abnt nbr isoiec 27001-2006

8/3/2019 ABNT NBR ISOIEC 27001-2006

1/44

NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006ERRATA 1

Publicada em 28.08.2006

ABNT 2006 Todos os direitos reservados 1

Tecnologia da informao Tcnicas de segurana Sistemas de gesto da segurana da informao Requisitos

ERRATA 1

Esta Errata 1 da ABNT NBR ISO/IEC 27001:2006 foi elaborada no Comit Brasileiro de Computadores eProcessamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes deInformtica (CE-21:204.01).

_______________

Pgina v, subseo 0.1:

Substituir (...) A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. (...)por (...) Convm que a adoo de um SGSI seja uma deciso estratgica para uma organizao. (...).

Substituir (...) esperado que este e os sistemas de apoio mudem com o passar do tempo. (...)por (...) esperado que estes e os sistemas de apoio mudem com o passar do tempo. (...).

Pgina 1, subseo 1.2, 2 pargrafo:

Substituir Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao(...) por Qualquer excluso de controles considerada necessria para satisfazer os critrios de aceitao (....).

Pgina 7, subseo 4.2.3, alnea b):

Substituir (...) incidentes de segurana da informao, resultados da eficcia das medies, sugestes erealimentao de todas as partes interessadas. por (...) incidentes de segurana da informao, resultadosdas medies de eficcia, sugestes e realimentao de todas as partes interessadas..

Pgina 9, subseo 4.3.2, alnea a):

Substituir aprovar documentos para adequao antes da sua emisso; por aprovar documentos quanto sua adequao antes de sua emisso;.

Pgina 11, subseo 7.2, alnea f):

Substituir resultados da eficcia das medies; por resultados das medies de eficcia;.

Pgina 14

- subseo A.5.1, Objetivo:

Substituir Prover uma orientao e apoio da direo para a segurana da informao de acordo com osrequisitos do negcio e com as leis e regulamentaes relevantes. por Prover uma orientao e apoio dadireo para a segurana da informao de acordo com os requisitos do negcio e com as leis eregulamentaes pertinentes.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

2/44

ABNT NBR ISO/IEC 27001:2006

2 ABNT 2006 Todos os direitos reservados

- subseo A.6.1, Ttulo:

Substituir Infra-estrutura da segurana da informao por Organizao interna.

- subseo A.6.1.1:

Substituir (...) definindo atribuies de forma explcita e conhecendo as responsabilidades pela segurana dainformao. por (...) definindo atribuies de forma explcita e reconhecendo as responsabilidades pelasegurana da informao.

Pgina 15, subseo A.6.1.6:

Substituir Contatos apropriados com autoridades relevantes devem ser mantidos. por Contatos apropriadoscom autoridades pertinentes devem ser mantidos.

Pgina 16, subseo A.8.1, Objetivo:

Substituir Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, eestejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.por Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam deacordo com os seus papis, e reduzir o risco de furto ou roubo, fraude ou mau uso de recursos.


Substituir Verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros devem serrealizadas de acordo com as leis relevantes, regulamentaes e ticas, e (...) por Verificaes do histricode todos os candidatos a emprego, fornecedores e terceiros devem ser realizadas de acordo com a tica, asleis e as regulamentaes pertinentes, e (...).

Pgina 18, subseo A.9.2, Objetivo:

Substituir Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades daorganizao. por Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo dasatividades da organizao.


Substituir A utilizao dos recursos deve ser monitorada e sincronizada e as projees (...) por A utilizaodos recursos deve ser monitorada e ajustada, e as projees (...).


Substituir Os relgios de todos os sistemas de processamento de informaes relevantes, dentro daorganizao ou do domnio de segurana, devem ser sincronizados de acordo com uma hora oficial.por Os relgios de todos os sistemas de processamento de informaes relevantes, dentro da organizaoou do domnio de segurana, devem ser sincronizados com uma fonte de tempo precisa, acordada..

Pgina 24


Substituir Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo dainformao e dos recursos de processamento da informao. por Prevenir o acesso no autorizado dosusurios e evitar o comprometimento ou furto da informao e dos recursos de processamento dainformao.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

3/44


ABNT 2006 Todos os direitos reservados 3

- subseo A.11.4.4:

Substituir Proteo e configurao de portas de diagnstico remotas por Proteo de portas deconfigurao e diagnstico remotos.

Substituir Deve ser controlado o acesso fsico e lgico para diagnosticar e configurar portas. por Devem sercontrolados os acessos fsico e lgico para diagnosticar e configurar portas.


Substituir Desconexo de terminal por inatividade por Limite de tempo de sesso.

Substituir Terminais inativos devem ser desconectados aps um perodo definido de inatividadepor Sesses inativas devem ser encerradas aps um perodo definido de inatividade..


Substituir a expresso Modificaes em pacotes de software no devem ser incentivadas e devem (...)por Modificaes em pacotes de softwaredevem ser desencorajadas e devem (...).

Pgina 29


Substituir Evitar violao de qualquer lei criminal, estatutos, regulamentaes ou obrigaes contratuais e dequaisquer requisitos de segurana da informao por Evitar violaes de quaisquer obrigaes legais,estatutrias, regulamentares ou contratuais, e de quaisquer requisitos de segurana da informao..

- subseo A.15.1.1:

Substituir Identificao da legislao vigente por Identificao da legislao aplicvel.

Substituir Todos os requisitos estatutrios, regulamentares e contratuais relevantes (...)" por Todos osrequisitos estatutrios, regulamentares e contratuais pertinentes (...).

- subseo A.15.1.4:

Substituir A privacidade e a proteo de dados devem ser asseguradas conforme exigido nas legislaesrelevantes, regulamentaes e, se aplicvel, nas clusulas contratuais. por A privacidade e a proteo dedados devem ser asseguradas conforme exigido nas legislaes, regulamentaes e, se aplicvel, asclusulas contratuais pertinentes..

- subseo A.15.1.6:

Substituir Controles de criptografia devem ser usados em conformidade com leis, acordos eregulamentaes relevantes. por Controles de criptografia devem ser usados em conformidade com todasas leis, acordos e regulamentaes pertinentes..

ICS 35.040 Ref.: ABNT NBR ISO/IEC 27001:2006/Err.1:2006

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

4/44

ABNT 2006

NORMABRASILEIRA

ABNT NBRISO/IEC

27001

Primeira edio31.03.2006

Vlida a partir de30.04.2006

Tecnologia da informao Tcnicas desegurana Sistemas de gesto de

segurana da informao RequisitosInformation technology Security techniques Information securitymanagement systems Requirements

Palavras-chave: Tecnologia da informao. Segurana.Descriptors: Information technology. Security.

ICS 35.040

Nmero de refernciaABNT NBR ISO/IEC 27001:2006

34 pginas

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

5/44


ii ABNT 2006 - Todos os direitos reservados

ABNT 2006Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzidaou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.

Sede da ABNTAv.Treze de Maio, 13 - 28 andar20031-901 - Rio de Janeiro - RJTel.: + 55 21 3974-2300Fax: + 55 21 [email protected]

Impresso no Brasil

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

6/44


ABNT 2006 - Todos os direitos reservados iii

Sumrio Pgina

Prefcio Nacional.......................................................................................................................................................iv0 Introduo.......................................................................................................................................................v0.1 Geral................................................................................................................................................................v0.2 Abordagem de processo...............................................................................................................................v0.3 Compatibilidade com outros sistemas de gesto.....................................................................................vi1 Objetivo ..........................................................................................................................................................11.1 Geral................................................................................................................................................................11.2 Aplicao........................................................................................................................................................12 Referncia normativa ....................................................................................................................................23 Termos e definies......................................................................................................................................24 Sistema de gesto de segurana da informao .......................................................................................44.1 Requisitos gerais...........................................................................................................................................44.2 Estabelecendo e gerenciando o SGSI.........................................................................................................44.2.1 Estabelecer o SGSI........................................................................................................................................44.2.2 Implementar e operar o SGSI .......................................................................................................................64.2.3 Monitorar e analisar criticamente o SGSI ...................................................................................................74.2.4 Manter e melhorar o SGSI.............................................................................................................................84.3 Requisitos de documentao.......................................................................................................................84.3.1 Geral................................................................................................................................................................84.3.2 Controle de documentos ..............................................................................................................................94.3.3 Controle de registros ....................................................................................................................................95 Responsabilidades da direo.....................................................................................................................95.1 Comprometimento da direo......................................................................................................................95.2 Gesto de recursos .....................................................................................................................................105.2.1 Proviso de recursos..................................................................................................................................105.2.2 Treinamento, conscientizao e competncia .........................................................................................106 Auditorias internas do SGSI.......................................................................................................................117 Anlise crtica do SGSI pela direo.........................................................................................................117.1 Geral..............................................................................................................................................................117.2 Entradas para a anlise crtica...................................................................................................................117.3 Sadas da anlise crtica.............................................................................................................................128 Melhoria do SGSI.........................................................................................................................................128.1 Melhoria contnua........................................................................................................................................128.2 Ao corretiva..............................................................................................................................................12

8.3 Ao preventiva...........................................................................................................................................13Anexo A (normativo) Objetivos de controle e controles.......................................................................................14Anexo B (informativo) Princpios da OECD e desta Norma..................................................................................31Anexo C (informativo) Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e

esta Norma ...................................................................................................................................................32Bibliografia................................................................................................................................................................34

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

7/44


iv ABNT 2006 - Todos os direitos reservados

Prefcio Nacional

A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras,cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de NormalizaoSetorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas porComisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores,consumidores e neutros (universidades, laboratrios e outros).

A ABNT NBR ISO/IEC 27001 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).O Projeto circulou em Consulta Nacional conforme Edital n 12, de 31.12.2005, com o nmero deProjeto 21:204.01-012.

Esta Norma uma traduo idntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical CommitteeInformation Technology(ISO/IEC/JTC 1), subcommitteeIT Security Tecchniques(SC 27).

Esta Norma contm o anexo A, de carter normativo, e os anexos B e C, de carter informativo.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

8/44


ABNT 2006 - Todos os direitos reservados v

0 Introduo

0.1 Geral

Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisarcriticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de umSGSI deve ser uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI deuma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processosempregados e tamanho e estrutura da organizao. esperado que este e os sistemas de apoio mudem com opassar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades daorganizao, por exemplo, uma situao simples requer uma soluo de um SGSI simples.

Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.

0.2 Abordagem de processo

Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar,monitorar, analisar criticamente, manter e melhorar o SGSI de uma organizao.

Uma organizao precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividadeque faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser consideradaum processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte.

A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaesdestes processos, e a sua gesto podem ser consideradas como "abordagem de processo.

A abordagem de processo para a gesto da segurana da informao apresentada nesta Norma encoraja queseus usurios enfatizem a importncia de:

a) entendimento dos requisitos de segurana da informao de uma organizao e da necessidade deestabelecer uma poltica e objetivos para a segurana de informao;

b) implementao e operao de controles para gerenciar os riscos de segurana da informao de umaorganizao no contexto dos riscos de negcio globais da organizao;

c) monitorao e anlise crtica do desempenho e eficcia do SGSI; e

d) melhoria contnua baseada em medies objetivas.

Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todosos processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana deinformao e as expectativas das partes interessadas, e como as aes necessrias e processos de segurana dainformao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra osvnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.

A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD1) (2002) paragovernar a segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para

1) Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana.Paris: OECD, 2002 de julho. http://www.oecd.org.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

9/44


vi ABNT 2006 - Todos os direitos reservados

implementar os princpios nessas diretrizes para direcionar a anlise/avaliao de riscos, especificao eimplementao de segurana, gerenciamento de segurana e reavaliao.

EXEMPLO 1

Um requisito pode significar que violaes de segurana da informao no causem srios danos financeiros e/ouconstrangimentos organizao.

EXEMPLO 2

Uma expectativa pode significar que se um incidente grave ocorrer por exemplo, a invaso da pgina Internet decomrcio eletrnico de uma organizao deveria haver pessoas com treinamento suficiente nos procedimentosapropriados para minimizar o impacto.

Figura 1 Modelo PDCA aplicado aos processos do SGSI

Plan(planejar) (estabelecer o SGSI) Estabelecer a poltica, objetivos, processos e procedimentos doSGSI, relevantes para a gesto de riscos e a melhoria dasegurana da informao para produzir resultados de acordocom as polticas e objetivos globais de uma organizao.

Do(fazer) (implementar e operar oSGSI)

Implementar e operar a poltica, controles, processos eprocedimentos do SGSI.

Check(checar) (monitorar e analisarcriticamente o SGSI)

Avaliar e, quando aplicvel, medir o desempenho de umprocesso frente poltica, objetivos e experincia prtica doSGSI e apresentar os resultados para a anlise crtica peladireo.

Act(agir) (manter e melhorar o SGSI) Executar as aes corretivas e preventivas, com base nosresultados da auditoria interna do SGSI e da anlise crtica peladireo ou outra informao pertinente, para alcanar amelhoria contnua do SGSI.

0.3 Compatibilidade com outros sistemas de gesto

Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar aimplementao e a operao de forma consistente e integrada com normas de gesto relacionadas. Um sistema

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

10/44


ABNT 2006 - Todos os direitos reservados v

de gesto adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1ilustra a relao entre as sees desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004.

Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistemasde gesto relacionados.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

11/44

NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006

ABNT 2006 - Todos os direitos reservados 1

Tecnologia da informao Tcnicas de segurana Sistemas de gesto

de segurana da informao Requisitos

IMPORTANTE Esta publicao no tem o propsito de incluir todas as clusulas necessrias a umcontrato. Os usurios so responsveis pela sua correta aplicao. Conformidade com esta Norma por sis no confere imunidade em relao s obrigaes legais.

1 Objetivo

1.1 Geral

Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agnciasgovernamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer,implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro docontexto dos riscos de negcio globais da organizao. Ela especifica requisitos para a implementao decontroles de segurana personalizados para as necessidades individuais de organizaes ou suas partes.

O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados paraproteger os ativos de informao e propiciar confiana s partes interessadas.

NOTA 1 Convm que referncias a negcio nesta Norma sejam interpretadas, de modo geral, tendo em vista as

atividades que so essenciais aos objetivos de existncia da organizao.

NOTA 2 A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode ser usada quando daespecificao de controles.

1.2 Aplicao

Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes,independentemente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nassees 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com esta Norma.

Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao de riscosprecisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveis

precisam ser fornecidas. Onde quaisquer controles sejam excludos, reivindicaes de conformidade a esta Normano so aceitveis, a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidadede prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliaode riscos e por requisitos legais e regulamentares aplicveis.

NOTA Se uma organizao j tiver um sistema de gesto de processo de negcio em operao (por exemplo, em relaocom a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), prefervel na maioria dos casos satisfazer os requisitos desta Normadentro deste sistema de gesto existente.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

12/44


2 ABNT 2006 - Todos os direitos reservados

2 Referncia normativa

O documento a seguir referenciado indispensvel para a aplicao desta Norma. Para referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplica-se a ltima edio do documento referenciado

(incluindo as emendas).

ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para agesto da segurana da informao.

3 Termos e definies

Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

3.1ativoqualquer coisa que tenha valor para a organizao

[ISO/IEC 13335-1:2004]

3.2disponibilidadepropriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada

[ISO/IEC 13335-1:2004]

3.3confidencialidadepropriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no

autorizados[ISO/IEC 13335-1:2004]

3.4segurana da informaopreservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente, outraspropriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estarenvolvidas

[ABNT NBR ISO/IEC 17799:2005]

3.5

evento de segurana da informaouma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da polticade segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa serrelevante para a segurana da informao

[ISO/IEC TR 18044:2004]

3.6incidente de segurana da informaoum simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham umagrande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao

[ISO/IEC TR 18044:2004]

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

13/44



3.7sistema de gesto da segurana da informaoSGSIa parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar a segurana da informaoNOTA O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades,prticas, procedimentos, processos e recursos.

3.8integridadepropriedade de salvaguarda da exatido e completeza de ativos

[ISO/IEC 13335-1:2004]

3.9risco residual

risco remanescente aps o tratamento de riscos[ABNT ISO/IEC Guia 73:2005]

3.10aceitao do riscodeciso de aceitar um risco

[ABNT ISO/IEC Guia 73:2005]

3.11anlise de riscosuso sistemtico de informaes para identificar fontes e estimar o risco


3.12anlise/avaliao de riscosprocesso completo de anlise e avaliao de riscos


3.13avaliao de riscosprocesso de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco


3.14gesto de riscosatividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos

NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e acomunicao de riscos.


Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

14/44



3.15tratamento do riscoprocesso de seleo e implementao de medidas para modificar um risco

[ABNT ISO/IEC Guia 73:2005]NOTA Nesta Norma o termo controle usado como um sinnimo para medida.

3.16declarao de aplicabilidadedeclarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis aoSGSI da organizao

NOTA Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos deanlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e osrequisitos de negcio da organizao para a segurana da informao.

4 Sistema de gesto de segurana da informao

4.1 Requisitos gerais

A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar umSGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que elaenfrenta. Para os efeitos desta Norma, o processo usado est baseado no modelo de PDCA mostrado na figura 1.

4.2 Estabelecendo e gerenciando o SGSI

4.2.1 Estabelecer o SGSI

A organizao deve:

a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sualocalizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver1.2);

b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativose tecnologia que:

1) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e princpios para aesrelacionadas com a segurana da informao;

2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana contratuais;

3) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o estabelecimentoe manuteno do SGSI iro ocorrer ;

4) estabelea critrios em relao aos quais os riscos sero avaliados (ver 4.2.1c)); e

5) tenha sido aprovada pela direo.

NOTA Para os efeitos desta Norma, a poltica do SGSI considerada um documento maior da poltica de segurana dainformao. Estas polticas podem estar descritas em um documento.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

15/44



c) Definir a abordagem de anlise/avaliao de riscos da organizao.

1) Identificar uma metodologia de anlise/avaliao de riscos que seja adequada ao SGSI e aos requisitoslegais, regulamentares e de segurana da informao, identificados para o negcio.

2) Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco (ver 5.1f)).

A metodologia de anlise/avaliao de riscos selecionada deve assegurar que as anlises/avaliaes de riscosproduzam resultados comparveis e reproduzveis.

NOTA Existem diferentes metodologias para anlise/avaliao de riscos. So discutidos exemplos de metodologias deanlise/avaliao de riscos na ISO/IEC TR 13335-3, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security.

d) Identificar os riscos.

1) Identificar os ativos dentro do escopo do SGSI e os proprietrios2) destes ativos.

2) Identificar as ameaas a esses ativos.

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.

4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causaraos ativos.

e) Analisar e avaliar os riscos.

1) Avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana, levandoem considerao as conseqncias de uma perda de confidencialidade, integridade ou disponibilidadedos ativos.

2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de ameaas e vulnerabilidadesprevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.

3) Estimar os nveis de riscos.

4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando os critrios para aceitaode riscos estabelecidos em 4.2.1c)2).

f) Identificar e avaliar as opes para o tratamento de riscos.

Possveis aes incluem:

1) aplicar os controles apropriados;

2) aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas daorganizao e aos critrios de aceitao de riscos (ver 4.2.1c)2));

3) evitar riscos; e

4) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores.

2) O termo 'proprietrio' identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar aproduo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo 'proprietrio' no significa que a pessoarealmente tenha qualquer direito de propriedade ao ativo.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

16/44



g) Selecionar objetivos de controle e controles para o tratamento de riscos.

Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitosidentificados pela anlise/avaliao de riscos e pelo processo de tratamento de riscos. Esta seleo deve

considerar os critrios para aceitao de riscos (ver 4.2.1c)2)) como tambm os requisitos legais,regulamentares e contratuais.

Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, comoadequados para cobrir os requisitos identificados.

Os objetivos de controle e controles listados no anexo A no so exaustivos, e objetivos de controles econtroles adicionais podem tambm ser selecionados.

NOTA O anexo A contm uma lista detalhada de objetivos de controle e controles que foram comumenteconsiderados relevantes nas organizaes. Os usurios desta Norma so direcionados para o anexo A como um ponto departida para a seleo de controles, para assegurar que nenhuma opo de controle importante seja negligenciada.

h) Obter aprovao da direo dos riscos residuais propostos.i) Obter autorizao da direo para implementar e operar o SGSI.

j) Preparar uma Declarao de Aplicabilidade.

Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:

1) Os objetivos de controle e os controles selecionados em 4.2.1g) e as razes para sua seleo;

2) Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e)2)); e

3) A excluso de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua excluso.

NOTA A Declarao de Aplicabilidade prov um resumo das decises relativas ao tratamento de riscos.A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.

4.2.2 Implementar e operar o SGSI

A organizao deve:

a) Formular um plano de tratamento de riscos que identifique a ao de gesto apropriada, recursos,responsabilidades e prioridades para a gesto dos riscos de segurana (ver seo 5).

b) Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que incluaconsideraes de financiamentos e atribuio de papis e responsabilidades.

c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle.

d) Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estasmedidas devem ser usadas para avaliar a eficcia dos controles de modo a produzir resultados comparveise reproduzveis (ver 4.2.3c)).

NOTA A medio da eficcia dos controles permite aos gestores e equipe determinar o quanto os controles alcanamde forma satisfatria os objetivos de controle planejados.

e) Implementar programas de conscientizao e treinamento (ver 5.2.2).

f) Gerenciar as operaes do SGSI.g) Gerenciar os recursos para o SGSI (ver 5.2).

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

17/44



h) Implementar procedimentos e outros controles capazes de permitir a pronta deteco de eventos desegurana da informao e resposta a incidentes de segurana da informao (ver 4.2.3 a)).

4.2.3 Monitorar e analisar criticamente o SGSI

A organizao deve:

a) Executar procedimentos de monitorao e anlise crtica e outros controles para:

1) prontamente detectar erros nos resultados de processamento;

2) prontamente identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de segurana dainformao;

3) permitir direo determinar se as atividades de segurana da informao delegadas a pessoas ouimplementadas por meio de tecnologias de informao so executadas conforme esperado;

4) ajudar a detectar eventos de segurana da informao e assim prevenir incidentes de segurana dainformao pelo uso de indicadores; e

5) determinar se as aes tomadas para solucionar uma violao de segurana da informao forameficazes.

b) Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos doSGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias desegurana da informao, incidentes de segurana da informao, resultados da eficcia das medies,sugestes e realimentao de todas as partes interessadas.

c) Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos.

d) Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e analisar criticamente os riscosresiduais e os nveis de riscos aceitveis identificados, levando em considerao mudanas relativas a:

1) organizao;

2) tecnologias;

3) objetivos e processos de negcio;

4) ameaas identificadas;

5) eficcia dos controles implementados;

6) eventos externos, tais como mudanas nos ambientes legais ou regulamentares, alteraes dasobrigaes contratuais e mudanas na conjuntura social.

e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seo 6).

NOTA Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por ou em nome daprpria organizao para propsitos internos.

f) Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopopermanece adequado e que so identificadas melhorias nos processos do SGSI (ver 7.1).

g) Atualizar os planos de segurana da informao para levar em considerao os resultados das atividades de

monitoramento e anlise crtica.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

18/44



h) Registrar aes e eventos que possam ter um impacto na eficcia ou no desempenho do SGSI (ver 4.3.3).

4.2.4 Manter e melhorar o SGSI

A organizao deve regularmente :

a) Implementar as melhorias identificadas no SGSI.

b) Executar as aes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lies aprendidasde experincias de segurana da informao de outras organizaes e aquelas da prpria organizao.

c) Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado scircunstncias e, se relevante, obter a concordncia sobre como proceder.

d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

4.3 Requisitos de documentao

4.3.1 Geral

A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis spolticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis.

importante que se possa demonstrar a relao dos controles selecionados com os resultados daanlise/avaliao de riscos e do processo de tratamento de riscos, e conseqentemente com a poltica e objetivosdo SGSI.

A documentao do SGSI deve incluir:

a) declaraes documentadas da poltica (ver 4.2.1b)) e objetivos do SGSI;

b) o escopo do SGSI (ver 4.2.1a));

c) procedimentos e controles que apoiam o SGSI;

d) uma descrio da metodologia de anlise/avaliao de riscos (ver 4.2.1c));

e) o relatrio de anlise/avaliao de riscos (ver 4.2.1c) a 4.2.1g));

f) o plano de tratamento de riscos (ver 4.2.2b));

g) procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, aoperao e o controle de seus processos de segurana de informao e para descrever como medir a eficciados controles (ver 4.2.3c));

h) registros requeridos por esta Norma (ver 4.3.3); e

i) a Declarao de Aplicabilidade.

NOTA 1 Onde o termo "procedimento documentado" aparecer nesta Norma, significa que o procedimento estabelecido,documentado, implementado e mantido.

NOTA 2 A abrangncia da documentao do SGSI pode variar de uma organizao para outra devido ao:

tamanho da organizao e o tipo de suas atividades; e escopo e complexidade dos requisitos de segurana e o do sistema gerenciado.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

19/44



NOTA 3 Documentos e registros podem estar em qualquer forma ou tipo de mdia.

4.3.2 Controle de documentos

Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deveser estabelecido para definir as aes de gesto necessrias para:

a) aprovar documentos para adequao antes de sua emisso;

b) analisar criticamente e atualizar, quando necessrio, e reaprovar documentos;

c) assegurar que as alteraes e a situao da reviso atual dos documentos sejam identificadas;

d) assegurar que as verses pertinentes de documentos aplicveis estejam disponveis nos locais de uso;

e) assegurar que os documentos permaneam legveis e prontamente identificveis;

f) assegurar que os documentos estejam disponveis queles que deles precisam e sejam transferidos,armazenados e finalmente descartados conforme os procedimentos aplicveis sua classificao;

g) assegurar que documentos de origem externa sejam identificados;

h) assegurar que a distribuio de documentos seja controlada;

i) prevenir o uso no intencional de documentos obsoletos; e

j) aplicar identificao adequada nos casos em que sejam retidos para qualquer propsito.

4.3.3 Controle de registros

Registros devem ser estabelecidos e mantidos para fornecer evidncias de conformidade aos requisitos e daoperao eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideraoquaisquer requisitos legais ou regulamentares pertinentes e obrigaes contratuais. Os registros devempermanecer legveis, prontamente identificveis e recuperveis. Os controles necessrios para a identificao,armazenamento, proteo, recuperao, tempo de reteno e disposio de registros devem ser documentados eimplementados.

Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrncias deincidentes de segurana da informao significativos relacionados ao SGSI.

EXEMPLO

Exemplos de registros so: livros de visitantes, relatrios de auditoria e formulrios de autorizao de acessopreenchidos.

5 Responsabilidades da direo

5.1 Comprometimento da direo

A Direo deve fornecer evidncia do seu comprometimento com o estabelecimento, implementao, operao,monitoramento, anlise crtica, manuteno e melhoria do SGSI mediante:

a) o estabelecimento da poltica do SGSI;

b) a garantia de que so estabelecidos os planos e objetivos do SGSI;

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

20/44



c) o estabelecimento de papis e responsabilidades pela segurana de informao;

d) a comunicao organizao da importncia em atender aos objetivos de segurana da informao e aconformidade com a poltica de segurana de informao, suas responsabilidades perante a lei e a

necessidade para melhoria contnua;e) a proviso de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente,

manter e melhorar o SGSI (ver 5.2.1);

f) a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis;

g) a garantia de que as auditorias internas do SGSI sejam realizadas (ver seo 6); e

h) a conduo de anlises crticas do SGSI pela direo (ver seo 7).

5.2 Gesto de recursos

5.2.1 Proviso de recursos

A organizao deve determinar e prover os recursos necessrios para:

a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;

b) assegurar que os procedimentos de segurana da informao apoiam os requisitos de negcio;

c) identificar e tratar os requisitos legais e regulamentares e obrigaes contratuais de segurana dainformao;

d) manter a segurana da informao adequada pela aplicao correta de todos os controles implementados;

e) realizar anlises crticas, quando necessrio, e reagir adequadamente aos resultados destas anlises crticas;e

f) onde requerido, melhorar a eficcia do SGSI.

5.2.2 Treinamento, conscientizao e competncia

A organizao deve assegurar que todo o pessoal que tem responsabilidades atribudas definidas no SGSI sejacompetente para desempenhar as tarefas requeridas:

a) determinando as competncias necessrias para o pessoal que executa trabalhos que afetam o SGSI;

b) fornecendo treinamento ou executando outras aes (por exemplo, contratar pessoal competente) parasatisfazer essas necessidades;

c) avaliando a eficcia das aes executadas; e

d) mantendo registros de educao, treinamento, habilidades, experincias e qualificaes (ver 4.3.3).

A organizao deve tambm assegurar que todo o pessoal pertinente esteja consciente da relevncia eimportncia das suas atividades de segurana da informao e como eles contribuem para o alcance dos objetivosdo SGSI.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

21/44



6 Auditorias internas do SGSI

A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivosde controle, controles, processos e procedimentos do seu SGSI:

a) atendem aos requisitos desta Norma e legislao ou regulamentaes pertinentes;

b) atendem aos requisitos de segurana da informao identificados;

c) esto mantidos e implementados eficazmente; e

d) so executados conforme esperado.

Um programa de auditoria deve ser planejado levando em considerao a situao e a importncia dos processose reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critrios da auditoria, escopo,freqncia e mtodos devem ser definidos. A seleo dos auditores e a execuo das auditorias devem assegurarobjetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho.

As responsabilidades e os requisitos para planejamento e para execuo de auditorias e para relatar os resultadose a manuteno dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.

O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida,para eliminar as no-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir averificao das aes executadas e o relato dos resultados de verificao (ver seo 8).

NOTA A ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental pode prover uma orientao til para realizar auditorias internas do SGSI.

7 Anlise crtica do SGSI pela direo

7.1 Geral

A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez porano) para assegurar a sua contnua pertinncia, adequao e eficcia. Esta anlise crtica deve incluir a avaliaode oportunidades para melhoria e a necessidade de mudanas do SGSI, incluindo a poltica de segurana dainformao e objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser claramentedocumentados e os registros devem ser mantidos (ver 4.3.3).

7.2 Entradas para a anlise crtica

As entradas para a anlise crtica pela direo devem incluir:a) resultados de auditorias do SGSI e anlises crticas;

b) realimentao das partes interessadas;

c) tcnicas, produtos ou procedimentos que podem ser usados na organizao para melhorar o desempenho e aeficcia do SGSI ;

d) situao das aes preventivas e corretivas;

e) vulnerabilidades ou ameaas no contempladas adequadamente nas anlises/avaliaes de risco anteriores;

f) resultados da eficcia das medies ;

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

22/44



g) acompanhamento das aes oriundas de anlises crticas anteriores pela direo;

h) quaisquer mudanas que possam afetar o SGSI; e

i) recomendaes para melhoria.

7.3 Sadas da anlise crtica

As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes relacionadas a:

a) Melhoria da eficcia do SGSI.

b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos.

c) Modificao de procedimentos e controles que afetem a segurana da informao, quando necessrio, pararesponder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanas de:

1) requisitos de negcio;

2) requisitos de segurana da informao;

3) processos de negcio que afetem os requisitos de negcio existentes;

4) requisitos legais ou regulamentares;

5) obrigaes contratuais; e

6) nveis de riscos e/ou critrios de aceitao de riscos.

d) Necessidade de recursos.

e) Melhoria de como a eficcia dos controles est sendo medida.

8 Melhoria do SGSI

8.1 Melhoria contnua

A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de segurana dainformao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados,aes corretivas e preventivas e anlise crtica pela direo (ver seo 7).

8.2 Ao corretiva

A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, deforma a evitar a sua repetio. O procedimento documentado para ao corretiva deve definir requisitos para:

a) identificar no-conformidades;

b) determinar as causas de no-conformidades;

c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades no ocorram novamente;

d) determinar e implementar as aes corretivas necessrias;

e) registrar os resultados das aes executadas (ver 4.3.3); e

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

23/44



f) analisar criticamente as aes corretivas executadas.

8.3 Ao preventiva

A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitosdo SGSI, de forma a evitar a sua ocorrncia. As aes preventivas tomadas devem ser apropriadas aos impactosdos potenciais problemas. O procedimento documentado para ao preventiva deve definir requisitos para:

a) identificar no-conformidades potenciais e suas causas;

b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;

c) determinar e implementar as aes preventivas necessrias;

d) registrar os resultados de aes executadas (ver 4.3.3); e

e) analisar criticamente as aes preventivas executadas.

A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas focando aateno nos riscos significativamente alterados.

A prioridade de aes preventivas deve ser determinada com base nos resultados da anlise/avaliao de riscos.

NOTA Aes para prevenir no-conformidades freqentemente tm melhor custo-benefcio que as aes corretivas.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

24/44



Anexo A(normativo)

Objetivos de controle e controles

Os objetivos de controle e controles listados na tabela A.1 so derivados diretamente e esto alinhados comaqueles listados na ABNT NBR ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1 no so exaustivas euma organizao pode considerar que objetivos de controle e controles adicionais so necessrios. Os objetivosde controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificadoem 4.2.1.

A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornece recomendaes e um guia de implementao dasmelhores prticas para apoiar os controles especificados em A.5 a A.15.

Tabela A.1 Objetivos de controle e controles

A.5 Poltica de segurana

A.5.1 Poltica de segurana da informao

Objetivo:Prover uma orientao e apoio da direo para a segurana da informao de acordo com osrequisitos do negcio e com as leis e regulamentaes relevantes.

A.5.1.1Documento da poltica de

segurana da informao

Controle

Um documento da poltica de segurana da informao deve

ser aprovado pela direo, publicado e comunicado para todosos funcionrios e partes externas relevantes.

A.5.1.2Anlise crtica da poltica desegurana da informao

Controle

A poltica de segurana da informao deve ser analisadacriticamente a intervalos planejados ou quando mudanassignificativas ocorrerem, para assegurar a sua contnuapertinncia, adequao e eficcia.

A.6 Organizando a segurana da informao

A.6.1 Infra-estrutura da segurana da informao

Objetivo:Gerenciar a segurana da informao dentro da organizao.

A.6.1.1Comprometimento da direocom a segurana dainformao

Controle

A Direo deve apoiar ativamente a segurana da informaodentro da organizao, por meio de um claro direcionamento,demonstrando o seu comprometimento, definindo atribuiesde forma explcita e conhecendo as responsabilidades pelasegurana da informao.

A.6.1.2 Coordenao da seguranada informao

Controle

As atividades de segurana da informao devem sercoordenadas por representantes de diferentes partes daorganizao, com funes e papis relevantes.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

25/44



A.6.1.3Atribuio deresponsabilidades para asegurana da informao

Controle

Todas as responsabilidades pela segurana da informaodevem estar claramente definidas.

A.6.1.4

Processo de autorizao paraos recursos deprocessamento dainformao

Controle

Deve ser definido e implementado um processo de gesto deautorizao para novos recursos de processamento dainformao.

A.6.1.5 Acordos de confidencialidade

Controle

Os requisitos para confidencialidade ou acordos de nodivulgao que reflitam as necessidades da organizao para aproteo da informao devem ser identificados e analisadoscriticamente, de forma regular.

A.6.1.6 Contato com autoridades

Controle

Contatos apropriados com autoridades relevantes devem sermantidos.

A.6.1.7 Contato com gruposespeciais

Controle

Contatos apropriados com grupos de interesses especiais ououtros fruns especializados de segurana da informao eassociaes profissionais devem ser mantidos.

A.6.1.8Anlise crtica independentede segurana da informao

Controle

O enfoque da organizao para gerenciar a segurana dainformao e a sua implementao (por exemplo, controles,objetivo dos controles, polticas, processos e procedimentospara a segurana da informao) deve ser analisado

criticamente, de forma independente, a intervalos planejados,ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao.

A.6.2 Partes externas

Objetivo:Manter a segurana dos recursos de processamento da informao e da informao daorganizao, que so acessados, processados, comunicados ou gerenciados por partes externas.

A.6.2.1Identificao dos riscosrelacionados com partesexternas

Controle

Os riscos para os recursos de processamento da informao epara a informao da organizao oriundos de processos donegcio que envolvam as partes externas devem seridentificados e controles apropriados devem ser implementadosantes de se conceder o acesso.

A.6.2.2Identificando a segurana dainformao quando tratandocom os clientes.

Controle

Todos os requisitos de segurana da informao identificadosdevem ser considerados antes de conceder aos clientes oacesso aos ativos ou s informaes da organizao.

A.6.2.3Identificando segurana dainformao nos acordos comterceiros

Controle

Os acordos com terceiros envolvendo o acesso,processamento, comunicao ou gerenciamento dos recursosde processamento da informao ou da informao daorganizao, ou o acrscimo de produtos ou servios aos

recursos de processamento da informao devem cobrir todosos requisitos de segurana da informao relevantes.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

26/44



A.7 Gesto de ativos

A.7.1 Responsabilidade pelos ativos

Objetivo:Alcanar e manter a proteo adequada dos ativos da organizao.

A.7.1.1 Inventrio dos ativos

Controle

Todos os ativos devem ser claramente identificados e uminventrio de todos os ativos importantes deve ser estruturadoe mantido.

A.7.1.2 Proprietrio dos ativos

Controle

Todas as informaes e ativos associados com os recursos deprocessamento da informao devem ter um "proprietrio"3)designado por uma parte definida da organizao.

A.7.1.3 Uso aceitvel dos ativos

Controle

Devem ser identificadas, documentadas e implementadasregras para que seja permitido o uso de informaes e deativos associados aos recursos de processamento dainformao.

A.7.2 Classificao da informao

Objetivo:Assegurar que a informao receba um nvel adequado de proteo.

A.7.2.1 Recomendaes paraclassificao

Controle

A informao deve ser classificada em termos do seu valor,requisitos legais, sensibilidade e criticidade para a organizao.

A.7.2.2 Rtulos e tratamento dainformao

Controle

Um conjunto apropriado de procedimentos para rotular e tratara informao deve ser definido e implementado de acordo como esquema de classificao adotado pela organizao.

A.8 Segurana em recursos humanos

A.8.1 Antes da contratao4)

Objetivo:Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, eestejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

A.8.1.1 Papis e responsabilidades

Controle

Os papis e responsabilidades pela segurana da informaode funcionrios, fornecedores e terceiros devem ser definidos e

documentados de acordo com a poltica de segurana dainformao da organizao.

3) Explicao: O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada paracontrolar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significaque a pessoa realmente tenha qualquer direito de propriedade pelo ativo4) Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao depessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos eencerramento de quaisquer destas situaes.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

27/44



A.8.1.2 Seleo

Controle

Verificaes de controle de todos os candidatos a emprego,fornecedores e terceiros devem ser realizadas de acordo comas leis relevantes, regulamentaes e ticas, eproporcionalmente aos requisitos do negcio, classificaodas informaes a serem acessadas e aos riscos percebidos.

A.8.1.3 Termos e condies decontratao

Controle

Como parte das suas obrigaes contratuais, os funcionrios,fornecedores e terceiros devem concordar e assinar os termose condies de sua contratao para o trabalho, os quaisdevem declarar as suas responsabilidade e da organizaopara a segurana da informao.

A.8.2 Durante a contratao

Objetivo:Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e

preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e estopreparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhosnormais, e para reduzir o risco de erro humano.

A.8.2.1 Responsabilidades da direo

Controle

A direo deve solicitar aos funcionrios, fornecedores eterceiros que pratiquem a segurana da informao de acordocom o estabelecido nas polticas e procedimentos daorganizao.

A.8.2.2Conscientizao, educao etreinamento em segurana da

informao

Controle

Todos os funcionrios da organizao e, onde pertinente,fornecedores e terceiros devem receber treinamento

apropriado em conscientizao, e atualizaes regulares naspolticas e procedimentos organizacionais relevantes para assuas funes.

A.8.2.3 Processo disciplinar

Controle

Deve existir um processo disciplinar formal para os funcionriosque tenham cometido uma violao da segurana dainformao.

A.8.3 Encerramento ou mudana da contratao

Objetivo:Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalhode forma ordenada.

A.8.3.1 Encerramento de atividadesControleAs responsabilidades para realizar o encerramento ou amudana de um trabalho devem ser claramente definidas eatribudas.

A.8.3.2 Devoluo de ativos

Controle

Todos os funcionrios, fornecedores e terceiros devemdevolver todos os ativos da organizao que estejam em suaposse aps o encerramento de suas atividades, do contrato ouacordo.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

28/44



A.8.3.3Retirada de direitos deacesso

Controle

Os direitos de acesso de todos os funcionrios, fornecedores eterceiros s informaes e aos recursos de processamento dainformao devem ser retirados aps o encerramento de suasatividades, contratos ou acordos, ou devem ser ajustados apsa mudana destas atividades.

A.9 Segurana fsica e do ambiente

A.9.1 reas seguras

Objetivo:Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaesda organizao.

A.9.1.1 Permetro de segurana fsica

Controle

Devem ser utilizados permetros de segurana (barreiras taiscomo paredes, portes de entrada controlados por carto oubalces de recepo com recepcionistas) para proteger asreas que contenham informaes e recursos deprocessamento da informao.

A.9.1.2 Controles de entrada fsica

Controle

As reas seguras devem ser protegidas por controlesapropriados de entrada para assegurar que somente pessoasautorizadas tenham acesso.

A.9.1.3 Segurana em escritriossalas e instalaes

Controle

Deve ser projetada e aplicada segurana fsica para escritrios,salas e instalaes.

A.9.1.4 Proteo contra ameaasexternas e do meio ambiente

Controle

Deve ser projetada e aplicada proteo fsica contra incndios,enchentes, terremotos, exploses, perturbaes da ordempblica e outras formas de desastres naturais ou causadospelo homem.

A.9.1.5 Trabalhando em reasseguras

Controle

Deve ser projetada e aplicada proteo fsica, bem comodiretrizes para o trabalho em reas seguras.

A.9.1.6

Acesso do pblico, reas de

entrega e de carregamento

Controle

Pontos de acesso, tais como reas de entrega e decarregamento e outros pontos em que pessoas no

autorizadas possam entrar nas instalaes, devem sercontrolados e, se possvel, isolados dos recursos deprocessamento da informao, para evitar o acesso noautorizado.

A.9.2 Segurana de equipamentos

Objetivo:Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades daorganizao.

A.9.2.1 Instalao e proteo doequipamento

Controle

Os equipamentos devem ser colocados no local ou protegidospara reduzir os riscos de ameaas e perigos do meio ambiente,bem como as oportunidades de acesso no autorizado.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

29/44



A.9.2.2 Utilidades

Controle

Os equipamentos devem ser protegidos contra falta de energiaeltrica e outras interrupes causadas por falhas dasutilidades.

A.9.2.3 Segurana do cabeamento

Controle

O cabeamento de energia e de telecomunicaes quetransporta dados ou d suporte aos servios de informaesdeve ser protegido contra interceptao ou danos.

A.9.2.4 Manuteno dosequipamentos

Controle

Os equipamentos devem ter manuteno correta, paraassegurar sua disponibilidade e integridade permanente.

A.9.2.5

Segurana de equipamentos

fora das dependncias daorganizao

Controle

Devem ser tomadas medidas de segurana para equipamentos

que operem fora do local, levando em conta os diferentesriscos decorrentes do fato de se trabalhar fora dasdependncias da organizao.

A.9.2.6Reutilizao e alienaosegura de equipamentos

Controle

Todos os equipamentos que contenham mdias dearmazenamento de dados devem ser examinados antes dodescarte, para assegurar que todos os dados sensveis esoftwareslicenciados tenham sido removidos ousobregravados com segurana.

A.9.2.7 Remoo de propriedadeControle

Equipamentos, informaes ou softwareno devem ser

retirados do local sem autorizao prvia.A.10 Gerenciamento das operaes e comunicaes

A.10.1 Procedimentos e responsabilidades operacionais

Objetivo:Garantir a operao segura e correta dos recursos de processamento da informao.

A.10.1.1 Documentao dosprocedimentos de operao

Controle

Os procedimentos de operao devem ser documentados,mantidos atualizados e disponveis a todos os usurios quedeles necessitem.

A.10.1.2 Gesto de mudanas

Controle

Modificaes nos recursos de processamento da informao esistemas devem ser controladas.

A.10.1.3 Segregao de funes

Controle

Funes e reas de responsabilidade devem ser segregadaspara reduzir as oportunidades de modificao ou uso indevidono autorizado ou no intencional dos ativos da organizao.

A.10.1.4Separao dos recursos dedesenvolvimento, teste e deproduo

Controle

Recursos de desenvolvimento, teste e produo devem serseparados para reduzir o risco de acessos ou modificaes noautorizadas aos sistemas operacionais.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

30/44



A.10.2 Gerenciamento de servios terceirizados

Objetivo:Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios emconsonncia com acordos de entrega de servios terceirizados.

A.10.2.1 Entrega de servios

Controle

Deve ser garantido que os controles de segurana, asdefinies de servio e os nveis de entrega includos noacordo de entrega de servios terceirizados sejamimplementados, executados e mantidos pelo terceiro.

A.10.2.2Monitoramento e anlisecrtica de serviosterceirizados

Controle

Os servios, relatrios e registros fornecidos por terceirodevem ser regularmente monitorados e analisadoscriticamente, e auditorias devem ser executadas regularmente.

A.10.2.3 Gerenciamento de mudanaspara servios terceirizados

Controle

Mudanas no provisionamento dos servios, incluindomanuteno e melhoria da poltica de segurana dainformao, dos procedimentos e controles existentes, devemser gerenciadas levando-se em conta a criticidade dossistemas e processos de negcio envolvidos e areanlise/reavaliao de riscos.

A.10.3 Planejamento e aceitao dos sistemas

Objetivo:Minimizar o risco de falhas nos sistemas.

A.10.3.1 Gesto de capacidade

Controle

A utilizao dos recursos deve ser monitorada e sincronizada eas projees devem ser feitas para necessidades de

capacidade futura, para garantir o desempenho requerido dosistema.

A.10.3.2 Aceitao de sistemas

Controle

Devem ser estabelecidos critrios de aceitao para novossistemas, atualizaes e novas verses e que sejam efetuadostestes apropriados do(s) sistema(s) durante seudesenvolvimento e antes da sua aceitao.

A.10.4 Proteo contra cdigos maliciosos e cdigos mveis

Objetivo:Proteger a integridade do softwaree da informao.

A.10.4.1 Controle contra cdigosmaliciosos

Controle

Devem ser implantados controles de deteco, preveno erecuperao para proteger contra cdigos maliciosos, assimcomo procedimentos para a devida conscientizao dosusurios.

A.10.4.2 Controles contra cdigosmveis

Controle

Onde o uso de cdigos mveis autorizado, a configuraodeve garantir que o cdigo mvel autorizado opere de acordocom uma poltica de segurana da informao claramentedefinida e que cdigos mveis no autorizados tenham suaexecuo impedida.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

31/44



A.10.5 Cpias de segurana

Objetivo:Manter a integridade e disponibilidade da informao e dos recursos de processamento deinformao.

A.10.5.1Cpias de segurana dasinformaes

Controle

Cpias de segurana das informaes e dos softwaresdevemser efetuadas e testadas regularmente, conforme a poltica degerao de cpias de segurana definida.

A.10.6 Gerenciamento da segurana em redes

Objetivo:Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.

A.10.6.1 Controles de redes

Controle

Redes devem ser adequadamente gerenciadas e controladas,de forma a proteg-las contra ameaas e manter a seguranade sistemas e aplicaes que utilizam estas redes, incluindo a

informao em trnsito.

A.10.6.2 Segurana dos servios derede

Controle

Caractersticas de segurana, nveis de servio e requisitos degerenciamento dos servios de rede devem ser identificados eincludos em qualquer acordo de servios de rede, tanto paraservios de rede providos internamente como paraterceirizados.

A.10.7 Manuseio de mdias

Objetivo:Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos einterrupes das atividades do negcio.

A.10.7.1 Gerenciamento de mdiasremovveis

ControleDevem existir procedimentos implementados para ogerenciamento de mdias removveis.

A.10.7.2 Descarte de mdias

Controle

As mdias devem ser descartadas de forma segura e protegidaquando no forem mais necessrias, por meio deprocedimentos formais.

A.10.7.3Procedimentos paratratamento de informao

Controle

Devem ser estabelecidos procedimentos para o tratamento e oarmazenamento de informaes, para proteger tais

informaes contra a divulgao no autorizada ou usoindevido.

A.10.7.4 Segurana da documentaodos sistemas

Controle

A documentao dos sistemas deve ser protegida contraacessos no autorizados.

A.10.8 Troca de informaes

Objetivo:Manter a segurana na troca de informaes e softwaresinternamente organizao e comquaisquer entidades externas.

A.10.8.1 Polticas e procedimentos

para troca de informaes

Controle

Polticas, procedimentos e controles devem ser estabelecidos e

formalizados para proteger a troca de informaes em todos ostipos de recursos de comunicao.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

32/44



A.10.8.2 Acordos para a troca deinformaes

Controle

Devem ser estabelecidos acordos para a troca de informaese softwaresentre a organizao e entidades externas.

A.10.8.3 Mdias em trnsito

Controle

Mdias contendo informaes devem ser protegidas contraacesso no autorizado, uso imprprio ou alterao indevidadurante o transporte externo aos limites fsicos da organizao.

A.10.8.4 Mensagens eletrnicasControle

As informaes que trafegam em mensagens eletrnicasdevem ser adequadamente protegidas.

A.10.8.5 Sistemas de informaes donegcio

Controle

Polticas e procedimentos devem ser desenvolvidos eimplementados para proteger as informaes associadas com

a interconexo de sistemas de informaes do negcio.A.10.9 Servios de comrcio eletrnico

Objetivo:Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura.

A.10.9.1 Comrcio eletrnico

Controle

As informaes envolvidas em comrcio eletrnico transitandosobre redes pblicas devem ser protegidas de atividadesfraudulentas, disputas contratuais, divulgao e modificaesno autorizadas.

A.10.9.2 Transaes on-line

Controle

Informaes envolvidas em transaes on-linedevem ser

protegidas para prevenir transmisses incompletas, erros deroteamento, alteraes no autorizadas de mensagens,divulgao no autorizada, duplicao ou reapresentao demensagem no autorizada.

A.10.9.3 Informaes publicamentedisponveis

Controle

A integridade das informaes disponibilizadas em sistemaspublicamente acessveis deve ser protegida, para prevenirmodificaes no autorizadas.

A.10.10 Monitoramento

Objetivo:Detectar atividades no autorizadas de processamento da informao.

A.10.10.1 Registros de auditoria

Controle

Registros (log) de auditoria contendo atividades dos usurios,excees e outros eventos de segurana da informao devemser produzidos e mantidos por um perodo de tempo acordadopara auxiliar em futuras investigaes e monitoramento decontrole de acesso.

A.10.10.2 Monitoramento do uso dosistema

Controle

Devem ser estabelecidos procedimentos para o monitoramentodo uso dos recursos de processamento da informao e osresultados das atividades de monitoramento devem seranalisados criticamente, de forma regular.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

33/44



A.10.10.3 Proteo das informaesdos registros (logs)

Controle

Os recursos e informaes de registros (log) devem serprotegidos contra falsificao e acesso no autorizado.

A.10.10.4 Registros (log) deadministrador e operador

Controle

As atividades dos administradores e operadores do sistemadevem ser registradas.

A.10.10.5 Registros (logs) de falhasControle

As falhas ocorridas devem ser registradas e analisadas, edevem ser adotadas as aes apropriadas.

A.10.10.6 Sincronizao dos relgios

Controle

Os relgios de todos os sistemas de processamento deinformaes relevantes, dentro da organizao ou do domniode segurana, devem ser sincronizados de acordo com uma

hora oficial.A.11 Controle de acessos

A.11.1 Requisitos de negcio para controle de acesso

Objetivo:Controlar o acesso informao.

A.11.1.1 Poltica de controle de acesso

Controle

A poltica de controle de acesso deve ser estabelecida,documentada e analisada criticamente, tomando-se como baseos requisitos de acesso dos negcios e da segurana dainformao.

A.11.2 Gerenciamento de acesso do usurio

Objetivo:Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas deinformao.

A.11.2.1 Registro de usurio

Controle

Deve existir um procedimento formal de registro ecancelamento de usurio para garantir e revogar acessos emtodos os sistemas de informao e servios.

A.11.2.2 Gerenciamento de privilgiosControle

A concesso e o uso de privilgios devem ser restritos econtrolados.

A.11.2.3 Gerenciamento de senha dousurio

ControleA concesso de senhas deve ser controlada por meio de umprocesso de gerenciamento formal.

A.11.2.4Anlise crtica dos direitos deacesso de usurio

Controle

O gestor deve conduzir a intervalos regulares a anlise crticados direitos de acesso dos usurios, por meio de um processoformal.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

34/44



A.11.3 Responsabilidades dos usurios

Objetivo:Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informaoe dos recursos de processamento da informao.

A.11.3.1 Uso de senhasControle

Os usurios devem ser orientados a seguir boas prticas desegurana da informao na seleo e uso de senhas.

A.11.3.2 Equipamento de usurio semmonitorao

Controle

Os usurios devem assegurar que os equipamentos nomonitorados tenham proteo adequada.

A.11.3.3 Poltica de mesa limpa e telalimpa

Controle

Deve ser adotada uma poltica de mesa limpa de papis emdias de armazenamento removveis e uma poltica de telalimpa para os recursos de processamento da informao.

A.11.4 Controle de acesso rede

Objetivo:Prevenir acesso no autorizado aos servios de rede.

A.11.4.1 Poltica de uso dos serviosde rede

Controle

Os usurios devem receber acesso somente aos servios quetenham sido especificamente autorizados a usar.

A.11.4.2Autenticao para conexoexterna do usurio

Controle

Mtodos apropriados de autenticao devem ser usados paracontrolar o acesso de usurios remotos.

A.11.4.3 Identificao de equipamentoem redes

Controle

Devem ser consideradas as identificaes automticas deequipamentos como um meio de autenticar conexes vindas delocalizaes e equipamentos especficos.

A.11.4.4 Proteo e configurao deportas de diagnstico remotas

Controle

Deve ser controlado o acesso fsico e lgico para diagnosticare configurar portas.

A.11.4.5 Segregao de redesControle

Grupos de servios de informao, usurios e sistemas deinformao devem ser segregados em redes.

A.11.4.6 Controle de conexo de rede

Controle

Para redes compartilhadas, especialmente as que se estendempelos limites da organizao, a capacidade de usurios paraconectar-se rede deve ser restrita, de acordo com a polticade controle de acesso e os requisitos das aplicaes donegcio (ver 11.1).

A.11.4.7 Controle de roteamento deredes

Controle

Deve ser implementado controle de roteamento na rede paraassegurar que as conexes de computador e fluxos deinformao no violem a poltica de controle de acesso dasaplicaes do negcio.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

35/44



A.11.5 Controle de acesso ao sistema operacional

Objetivo:Prevenir acesso no autorizado aos sistemas operacionais.

A.11.5.1 Procedimentos seguros deentrada no sistema (log-on)

Controle

O acesso aos sistemas operacionais deve ser controlado porum procedimento seguro de entrada no sistema (log-on).

A.11.5.2 Identificao e autenticaode usurio

Controle

Todos os usurios devem ter um identificador nico (ID deusurio), para uso pessoal e exclusivo, e uma tcnicaadequada de autenticao deve ser escolhida para validar aidentidade alegada por um usurio.

A.11.5.3 Sistema de gerenciamento desenha

Controle

Sistemas para gerenciamento de senhas devem ser interativose assegurar senhas de qualidade.

A.11.5.4 Uso de utilitrios de sistema

Controle

O uso de programas utilitrios que podem ser capazes desobrepor os controles dos sistemas e aplicaes deve serrestrito e estritamente controlado.

A.11.5.5 Desconexo de terminal porinatividade

Controle

Terminais inativos devem ser desconectados aps um perododefinido de inatividade.

A.11.5.6 Limitao de horrio deconexo

Controle

Restries nos horrios de conexo devem ser utilizadas paraproporcionar segurana adicional para aplicaes de alto risco.

A.11.6 Controle de acesso aplicao e informao

Objetivo:Prevenir acesso no autorizado informao contida nos sistemas de aplicao.

A.11.6.1 Restrio de acesso informao

Controle

O acesso informao e s funes dos sistemas deaplicaes por usurios e pessoal de suporte deve ser restritode acordo com o definido na poltica de controle de acesso.

A.11.6.2 Isolamento de sistemassensveis

Controle

Sistemas sensveis devem ter um ambiente computacionaldedicado (isolado).

A.11.7 Computao mvel e trabalho remotoObjetivo:Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalhoremoto.

A.11.7.1 Computao e comunicaomvel

Controle

Uma poltica formal deve ser estabelecida e medidas desegurana apropriadas devem ser adotadas para a proteocontra os riscos do uso de recursos de computao ecomunicao mveis.

A.11.7.2 Trabalho remoto

Controle

Uma poltica, planos operacionais e procedimentos devem ser

desenvolvidos e implementados para atividades de trabalhoremoto.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

36/44



A.12 Aquisio, desenvolvimento e manuteno de sistemas de informao

A.12.1 Requisitos de segurana de sistemas de informao

Objetivo:Garantir que segurana parte integrante de sistemas de informao.

A.12.1.1 Anlise e especificao dosrequisitos de segurana

Controle

Devem ser especificados os requisitos para controles desegurana nas especificaes de requisitos de negcios, paranovos sistemas de informao ou melhorias em sistemasexistentes.

A.12.2 Processamento correto de aplicaes

Objetivo:Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes emaplicaes.

A.12.2.1 Validao dos dados de

entrada

Controle

Os dados de entrada de aplicaes devem ser validados paragarantir que so corretos e apropriados.

A.12.2.2Controle do processamentointerno

Controle

Devem ser incorporadas, nas aplicaes, checagens devalidao com o objetivo de detectar qualquer corrupo deinformaes, por erros ou por aes deliberadas.

A.12.2.3 Integridade de mensagens

Controle

Requisitos para garantir a autenticidade e proteger aintegridade das mensagens em aplicaes devem seridentificados e os controles apropriados devem seridentificados e implementados.

A.12.2.4 Validao de dados de sada

Controle

Os dados de sada das aplicaes devem ser validados paraassegurar que o processamento das informaes armazenadasest correto e apropriado s circunstncias.

A.12.3 Controles criptogrficos

Objetivo:Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meioscriptogrficos.

A.12.3.1 Poltica para o uso decontroles criptogrficos

Controle

Deve ser desenvolvida e implementada uma poltica para o usode controles criptogrficos para a proteo da informao.

A.12.3.2 Gerenciamento de chavesControle

Um processo de gerenciamento de chaves deve ser implantadopara apoiar o uso de tcnicas criptogrficas pela organizao.

A.12.4 Segurana dos arquivos do sistema

Objetivo:Garantir a segurana de arquivos de sistema.

A.12.4.1 Controle de softwareoperacional

Controle

Procedimentos para controlar a instalao de softwareemsistemas operacionais devem ser implementados.

A.12.4.2 Proteo dos dados parateste de sistema

Controle

Os dados de teste devem ser selecionados com cuidado,protegidos e controlados.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

37/44



A.12.4.3 Controle de acesso aocdigo- fonte de programa

Controle

O acesso ao cdigo-fonte de programa deve ser restrito.

A.12.5 Segurana em processos de desenvolvimento e de suporteObjetivo:Manter a segurana de sistemas aplicativos e da informao.

A.12.5.1 Procedimentos para controlede mudanas

Controle

A implementao de mudanas deve ser controlada utilizandoprocedimentos formais de controle de mudanas.

A.12.5.2Anlise crtica tcnica dasaplicaes aps mudanasno sistema operacional

Controle

Aplicaes crticas de negcios devem ser analisadascriticamente e testadas quando sistemas operacionais somudados, para garantir que no haver nenhum impactoadverso na operao da organizao ou na segurana.

A.12.5.3Restries sobre mudanasem pacotes de software

Controle

Modificaes em pacotes de softwareno devem serincentivadas e devem estar limitadas s mudanasnecessrias, e todas as mudanas devem ser estritamentecontroladas.

A.12.5.4 Vazamento de informaesControle

Oportunidades para vazamento de informaes devem serprevenidas.

A.12.5.5Desenvolvimento terceirizadode software

Controle

A organizao deve supervisionar e monitorar o

desenvolvimento terceirizado de software.A.12.6 Gesto de vulnerabilidades tcnicas

Objetivo:Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.

A.12.6.1Controle de vulnerabilidadestcnicas

Controle

Deve ser obtida informao em tempo hbil sobrevulnerabilidades tcnicas dos sistemas de informao em uso,avaliada a exposio da organizao a estas vulnerabilidades etomadas as medidas apropriadas para lidar com os riscosassociados.

A.13 Gesto de incidentes de segurana da informao

A.13.1 Notificao de fragilidades e eventos de segurana da informaoObjetivo:Assegurar que fragilidades e eventos de segurana da informao associados com sistemas deinformao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.

A.13.1.1 Notificao de eventos desegurana da informao

Controle

Os eventos de segurana da informao devem ser relatadosatravs dos canais apropriados da direo, o mais rapidamentepossvel.

A.13.1.2Notificando fragilidades desegurana da informao

Controle

Os funcionrios, fornecedores e terceiros de sistemas eservios de informao devem ser instrudos a registrar e

notificar qualquer observao ou suspeita de fragilidade emsistemas ou servios.

Cpia no autorizada

8/3/2019 ABNT NBR ISOIEC 27001-2006

38/44



A.13.2 Gesto de incidentes de segurana da informao e melhorias

Objetivo:Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de seguranada informao.

A.13.2.1Responsabilidades eprocedimentos

Controle

Responsabilidades e procedimentos de gesto devem serestabelecidos para assegurar respostas rpidas, efetivas eordenadas a incidentes de segurana da informao.

A.13.2.2Aprendendo com osincidentes de segurana dainformao

Controle

Devem ser estabelecidos mecanismos para permitir que tipos,quantidades e custos dos incidentes de segurana dainformao sejam quantificados e monitorados.

A.13.2.3 Coleta de evidncias

Controle

Nos casos em que uma ao de acompanhamento contra uma

pessoa ou organizao, aps um incidente de segurana dainformao, envolver uma ao legal (civil ou criminal),evidncias devem ser coletadas, armazenadas e apresentadasem conformidade com as normas de armazenamento deevidncias da jurisdio ou jurisdies pertinentes.

A.14 Gesto da continuidade do negcio

A.14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao

Objetivo:No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitosde falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.

A.14.1.1

Incluindo segurana da

informao no processo degesto da continuidade denegcio

Controle

Um processo de gesto deve ser desenvolvido e mantido paraassegurar a continuidade do negcio por toda a organizao eque contemple os requisitos de segurana da informaonecessrios para a continuidade do negcio da organizao.

A.14.1.2 Continuidade de negcios eanlise/avaliao de risco

Controle

Devem ser identificados os eventos que podem causarinterrupes aos processos de negcio, junto probabilidade eimpacto de tais interrupes e as conseqncias para asegurana de informao.

A.14.1.3

Desenvolvimento e

implementao de planos decontinuidade relativos segurana da informao

Controle

Os planos devem ser desenvolvidos e imp

abnt nbr isoiec 27001-2006

Documents