ISO/IEC
ISO/IEC
27001
27001
Primeira edição Primeira edição 31.03.2006 31.03.2006 Válida a partir de Válida a partir de 30.04.2006 30.04.2006Tecnologia da informação — Técnicas de
Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão de
segurança — Sistemas de gestão de
segurança da informação — Requisitos
segurança da informação — Requisitos
Information technology — Security techniques —
Information technology — Security techniques — Information security Information security managemen
management systems t systems — Requirements — Requirements
Palavras-chave: Tecnologia da informação. Segurança. Palavras-chave: Tecnologia da informação. Segurança. Descriptors: Information technology. Security.
Descriptors: Information technology. Security. ICS 35.040 ICS 35.040 Número de referência Número de referência ABNT NBR ISO/IEC 27001:2006 ABNT NBR ISO/IEC 27001:2006
© ABNT 2006 © ABNT 2006
Todos os direitos reservados. A menos que especificado
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzidade outro modo, nenhuma parte desta publicação pode ser reproduzida ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito pela ABNT.
ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito pela ABNT. Sede da ABNT
Sede da ABNT
Av.Treze de Maio, 13 - 28º andar Av.Treze de Maio, 13 - 28º andar 20031-901 - Rio de Janeiro - RJ 20031-901 - Rio de Janeiro - RJ Tel.: + 55 21 3974-2300 Tel.: + 55 21 3974-2300 Fax: + 55 21 2220-1762 Fax: + 55 21 2220-1762 [email protected] [email protected] www.abnt.org.br www.abnt.org.br Impresso no Brasil Impresso no Brasil
Sumário
Sumário
PáginaPáginaPrefácio
Prefácio Nacional...Nacional...iv...iv
0 Introdução...v
0 Introdução...v
0.1 Geral...v
0.1 Geral...v
0.2 0.2 Abordagem Abordagem de de processprocesso...o...v...v
0.3 0.3 CompatibilidaCompatibilidade de com com outros outros sistemas sistemas de de gestão...gestão...vi...vi
1 1 ObjetivoObjetivo ...11 1.1 Geral...1 1.1 Geral...1 1.2 Aplicação...1 1.2 Aplicação...1 2 2 ReferêncReferência ia normativnormativaa ...2...2
3 3 Termos Termos e e definiçõedefiniçõess ...2...2
4 4 Sistema Sistema de de gestão gestão de de segurançsegurança a da da informaçãinformaçãoo ...44 4.1 4.1 Requisitos Requisitos gerais...gerais...4...4
4.2 4.2 EstabelecEstabelecendo endo e e gerenciangerenciando do o o SGSISGSI...4...4
4.2.1 4.2.1 EstabelecEstabelecer er o o SGSI...SGSI...4...4
4.2.2 4.2.2 Implementar Implementar e e operar operar o o SGSISGSI ...6...6
4.2.3 4.2.3 Monitorar Monitorar e e analisar analisar criticamencriticamente te o o SGSISGSI ...7...7
4.2.4 4.2.4 Manter Manter e e melhorar melhorar o o SGSI...SGSI...8...8
4.3 4.3 Requisitos Requisitos de de documendocumentação...tação...8...8
4.3.1 Geral...8
4.3.1 Geral...8
4.3.2 4.3.2 Controle Controle de de documentdocumentosos ...9...9
4.3.3 4.3.3 Controle Controle de de registrosregistros ...9...9
5 5 ResponsaResponsabilidades bilidades da da direção...direção...9...9
5.1 5.1 ComprometComprometimento imento da da direção...direção...99 5.2 5.2 Gestão Gestão de de recursorecursoss ...10...10
5.2.1 5.2.1 Provisão Provisão de de recursosrecursos...10...10
5.2.2 5.2.2 TreinamenTreinamento, to, conscienticonscientização zação e e competêcompetênciancia ...1010 6 6 Auditorias Auditorias internas internas do do SGSI...11SGSI...11
7 7 Análise Análise crítica crítica do do SGSI SGSI pela pela direçãodireção ...11...11
7.1 Geral...11
7.1 Geral...11
7.2 7.2 Entradas Entradas para para a a análise análise crítica...crítica...1111 7.3 7.3 Saídas Saídas da da análise análise críticacrítica...12...12
8 8 Melhoria Melhoria do do SGSISGSI ...12...12
8.1 8.1 Melhoria Melhoria contínua...contínua...1212 8.2 8.2 Ação Ação corretivcorretivaa...12...12
8.3 8.3 Ação Ação preventpreventivaiva ...13...13
Anexo A Anexo A(normativo)(normativo) ObjetivoObjetivos de s de controle e controles...14controle e controles...14
Anexo B Anexo B(informativo)(informativo) Princípios da OECD e desta Norma...31Princípios da OECD e desta Norma...31
Anexo C Anexo C(informativo)(informativo) Correspondência entre a ABNT NBR ISO 9001:2000, a Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 eABNT NBR ISO 14001:2004 e esta No esta Normarma ...3232 Bibliografia Bibliografia...34...34
Prefácio Nacional
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Fórum Nacional de Normalização. As Normas Brasileiras, A Associação Brasileira de Normas Técnicas (ABNT) é o Fórum Nacional de Normalização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais Temporárias (ABNT/CEET), são elaboradas por Setorial (ABNT/ONS) e das Comissões de Estudo Especiais Temporárias (ABNT/CEET), são elaboradas por Comissões de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, Comissões de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros).
consumidores e neutros (universidades, laboratórios e outros).
A ABNT NBR ISO/IEC 27001 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados A ABNT NBR ISO/IEC 27001 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:204.01). (ABNT/CB-21), pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:204.01). O Projeto circulou em Consulta Nacional conforme Edital nº 12, de 31.12.2005, com o número de O Projeto circulou em Consulta Nacional conforme Edital nº 12, de 31.12.2005, com o número de Projeto 21:204.01-012.
Projeto 21:204.01-012.
Esta Norma é uma tradução idêntica da ISO/IEC 27001:2005, que foi elaborada pelo
Esta Norma é uma tradução idêntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical Committee Join Technical Committee Information Technology
Information Technology (ISO/IEC/JTC 1),(ISO/IEC/JTC 1),subcommittee subcommittee IT Security Tecchniques IT Security Tecchniques (SC 27).(SC 27).
Esta Norma contém o anexo A, de caráter normativo, e os anexos B e C, de caráter informativo. Esta Norma contém o anexo A, de caráter normativo, e os anexos B e C, de caráter informativo.
0 Introdução
0 Introdução
0.1 Geral 0.1 Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e
empregados e tamanho e estrutura da organização. É tamanho e estrutura da organização. É esperado que este e os esperado que este e os sistemas de apoio mudem com sistemas de apoio mudem com oo passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples.
organização, por exemplo, uma situação simples requer uma solução de um SGSI simples. Esta Norma pode ser usada
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.para avaliar a conformidade pelas partes interessadas internas e externas.
0.2
0.2 Abordagem Abordagem de de processoprocesso
Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.
monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.
Uma organização precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividade Uma organização precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um processo. Freqüentemente a saída de um processo forma diretamente a entrada do processo seguinte.
um processo. Freqüentemente a saída de um processo forma diretamente a entrada do processo seguinte. A aplicação de
A aplicação de um sistema de um sistema de processos dentro de uma processos dentro de uma organização, junto com organização, junto com a identificação e a identificação e interaçõesinterações destes processos, e a sua gestão podem ser consideradas como "abordagem de processo”.
destes processos, e a sua gestão podem ser consideradas como "abordagem de processo”.
A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de:
seus usuários enfatizem a importância de: a)
a) entendimento dos requisitos de entendimento dos requisitos de segurança da informação de segurança da informação de uma organização e uma organização e da necessidade deda necessidade de estabelecer uma política e objetivos para a segurança de informação;
estabelecer uma política e objetivos para a segurança de informação; b)
b) implementação e operação implementação e operação de controles para de controles para gerenciar os riscos gerenciar os riscos de segurança da de segurança da informação de umainformação de uma organização no contexto dos riscos de negócio globais da organização;
organização no contexto dos riscos de negócio globais da organização; c)
c) monitoração e monitoração e análise análise crítica crítica do ddo desempenho e esempenho e eficácia eficácia do do SGSI; SGSI; ee d)
d) melhoria melhoria contínua contínua baseada baseada em em medições medições objetivas.objetivas. Esta Norma adota o modelo conhecido como "
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act Plan-Do-Check-Act ” (PDCA), que é aplicado para estruturar todos” (PDCA), que é aplicado para estruturar todos os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurança de os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 também ilustra os informação produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 também ilustra os vínculos nos processos apresentados nas seções 4, 5, 6, 7 e 8.
vínculos nos processos apresentados nas seções 4, 5, 6, 7 e 8.
A adoção do modelo PDCA também refletirá os princípios como definidos nas Diretrizes da OECD
A adoção do modelo PDCA também refletirá os princípios como definidos nas Diretrizes da OECD1)1) (2002) para(2002) para
governar a segurança de sistemas de informação e redes. Esta Norma provê um modelo robusto para governar a segurança de sistemas de informação e redes. Esta Norma provê um modelo robusto para
1)
1) Diretrizes da OECD para a Segurança de Sistemas de Informação e Redes - Para uma Cultura de Segurança.Diretrizes da OECD para a Segurança de Sistemas de Informação e Redes - Para uma Cultura de Segurança.
Paris: OECD, 2002 de julho.
implementar os princípios nessas diretrizes para direcionar a análise/avaliação de riscos, especificação e implementar os princípios nessas diretrizes para direcionar a análise/avaliação de riscos, especificação e implementação de segurança, gerenciamento de segurança e reavaliação.
implementação de segurança, gerenciamento de segurança e reavaliação. EXEMPLO 1
EXEMPLO 1
Um requisito pode significar que violações de segurança da informação não causem sérios danos financeiros e/ou Um requisito pode significar que violações de segurança da informação não causem sérios danos financeiros e/ou constrangimentos à organização.
constrangimentos à organização. EXEMPLO 2
EXEMPLO 2
Uma expectativa pode significar que se um incidente grave ocorrer – por exemplo, a invasão da página Internet de Uma expectativa pode significar que se um incidente grave ocorrer – por exemplo, a invasão da página Internet de comércio eletrônico de uma organização – deveria haver pessoas com treinamento suficiente nos procedimentos comércio eletrônico de uma organização – deveria haver pessoas com treinamento suficiente nos procedimentos apropriados para minimizar o impacto.
apropriados para minimizar o impacto.
Figura 1 — Modelo PDCA aplicado aos processos do SGSI Figura 1 — Modelo PDCA aplicado aos processos do SGSI Plan
Plan (planejar) (estabelecer o SGSI)(planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos doEstabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da
SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. com as políticas e objetivos globais de uma organização. Do
Do (fazer) (implementar e operar o(fazer) (implementar e operar o SGSI)
SGSI)
Implementar e operar a política, controles, processos e Implementar e operar a política, controles, processos e procedimentos do SGSI.
procedimentos do SGSI. Check
Check (checar) (monitorar e analisar(checar) (monitorar e analisar criticamente o SGSI)
criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de um Avaliar e, quando aplicável, medir o desempenho de um processo frente
processo frente à política, objetivos e à política, objetivos e experiência prática doexperiência prática do SGSI e apresentar os resultados para a análise crítica pela SGSI e apresentar os resultados para a análise crítica pela direção.
direção. Act
Act (agir) (manter e melhorar o SGSI)(agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nosExecutar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a
direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
melhoria contínua do SGSI.
0.3
0.3 Compatibilidade Compatibilidade com com outros outros sistemas sistemas de de gestãogestão
Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. Um sistema implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. Um sistema
de gestão adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1 de gestão adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1 ilustra a relação entre as seções desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004. ilustra a relação entre as seções desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004. Esta Norma é projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas Esta Norma é projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas de gestão relacionados.
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão
de segurança da informação —
de segurança da informação — Requisitos
Requisitos
IMPORTANTE – Esta publicação não tem o propósito de incluir todas as cláusulas necessárias a um IMPORTANTE – Esta publicação não tem o propósito de incluir todas as cláusulas necessárias a um contrato. Os usuários são responsáveis pela sua correta aplicação. Conformidade com esta Norma por si contrato. Os usuários são responsáveis pela sua correta aplicação. Conformidade com esta Norma por si só não confere imunidade em relação às obrigações legais.
só não confere imunidade em relação às obrigações legais.
1 Objetivo 1 Objetivo 1.1 Geral 1.1 Geral
Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
proteger os ativos de informação e propiciar confiança às partes interessadas.
NOTA
NOTA 1 1 Convém que Convém que referências a referências a “negócio” nesta “negócio” nesta Norma sejam Norma sejam interpretadas, de interpretadas, de modo geral, modo geral, tendo em tendo em vista asvista as atividades que são essenciais aos objetivos
atividades que são essenciais aos objetivos de existência da organização.de existência da organização. NOTA
NOTA 2 2 A ABNT A ABNT NBR ISO/IEC NBR ISO/IEC 17799:2005 provê 17799:2005 provê orientação para orientação para implementação que implementação que pode ser usada pode ser usada quando daquando da especificação de controles.
especificação de controles.
1.2 Aplicação 1.2 Aplicação
Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.
seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.
Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.
de riscos e por requisitos legais e regulamentares aplicáveis.
NOTA
NOTA Se Se uma uma organização organização já já tiver tiver um um sistema sistema de de gestão gestão de de processo processo de de negócio negócio em em operação operação (por (por exemplo, exemplo, em em relaçãorelação com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), é preferível na maioria dos casos satisfazer os requisitos desta Norma com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), é preferível na maioria dos casos satisfazer os requisitos desta Norma dentro deste sistema de gestão existente.
2
2 Referência Referência normativanormativa
O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, aplica-se apenas a edição citada. Para referência não datada, aplica-aplica-se a última edição do documento referenciado se apenas a edição citada. Para referência não datada, aplica-se a última edição do documento referenciado (incluindo as emendas).
(incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.
gestão da segurança da informação.
3
3 Termos Termos e e definiçõesdefinições
Para os efeitos desta Norma, aplicam-se os seguintes termos e definições. Para os efeitos desta Norma, aplicam-se os seguintes termos e definições. 3.1
3.1 ativo ativo
qualquer coisa que tenha valor para a organização qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004] 3.2 3.2 disponibilidade disponibilidade
propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004] 3.3 3.3 confidencialidade confidencialidade
propriedade de que a informação
propriedade de que a informação não esteja disponível ou não esteja disponível ou revelada a indivíduos, entidades ou revelada a indivíduos, entidades ou processos nãoprocessos não autorizados autorizados [ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004] 3.4 3.4 segurança da informação segurança da informação
preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas envolvidas [ABNT NBR ISO/IEC 17799:2005] [ABNT NBR ISO/IEC 17799:2005] 3.5 3.5
evento de segurança da informação evento de segurança da informação
uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação
relevante para a segurança da informação [ISO/IEC TR 18044:2004]
[ISO/IEC TR 18044:2004] 3.6
3.6
incidente de segurança da informação incidente de segurança da informação
um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação [ISO/IEC TR 18044:2004]
3.7 3.7
sistema de gestão da segurança da informação sistema de gestão da segurança da informação SGSI
SGSI
a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação
operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação
NOTA
NOTA O O sistema sistema de de gestão gestão inclui inclui estrutura estrutura organizacional, organizacional, políticas, políticas, atividades atividades de de planejamento, planejamento, responsabilidades,responsabilidades, práticas, procedimentos, processos e recursos.
práticas, procedimentos, processos e recursos.
3.8 3.8
integridade integridade
propriedade de salvaguarda da exatidão e completeza de ativos propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004] 3.9 3.9 risco residual risco residual
risco remanescente após o tratamento de riscos risco remanescente após o tratamento de riscos [ABNT ISO/IEC Guia 73:2005]
[ABNT ISO/IEC Guia 73:2005] 3.10
3.10
aceitação do risco aceitação do risco
decisão de aceitar um risco decisão de aceitar um risco [ABNT ISO/IEC Guia 73:2005] [ABNT ISO/IEC Guia 73:2005] 3.11
3.11
análise de riscos análise de riscos
uso sistemático de informações para identificar fontes e estimar o risco uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005]
[ABNT ISO/IEC Guia 73:2005] 3.12
3.12
análise/avaliação de riscos análise/avaliação de riscos
processo completo de análise e avaliação de riscos processo completo de análise e avaliação de riscos [ABNT ISO/IEC Guia 73:2005]
[ABNT ISO/IEC Guia 73:2005] 3.13
3.13
avaliação de riscos avaliação de riscos
processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005]
[ABNT ISO/IEC Guia 73:2005] 3.14
3.14
gestão de riscos gestão de riscos
atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos
NOTA
NOTA A A gestão gestão de de riscos riscos geralmente geralmente inclui inclui a a análise/avaliação análise/avaliação de de riscos, riscos, o o tratamento tratamento de de riscos, riscos, a a aceitação aceitação de de riscos riscos e e aa comunicação de riscos.
comunicação de riscos.
[ABNT ISO/IEC Guia 73:2005] [ABNT ISO/IEC Guia 73:2005]
3.15 3.15
tratamento do risco tratamento do risco
processo de seleção e implementação de medidas para modificar um risco processo de seleção e implementação de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005]
[ABNT ISO/IEC Guia 73:2005]
NOTA
NOTA Nesta Nesta Norma Norma o o termo termo “controle” “controle” é é usado usado como como um um sinônimo sinônimo para para “medida”.“medida”.
3.16 3.16
declaração de aplicabilidade declaração de aplicabilidade
declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
SGSI da organização
NOTA
NOTA Os Os objetivos objetivos de de controle controle e e controles controles estão estão baseados baseados nos nos resultados resultados e e conclusões conclusões dos dos processos processos dede análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da
requisitos de negócio da organização para a segurança da informação.informação.
4
4 Sistema Sistema de de gestão gestão de de segurança segurança da da informaçãoinformação 4.1
4.1 Requisitos Requisitos geraisgerais
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA mostrado na figura 1. enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA mostrado na figura 1.
4.2
4.2 Estabelecendo Estabelecendo e e gerenciando gerenciando o o SGSISGSI
4.2.1
4.2.1 Estabelecer Estabelecer o o SGSISGSI A organização deve:
A organização deve: a)
a) Definir o escopo e Definir o escopo e os limites do os limites do SGSI nos termos das SGSI nos termos das características do negócio, a características do negócio, a organização, suaorganização, sua localização, ativos e tecnologia,
localização, ativos e tecnologia, incluindo detalhes e justificativas incluindo detalhes e justificativas para quaisquer exclusões do para quaisquer exclusões do escopo (verescopo (ver 1.2);
1.2); b)
b) Definir uma Definir uma política do política do SGSI nos SGSI nos termos das termos das características do características do negócio, a negócio, a organização, sua organização, sua localização, ativoslocalização, ativos e tecnologia que:
e tecnologia que: 1)
1) inclua uma inclua uma estrutura para estrutura para definir objetivos definir objetivos e estabeleça e estabeleça um direcionamento um direcionamento global e global e princípios para princípios para açõesações relacionadas com a segurança da informação;
relacionadas com a segurança da informação; 2)
2) considere requisitos considere requisitos de negócio, de negócio, legais legais e/ou regulamentares, e/ou regulamentares, e obrigações e obrigações de segurança de segurança contratuais;contratuais; 3)
3) esteja alinhada esteja alinhada com o com o contexto estratégico contexto estratégico de gestão de gestão de riscos de riscos da organização da organização no qual no qual o estabelecimentoo estabelecimento e manutenção do SGSI irão ocorrer ;
e manutenção do SGSI irão ocorrer ; 4)
4) estabeleça estabeleça critérios em critérios em relação relação aos aos quais os quais os riscos riscos serão avaliadoserão avaliados (ver s (ver 4.2.1c)); 4.2.1c)); ee 5)
5) tenha tenha sido sido aprovada aprovada pela pela direção.direção.
NOTA
NOTA Para Para os os efeitos efeitos desta desta Norma, Norma, a a política política do do SGSI SGSI é é considerada considerada um um documento documento maior maior da da política política de de segurança segurança dada informação. Estas políticas podem estar descritas em um
c)
c) Definir Definir a a abordagem de abordagem de análise/avaliação análise/avaliação de de riscos riscos da da organização.organização. 1)
1) Identificar uma Identificar uma metodologia de metodologia de análise/avaliação de análise/avaliação de riscos que riscos que seja adequada seja adequada ao SGSI ao SGSI e aos e aos requisitosrequisitos legais, regulamentares e de segurança da informação, identificados para o negócio.
legais, regulamentares e de segurança da informação, identificados para o negócio. 2)
2) Desenvolver critérios Desenvolver critérios para a para a aceitação de aceitação de riscos e riscos e identificar os identificar os níveis aceitáveis níveis aceitáveis de risco de risco (ver 5.1f)).(ver 5.1f)). A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de riscos A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de riscos produzam resultados comparáveis e reproduzíveis.
produzam resultados comparáveis e reproduzíveis.
NOTA
NOTA Existem Existem diferentes diferentes metodologias metodologias para para análise/avaliação análise/avaliação de de riscos. riscos. São São discutidos discutidos exemplos exemplos de de metodologias metodologias dede análise/avaliação de riscos na ISO/IEC TR 13335-3,
análise/avaliação de riscos na ISO/IEC TR 13335-3, Information technology — Guidelines for the management of IT Security — Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security
Part 3: Techniques for the management of IT security ..
d)
d) Identificar Identificar os os riscos.riscos. 1)
1) Identificar os Identificar os ativos ativos dentro dentro do escopo do escopo do do SGSI SGSI e os e os proprietáriosproprietários2)2)destes ativos.destes ativos.
2)
2) Identificar Identificar as as ameaças ameaças a a esses esses ativos.ativos. 3)
3) Identificar Identificar as as vulnerabilidades vulnerabilidades que que podem podem ser ser exploradas exploradas pelas pelas ameaças.ameaças. 4)
4) Identificar os Identificar os impactos que impactos que as perdas as perdas de confidencialidade, de confidencialidade, integridade e integridade e disponibilidade podem disponibilidade podem causarcausar aos ativos.
aos ativos. e)
e) Analisar Analisar e e avaliar avaliar os os riscos.riscos. 1)
1) Avaliar os Avaliar os impactos para impactos para o negócio o negócio da organização da organização que podem que podem resultar de falhas resultar de falhas de segurança, levandode segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos.
dos ativos. 2)
2) Avaliar a Avaliar a probabilidade real probabilidade real da ocorrência da ocorrência de falhas de falhas de segurança de segurança à luz à luz de ameaças de ameaças e vulnerabilidadese vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.
prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3)
3) Estimar Estimar os os níveis níveis de de riscos.riscos. 4)
4) Determinar se Determinar se os riscos os riscos são aceitáveis são aceitáveis ou se ou se requerem tratamento utilizando requerem tratamento utilizando os critérios os critérios para aceitaçãopara aceitação de riscos estabelecidos em 4.2.1c)2).
de riscos estabelecidos em 4.2.1c)2). f)
f) Identificar Identificar e e avaliar avaliar as as opções opções para para o o tratamento tratamento de de riscos.riscos. Possíveis ações incluem:
Possíveis ações incluem: 1)
1) aplicar aplicar os os controles controles apropriados;apropriados; 2)
2) aceitar os riscos consciaceitar os riscos consciente e objetivamente, desde que ente e objetivamente, desde que satisfaçam claramente às políticas satisfaçam claramente às políticas dada organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));
organização e aos critérios de aceitação de riscos (ver 4.2.1c)2)); 3)
3) evitar evitar riscos; riscos; ee 4)
4) transferir os transferir os riscos associriscos associados ao ados ao negócio a negócio a outras partes, outras partes, por exemplo, por exemplo, seguradoras e seguradoras e fornecedores.fornecedores.
2)
2) O termo O termo 'proprietário' identifica 'proprietário' identifica uma pessoa ou uma pessoa ou organismo organismo que tenha que tenha uma responsabilidade auuma responsabilidade autorizada para torizada para controlar acontrolar a
produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. O termo 'proprietário' não significa que a pessoa produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. O termo 'proprietário' não significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo.
g)
g) Selecionar Selecionar objetivos objetivos de de controle e controle e controles para controles para o o tratamento de tratamento de riscos.riscos.
Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de
identificados pela análise/avaliação de riscos e pelo riscos e pelo processo de tratamento de processo de tratamento de riscos. Esta seleção riscos. Esta seleção devedeve considerar os critérios para aceitação de riscos (ver 4.2.1c)2)) como também os requisitos legais, considerar os critérios para aceitação de riscos (ver 4.2.1c)2)) como também os requisitos legais, regulamentares e contratuais.
regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados.
adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controles e Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controles e controles adicionais podem também ser selecionados.
controles adicionais podem também ser selecionados.
NOTA
NOTA O anO anexo exo A A contém contém uma uma lista delista detalhada dtalhada de oe objetivos dbjetivos de coe controle ntrole e e controles controles que que foram foram comumentecomumente considerados relevantes nas organizações. Os usuários desta Norma são direcionados para o anexo A como um ponto de considerados relevantes nas organizações. Os usuários desta Norma são direcionados para o anexo A como um ponto de partida para a seleção de controles, para
partida para a seleção de controles, para assegurar que nenhuma opção de controle importante seja negligenciada.assegurar que nenhuma opção de controle importante seja negligenciada.
h)
h) Obter Obter aprovação aprovação da da direção direção dos dos riscos riscos residuais residuais propostos.propostos. i)
i) Obter Obter autorização autorização da da direção direção para para implementar implementar e e operar operar o o SGSI.SGSI. j)
j) Preparar Preparar uma uma Declaração Declaração de de Aplicabilidade.Aplicabilidade.
Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: 1)
1) Os objetivos Os objetivos de controle de controle e os e os controles selecionados controles selecionados em 4.2.1g) em 4.2.1g) e as e as razões para razões para sua seleção;sua seleção; 2)
2) Os objetivos Os objetivos de controle de controle e os e os controles atualmente controles atualmente implementados (ver implementados (ver 4.2.1e)2)); e4.2.1e)2)); e 3)
3) A exclusão A exclusão de quaisquer ode quaisquer objetivos de controle bjetivos de controle e controles e controles do anexo do anexo A e A e a justificativa a justificativa para sua exclusão.para sua exclusão.
NOTA
NOTA A A Declaração Declaração de de Aplicabilidade Aplicabilidade provê provê um um resumo resumo das das decisões decisões relativas relativas ao ao tratamento tratamento de de riscos.riscos. A justificativa das exclusões provê uma checagem cruzada
A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.de que nenhum controle foi omitido inadvertidamente.
4.2.2
4.2.2 Implementar Implementar e e operar operar o o SGSISGSI A organização deve:
A organização deve: a)
a) Formular um plano Formular um plano de tratamento de de tratamento de riscos que identifique riscos que identifique a ação de a ação de gestão apropriada, recursos,gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5).
responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5). b)
b) Implementar o Implementar o plano de plano de tratamento de tratamento de riscos para riscos para alcançar os alcançar os objetivos de objetivos de controle identificados, controle identificados, que incluaque inclua considerações de financiamentos e atribuição de papéis e responsabilidades.
considerações de financiamentos e atribuição de papéis e responsabilidades. c)
c) Implementar os Implementar os controles seleccontroles selecionados ionados em em 4.2.1g) para 4.2.1g) para atender atender aos aos objetivos objetivos de de controle.controle. d)
d) Definir como Definir como medir a eficácia medir a eficácia dos controles ou dos controles ou grupos de controles grupos de controles selecionados, e especificar selecionados, e especificar como estascomo estas medidas devem ser usadas para avaliar
medidas devem ser usadas para avaliar a eficácia a eficácia dos controles de modo a produzir resultados comparáveisdos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)).
e reproduzíveis (ver 4.2.3c)).
NOTA
NOTA A A medição medição da da eficácia eficácia dos dos controles controles permite permite aos aos gestores gestores e e à à equipe equipe determinar determinar o o quanto quanto os os controles controles alcançamalcançam de forma satisfatória os objetivos de controle planejados.
de forma satisfatória os objetivos de controle planejados.
e)
e) Implementar Implementar programas programas de de conscientização conscientização e e treinamento treinamento (ver (ver 5.2.2).5.2.2). f)
f) Gerenciar Gerenciar as as operações operações do do SGSI.SGSI. g)
h)
h) Implementar procedimentos Implementar procedimentos e outros e outros controles capazes controles capazes de permitir de permitir a a pronta detecção pronta detecção de de eventos deeventos de segurança da informação e resposta a incidentes de segurança da informação (ver 4.2.3 a)).
segurança da informação e resposta a incidentes de segurança da informação (ver 4.2.3 a)). 4.2.3
4.2.3 Monitorar Monitorar e e analisar analisar criticamente criticamente o o SGSISGSI A organização deve:
A organização deve: a)
a) Executar Executar procedimentos procedimentos de de monitoração monitoração e e análise análise crítica crítica e e outros outros controles controles para:para: 1)
1) prontamente prontamente detectar detectar erros erros nos nos resultados resultados de de processamento;processamento; 2)
2) prontamente identificar prontamente identificar tentativas e tentativas e violações de violações de segurança bem-sucedidas, segurança bem-sucedidas, e incidentes e incidentes de segurança de segurança dada informação;
informação; 3)
3) permitir à direção permitir à direção determinar se determinar se as atividades as atividades de segurança de segurança da informação delegadas da informação delegadas a pessoas oua pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado;
implementadas por meio de tecnologias de informação são executadas conforme esperado; 4)
4) ajudar a ajudar a detectar eventos detectar eventos de segurança de segurança da informação da informação e assim e assim prevenir incidentes prevenir incidentes de segurança de segurança dada informação pelo uso de indicadores; e
informação pelo uso de indicadores; e 5)
5) determinar se as determinar se as ações tomadas para ações tomadas para solucionar uma violação solucionar uma violação de segurança da de segurança da informação foraminformação foram eficazes.
eficazes. b)
b) Realizar análises Realizar análises críticas regulares da críticas regulares da eficácia do eficácia do SGSI SGSI (incluindo o (incluindo o atendimento da patendimento da política e olítica e dos objetivos dos objetivos dodo SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e
sugestões e realimentação de todas realimentação de todas as partes interessadas.as partes interessadas. c)
c) Medir a Medir a eficácia dos eficácia dos controles para controles para verificar que verificar que os requisitos os requisitos de segurança de segurança da informação da informação foram atendidos.foram atendidos. d)
d) Analisar criticamente Analisar criticamente as análises/avaliações as análises/avaliações de riscos de riscos a intervalos a intervalos planejados e planejados e analisar criticamente analisar criticamente os riscosos riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a:
residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a: 1) organização;
1) organização; 2) tecnologias; 2) tecnologias; 3)
3) objetivos objetivos e e processos processos de de negócio;negócio; 4)
4) ameaças ameaças identificadas;identificadas; 5)
5) eficácia eficácia dos dos controles controles implementados;implementados; 6)
6) eventos externos, tais eventos externos, tais como mudanças nos como mudanças nos ambientes legais ambientes legais ou regulamentares, alterações ou regulamentares, alterações dasdas obrigações contratuais e mudanças na conjuntura social.
obrigações contratuais e mudanças na conjuntura social. e)
e) Conduzir audiConduzir auditorias internas torias internas do SGSI do SGSI a intervalos a intervalos planejados planejados (ver seção (ver seção 6).6).
NOTA
NOTA Auditorias Auditorias internas, internas, às às vezes vezes chamadas chamadas de de auditorias auditorias de de primeira primeira parte, parte, são são conduzidas conduzidas por por ou ou em em nome nome dada própria organização para propósitos internos.
própria organização para propósitos internos.
f)
f) Realizar uma Realizar uma análise crítica análise crítica do SGSI do SGSI pela direção pela direção em bases em bases regulares para regulares para assegurar que o assegurar que o escopoescopo permanece adequado e que são identificadas melhorias nos processos do SGSI (ver 7.1).
permanece adequado e que são identificadas melhorias nos processos do SGSI (ver 7.1). g)
g) Atualizar os Atualizar os planos de planos de segurança da segurança da informação para informação para levar em consideração levar em consideração os resultados os resultados das atividades das atividades dede monitoramento e análise crítica.
h)
h) Registrar Registrar ações ações e e eventos eventos que que possam possam ter ter um um impacto na impacto na eficácia eficácia ou ou no no desempenho desempenho do do SGSI SGSI (ver (ver 4.3.3).4.3.3). 4.2.4
4.2.4 Manter Manter e e melhorar melhorar o o SGSISGSI A organização
A organização deve deve regularmente :regularmente : a)
a) Implementar Implementar as as melhorias melhorias identificadas identificadas no no SGSI.SGSI. b)
b) Executar as Executar as ações preventivas ações preventivas e corretivas e corretivas apropriadas apropriadas de acordo de acordo com 8.2 com 8.2 e 8.3. e 8.3. Aplicar as Aplicar as lições alições aprendidasprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.
de experiências de segurança da informação de outras organizações e aquelas da própria organização. c)
c) Comunicar as Comunicar as ações e ações e melhorias a melhorias a todas as todas as partes interessadas partes interessadas com um com um nível de nível de detalhe apropriado detalhe apropriado àsàs circunstâncias e, se relevante, obter a concordância sobre como proceder.
circunstâncias e, se relevante, obter a concordância sobre como proceder. d)
d) Assegurar-se Assegurar-se de de que que as as melhorias melhorias atinjam atinjam os os objetivos objetivos pretendidos.pretendidos.
4.3
4.3 Requisitos Requisitos de de documentaçãodocumentação
4.3.1 Geral 4.3.1 Geral
A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
É importante que se possa demonstrar a relação dos controles selecionados com os resultados da É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI.
do SGSI.
A documentação do SGSI deve incluir: A documentação do SGSI deve incluir: a)
a) declarações declarações documentadas da documentadas da política política (ver (ver 4.2.1b)) e 4.2.1b)) e objetivos objetivos do do SGSI;SGSI; b)
b) o o escopo escopo do do SGSI SGSI (ver (ver 4.2.1a));4.2.1a)); c)
c) procedimentos procedimentos e e controles controles que que apoiam apoiam o o SGSI;SGSI; d)
d) uma descriuma descrição ção da metodologia da metodologia de de análise/avaliação análise/avaliação de de riscos riscos (ver (ver 4.2.1c));4.2.1c)); e)
e) o o relatório de relatório de análise/avaliação análise/avaliação de ride riscos scos (ver 4.2.1c) (ver 4.2.1c) a 4.2.1g));a 4.2.1g)); f)
f) o o plano plano de de tratamento tratamento de de riscos riscos (ver (ver 4.2.2b));4.2.2b)); g)
g) procedimentos documentados requeridos pela procedimentos documentados requeridos pela organização para assegurar organização para assegurar o planejamento efetivo, o planejamento efetivo, aa operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles (ver 4.2.3c));
dos controles (ver 4.2.3c)); h)
h) registros registros requeridos requeridos por por esta esta Norma Norma (ver (ver 4.3.3); 4.3.3); ee i)
i) a a Declaração Declaração de de Aplicabilidade.Aplicabilidade.
NOTA
NOTA 1 1 Onde o Onde o termo termo "procedimento "procedimento documentado" apadocumentado" aparecer nesta recer nesta Norma, signNorma, significa que ifica que o pro procedimento é ocedimento é estabelecido,estabelecido, documentado, implementado e mantido.
documentado, implementado e mantido. NOTA
NOTA 2 2 A A abrangência abrangência da da documentação documentação do do SGSI SGSI pode pode variar variar de de uma uma organização organização para para outra outra devido devido ao:ao:
⎯
⎯ tamanho da organização e o tipo de suas atividades; etamanho da organização e o tipo de suas atividades; e ⎯
NOTA
NOTA 3 3 Documentos Documentos e e registros registros podem podem estar estar em em qualquer qualquer forma forma ou ou tipo tipo de de mídia.mídia.
4.3.2
4.3.2 Controle Controle de de documentosdocumentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:
ser estabelecido para definir as ações de gestão necessárias para: a)
a) aprovar aprovar documentos documentos para para adequação adequação antes antes de de sua sua emissão;emissão; b)
b) analisar analisar criticamente criticamente e e atualizar, atualizar, quando quando necessário, necessário, e e reaprovar reaprovar documentos;documentos; c)
c) assegurar que assegurar que as as alterações alterações e e a a situação da situação da revisão revisão atual atual dos dos documentos documentos sejam sejam identificadas;identificadas; d)
d) assegurar que assegurar que as versões as versões pertinentes de pertinentes de documentos aplicáveis documentos aplicáveis estejam disponíveis estejam disponíveis nos locais nos locais de uso;de uso; e)
e) assegurar assegurar que que os os documentos documentos permaneçam permaneçam legíveis legíveis e e prontamente prontamente identificáveis;identificáveis; f)
f) assegurar que assegurar que os documentos os documentos estejam disponíveis estejam disponíveis àqueles que àqueles que deles precisam deles precisam e sejam e sejam transferidos,transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação;
armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação; g)
g) assegurar assegurar que que documentos documentos de de origem origem externa externa sejam sejam identificados;identificados; h)
h) assegurar assegurar que que a a distribuição distribuição de de documentos documentos seja seja controlada;controlada; i)
i) prevenir prevenir o o uso uso não não intencional intencional de de documentos documentos obsoletos; obsoletos; ee j)
j) aplicar aplicar identificação identificação adequada adequada nos nos casos casos em em que que sejam sejam retidos retidos para para qualquer qualquer propósito.propósito. 4.3.3
4.3.3 Controle Controle de de registrosregistros Registros devem
Registros devem ser estabelecidos ser estabelecidos e mantidos e mantidos para fornecer para fornecer evidências de evidências de conformidade aos conformidade aos requisitos e requisitos e dada operação eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideração operação eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação, permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e implementados.
implementados.
Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de incidentes de segurança da informação significativos relacionados ao SGSI.
incidentes de segurança da informação significativos relacionados ao SGSI. EXEMPLO
EXEMPLO
Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso preenchidos.
preenchidos.
5
5 Responsabilidades Responsabilidades da da direçãodireção 5.1
5.1 Comprometimento Comprometimento da da direçãodireção
A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:
monitoramento, análise crítica, manutenção e melhoria do SGSI mediante: a)
a) o o estabelecimento estabelecimento da da política política do do SGSI;SGSI; b)
c)
c) o o estabelecimento estabelecimento de de papéis papéis e e responsabilidades responsabilidades pela pela segurança segurança de de informação;informação; d)
d) a comunicação à a comunicação à organização da importância organização da importância em atender aos em atender aos objetivos de segurança objetivos de segurança da informação e da informação e aa conformidade com a política de segurança de informação, suas responsabilidades perante a lei e a conformidade com a política de segurança de informação, suas responsabilidades perante a lei e a necessidade para melhoria contínua;
necessidade para melhoria contínua; e)
e) a a provisão provisão de de recursos recursos suficientes suficientes para para estabelecer, estabelecer, implementar, operar, implementar, operar, monitorar, monitorar, analisar analisar criticamente,criticamente, manter e melhorar o SGSI (ver 5.2.1);
manter e melhorar o SGSI (ver 5.2.1); f)
f) a a definição definição de de critérios critérios para para aceitação aceitação de de riscos riscos e e dos dos níveis níveis de de riscos riscos aceitáveis;aceitáveis; g)
g) a garantia a garantia de que de que as auditorias as auditorias internas do internas do SGSI sejam SGSI sejam realizadas (ver realizadas (ver seção 6); seção 6); ee h)
h) a condução a condução de análises de análises críticas do críticas do SGSI SGSI pela direção pela direção (ver seção (ver seção 7).7).
5.2
5.2 Gestão Gestão de de recursosrecursos
5.2.1
5.2.1 Provisão Provisão de de recursosrecursos
A organização deve determinar e prover os recursos necessários para: A organização deve determinar e prover os recursos necessários para: a)
a) estabelecer, estabelecer, implementar, operar, implementar, operar, monitorar, analisar monitorar, analisar criticamente, criticamente, manter e manter e melhorar melhorar um um SGSI;SGSI; b)
b) assegurar que assegurar que os procedimentos os procedimentos de segurança de segurança da informação da informação apoiam os apoiam os requisitos de requisitos de negócio;negócio; c)
c) identificar identificar e e tratar tratar os os requisitos requisitos legais legais e e regulamentares regulamentares e e obrigações obrigações contratuais contratuais de de segurança segurança dada informação;
informação; d)
d) manter a manter a segurança da segurança da informação adequada informação adequada pela aplicação pela aplicação correta de correta de todos os todos os controles implementados;controles implementados; e)
e) realizar análises realizar análises críticas, quando críticas, quando necessário, e necessário, e reagir adequadamente reagir adequadamente aos resultados aos resultados destas análises destas análises críticas;críticas; ee
f)
f) onde onde requerido, requerido, melhorar melhorar a a eficácia eficácia do do SGSI.SGSI. 5.2.2
5.2.2 Treinamento, Treinamento, conscientização conscientização e e competênciacompetência
A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas:
competente para desempenhar as tarefas requeridas: a)
a) determinando as determinando as competências competências necessárias para necessárias para o o pessoal pessoal que que executa executa trabalhos trabalhos que que afetam afetam o So SGSI;GSI; b)
b) fornecendo treinamento fornecendo treinamento ou executando ou executando outras ações outras ações (por exemplo, (por exemplo, contratar pessoal contratar pessoal competente) paracompetente) para satisfazer essas necessidades;
satisfazer essas necessidades; c)
c) avaliando avaliando a a eficácia eficácia das das ações ações executadas; executadas; ee d)
d) mantendo registros mantendo registros de de educação, educação, treinamento, habilidades, treinamento, habilidades, experiências experiências e e qualificações qualificações (ver (ver 4.3.3).4.3.3).
A organização deve também assegurar que todo o pessoal pertinente esteja consciente da relevância e A organização deve também assegurar que todo o pessoal pertinente esteja consciente da relevância e importância das suas atividades de segurança da informação e como eles contribuem para o alcance dos objetivos importância das suas atividades de segurança da informação e como eles contribuem para o alcance dos objetivos do SGSI.
6
6 Auditorias Auditorias internas internas do do SGSISGSI
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:
de controle, controles, processos e procedimentos do seu SGSI: a)
a) atendem aos atendem aos requisitos requisitos desta Ndesta Norma e orma e à à legislação legislação ou ou regulamentações pertinentes;regulamentações pertinentes; b)
b) atendem atendem aos aos requisitos requisitos de de segurança segurança da da informação informação identificados;identificados; c)
c) estão estão mantidos mantidos e e implementados implementados eficazmente; eficazmente; ee d)
d) são são executados executados conforme conforme esperado.esperado.
Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho. objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.
As responsabilidades e os requisitos para planejamento e para execução de auditorias e para relatar os resultados As responsabilidades e os requisitos para planejamento e para execução de auditorias e para relatar os resultados e a manutenção dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.
e a manutenção dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.
O responsável pela área a ser auditada deve assegurar que as ações sejam executadas, sem demora indevida, O responsável pela área a ser auditada deve assegurar que as ações sejam executadas, sem demora indevida, para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos
verificação das ações executadas e o relato dos resultados de verificação (ver resultados de verificação (ver seção 8).seção 8).
NOTA
NOTA A A ABNT ABNT NBR NBR ISO ISO 19011:2002 19011:2002 –– Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental ––
pode prover uma or
pode prover uma orientação útil para ientação útil para realizar auditorias internas do Srealizar auditorias internas do SGSI.GSI.
7
7 Análise Análise crítica crítica do do SGSI SGSI pela pela direçãodireção 7.1 Geral
7.1 Geral
A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência,
ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise adequação e eficácia. Esta análise crítica crítica deve incluir a avaliaçãodeve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).
documentados e os registros devem ser mantidos (ver 4.3.3).
7.2
7.2 Entradas Entradas para para a a análise análise críticacrítica
As entradas para a análise crítica pela direção devem incluir: As entradas para a análise crítica pela direção devem incluir: a)
a) resultados resultados de de auditorias auditorias do do SGSI SGSI e e análises análises críticas;críticas; b)
b) realimentação realimentação das das partes partes interessadas;interessadas; c)
c) técnicas, produtos técnicas, produtos ou procedimentos ou procedimentos que podem que podem ser usados ser usados na organização na organização para melhorar para melhorar o desempenho o desempenho e ae a eficácia do SGSI ;
eficácia do SGSI ; d)
d) situação situação das das ações ações preventivas preventivas e e corretivas;corretivas; e)
e) vulnerabilidades vulnerabilidades ou ou ameaças ameaças não não contempladas contempladas adequadamente adequadamente nas nas análises/avaliações análises/avaliações de de risco risco anteriores;anteriores; f)
