Scribd
Carregar
731 visualizações24 páginas

ISO/IEC 27001:2022 - Requisitos de Segurança

requisitos

Enviado por

Thata Caetano
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato DOCX, PDF, TXT ou leia on-line no Scribd
731 visualizações24 páginas

ISO/IEC 27001:2022 - Requisitos de Segurança

requisitos

Enviado por

Thata Caetano
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato DOCX, PDF, TXT ou leia on-line no Scribd

ISO/ IEC 27001:2022 – Segurança da informação,

segurança cibernética e proteção da privacidade —


Sistemas de gestão da segurança da informação —
Requisito

Sumário

0 Introdução...........................................................................................................................................................1
0.1 Generalidades..............................................................................................................................................1
0.2 Compatibilidade com outras normas de sistemas de gestão....................................................................1
Segurança da informação, segurança cibernética e proteção da privacidade — Sistemas de gestão da
segurança da informação — Requisitos1 Escopo.................................................................................................2
1 Escoppo...............................................................................................................................................................2
2 Referências normativas......................................................................................................................................2
3 Termos e definições............................................................................................................................................2
4 Contexto da organização....................................................................................................................................2
4.1 Entendendo a organização e seu contexto.................................................................................................2
4.2 Entendendo as necessidades e expectativas de partes interessadas.......................................................3
4.3 Determinando o escopo do sistema da Segurança da Informação...........................................................3
4.4 Sistema de gestão da Segurança da Informação........................................................................................3
5 Liderança.............................................................................................................................................................3
5.1 Liderança e comprometimento...................................................................................................................3
5.2 Política..........................................................................................................................................................4
5.3 Papéis, responsabilidades e autoridades organizacionais.........................................................................4
6 Planejamento......................................................................................................................................................5
6.1 Ações para abordar riscos e oportunidades...............................................................................................5
6.1.1 Generalidades.......................................................................................................................................5
6.1.2 Avaliação de riscos de segurança da informação................................................................................5
6.1.3 Tratamento de riscos de segurança da informação............................................................................6
6.2 Objetivo de segurança da informação e planos para alcançá-los.............................................................6
6.3 Planejamento de mudanças........................................................................................................................7
7 Apoio...................................................................................................................................................................7
7.1 Recursos.......................................................................................................................................................7
7.2 Competência................................................................................................................................................7
7.3 Conscientização............................................................................................................................................8
7.4 Comunicação................................................................................................................................................8
7.5 Informação documentada...........................................................................................................................8
7.5.1 Generalidades.......................................................................................................................................8
7.5.2 Criando e atualizando...........................................................................................................................9
7.5.3 Controle de informação documentada................................................................................................9
8 Operação.............................................................................................................................................................9
8.1 Planejamento e controle operacional........................................................................................................9
8.2 Avaliação de riscos de segurança da informação.....................................................................................10
8.3 Tratamento dos riscos de segurança da informação...............................................................................10
9 Avaliação do desempenho...............................................................................................................................10
9.1 Monitoramento, medição, análise e avaliação........................................................................................10
9.2 Auditoria interna.......................................................................................................................................10
9.2.1 Generalidades.....................................................................................................................................10

9.2.2 Programa de auditoria interna..........................................................................................................11


9.3 Análise crítica pela direção.......................................................................................................................11
9.3.1 Generalidades.....................................................................................................................................11
9.3.2 Entradas para a Análise Crítica..........................................................................................................11
9.3.3 Saídas da análise crítica......................................................................................................................12
10 Melhoria..........................................................................................................................................................12
10.1 Melhoria contínua...................................................................................................................................12
10.2 Não conformidade e ação corretiva.......................................................................................................12
Anexo A................................................................................................................................................................14
Bibliografia...........................................................................................................................................................23
3
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

1 Escopo

Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também
inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as
necessidades da organização. Os requisitos definidos nesta Norma são genéricos e são pretendidos para
serem aplicáveis a todas as organizações independentemente do tipo, tamanho ou natureza. A exclusão de
quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável quando a organização busca a
conformidade com esta Norma.

2 Referências normativas

O documento relacionado a seguir é indispensável à aplicação deste documento. Para referências datadas,
aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se as edições mais recentes do
referido documento (incluindo emendas).

ISO/IEC 27000, Information technology -- Security techniques -- Information security management systems --
Overview and vocabulary.

3 Termos e definições

Para os propósitos deste documento, aplicam-se os termos e definições contidos na ISO/IEC 27000.

A ISO e a IEC mantêm bancos de dados de terminologia para uso em padronização nos seguintes endereços:

— Plataforma de navegação ISO Online: disponível em [Link]

— IEC Electropedia: disponível em [Link]

4 Contexto da organização
4.1 Entendendo a organização e seu contexto

A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e
que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança
da informação.
NOTA: A determinação destas questões refere-se ao estabelecimento do contexto interno e externo da organização
considerado na cláusula 5.4.1 da ISO 31000:2018.
4
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

4.2 Entendendo as necessidades e expectativas de partes interessadas

A organização deve determinar:

a) as partes interessadas que são relevantes para o sistema de gestão da segurança da informação;

b) os requisitos relevantes dessas partes interessadas;

c) quais desses requisitos serão atendidos por meio do sistema de gestão da segurança da informação.
NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulatórios, bem como obrigações
contratuais.

4.3 Determinando o escopo do sistema da Segurança da Informação

A organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da informação


para estabelecer o seu escopo.

Quando determinando seu escopo, a organização deve considerar:

a) as questões internas e externas referenciadas em 4.1;

b) os requisitos referenciados em 4.2; e

c) as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que são
desempenhadas por outras organizações.

O escopo deve estar disponível como informação documentada.

4.4 Sistema de gestão da Segurança da Informação

A organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da


segurança da informação, de acordo com os requisitos desta Norma.

5 Liderança
5.1 Liderança e comprometimento

A Alta Direção deve demostrar sua liderança e comprometimento em relação ao sistema de gestão da
segurança da informação pelos seguintes meios:

a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão


estabelecidos e são compatíveis com o direcionamento estratégico da organização;

b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro dos
processos da organização;

c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação estejam
disponíveis;

d) comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade com os


requisitos do sistema de gestão da segurança da informação;
5
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

e) assegurando que o sistema de gestão da segurança da informação alcance os resultados pretendidos;

f) orientando e apoiando pessoas para que contribuam para eficácia do sistema de gestão da segurança da
informação;

g) promovendo a melhoria contínua; e

h) apoiando outros papéis relevantes da gestão para demostrar como sua liderança se aplica às áreas sob sua
responsabilidade.
NOTA: A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar aquelas
atividades que são essenciais para os propósitos da existência da organização.

5.2 Política

A Alta Direção deve estabelecer uma política de segurança da informação que:

a) seja apropriada ao propósito da organização;

b) inclua os objetivos de segurança da informação (ver 6.2) ou forneça uma estrutura para estabelecer os
objetivos de segurança da informação;

c) inclua um comprometimento para satisfazer os requisitos aplicáveis relacionados com segurança da


informação; e

d) inclua um comprometimento para a melhoria contínua do sistema de gestão da segurança da informação.

A política de segurança da informação deve:

e) estar disponível como informação documentada;

f) ser comunicada dentro da organização; e

g) estar disponível para as partes interessadas, como apropriado.

5.3 Papéis, responsabilidades e autoridades organizacionais

A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança
da informação sejam atribuídos e comunicados.

A Alta Direção deve atribuir a responsabilidade e autoridade para:

a) assegurar que o sistema de gestão da segurança da informação está em conformidade com os requisitos
desta Norma;

b) relatar sobre o desempenho do sistema de gestão da segurança da informação para a Alta Direção.
NOTA: A Alta Direção pode também atribuir responsabilidades e autoridades para relatar o desempenho do sistema de
gestão da segurança da informação dentro da organização.
6
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

6 Planejamento
6.1 Ações para abordar riscos e oportunidades
6.1.1 Generalidades

Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar


as questões referenciadas em 4.1 e os requisitos descritos em 4.2 e determinar os riscos e oportunidades que
precisam ser considerados para:

a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos;

b) prevenir ou reduzir os efeitos indesejados; e

c) alcançar a melhoria contínua.

A organização deve planejar:

d) as ações para considerar estes riscos e oportunidades; e

e) como:

1) integrar e implementar estas ações dentro dos processos do seu sistema de gestão da segurança da
informação; e

2) avaliar a eficácia destas ações.

6.1.2 Avaliação de riscos de segurança da informação

A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:

1) os critérios de aceitação do risco; e

2) os critérios para desempenhar as avaliações dos riscos de segurança da informação;

b) assegure que as repetidas avaliações de riscos de segurança da informação produzam resultados


consistentes, válidos e comparáveis;

c) identifique os riscos de segurança da informação:

1) aplicando o processo de avaliação dos riscos de segurança da informação para identificar os riscos
associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do
escopo do sistema de gestão da segurança da informação; e

2) identifique os responsáveis pelos riscos.

d) analise os riscos de segurança da informação:

1) avaliando as consequências potenciais que podem resultar se os riscos identificados em 6.1.2 c) 1)


forem materializados

2) avaliando a probabilidade realística da ocorrência dos riscos identificados em 6.1.2 c) 1); e

3) determinando os níveis de risco;


7
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

e) avalie os riscos de segurança da informação:

1) comparando os resultados da análise dos riscos com os critérios de riscos estabelecidos em 6.1.2 a); e

2) priorizando os riscos analisados para tratamento.

A Organização deve reter informação documentada sobre o processo de avalição de riscos de segurança da
informação.

6.1.3 Tratamento de riscos de segurança da informação.

A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando
em consideração os resultados da avaliação dos riscos;

b) determinar todos os controles que são necessários para implementar as opções de tratamento dos riscos
da segurança da informação escolhidas;
NOTA 1: As organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte.

c) comparar os controles determinados em 6.1.3 b) acima com aqueles no Anexo A e verificar que nenhum
controle necessário tenha sido omitido;
NOTA 2: O Anexo A contém uma lista de possíveis controles de segurança da informação. Os usuários desta Norma são
instruídos a utilizar o Anexo A para garantir que nenhum controle necessário tenha sido omitido;

NOTA 3: Os controles de segurança da informação listados no Anexo A não são exaustivos e controles e controles
adicionais de segurança da informação podem ser incluídos, se necessário.

d) elaborar uma declaração de aplicabilidade que contenha:

- os controles necessários (ver 6.1.3b) e c));

- justificativa para sua inclusão;

- se os controles necessários estão implementados ou não; e

- justificativa para a exclusão de quaisquer controles do Anexo A;

e) preparar um plano para tratamento dos riscos de segurança da informação;

f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da
informação e a aceitação dos riscos residuais de segurança da informação;

A organização deve manter a informação documentada relativa ao processo de tratamento dos riscos de
segurança da informação;
NOTA 4: O processo de tratamento e a avaliação dos riscos de segurança da informação desta norma está alinhado com
os princípios e diretrizes gerais definidas na ISO 31000.

6.2 Objetivo de segurança da informação e planos para alcançá-los

A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis relevantes.
8
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

Os objetivos de segurança da informação devem:

a) ser consistentes com a política de segurança da informação;

b) ser mensurável (se praticável);

c) levar em conta os requisitos de segurança da informação aplicáveis, e os resultados da avaliação e


tratamento dos riscos;

d) ser monitorados;

e) ser comunicados;

f) ser atualizados como apropriado;

g) estar disponíveis como informação documentada.

A organização deve reter informação documentada dos objetivos de segurança da informação. Quando do
planejamento para alcançar os seus objetivos de segurança da informação, a organização deve determinar:

h) o que será feito;

i) quais recursos serão necessários;

j) quem será responsável;

k) quando será concluído;

l) como os resultados serão avaliados.

6.3 Planejamento de mudanças

Quando a Organização determinar a necessidade de mudanças em seu sistema de gestão da segurança da


informação, essas mudanças devem ser conduzidas de forma planejada.

7 Apoio
7.1 Recursos

A organização deve determinar e prover os recursos necessários para o estabelecimento, implementação,


manutenção e melhoria contínua do sistema de gestão da segurança da informação.

7.2 Competência

A organização deve:

a) determinar a competência necessária das pessoas que realizam trabalhos sob o seu controle e que afetam
o seu desempenho em segurança da informação;

b) assegurar que essas pessoas são competentes com base na educação, treinamento ou experiência;
9
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

c) onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas;
e

d) reter informação documentada apropriada como evidência da competência.


NOTA: Ações apropriadas podem incluir, por exemplo: fornecimento de treinamento, mentoria ou realocação dos
funcionários atuais; ou a contratação de pessoas competentes.

7.3 Conscientização

Pessoas que realizam trabalhos sob o controle da organização devem estar conscientes sobre:

a) a política de segurança da informação;

b) suas contribuições para a eficácia do sistema de gestão da segurança da informação, incluindo os


benefícios da melhoria do desempenho da segurança da informação; e

c) as implicações de não estar em conformidade com os requisitos do sistema de gestão da segurança da


informação.

7.4 Comunicação

A organização deve determinar a necessidade de comunicações internas e externas relevantes para o sistema
de gestão da segurança da informação incluindo:

a) o que comunicar;

b) quando comunicar;

c) como comunicar;

d) quem será comunicado.

7.5 Informação documentada


7.5.1 Generalidades

O sistema de gestão da segurança da informação da organização deve incluir:

a) informação documentada, requerida por esta Norma; e

b) informação documentada, determinada pela organização como sendo necessária para a eficácia do
sistema da gestão de segurança da informação.
NOTA: A extensão da informação documentada para um sistema de gestão da segurança da informação pode diferir de
uma organização para outra, devido:

a) tamanho da organização e seu tipo de atividades, processos, produtos e serviços;

b) a complexidade dos processos e suas interações; e

c) a competência das pessoas.


1
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da 0
privacidade — Sistemas de gestão da segurança da informação — Requisitos

7.5.2 Criando e atualizando

Ao criar e atualizar informação documentada, a organização deve assegurar apropriados(as):

a) identificação e descrição (por exemplo, um título, data, autor ou número de referência);

b) formato (por exemplo, linguagem, versão do software, gráficos) e meio (por exemplo, papel, eletrônico); e

c) análise crítica e aprovação quanto à adequação e suficiência.

7.5.3 Controle de informação documentada

A informação documentada requerida pelo sistema de gestão da segurança da informação e por esta Norma
deve ser controlada para assegurar:

a) que esteja disponível e adequada para o uso, onde e quando ela for necessária;

b) que esteja adequadamente protegida (por exemplo, contra perda de confidencialidade, uso impróprio ou
perda de integridade).

Para o controle da informação documentada, a organização deve considerar as seguintes atividades, como
aplicável:

a) distribuição, acesso, recuperação e uso;

b) armazenagem e preservação, incluindo a preservação da legibilidade;

c) controle de mudanças (por exemplo, controle de versão); e

d) Retenção e disposição.

A informação documentada de origem externa, determinada pela organização como necessária para o
planejamento e operação do sistema de gestão da segurança da informação, deve ser identificada como
apropriado, e controlada.
NOTA: Acesso pode implicar uma decisão quanto à permissão para somente ver a informação documentada, ou a
permissão e autoridade para ver e alterar a informação documentada etc.

8 Operação
8.1 Planejamento e controle operacional

A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos, e
para implementar as ações determinadas na cláusula 6, por meio:

- do estabelecimento de critérios para os processos;

- da implementação do controle dos processos de acordo com os critérios estabelecidos.

Informação documentada deve estar disponível na extensão necessária para gerar confiança de que os
processos tenham sido conduzidos conforme planejado.
10
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças


não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.

A organização deve assegurar que aqueles processos, produtos e serviços providos externamente que sejam
relevantes para o sistema de gestão da segurança da informação sejam controlados.

8.2 Avaliação de riscos de segurança da informação

A organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados ou


quando mudanças significativas forem propostas ou ocorrerem, levando em conta os critérios estabelecidos
em 6.1.2 a).

A organização deve reter informação documentada dos resultados das avaliações de risco de segurança da
informação.

8.3 Tratamento dos riscos de segurança da informação

A organização deve implementar o plano de tratamento de riscos de segurança da informação.

A organização deve reter informação documentada dos resultados do tratamento dos riscos de segurança da
informação.

9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação

A organização deve determinar:

a) o que precisa ser monitorado e medido, incluindo controles e processos de segurança da informação;

b) os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar
resultados válidos. Os métodos selecionados comparáveis e reproduzíveis para serem válidos.

c) quando o monitoramento e a medição devem ser realizados;

d) quem deve medir e monitorar;

e) quando os resultados do monitoramento e da medição devem ser analisados e avaliados; e

f) quem deve analisar e avaliar estes resultados.

Informação documentada deve estar disponível como evidência dos resultados.

A Organização deve avaliar o desempenho e a eficácia do sistema de gestão da segurança da informação.


9.2 Auditoria interna
9.2.1 Generalidades

A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o
quanto o sistema de gestão da segurança da informação:
11
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

a) está em conformidade com:

1) os requisitos da própria organização para o seu sistema de gestão da segurança da informação;

2) os requisitos desta Norma;

b) está efetivamente implementado e mantido.

9.2.2 Programa de auditoria interna

Organização deve planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a


frequência, métodos, responsabilidades, requisitos de planejamento e relatórios.

Quando do estabelecimento do(s) programa(s) de auditoria interna, a organização deve considerar a


importância dos processos pertinentes e os resultados de auditorias anteriores.

A organização deve:

a) definir os critérios e o escopo da auditoria, para cada auditoria;

b) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do processo de


auditoria;

c) assegurar que os resultados das auditorias são relatados para a gestão relevante.

Informação documentada deve estar disponível como evidência da implementação do(s) programa(s) de
auditoria e dos resultados da auditoria.

9.3 Análise crítica pela direção


9.3.1 Generalidades

A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização a
intervalos planejados para assegurar a sua contínua adequação, pertinência e eficácia.

9.3.2 Entradas para a Análise Crítica

A análise crítica pela Direção deve incluir considerações sobre:

a) situação das ações de análises críticas anteriores;

b) mudanças nas questões internas e externas, que sejam relevantes para o sistema de gestão da segurança
da informação;

c) Mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o sistema de
gestão de segurança da informação;

d) realimentação sobre o desempenho da segurança da informação, incluindo tendências nas:


12
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados de auditorias; e

4) cumprimento dos objetivos de segurança da informação.

e) realimentação das partes interessadas;

f) resultados da avaliação dos riscos e situação dos planos de tratamento dos riscos; e

g) oportunidades para melhoria contínua.

9.3.3 Saídas da análise crítica

Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para melhoria
contínua e quaisquer necessidades para mudanças do sistema de gestão da segurança da informação.

Informação documentada deve estar disponível como evidência dos resultados das análises críticas pela
direção.

10 Melhoria
10.1 Melhoria contínua

A organização deve continuamente melhorar a pertinência, adequação e eficácia do sistema de gestão da


segurança da informação.

10.2 Não conformidade e ação corretiva

Quando uma não conformidade ocorre, a organização deve:

a) reagir à não conformidade, e conforme apropriado:

1) tomar ações para controlar e corrigi-la; e

2) tratar com as consequências;

b) avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua repetição ou
ocorrência, por um dos seguintes meios:

1) analisando criticamente a não conformidade;


13
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

2) determinando as causas da não conformidade; e

3) determinando se não conformidades similares existem, ou podem potencialmente ocorrer.

c) implementar quaisquer ações necessárias;

d) analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e

e) realizar mudanças no sistema de gestão da segurança da informação, quando necessário.

As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.

A organização deve reter informação documentada como evidência da:

f) natureza das não conformidades e quaisquer ações subsequentes tomadas; e

g) resultados de qualquer ação corretiva.


14
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

Anexo A
(normativo)

Referência de Objetivos de Controle e Controles


Os controles de segurança da informação listados na Tabela A.1 são diretamente derivados e estão alinhados
com aqueles listados na ISO/ IEC 27002:2022.

Tabela A.1 - Controles de Segurança da Informação


A.5 Controles organizacionais

A.5.1 Políticas para segurança Controle


da informação Uma política de segurança da informação e políticas por tópicos
específicos devem ser definidas, aprovadas pela administração,
publicadas, comunicadas e reconhecidas pelo pessoal e partes
interessadas relevantes, e revisadas em intervalos planejados e se
ocorrerem mudanças significativas.
A.5.2 Papéis e responsabilidades Controle
pela segurança da As funções e responsabilidades pela segurança da informação
informação devem ser definidas e alocadas de acordo com as necessidades da
organização.
A.5.3 Segregação de funções Controle
Deveres e áreas de responsabilidade conflitantes devem ser
segregados.
A.5.4 Responsabilidades da Controle
direção A administração deve exigir que todo o pessoal aplique a
segurança da informação de acordo com a política de segurança da
informação, políticas de tópicos específicos e os procedimentos
estabelecidos pela organização.
A.5.5 Contato com autoridades Controle
A organização deve estabelecer e manter contato com as
autoridades relevantes.
A.5.6 Contato com grupos de Controle
interesse especial A organização deve estabelecer e manter contato com grupos de
interesse especial ou outros fóruns especializados em segurança e
associações profissionais.
A.5.7 Inteligência sobre ameaças Controle
As informações relacionadas a ameaças à segurança da informação
devem ser coletadas e analisadas para produzir inteligência sobre
ameaças.
A.5.8 Segurança da informação Controle
no gerenciamento de A segurança da informação deve ser integrada ao gerenciamento de
projetos projetos.
15
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.5.9 Inventário das Controle


informações e outros Um inventário de informações e outros ativos associados, incluindo
ativos associados. proprietários, deve ser desenvolvido e mantido.
A.5.10 Uso aceitável da Controle
informação e outros ativos As regras para o uso aceitável e os procedimentos para lidar com
associados informações e outros ativos associados devem ser identificados,
documentados e implementados.
A.5.11 Retorno dos ativos Controle
O pessoal e outras partes interessadas, conforme apropriado,
devem devolver todos os ativos da organização em sua posse
mediante mudança ou término de seu emprego, contrato ou
acordo.
A.5.12 Classificação da Controle
informação As informações devem ser classificadas de acordo com as
necessidades de segurança da informação da organização, com
base na confidencialidade, integridade, disponibilidade e requisitos
relevantes das partes interessadas.
A.5.13 Rotulagem da informação Controle
Um conjunto apropriado de procedimentos para rotulagem de
informações deve ser desenvolvido e implementado de acordo com
o esquema de classificação de informações adotado pela
organização.
A.5.14 Transferência de Controle
informações Regras, procedimentos ou acordos de transferência de informações
devem estar em vigor para todos os tipos de meios de transferência
dentro da organização e entre a organização e outras partes.
A.5.15 Controle de acesso Controle
Regras para controlar o acesso físico e lógico às informações e
outros ativos associados devem ser estabelecidas e implementadas
com base em requisitos de negócio e da segurança da informação.
A.5.16 Gestão de identidades Controle
O ciclo de vida completo das identidades deve ser gerenciado.
A.5.17 Informação de Controle
autenticação A alocação e o gerenciamento das informações de autenticação
devem ser controlados por um processo de gestão, incluindo o
aconselhamento do pessoal sobre o manuseio adequado das
informações de autenticação.
A.5.18 Direitos de acesso Controle
Os direitos de acesso a informações e outros ativos associados
devem ser provisionados, revisados, modificados e removidos de
acordo com a política específica para esse tópico da organização e
as regras para controle de acesso.
16
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.5.19 Segurança da informação Controle


no relacionamento com Processos e procedimentos devem ser definidos e implementados
fornecedores para gerenciar os riscos de segurança da informação associados ao
uso de produtos ou serviços de fornecedores.
A.5.20 Endereçando a segurança Controle
da informação nos Requisitos relevantes de segurança da informação devem ser
acordos com estabelecidos e acordados com cada fornecedor com base no tipo
fornecedores de relacionamento com o fornecedor.
A.5.21 Gerenciando a segurança Controle
da informação na cadeia Processos e procedimentos devem ser definidos e implementados
de suprimentos de para gerenciar os riscos de segurança da informação associados à
tecnologia da informação cadeia de fornecimento de produtos e serviços de TIC.
e comunicação (TIC)
A.5.22 Monitoramento, revisão e Controle
gerenciamento de A organização deve monitorar, revisar, avaliar e gerenciar
mudanças de serviços de regularmente as mudanças nas práticas de segurança da
fornecedores informação e entrega de serviços do fornecedor.
A.5.23 Segurança da informação Controle
para uso de serviços em Os processos de aquisição, uso, gerenciamento e saída de serviços
nuvem em nuvem devem ser estabelecidos de acordo com os requisitos de
segurança da informação da organização.
A.5.24 Planejamento e Controle
preparação para gestão A organização deve planejar e se preparar para gerenciar incidentes
de incidentes de de segurança da informação definindo, estabelecendo e
segurança da informação comunicando processos, funções e responsabilidades para a gestão
de incidentes de segurança da informação.
A.5.25 Avaliação e decisão sobre Controle
eventos de segurança da A organização deve avaliar os eventos de segurança da informação
informação e decidir se eles devem ser categorizados como incidentes de
segurança da informação.
A.5.26 Resposta a incidentes de Controle
segurança da informação Os incidentes de segurança da informação devem ser respondidos
de acordo com os procedimentos documentados.
A.5.27 Aprendendo a partir de Controle
incidentes de segurança O conhecimento adquirido a partir dos incidentes de segurança da
da informação informação deve ser usado para fortalecer e melhorar os controles
de segurança da informação.
A.5.28 Coleta de evidências Controle
A organização deve estabelecer e implementar procedimentos para
a identificação, coleta, aquisição e preservação de evidências
relacionadas a eventos de segurança da informação.
A.5.29 Segurança da informação Controle
durante interrupções A organização deve planejar como manter a segurança da
informação em um nível apropriado durante uma interrupção.
17
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.5.30 Prontidão de TIC para Controle


continuidade de negócios A prontidão de TIC deve ser planejada, implementada, mantida e
testada com base nos objetivos de continuidade de negócios e nos
requisitos de continuidade de TIC.
A.5.31 Requisitos legais, Controle
estatutários, regulatórios Os requisitos legais, estatutários, regulatórios e contratuais
e contratuais relevantes para a segurança da informação e a abordagem da
organização para atender a esses requisitos devem ser
identificados, documentados e mantidos atualizados.
A.5.32 Direitos de propriedade Controle
intelectual A organização deve implementar procedimentos apropriados para
proteger os direitos de propriedade intelectual.
A.5.33 Proteção de registros Controle
Registros devem ser protegidos contra perda, destruição,
falsificação, acesso não autorizado e liberação não autorizada.
A.5.34 Privacidade e proteção de Controle
informações de A organização deve identificar e atender aos requisitos relativos à
identificação pessoal (PII) preservação da privacidade e proteção de PII de acordo com as leis
e regulamentos aplicáveis e os requisitos contratuais.
A.5.35 Análise crítica Controle
independente de A abordagem da organização para gerenciar a segurança da
segurança da informação informação e a sua implementação, incluindo pessoas, processos e
tecnologias, deve ser analisada criticamente de forma
independente em intervalos planejados ou quando ocorrerem
mudanças significativas.
A.5.36 Conformidade com Controle
políticas, regras e normas A conformidade com a política de segurança da informação,
de segurança da políticas de tópicos específicos, regras e normas deve ser analisada
informação criticamente regularmente.

A.5.37 Procedimentos Controle


operacionais Procedimentos operacionais para instalações de processamento de
documentados informações devem ser documentados e disponibilizados ao
pessoal que precisa deles.
18
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.6 Controle de pessoas

A.6.1 Triagem Controle


Verificações de antecedentes de todos os candidatos a se tornarem
funcionários devem ser realizadas antes de se ingressar na
organização e de forma contínua, levando em consideração as leis,
regulamentos e ética aplicáveis, e devem ser proporcionais aos
requisitos de negócio, à classificação das informações a serem
acessadas e aos riscos percebidos.
A.6.2 Termos e condições de Controle
emprego Os acordos contratuais de trabalho devem indicar as
responsabilidades do pessoal e da organização para a segurança da
informação.

A.6.3 Conscientização, Controle


educação e treinamento O pessoal da organização e as partes interessadas relevantes
em segurança da devem receber conscientização, educação e treinamento em
informação segurança da informação apropriados e atualizações regulares da
política de segurança da informação, políticas de tópicos
específicos e procedimentos da organização, conforme relevante
para sua função.
A.6.4 Processo disciplinar Controle
Um processo disciplinar deve ser formalizado e comunicado para
tomar medidas contra o pessoal e outras partes interessadas
relevantes que cometeram uma violação da política de segurança
da informação.
A.6.5 Responsabilidades após a Controle
rescisão ou mudança de As responsabilidades e deveres de segurança da informação que
emprego permaneçam válidos após a rescisão ou mudança de emprego
devem ser definidas, aplicadas e comunicadas ao pessoal relevante
e outras partes interessadas.
A.6.6 Acordos de Controle
confidencialidade ou não Acordos de confidencialidade ou não divulgação refletindo as
divulgação necessidades da organização para a proteção de informações
devem ser identificados, documentados, revisados regularmente e
assinados pelo pessoal e outras partes interessadas relevantes.
A.6.7 Trabalho remoto Controle
Medidas de segurança devem ser implementadas quando o
pessoal estiver trabalhando remotamente para proteger as
informações acessadas, processadas ou armazenadas fora das
instalações da organização.
A.6.8 Reportando eventos de Controle
segurança da informação A organização deve fornecer mecanismos para o pessoal relatar
eventos de segurança da informação observados ou suspeitos em
tempo hábil, por meio de canais apropriados.
19
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.7 Controles físicos

A.7.1 Perímetros de segurança Controle


física Perímetros de segurança devem ser definidos e utilizados para
proteger áreas que contenham informações e outros ativos
associados.
A.7.2 Entrada física Controle
Áreas seguras devem ser protegidas por controles de entrada e
pontos de acesso apropriados.
A.7.3 Protegendo escritórios, Controle
salas e instalações Segurança física para escritórios, salas e instalações deve ser
projetada e implementada.
A.7.4 Monitoramento da Controle
segurança física As instalações devem ser continuamente monitoradas com relação
ao acesso físico não autorizado.
A.7.5 Proteção contra ameaças Controle
físicas e ambientais Proteção contra ameaças físicas e ambientais, como desastres
naturais e outras ameaças físicas intencionais ou não intencionais à
infraestrutura, deve ser projetada e implementada.
A.7.6 Trabalhando em áreas Controle
seguras Medidas de segurança para trabalhar em áreas seguras devem ser
projetadas e implementadas.
A.7.7 Mesa limpa e tela limpa Controle
Regras de mesa limpa para papéis e mídias de armazenamento
removível e regras de tela limpa para instalações de
processamento de informações devem ser definidas e impostas
adequadamente.
A.7.8 Localização e proteção de Controle
equipamentos Equipamentos devem estar localizados de forma segura e
protegida.
A.7.9 Segurança de ativos fora Controle
das instalações Ativos fora das instalações devem ser protegidos.

A.7.10 Mídias de Controle


armazenamento Mídias de armazenamento devem ser gerenciadas ao longo de seu
ciclo de vida de aquisição, uso, transporte e descarte de acordo
com o esquema de classificação da organização e os requisitos de
manuseio.
A.7.11 Utilidades de apoio Controle
As instalações de processamento de informações devem ser
protegidas contra falhas de energia e outras interrupções causadas
por falhas em utilidades de suporte.
A.7.12 Segurança do Controle
cabeamento Os cabos que transportam energia, dados ou suportam serviços de
informação devem ser protegidos contra interceptação,
interferência ou danos.
20
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.7.13 Manutenção de Controle


equipamentos Os equipamentos devem ser mantidos corretamente para garantir
a disponibilidade, integridade e confidencialidade das informações.
A.7.14 Descarte ou reutilização Controle
seguros de equipamentos Itens do equipamentos contendo mídias de armazenamento
devem ser verificados para garantir que quaisquer dados
confidenciais e software licenciado tenham sido removidos ou
sobrescritos com segurança antes do descarte ou reutilização.
A.8 Controles tecnológicos

A.8.1 Dispositivos de endpoint Controle


de usuários As informações armazenadas, processadas ou acessíveis por meio
de dispositivos de endpoint do usuário devem ser protegidas.
A.8.2 Direitos de acesso Controle
privilegiado A atribuição e uso de direitos de acesso privilegiado devem ser
restritos e gerenciados.
A.8.3 Restrição de acesso a Controle
informações O acesso às informações e outros ativos associados deve ser
restrito de acordo com a política de tópico específico para controle
de acessos.
A.8.4 Acesso ao código fonte Controle
O acesso de leitura e gravação ao código-fonte, ferramentas de
desenvolvimento e bibliotecas de software deve ser gerenciado
adequadamente.
A.8.5 Autenticação segura Controle
Tecnologias e procedimentos de autenticação segura devem ser
implementados com base nas restrições de acesso à informação e
na política de tópico específico para controle de acesso.
A.8.6 Gestão da capacidade Controle
O uso de recursos deve ser monitorado e ajustado de acordo com
os requisitos de capacidade atuais e esperados.
A.8.7 Proteção contra malware Controle
A proteção contra malware deve ser implementada e suportada
pela conscientização apropriada dos usuários.
A.8.8 Gestão de Controle
vulnerabilidades técnicas Informações sobre vulnerabilidades técnicas dos sistemas de
informação em uso devem ser obtidas, a exposição da organização
a tais vulnerabilidades deve ser avaliada e medidas apropriadas
devem ser tomadas.
A.8.9 Gestão da configuração Controle
Configurações, incluindo configurações de segurança, de hardware,
de software, de serviços e de redes devem ser estabelecidas,
documentadas, implementadas, monitoradas e revisadas.
A.8.10 Exclusão de informações Controle
As informações armazenadas em sistemas de informação,
dispositivos ou em qualquer outro meio de armazenamento devem
ser excluídas quando não forem mais necessárias.
21
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.8.11 Mascaramento de dados Controle


O mascaramento de dados deve ser usado de acordo com a política
de tópico específico da organização para controle de acesso e
outras políticas de tópicos específicos relacionadas e requisitos de
negócios, levando em consideração a legislação aplicável.
A.8.12 Prevenção contra Controle
vazamento de dados Medidas de prevenção contra vazamento de dados devem ser
aplicadas a sistemas, redes e quaisquer outros dispositivos que
processem, armazenem ou transmitam informações confidenciais.
A.8.13 Cópias de segurança das Controle
informações (backup) Cópias de backup de informações, software e sistemas devem ser
mantidas e testadas regularmente de acordo com uma política de
tópico específico para backup acordada.
A.8.14 Redundância de Controle
instalações Instalações de processamento de informações devem ser
processamento de implementadas com redundância suficiente para atender aos
informações requisitos de disponibilidade.
A.8.15 Registros de atividade Controle
(logging) Logs para registro de atividades, exceções, falhas e outros eventos
relevantes devem ser produzidos, armazenados, protegidos e
analisados.
A.8.16 Monitoramento de Controle
atividades Redes, sistemas e aplicativos devem ser monitorados quanto a
comportamentos anômalos e ações apropriadas devem ser
tomadas para avaliar potenciais incidentes de segurança da
informação.
A.8.17 Sincronização de relógios Controle
Os relógios dos sistemas de processamento de informações usados
pela organização devem ser sincronizados com fontes de tempo
aprovadas.
A.8.18 Uso de programas Controle
utilitários privilegiados O uso de programas utilitários que sejam capazes de sobrepor os
controles de sistemas e aplicações deve ser restrito e rigidamente
controlado.
A.8.19 Instalação de software em Controle
sistemas operacionais Procedimentos e medidas devem ser implementados para
gerenciar com segurança a instalação de software em sistemas
operacionais.
A.8.20 Segurança de redes Controle
Redes e dispositivos de rede devem ser protegidos, gerenciados e
controlados para proteger as informações em sistemas e
aplicações.
A.8.21 Segurança dos serviços de Controle
rede Mecanismos de segurança, níveis de serviço e requisitos de
serviços de rede devem ser identificados, implementados e
monitorados.
22
ISO/ IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção da
privacidade — Sistemas de gestão da segurança da informação — Requisitos

A.8.22 Segregação de redes Controle


Grupos de serviços de informação, usuários e sistemas de
informação devem ser segregados nas redes da organização.
A.8.23 Filtragem web Controle
O acesso a sites externos deve ser gerenciado para reduzir a
exposição a conteúdo malicioso.
A.8.24 Uso de criptografia Controle
As regras para o uso efetivo da criptografia, incluindo o
gerenciamento de chaves criptográficas, devem ser definidas e
implementadas.
A.8.25 Ciclo de vida de Controle
desenvolvimento seguro Regras para o desenvolvimento seguro de software e sistemas
devem ser estabelecidas e aplicadas.
A.8.26 Requisitos de segurança Controle
de aplicações Requisitos de segurança da informação devem ser identificados,
especificados e aprovados quando do desenvolvimento ou
aquisição de aplicativos.
A.8.27 Princípios de engenharia e Controle
arquitetura de sistemas Princípios para engenharia de sistemas seguros devem ser
seguros estabelecidos, documentados, mantidos e aplicados a quaisquer
atividades de desenvolvimento de sistemas de informação.
A.8.28 Codificação segura Controle
Princípios de codificação segura devem ser aplicados ao
desenvolvimento de software.
A.8.29 Testes de segurança no Controle
desenvolvimento e Processos de testes de segurança devem ser definidos e
aceitação implementados no ciclo de vida de desenvolvimento.
A.8.30 Desenvolvimento Controle
terceirizado A organização deve dirigir, monitorar e analisar criticamente as
atividades relacionadas ao desenvolvimento terceirizado de
sistemas.
A.8.31 Separação dos ambientes Controle
de desenvolvimento, Os ambientes de desenvolvimento, testes e produção devem ser
testes e produção separados e protegidos.
A.8.32 Gestão de mudanças Controle
As mudanças nas instalações de processamento de informações e
nos sistemas de informação devem estar sujeitas a procedimentos
de gestão de mudanças.
A.8.33 Informações de testes Controle
As informações de teste devem ser adequadamente selecionadas,
protegidas e gerenciadas.
A.8.34 Proteção de sistemas de Controle
informação durante testes Testes de auditoria e outras atividades de garantia envolvendo
de auditoria avaliação de sistemas operacionais devem ser planejados e
acordados entre o testador e a gerência apropriada.
23

Você também pode gostar