Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

ISO/IEC 27001:2022 — Perfil 2 — Intermediário

83 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.

4 Cláusula 4 — Contexto da organização

4.1 Entender a organização e seu contexto (questões internas e externas relevantes).
4.2 Entender as necessidades e expectativas das partes interessadas.
4.3 Determinar o escopo do SGSI (limites e aplicabilidade).
4.4 Estabelecer, implementar, manter e melhorar continuamente o SGSI.

5 Cláusula 5 — Liderança

5.1 A alta direção demonstra liderança e comprometimento com o SGSI.
5.2 Estabelecer uma política de segurança da informação adequada e comunicada.
5.3 Definir papéis, responsabilidades e autoridades da segurança da informação.

6 Cláusula 6 — Planejamento

6.1 Planejar ações para tratar riscos e oportunidades (processo de avaliação e tratamento de riscos).
6.2 Definir objetivos de segurança da informação e planejar como alcançá-los.
6.3 Planejar as mudanças no SGSI de forma controlada.

7 Cláusula 7 — Apoio

7.1 Prover os recursos necessários ao SGSI.
7.2 Garantir a competência das pessoas que afetam a segurança (formação/experiência).
7.3 Assegurar que as pessoas tenham consciência da política e do seu papel na segurança.
7.4 Determinar as necessidades de comunicação interna e externa sobre o SGSI.
7.5 Controlar a informação documentada exigida pelo SGSI (criar, atualizar, controlar).

8 Cláusula 8 — Operação

8.1 Planejar e controlar os processos operacionais para atender aos requisitos de segurança.
8.2 Realizar avaliações de risco de segurança em intervalos planejados e quando houver mudanças.
8.3 Implementar o plano de tratamento de riscos de segurança da informação.

9 Cláusula 9 — Avaliação de desempenho

9.1 Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI.
9.2 Realizar auditorias internas periódicas do SGSI.
9.3 Realizar análises críticas do SGSI pela alta direção.

10 Cláusula 10 — Melhoria

10.1 Melhorar continuamente a adequação, suficiência e eficácia do SGSI.
10.2 Tratar não conformidades e adotar ações corretivas.

A.5 A.5 — Controles organizacionais

A.5.1 Ter políticas de segurança da informação aprovadas, publicadas e comunicadas.
A.5.2 Definir e atribuir papéis e responsabilidades de segurança da informação.
A.5.3 Segregar funções conflitantes para reduzir fraude e erro.
A.5.4 A direção exige e apoia a segurança conforme as políticas.
A.5.5 Manter contato com autoridades relevantes (ex.: órgãos reguladores, polícia).
A.5.8 Considerar segurança da informação na gestão de projetos.
A.5.9 Manter inventário de informações e ativos associados, com responsáveis.
A.5.10 Definir e comunicar regras de uso aceitável dos ativos e da informação.
A.5.11 Garantir a devolução de ativos ao término do vínculo ou contrato.
A.5.12 Classificar a informação conforme sensibilidade e criticidade.
A.5.13 Rotular a informação de acordo com sua classificação.
A.5.14 Proteger a transferência de informação por qualquer meio.
A.5.15 Estabelecer e aplicar regras de controle de acesso (menor privilégio).
A.5.16 Gerir o ciclo de vida das identidades (criação, alteração, remoção).
A.5.17 Proteger as informações de autenticação (senhas, chaves, segredos).
A.5.18 Conceder, revisar e revogar direitos de acesso conforme a necessidade.
A.5.19 Gerir riscos de segurança nas relações com fornecedores.
A.5.20 Incluir requisitos de segurança nos contratos com fornecedores.
A.5.22 Monitorar, revisar e gerir mudanças nos serviços de fornecedores.
A.5.24 Planejar e preparar a gestão de incidentes de segurança.
A.5.25 Avaliar eventos de segurança e decidir se são incidentes.
A.5.26 Responder aos incidentes conforme procedimentos definidos.
A.5.27 Aprender com os incidentes para reduzir recorrência.
A.5.29 Manter a segurança da informação durante interrupções/crises.
A.5.30 Preparar a TIC para dar suporte à continuidade do negócio.
A.5.31 Identificar e atender requisitos legais, regulatórios e contratuais.
A.5.36 Verificar a conformidade com as políticas, regras e normas de segurança.
A.5.37 Documentar os procedimentos operacionais de segurança.

A.6 A.6 — Controles de pessoas

A.6.1 Fazer triagem/verificação de antecedentes na contratação.
A.6.2 Incluir responsabilidades de segurança nos termos de emprego.
A.6.3 Prover conscientização, educação e treinamento em segurança.
A.6.4 Ter processo disciplinar para violações de segurança.
A.6.5 Definir responsabilidades de segurança após desligamento/mudança.
A.6.6 Firmar acordos de confidencialidade/não divulgação (NDA).
A.6.7 Proteger a informação no trabalho remoto.
A.6.8 Ter canal para reportar eventos de segurança da informação.

A.7 A.7 — Controles físicos

A.7.1 Definir perímetros de segurança física para áreas com informação.
A.7.2 Controlar a entrada física às instalações.
A.7.3 Proteger escritórios, salas e instalações.
A.7.4 Monitorar continuamente a segurança física (ex.: câmeras, alarmes).
A.7.7 Adotar política de mesa limpa e tela limpa.
A.7.10 Gerir mídias de armazenamento com segurança durante o ciclo de vida.
A.7.14 Descartar ou reutilizar equipamentos de forma segura (apagar dados).

A.8 A.8 — Controles tecnológicos

A.8.1 Proteger os dispositivos dos usuários (endpoints).
A.8.2 Restringir e controlar direitos de acesso privilegiado.
A.8.3 Restringir o acesso à informação conforme a política de acesso.
A.8.5 Usar autenticação segura (ex.: MFA, políticas de senha).
A.8.6 Gerir a capacidade dos recursos para garantir desempenho e disponibilidade.
A.8.7 Proteger contra malware (antivírus/EDR e conscientização).
A.8.8 Gerir vulnerabilidades técnicas (identificar e corrigir/patch).
A.8.9 Gerir configurações seguras (baseline) de hardware e software.
A.8.13 Fazer backups da informação e testar a restauração.
A.8.15 Gerar e proteger logs de eventos.
A.8.16 Monitorar sistemas e redes para detectar comportamento anômalo.
A.8.19 Controlar a instalação de software em sistemas operacionais.
A.8.20 Proteger a segurança das redes.
A.8.22 Segregar redes em domínios de segurança.
A.8.23 Aplicar filtragem de acesso à web.
A.8.24 Usar criptografia conforme uma política definida.
A.8.32 Controlar mudanças em sistemas e aplicações (gestão de mudanças).
Trocar de perfil