ABNT NBR ISO/IEC 27001:2013

Anexo “A” – Objetivos de Controle e Controles

ESTRUTURA DO ANEXO “A”

14 CONTROLES DE 1° NÍVEL

TOTAL DE 163
35 CONTROLES DE 2° NÍVEL
CONTROLES

114 CONTROLES DE 3° NÍVEL

CONTROLES ANEXO “A”
TABELA DE CONTROLES
TABELA DE CONTROLES
A.5 Política de segurança
A.5.1 Política de segurança da informação
A.6 Organizando a segurança da informação
A.6.1 Infraestrutura da segurança da informação
A.6.2 Partes externas
A.7 Gestão de ativos
A.7.1 Responsabilidade pelos ativos
A.7.2 Classificação da informação
A.8 Segurança em recursos humanos
A.8.1 Antes da contratação
A.8.2 Durante a contratação
A.8.3 Encerramento ou mudança da contratação
A.9 Segurança física e do ambiente
A.9.1 Áreas seguras
A.9.2 Segurança de equipamentos
A.10 Gerenciamento das operações e comunicações
A.10.1 Procedimentos e responsabilidades operacionais
A.10.2 Gerenciamento de serviços terceirizados
A.10.3 Planejamento e aceitação dos sistemas
A.10.4 Proteção contra códigos maliciosos
A.10.5 Cópias de segurança
A.10.6 Gerenciamento da segurança de redes
TABELA DE CONTROLES
TABELA DE CONTROLES
A.10.7 Manuseio de mídias
A.10.8 Troca de informações
A.10.9 Serviços de comércio eletrônico
A.10.10 Monitoramento
A.11 Controle de acessos
A.11.1 Requisitos de negócio para controle de acesso
A.11.2 Gerenciamento de acesso do usuário
A.11.3 Responsabilidades dos usuários
A.11.4 Controle de acesso à rede
A.11.5 Controle de acesso ao sistema operacional
A.11.6 Controle de acesso à aplicação e a informação
A.11.7 Computação móvel e trabalho remoto
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
A.12.1 Requisitos de segurança da informação
A.12.2 Processamento correto das aplicações
A.12.3 Controles criptográficos
A.12.4 Segurança dos arquivos de sistema
A.12.5 Segurança em processos de desenvolvimento e suporte
A.12.6 Gestão de vulnerabilidades técnicas
A.13 Gestão de incidentes de segurança da informação
A.13.1 Notificação de fragilidades e eventos de segurança da informação
A.13.2 Gestão de incidentes de segurança da informação e melhorias
TABELA DE CONTROLES
TABELA DE CONTROLES
A.14 Gestão da continuidade do negócio
A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da
informação
A.15 Conformidade
A.15.1 Conformidade com requisitos legais
A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade
técnica
A.15.3 Considerações quanto à auditoria de sistemas de informação
POLÍTICA DE SEGURANÇA
DA INFORMAÇÃO
POLÍTICAS DE SI
A política de segurança da informação é um documento que
constitui um conjunto de políticas, o qual é aprovado pela alta
gerência, publicado e comunicado a todos os funcionários e
partes relevantes. Diretrizes

Estabelece padrões, responsabilidades e critérios para o Normas

manuseio, armazenamento, transporte e descarte das
informações dentro do nível de segurança estabelecido sob Instruções Técnicas
medida pela e para a empresa; portanto, a política deve ser
personalizada.
ORGANIZANDO A SEGURANÇA
DA INFORMAÇÃO
INFRAESTRUTURA DA SEGURANÇA DA INFORMAÇÃO

Objetivo deste controle é gerenciar a segurança da informação dentro da organização.

Comprometimento da direção com a segurança da informação NDA – Acordos de confidencialidade

Coordenação da segurança da informação por representantes de

Contrato com autoridades
diversas áreas e com papéis relevantes (gerentes, supervisores)

Atribuição de responsabilidades para a segurança da informação Contrato com grupos especiais

Processo de autorização para os recursos de processamento da

Análise crítica independente de segurança da informação
informação
PARTES EXTERNAS
Objetivo deste controle é manter a segurança dos recursos de processamento da informação e da
informação da organização, que são acessados, processados, comunicados ou gerenciados por partes
externas.

Identificação dos riscos relacionados com partes externas

(parceiros e fornecedores)

Identificando a segurança da informação quando tratando com os

clientes PARTES EXTERNAS

Identificando segurança da informação nos acordos com terceiros

GESTÃO DE ATIVOS
RESPONSABILIDADES PELOS ATIVOS

Objetivo deste controle é alcançar e manter a proteção adequada

aos ativos da organização. Para alcançarmos esse controle com
efetividade devemos possuir:

INVENTÁRIO DOS ATIVOS

Fonte: Pixabay
PROPRIETÁRIO DOS ATIVOS

USO ACEITÁVEL DOS ATIVOS

CLASSIFICAÇÃO DA INFORMAÇÃO
Objetivo deste controle é assegurar que a informação receba um
nível adequado de proteção. Para que isso ocara precisamos de:

RECOMENDAÇÕES PARA CLASSIFICAÇÃO

RÓTULOS E TRATAMENTO DA INFORMAÇÃO

Fonte: Pixabay
 SEGURANÇA EM
RECURSOS HUMANOS
ANTES DA CONTRATAÇÃO
Objetivo deste controle é assegurar que os funcionários, fornecedores e terceiros entendam suas
responsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau
uso de recursos.

 Papéis e responsabilidades

 Seleção

 Termos e condições de contratação

DURANTE A CONTRATAÇÃO
Objetivo deste controle é assegurar que os funcionários, fornecedores e terceiros estão conscientes das
ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e
estão preparados para apoiar a política de segurança da informação da organização durante os seus
trabalhos normais, e para reduzir o risco de erro humano.

 Responsabilidades da direção

 Conscientização, educação e treinamento em segurança da informação

 Processo disciplinar
DURANTE A CONTRATAÇÃO
Objetivo deste controle é assegurar que funcionários, fornecedores e
terceiros deixem a organização ou mudem de trabalho de forma
ordenada.

 Encerramento de atividades Fonte: Pixabay

 Devolução de ativos

 Retirada de direitos de acesso

SEGURANÇA FÍSICA E
DO AMBIENTE
ÁREAS SEGURAS
Objetivo deste controle é prevenir o acesso físico não autorizado, danos e
interferências com as instalações e informações da organização.

Perímetro de segurança física Proteção contra ameaças externas e do

ambiente

Fonte: Pixabay
Controles de entrada física Trabalhando em áreas seguras

Acesso do público, áreas de entrega e

Segurança em escritórios e instalações
de carregamento
ÁREAS SEGURAS
Área pública

Anel externo E
s
Prédio p
a
ç
Local de trabalho
o
s
Objeto

Parede I
Muito sensível n
f
Armário/cofre o
Sensível r
Cerca m
Interna a
Parede externa ç
ã
Pública
o
SEGURANÇA EM EQUIPAMENTOS
Objetivo deste controle é impedir perdas, danos, furto ou comprometimento de ativos e interrupção das
atividades da organização.

Instalação e proteção do equipamento

Segurança de equipamentos fora das

dependências da organização
Utilidades
Reutilização e alienação segura de
equipamentos
Segurança do cabeamento

Remoção de propriedade
Manutenção dos equipamentos
 GERENCIAMENTO DAS
OPERAÇÕES E COMUNICAÇÕES
PROCEDIMENTOS E RESPONSABILIDADES OPERACIONAIS

Objetivo deste controle é garantir a operação segura e correta dos recursos

de processamento da informação.

Documentação dos procedimentos operacionais

Gestão de mudanças Fonte: Pixabay

Segregação de funções

Separação dos recursos de desenvolvimento,

teste e de produção
GERENCIAMENTO DE SERVIÇOS TERCEIRIZADOS

Objetivo deste controle é garantir a proteção das informações

em redes e a proteção da infraestrutura de suporte.

Controles de redes
Fonte: Pixabay

Segurança nos serviços de rede

PLANEJAMENTO E ACEITAÇÃO DOS SISTEMAS

Objetivo deste controle é minimizar o risco de falhas nos sistemas. Diante

disso é necessário controlar:

Aceitação de sistemas
Gestão de capacidade

Estabelecer critérios de
aceitação para novos
A utilização dos recursos
sistemas, atualizações e
precisa ser monitorada e
novas versões que sejam
sincronizada e as projeções
efetuados testes apropriados
devem feitas para atender as
dos sistemas/aplicações
necessidades futuras, para
durante o seu
garantir o desempenho
desenvolvimento e antes da
requerido dos sistemas.
sua aceitação.
PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS E CÓDIGO MÓVEIS

Objetivo deste controle é proteger a integridade do software e da

informação.

Controle contra códigos maliciosos

Controle contra códigos móveis Fonte: Pixabay

CÓPIAS DE SEGURANÇA

Objetivo deste controle é manter a integridade e disponibilidade da

informação e dos recursos de processamento da informação.

As cópias de segurança das informações (backup) e dos softwares

deverão ser efetuadas e testadas (restore) regularmente, conforme
Fonte: Pixabay
descrito na política de geração de cópias de segurança.
GERENCIAMENTO DA SEGURANÇA EM REDES

Objetivo deste controle é garantir a proteção das informações em redes e

a proteção da infraestrutura de suporte. Para que que seja alcançado este
controle é necessário a implementação de:

Controles de redes
Fonte: Pixabay

Segurança dos serviços de rede

MANUSEIO DE MÍDIAS
Objetivo deste controle é prevenir contra divulgação não autorizada,
modificação, remoção ou destruição aos ativos e interrupções das
atividades do negócio.

Gerenciamento de mídias removíveis

Fonte: Pixabay

Descarte de mídias

Procedimentos para tratamento de informação

Segurança da documentação dos sistemas

TROCA DE INFORMAÇÕES
Objetivo deste controle é manter a segurança na troca de
informações e softwares internamente à organização e com
quaisquer entidade externas.

Políticas e procedimentos para a

troca de informações
Mensagens eletrônicas Fonte: Pixabay

Acordos para a troca de

informações
Sistemas de informação do negócio

Mídias em trânsito
SERVIÇOS DE COMÉRCIO ELETRÔNICO

Objetivo deste controle é garantir a segurança de serviços de

comércio eletrônico e sua utilização segura.

Comércio eletrônico

Fonte: Pixabay
Transações on-line

Informações publicamente
disponíveis
 MONITORAMENTO
Objetivo deste controle é detectar atividades não autorizadas de
processamento da informação.

Registros (logs) de administrador e

Registros de auditoria
operador

Monitoramento do uso do sistema Registros (logs) de falhas Fonte: Pixabay

Proteção das informações dos

Sincronização dos relógios
registros (logs)
CONTROLE DE ACESSO
 REQUISITOS DE NEGÓCIO PARA CONTROLE DE ACESSO

Objetivo deste controle é controlar o acesso à informação.

O dono do negócio é a pessoa responsável por um processo, subprocesso

ou aditividade de negócio. Essa responsabilidade inclui a definição de quem
pode ter acesso aos ativos, incluindo ativos de informação.
Fonte: Pixabay

A política de controle de acesso é o controle necessário e deverá ser

estabelecida, documentada e analisada criticamente, tomando-se como
base os requisitos de acesso dos negócios e da segurança da informação.
GERENCIAMENTO DE
ACESSO DO USUÁRIO
GERENCIAMENTO DE ACESSO DO USUÁRIO

Objetivo deste controle é assegurar acesso de usuário autorizado e

prevenir acesso não autorizado a sistemas de informação. Para isso
é necessário:

Registro de usuário

Fonte: Pixabay
Gerenciamento de privilégios

Gerenciamento de senha do
usuário

Análise crítica dos direitos de

acesso de usuário
RESPONSABILIDADES DOS USUÁRIOS

Objetivo deste controle é prevenir o acesso não autorizado dos usuários

e evitar o comprometimento ou roubo da informação e dos recursos de
processamento da informação.

Uso de senhas
Fonte: Pixabay

Equipamento de usuário sem monitoração

Política de mesa limpa e tela limpa

CONTROLE DE ACESSO À REDE

Objetivo deste controle é prevenir o acesso não autorizado aos

serviços de rede.

Política de uso dos serviços de rede

Controle de roteamento de redes
Autenticação para conexão externa
do usuário Fonte: Pixabay
Segregação de redes
Identificação de equipamento em
redes
Controle de conexão de rede
Proteção e configuração de portas
de diagnóstico remotas
CONTROLE DE ACESSO AO SISTEMA OPERACIONAL

Objetivo deste controle é prevenir o acesso não autorizado aos

sistemas operacionais.

Procedimentos seguros de entrada

Uso de utilitários de sistema
no sistema (log-on)

Fonte: Pixabay
Identificação e autenticação de Desconexão de terminar por
usuário inatividade

Sistema de gerenciamento de
Limitação de horário de conexão
senha
CONTROLE DE ACESSO À APLICAÇÃO E À INFORMAÇÃO

Objetivo deste controle é prevenir o acesso não autorizado à

informação contida nos sistemas de aplicação.

Restrição de acesso à informação

Isolamento de sistemas sensíveis Fonte: Pixabay

COMPUTAÇÃO MÓVEL E TRABALHO REMOTO

Objetivo deste controle é garantir a segurança da informação

quando se utilizam a computação móvel e recursos de trabalho.

Computação e comunicação móvel

Trabalho remoto Fonte: Pixabay

AQUISIÇÃO, DESENVOLVIMENTO E
MANUTENÇÃO DE SISTEMAS DE
INFORMAÇÃO
REQUISITOS DE SEGURANÇA DA INFORMAÇÃO

Objetivo deste controle é garantir que a segurança seja

parte integrante de sistemas de informação.

É necessário que sejam especificados os requisitos para

controles de segurança nas especificação de requisitos de
negócio, para que os novos projetos de sistemas de informação Fonte: Pixabay

ou melhorias em sistemas existentes sejam atendidas.

 PROCESSAMENTO CORRETO DE APLICAÇÕES

Objetivo deste controle é prevenir a ocorrência de erros, perdas,

modificação não autorizada ou mau uso de informações em aplicações.

Validação dos dados de entrada Integridade de mensagens

Fonte: Pexels
Controle do processamento
Validação de dados de saída
interno
 CONTROLES CRIPTOGRÁFICOS

Objetivo deste controle é proteger a confidencialidade, a

autenticidade ou a integridade das informações por meios
criptográficos.

É necessário o desenvolvimento e implementação de uma política para o

uso de controles criptográficos para a proteção da informação. Fonte: Pexels

Além disso o gerenciamento de chaves é necessário para apoiar o uso de

técnicas de criptografia pela organização.
SEGURANÇA DOS ARQUIVOS DO SISTEMA

Objetivo deste controle é garantir a segurança de arquivos de

sistema.

Controle de software operacional

Proteção dos dados para teste de sistema Fonte: Pexels

Controle de acesso ao código-fonte de programa

SEGURANÇA EM PROCESSOS DE DESENVOLVIMENTO
E DE SUPORTE

Objetivo deste controle é manter a segurança de sistemas aplicativos e

da informação.

Procedimentos para controle de

mudanças
Vazamento de informações
Análise crítica técnica das aplicações Fonte: Pexels
após mudanças no sistema operacional
Desenvolvimento terceirizado de
software
Restrições sobre as mudanças em
pacotes de software
 GESTÃO DE VULNERABILIDADES TÉCNICAS

Objetivo deste controle é reduzir os riscos resultantes da

exploração de vulnerabilidades técnicas conhecidas.

Deve ser obtida informação em tempo hábil sobre vulnerabilidades

técnicas dos sistemas de informação em uso, avaliada a exposição a
estas vulnerabilidade e todas as medidas apropriadas para diminuir os Fonte: Pexels

riscos associados.
 GESTÃO DE INCIDENTES DE
SEGURANÇA DA INFORMAÇÃO
 NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS DE
SEGURANÇA DA INFORMAÇÃO

Objetivo deste controle é assegurar que fragilidades e eventos de segurança da informação associados
com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

Notificação de eventos de segurança

da informação

O momento durante o
Notificando fragilidades de segurança incidente
da informação

Tempo o que antecede o E o momento

incidente após o incidente
GESTÃO DE INCIDENTES DE SEGURANÇA DA
INFORMAÇÃO E MELHORIAS

Objetivo deste controle é assegurar que um enfoque consistente e

efetivo seja aplicado à gestão de incidentes de segurança da
informação.

Responsabilidades e procedimentos
Fonte: Pexels

Aprendendo com os incidentes de segurança

da informação

Coleta de evidências
GESTÃO DA CONTINUIDADE
DO NEGÓCIO
 ASPECTOS DA GESTÃO DA CONTINUIDADE DO
NEGÓCIO, RELATIVOS À SEGURANÇA DA INFORMAÇÃO

Objetivo deste controle é não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil,
se for o caso.

Incluindo segurança da informação no processo de

gestão da continuidade de negócio
Estrutura do plano de continuidade do negócio
Continuidade de negócios e análise/avaliação de
risco
Testes, manutenção e reavaliação dos planos de
continuidade do negócio
Desenvolvimento e implementação de planos de
continuidade relativos à segurança da informação
CONFORMIDADE
CONFORMIDADE COM REQUISITOS LEGAIS

Objetivo deste controle é evitar violação de qualquer lei criminal ou civil,

estatutos, regulamentações ou obrigações contratuais e de quaisquer
requisitos de segurança da informação.

Proteção de dados e privacidade da

Identificação da legislação vigente informação pessoal
Fonte: Pexels

Prevenção de mau uso de recursos

Direitos de propriedade intelectual
de processamento de informação

Regulamentação de controles de
Proteção de registros organizacionais
criptografia
CONFORMIDADE COM NORMAS E POLÍTICAS DE
SEGURANÇA DA INFORMAÇÃO E CONFORMIDADE TÉCNICA

Objetivo deste controle é garantir conformidade dos sistemas com as

políticas e normas organizacionais de segurança da informação.

Conformidade com as políticas e normas de

segurança da informação

Fonte: Pexels
Verificação da conformidade técnica
CONSIDERAÇÕES QUANTO À AUDITORIA DE
SISTEMAS DE INFORMAÇÃO
Objetivo deste controle é maximizar a eficácia e minimizar a interferência
no processo de auditoria dos sistemas de informação.

Controles de auditoria de sistemas de

informação
Fonte: Pexels
Proteção de ferramentas de auditoria de
sistemas de informação
Contatos
https://www.linkedin.com/in/lucas-dartora-b283255b/

lucasdartora@egidepro.com

@lucasdartora