢ proteger adequadamente os ambientes seguros de desenvolvimento, para os esforgos de integragao e desenvolvimento de sistemas, que cubram todo © ciclo de vida de desenvolvimento de sistema A427 Desenvolvimento Controle terceirizado A organizacao deve supervisionar e monitorar as atividades de desenvolvimento de sistemas terceirizado. ‘A.14.2 Seguranca em processos de desenvolvimento e de suporte Objetivo: Garantir que a seguranga da informago esta projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informacao. A14.28 Teste de seguranga do Controle sistema Testes de funcionalidade de seguranga devem ser realizados durante 0 desenvolvimento de sistemas. A14.2.9 Teste de aceitagao de Controle sistemas Programas de testes de aceitagao e critérios relacionados devem ser estabelecidos para novos sistemas de informagao, atualizagdes e Novas versdes. A.14.3 Dados para teste Objetivo: Assegurar a protegao dos dados usados para teste. A143.4 Protecdo dos dados para teste Controle Os dados de teste devem ser selecionados com Cuidado, protegidos e controlados. A.15 Relacionamento na cadeia de suprimento ‘A.15.1 Seguranga da informagao na cadeia de suprimento Objetivo: Garantir a protegao dos ativos da organizagao que sao acessados pelos fornecedores. informagao nos acordos com fornecedores AtS.A4 Politica de seguranga Controle da informagao no Requisitos de seguranga da informagao para relacionamento com os mitigar os riscos associados com o acesso fornecedores dos fornecedores aos ativos da organizacao devem ser acordados com o fornecedor e documentados. A15.1.2 Identificando seguranga da | Controle Todos os requisitos de seguranga da informagao relevantes devem ser estabelecidos e acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar ou prover componentes de infraestrutura de TI para as informagdes da organizagao. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 25ABNT NBR ISOAEC 27001:2013 Tabela A. 4 (continuagao) A163 Cadeia de suprimento na tecnologia da informacaio e Controle Acordos com fornecedores devem incluir requisitos para contemplar os riscos de seguranea da informagao associados com a cadeia de suprimento de produtos e servigos de tecnologia da informagao © comunicagao. A.15.2 Gerenciamento da entrega do servi igo do fornecedor Objetivo: Manter um nivel acordado de segur: consonéncia com os acordos com fornecedor janga da informagao e de entrega de servigos em res. A15.2.1 Monitoramento e andlise critica de servigos com fornecedores Gerenciamento de mudaneas para servigos com fornecedores A15.2.2 Controle A organizacao deve monitorar, analisar criticamente e auditar, a intervalos regulares, a entrega dos setvicos executados pelos fornecedores. Mudancas no provisionamento dos servigos pelos fomecedores, incluindo manuteng&o melhoria das politicas de seguranga da informagao, dos procedimentos e controles existentes, devem ser gerenciadas, levando-se em conta a criticidade das informagdes do negécio, dos sistemas @ processos envolvidos e a reavaliagéio de riscos. A.16 Gestao de incidentes de seguranga d: la informacao, A.16.1 Gestao de incidentes de seguranga da informagao e melhorias Otjetivo: Assegurar um enfoque consistente e eletivo para gerenciar os incidentes de seguranga da informagao, incluindo a comuni da informacao. icagao sobre fragilidades e eventos de seguranca Atet4 Responsabilidades e procedimentos Controle Responsabilidades e procedimentos de gestao devem ser estabelecidos para assegurar respostas répidas, efetivas e ordenadas aos incidentes de segurana da informagao. A16.1.2 Notificagao de eventos de seguranga da informagao Controle Os eventos de seguranga da informagao devern ser relatados por meio dos canais de gestao, © mais rapidamente possivel A16.1.3 Notificando fragilidades de seguranga da informagao Controle Os funcionarios e partes externas que usam 08 sistemas de informacao e servigos da organizacao devem ser instruidos a notificar e registrar quaisquer fragilidades de seguranga da informacdo, observada ou suspeita, nos sistemas ou servigos. 26 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosTabela A. ABNT NBR ISO/IEC 27001:2013 41 (continuagao) A16.1.4 Avaliacdo e decisao dos eventos de seguranga da informagao Controle Os eventos de seguranga da informagao devem ser avaliados, e deve ser decidido se eles sao classificados como incidentes de seguranga da informacao. A.16 Gestao de incidentes de seguranca da informacao A.16.1 Gesto de incidentes de seguranga da informagao e melhorias Objetivo: Assegurar um enfoque consistente seguranga da informacao, incluindo a comuni da informagao. © efetivo para gerenciar os incidentes de icacdo sobre fragilidades e eventos de seguranga A16.1.5, Resposta aos incidentes de | Controle seguranga da informagao | Incidentes de seguranga da informagaio devem ser reportados de acordo com procedimentos documentados. A16.1.6 Aprendendo com os Controle incidentes de seguranca da | Os conhecimentos obtidos da anélise ¢ informagao resolucdo dos incidentes de seguranga da informagao devern ser usados para reduzir a probabilidade ou o impacto de incidentes futuros. A16.1.7 Coleta de evidéncias Controle ‘A organizagao deve definir ¢ aplicar procedimentos para a identificagao, coleta, aquisigao e preservagao das informagées, as quais podem servir como evidéncias. A.17 Aspectos da seguranga da informagao na gestao da continuidade do negécio A.17.1 Continuldade da seguranca da informagao Objetivo: A continuidade da seguranca da int jormagao deve ser contemplada nos sistemas de gestao da continuidade do negécio da organizagao. continuidade da seguranga da informacao ANTAA Planejando acontinuidade | Controle da seguranga da A organizagao deve determinar seus informagao requisitos para a seguranga da informagao. ea continuidade da gestao da seguranca da informagao em situagdes adversas, por exemplo, durante uma crise ou desastre. AA7A2 Implementando a Controle ‘A organizagao deve estabelecer, documentar, implementar manter processos, procedimentos e controles para assegurar o nivel requerido de continuidade para a seguranga da informagao durante uma situacdo adversa. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 27ABNT NBR ISOAEC 27001:2013 Tabela A.1 (continuagao) AA71.3 Verificagao, analise Controle critica @ avaliagao da A organizagéio deve verificar os controles de continuidade da seguranga | continuidade da seguranga da informacao, da informagao estabelecidos e implementadbs, a intervalos regulares, para garantir que eles sao validos e eficazes em situagées adversas. A.17.2 Redundancias Objetivo: Assegurar a disponibilidade dos recursos de processamento da informagao. AAT24 Disponibilidade dos Controle recursos de processamento | Qs recursos de processamento da informacdo da informagao devem ser implementados com redundancia suficiente para atender aos requisitos de disponibilidade, A.18 Conformidade ‘A.18.1 Conformidade com requisitos legais e contratuais Objetivo: Evitar violagao de quaisquer obrigagées legais, estatutarias, regulamentares ou contratuais relacionadas & seguranga da info Mago e de quaisquer requisitos de seguranca. A18.1.1 Identificagao da legislacdo aplicavel e de requisitos contratuais Controle Todos os requisitos legislativos estatutérios, regulamentares e contratuais relevantes, € © enfoque da organizacao para atender a esses requisilos, devem ser explicitamente identificados, documentados e mantidos atualizados para cada sistema de informagao da organizacdo. A18.1.2 Direitos de propriedade intelectual Controle Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares © contratuais relacionados com os direitos de propriedade intelectual e sobre 0 uso de produtos de software proprietatios. A18.1.3 Protecdo de registros Controle Registros devem ser protegidos contra perda, desttuigao, falsificacdo, acesso nao autorizado liberagéo nao autorizada, de acordo com 08 requisitos regulamentares, estatutarios, contratuais e do negécio. A18.1.4 Protecao e privacidade de informagoes de identificagao de pessoal 28 Controle A privacidade e protegao das informagdes de identificagao pessoal devem ser asseguradas, conforme requerido por legislagao e regulamentagao pertinente, quando aplicavel. (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservadosTabela A. ABNT NBR ISO/IEC 27001:2013 41 (continuagao) A18.15 Regulamentacao de controles de criptogratia Controle Controles de criptografia devem ser usados ‘em conformidade com todas as leis, acordos, legislagao e regulamentagoes pertinentes. A.18.2 Andlise critica da seguranca da informagao com as politicas e procedimentos da organiz Otjetivo: Assegurar que a seguranca da informagao esta implementada e operada de acordo agao. A1824 Andlise critica independente da seguranga da informagao Controle enfoque da organizagao para gerenciar a seguranga da informacdo e a sua implementagao (por exemplo, objetivo dos controles, controles, politicas, processos e procedimentos para a seguranga da informagao) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudangas significativas. A18.2.2 Conformidade com as politicas e normas de seguranga da informagao Controle Os gestores devem analisar criticamente, a intervalos regulares, a conformidade dos procedimentos e do processamento da informagdo, dentro das suas areas de responsabilidade, com as normas e politicas de seguranga e quaisquer outros requisitos de seguranga da informagao. A18.2.3 Andlise critica da conformidade técnica Controle Os sistemas de informacao devem ser analisados criticamente, a intervalos regulates, para verificar a conformidade com as normas © politicas de seguranga da informacao da organizagao. @ISONEC 2018 - © ABNT 2013 - Todos os dratos reservados 29ABNT NBR ISOAEC 27001:2013 Bibliografia [1] ABNT NBR ISO IEC 27002:2013, Tecnologia da informacao - Técnicas de seguranca - Codigo de pratica para controles de seguranga da informacao [2] ABNT NBR ISO IEC 27003, Tecnologia da informagao — Técnicas de seguranea — Diretrizes para implantagao de um sistema de gestao da seguranga da informagao [3] ABNT NBR ISO/IEC 27004, Tecnologia da informagao - Técnicas de seguranga - Gesiéo da seguranga da informacao — Medicao [4] ABNT NBR ISOMEC 27005, Tecnologia da informagao - Técnicas de seguranga ~ Gesto de riscos de seguranga da informacao [5] ABNT NBR ISO 31000:2009, Gestio de riscos — Principios e diretrizes [6] ISO IEC Directives, Part 1 Consolidated ISO Supplement — Procedures specific to |S0:2012 30 (© ISOEC 2013- © ABNT 2019 - Todos os dritos reservados