5.3 Domínios de segurança da informação
5.3.5 Processos, política de segurança da informação e gestão de
5.3.5.5.2 Responsabilidade e apoio da alta gerência
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.2.1 Responsabilidad e e
comprometimen
Definir o apoio da direção com a segurança da informação e definir
- ISO 27001:2005 item 5. Responsibilities of management. - ISO 27002:2005 item 6.1.1
Numeração Título do
controle Objetivo Controles obrigatórios
to da alta
gerência. responsabilidades. Management commitment to information security. - Risk IT item 3. Responsibilities and Accountability for IT Risk. 5.3.5.5.2.2 Alinhamento estratégico. Definir o alinhamento da segurança da informação e tecnologia da informação com o negócio.
- COBIT - ME4.2 Strategic Alignment.
5.3.5.5.3 Ciclo de melhoria contínua
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.3.1 Melhoria
contínua. Gerir a melhoria contínua da gestão da segurança da informação e dos serviços de TI.
- ISO 27001:2005 item 8.1 ISMS improvement.
- ITIL - Service Improvement - Continual Service Improvement processes.
- CMMI-SVC - Measurement and Analysis.
- CMMI-SVC - Organizational Process Definition.
- CMMI-SVC - Organizational Process Focus.
- CMMI-SVC - Process and Product Quality Assurance. 5.3.5.5.3.2 Ações corretivas
e preventivas. Gerir a correção e a prevenção de problemas relacionados à segurança da informação. - ISO 27001:2005 item 8.2 Corrective action. - ISO 27001:2005 item 8.3 Preventive action.
- COBIT - ME1.6 Remedial Actions.
5.3.5.5.4 Política de segurança
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.4.1 Gestão da política de segurança da informação. Gerenciar a política de segurança da informação da organização.
- ISO 27001:2005 item A.5 Security Policy.
- ISO 27002:2005 item 5. Security Policy.
- ITIL - Service Design – Information Security Management.
- COBIT - PO6.1 IT Policy and Control Environment.
- COBIT - PO6.3 IT Policies Management.
- COBIT - PO6.4 Policy, Standard and Procedures Rollout.
Numeração Título do
controle Objetivo Controles obrigatórios
strategies and policies.
5.3.5.5.5 Organização da segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.5.1 Segurança da informação na hierarquia da organização.
Gerir de forma que a segurança da informação seja priorizada na
organização de acordo com a necessidade de negócio.
- Deve existir uma Diretoria de Segurança da Informação ligada à uma vice-presidência de Governança, Riscos, Controladoria ou Auditoria. 5.3.5.5.5.2 Organização da segurança da informação da corporação. Estruturar e organizar a segurança da informação na organização.
- ISO 27001:2005 item A.6 Organization of information Security.
- ISO 27002:2005 item 6. Organization of information Security.
- SSECMM - PA07 - Coordinate Security.
- SSECMM - PA10 - Specify Security Needs.
- ISO 13335-1:2004 item 5. Organizational aspects of ICT security.
- ISO 13335-1:2004 item 6. ICT security management functions.
5.3.5.5.6 Análise de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.6.1 Processo de análise de riscos.
Identificar e analisar os
riscos da organização. - ISO 27001:2005 item 4, sub-itens c, d, e, f, g e h. - ISO 27002:2005 item 4. Risk assessment and treatment. - ISO 27005:2008 item 8. Information security risk Assessment.
- ERM - Framework. 5. Risk Assessment.
- RISK IT - Risk Evaluation. - SSECMM - PA03 – Assess Security Risk.
- SSECMM - PA04 – Assess Threat.
- SSECMM - PA05 – Assess Vulnerability.
- ISO 15408-1:2005 item 7.1 Assets and countermeasures. - ISO 15408-1:2005 item 7.2
Numeração Título do
controle Objetivo Controles obrigatórios
Evaluation.
- ISO 15408-1:2005 item 9 Evaluation results.
- ISO 15408-3:2005 item 11 Class ASE: Security Target evaluation. - ISO 15408-3:2005 item 16 Class AVA: Vulnerability assessment.
5.3.5.5.7 Gestão de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.7.1 Processo de gestão de riscos. Gerir os riscos de segurança da informação da corporação. - ISO 27005:2008.
- COBIT - PO10.9 Project Risk Management.
- CMMI-SVC – Risk Management. - ERM - Framework. 5. Risk Assessment.
- RISK IT - Risk Governance. - RISK IT - Risk Response. - ISO 13335-1:2004 item 6.3 Risk management.
- ISO 15408-1:2005 item A Specification of Security Targets.
5.3.5.5.8 Gestão de dados e da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.8.1 Gestão de dados, da informação e do conhecimento. Gerir corretamente os dados, informações e conhecimento corporativo.
- ISO 27001:2005 item A.12 Information systems acquisition, development and maintenance. - ISO 27002:2005 item 12. Information systems acquisition, development and maintenance. - ISO 27001:2005 item A.15.1.4 Data protection and privacy of personal information.
- ISO 27002:2005 item 15.1.4 Data protection and privacy of personal information.
- ITIL - Service Transition - Knowledge Management.
- ITIL - Service Design - Data and Information Management.
5.3.5.5.9 Segurança da terceirização
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.5.9.1 Processo de segurança da terceirização. Gerir a segurança da informação durante a terceirização.
- ISO 27001:2005 item A.10.2 Third party management. - ISO 27002:2005 item 6.2 External parties.
- ISO 27002:2005 item 10.2 Third party service delivery
management.
- ISO 27001:2005 item A.6.2 External parties.
- ITIL - Service Design - Supplier Management.
- CMMI-SVC – Supplier Agreement Management - SSECMM - PA22 - Coordinate with Suppliers.
5.3.5.6 Nível de maturidade 03
5.3.5.6.1 Sistema de gestão de segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.1.1 Implementação do sistema de gestão de segurança da informação. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o sistema de gestão de segurança da informação na organização. - ISO 27001:2005 item 4. - Service Design - 4.6.4.3.
Information Security Management - The Information Security
Management System (ISMS). 5.3.5.6.1.2 Provimento de
segurança.
Gerir a execução das definições de segurança.
- SSECMM - PA09 – Provide Security Input
5.3.5.6.2 Responsabilidade e apoio da alta gerência
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.2.1 Responsabilidad e e
comprometimen to da alta gerência.
Definir o apoio da direção com a segurança da informação e definir responsabilidades. - ISO 27002:2005 item 6.1.1 Management commitment to information security. 5.3.5.6.2.2 Alinhamento
estratégico. Definir o alinhamento da segurança da informação e tecnologia da informação com o negócio.
- COBIT - ME4.2 Strategic Alignment.
5.3.5.6.3 Ciclo de melhoria contínua
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.3.1 Melhoria
contínua. Gerir a melhoria contínua da gestão da segurança da informação e dos serviços de TI.
- ISO 27001:2005 item 8.1 ISMS improvement.
- ITIL - Service Improvement - Continual Service Improvement processes.
5.3.5.6.3.2 Ações corretivas
e preventivas. Gerir a correção e a prevenção de problemas relacionados à segurança da informação. - ISO 27001:2005 item 8.2 Corrective action. - ISO 27001:2005 item 8.3 Preventive action. 5.3.5.6.4 Política de segurança Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.3.1 Gestão da política de segurança da informação. Gerenciar a política de segurança da informação da organização.
- ISO 27001:2005 item A.5 Security Policy.
- ISO 27002:2005 item 5. Security Policy.
- ITIL - Service Design – Information Security Management.
- ISO 13335 item 4. Objectives, strategies and policies.
5.3.5.6.5 Organização da segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.5.1 Segurança da informação na hierarquia da organização.
Definir que a segurança da informação seja priorizada na organização de acordo com a necessidade de negócio.
- Deve existir uma Gerência de Segurança da Informação em uma vice-presidência de Governança, Riscos, Controladoria ou Auditoria. 5.3.5.6.5.2 Organização da segurança da informação da corporação. Estruturar e organizar a segurança da informação na organização.
- ISO 27001:2005 item A.6 Organization of information Security. - ISO 27002:2005 item 6. Organization of information Security. - ISO 13335-1:2004 item 5. Organizational aspects of ICT security.
- ISO 13335-1:2004 item 6. ICT security management functions.
5.3.5.6.6 Análise de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.6.1 Processo de análise de riscos.
Identificar e analisar os
riscos da organização. - ISO 27001:2005 item 4, sub-itens c, d, e, f, g e h. - ISO 27002:2005 item 4. Risk assessment and treatment. - ISO 27005:2008 item 8. Information security risk Assessment.
- ERM - Framework. 5. Risk Assessment.
- RISK IT - Risk Evaluation. - SSECMM - PA03 – Assess Security Risk.
- SSECMM - PA04 – Assess Threat.
- SSECMM - PA05 – Assess Vulnerability.
5.3.5.6.7 Gestão de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.7.1 Processo de gestão de riscos. Gerir os riscos de segurança da informação da corporação. - ISO 27005:2008.
- ERM - Framework. 5. Risk Assessment.
- RISK IT - Risk Governance. - RISK IT - Risk Response.
5.3.5.6.8 Gestão de dados e da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.6.8.1 Gestão de dados, da informação e do conhecimento. Gerir corretamente os dados, informações e conhecimento corporativo.
- ISO 27001:2005 item A.15.1.4 Data protection and privacy of personal information.
- ISO 27002:2005 item 15.1.4 Data protection and privacy of personal information.
- ITIL - Service Transition - Knowledge Management.
- ITIL - Service Design - Data and Information Management.
5.3.5.6.9 Segurança da terceirização
Numeração Título do
controle Objetivo Controles obrigatórios
Numeração Título do
controle Objetivo Controles obrigatórios
segurança da
terceirização. informação durante a terceirização. Third party management. - ISO 27002:2005 item 6.2 External parties.
- ISO 27002:2005 item 10.2 Third party service delivery
management.
- ISO 27001:2005 item A.6.2 External parties.
- ITIL - Service Design - Supplier Management.
- SSECMM - PA22 - Coordinate with Suppliers.
5.3.5.7 Nível de maturidade 02
5.3.5.7.1 Sistema de gestão de segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.1.1 Implementação do sistema de gestão de segurança da informação. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o sistema de gestão de segurança da informação na organização. - ISO 27001:2005 item 4. - Service Design - 4.6.4.3.
Information Security Management - The Information Security
Management System (ISMS).
5.3.5.7.2 Responsabilidade e apoio da alta gerência
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.2.1 Responsabilidad e e
comprometimen to da alta gerência.
Definir o apoio da direção com a segurança da informação e definir responsabilidades. - ISO 27002:2005 item 6.1.1 Management commitment to information security.
5.3.5.7.3 Ciclo de melhoria contínua
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.3.1 Melhoria
contínua. Gerir a melhoria contínua da gestão da segurança da informação e dos serviços de TI.
- ISO 27001:2005 item 8.1 ISMS improvement.
5.3.5.7.3.2 Ações corretivas
e preventivas. Gerir a correção e a prevenção de problemas relacionados à segurança da informação. - ISO 27001:2005 item 8.2 Corrective action. - ISO 27001:2005 item 8.3 Preventive action.
5.3.5.7.4 Política de segurança
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.4.1 Gestão da política de segurança da informação. Gerenciar a política de segurança da informação da organização.
- ISO 27001:2005 item A.5 Security Policy.
- ISO 27002:2005 item 5. Security Policy.
- ITIL - Service Design – Information Security Management.
5.3.5.7.5 Organização da segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.5.1 Segurança da informação na hierarquia da organização.
Definir que a segurança da informação seja priorizada na organização de acordo com a necessidade de negócio.
- Deve existir uma Coordenação de Segurança da Informação na organização. 5.3.5.7.5.2 Organização da segurança da informação da corporação. Estruturar e organizar a segurança da informação na organização.
- ISO 27001:2005 item A.6 Organization of information Security. - ISO 27002:2005 item 6. Organization of information Security. - ISO 13335-1:2004 item 5. Organizational aspects of ICT security.
5.3.5.7.6 Análise de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.6.1 Processo de análise de riscos.
Identificar e analisar os
riscos da organização. - ISO 27001:2005 item 4, sub-itens c, d, e, f, g e h. - ISO 27002:2005 item 4. Risk assessment and treatment. - ISO 27005:2008 item 8.2 Risk analysis.
5.3.5.7.7 Gestão de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.7.1 Processo de gestão de riscos. Gerir os riscos de segurança da informação da corporação. - ISO 27005:2008.
5.3.5.7.8 Gestão de dados e da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.8.1 Gestão de dados, da informação e do conhecimento. Gerir corretamente os dados, informações e conhecimento corporativo.
- ISO 27001:2005 item A.15.1.4 Data protection and privacy of personal information.
- ISO 27002:2005 item 15.1.4 Data protection and privacy of personal information.
- ITIL - Service Design - Data and Information Management.
5.3.5.7.9 Segurança da terceirização
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.7.9.1 Processo de segurança da terceirização. Gerir a segurança da informação durante a terceirização.
- ISO 27001:2005 item A.10.2 Third party management. - ISO 27002:2005 item 6.2 External parties.
- ISO 27002:2005 item 10.2 Third party service delivery
management.
- ISO 27001:2005 item A.6.2 External parties.
- ITIL - Service Design - Supplier Management.
5.3.5.8 Nível de maturidade 01
5.3.5.8.1 Sistema de gestão de segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.1.1 Implementação do sistema de gestão de segurança da informação. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o sistema de gestão de segurança da informação na organização.
- ISO 27001:2005 item 4.
5.3.5.8.2 Responsabilidade e apoio da alta gerência
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.2.1 Responsabilidad e e
comprometimen
Definir o apoio da direção com a segurança da informação e definir
- ISO 27002:2005 item 6.1.1 Management commitment to information security.
Numeração Título do
controle Objetivo Controles obrigatórios
to da alta
gerência. responsabilidades.
5.3.5.8.3 Ciclo de melhoria contínua
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.3.1 Melhoria
contínua. Gerir a melhoria contínua da gestão da segurança da informação e dos serviços de TI.
- ISO 27001:2005 item 8.1 ISMS improvement.
5.3.5.8.4 Política de segurança
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.4.1 Gestão da política de segurança da informação. Gerenciar a política de segurança da informação da organização.
- ISO 27001:2005 item A.5 Security Policy.
- ISO 27002:2005 item 5. Security Policy.
5.3.5.8.5 Organização da segurança da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.5.1 Segurança da informação na hierarquia da organização.
Definir que a segurança da informação seja priorizada na organização de acordo com a necessidade de negócio.
- Devem existir profissionais dedicados à Segurança da Informação na organização. 5.3.5.8.5.2 Organização da segurança da informação da corporação. Estruturar e organizar a segurança da informação na organização.
- ISO 27001:2005 item A.6 Organization of information Security. - ISO 27002:2005 item 6. Organization of information Security. 5.3.5.8.6 Análise de riscos Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.6.1 Processo de análise de riscos.
Identificar e analisar os riscos da organização.
- ISO 27001:2005 item 4, sub- itens c e d.
5.3.5.8.7 Gestão de riscos
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.7.1 Processo de gestão de riscos. Gerir os riscos de segurança da informação da corporação. - ISO 27005:2008 item 9. Information security risk treatment.
- ISO 27005:2008 item 10. Information security risk acceptance.
5.3.5.8.8 Gestão de dados e da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.8.1 Gestão de dados, da informação e do conhecimento. Gerir corretamente os dados, informações e conhecimento corporativo.
- ISO 27001:2005 item A.15.1.4 Data protection and privacy of personal information.
- ISO 27002:2005 item 15.1.4 Data protection and privacy of personal information.
5.3.5.8.9 Segurança da terceirização
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.5.8.9.1 Processo de segurança da terceirização. Gerir a segurança da informação durante a terceirização.
- ISO 27001:2005 item A.10.2 Third party management. - ISO 27002:2005 item 6.2 External parties.
- ISO 27002:2005 item 10.2 Third party service delivery
management.
- ISO 27001:2005 item A.6.2 External parties.
5.3.6 Questões legais, regulamentações, conformidade e investigação