Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

ISO/IEC 27001:2022 — Perfil 3 — Avançado

116 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.

4 Cláusula 4 — Contexto da organização

4.1 Entender a organização e seu contexto (questões internas e externas relevantes).
4.2 Entender as necessidades e expectativas das partes interessadas.
4.3 Determinar o escopo do SGSI (limites e aplicabilidade).
4.4 Estabelecer, implementar, manter e melhorar continuamente o SGSI.

5 Cláusula 5 — Liderança

5.1 A alta direção demonstra liderança e comprometimento com o SGSI.
5.2 Estabelecer uma política de segurança da informação adequada e comunicada.
5.3 Definir papéis, responsabilidades e autoridades da segurança da informação.

6 Cláusula 6 — Planejamento

6.1 Planejar ações para tratar riscos e oportunidades (processo de avaliação e tratamento de riscos).
6.2 Definir objetivos de segurança da informação e planejar como alcançá-los.
6.3 Planejar as mudanças no SGSI de forma controlada.

7 Cláusula 7 — Apoio

7.1 Prover os recursos necessários ao SGSI.
7.2 Garantir a competência das pessoas que afetam a segurança (formação/experiência).
7.3 Assegurar que as pessoas tenham consciência da política e do seu papel na segurança.
7.4 Determinar as necessidades de comunicação interna e externa sobre o SGSI.
7.5 Controlar a informação documentada exigida pelo SGSI (criar, atualizar, controlar).

8 Cláusula 8 — Operação

8.1 Planejar e controlar os processos operacionais para atender aos requisitos de segurança.
8.2 Realizar avaliações de risco de segurança em intervalos planejados e quando houver mudanças.
8.3 Implementar o plano de tratamento de riscos de segurança da informação.

9 Cláusula 9 — Avaliação de desempenho

9.1 Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI.
9.2 Realizar auditorias internas periódicas do SGSI.
9.3 Realizar análises críticas do SGSI pela alta direção.

10 Cláusula 10 — Melhoria

10.1 Melhorar continuamente a adequação, suficiência e eficácia do SGSI.
10.2 Tratar não conformidades e adotar ações corretivas.

A.5 A.5 — Controles organizacionais

A.5.1 Ter políticas de segurança da informação aprovadas, publicadas e comunicadas.
A.5.2 Definir e atribuir papéis e responsabilidades de segurança da informação.
A.5.3 Segregar funções conflitantes para reduzir fraude e erro.
A.5.4 A direção exige e apoia a segurança conforme as políticas.
A.5.5 Manter contato com autoridades relevantes (ex.: órgãos reguladores, polícia).
A.5.6 Manter contato com grupos especializados e fóruns de segurança.
A.5.7 Coletar e usar inteligência de ameaças para antecipar riscos.
A.5.8 Considerar segurança da informação na gestão de projetos.
A.5.9 Manter inventário de informações e ativos associados, com responsáveis.
A.5.10 Definir e comunicar regras de uso aceitável dos ativos e da informação.
A.5.11 Garantir a devolução de ativos ao término do vínculo ou contrato.
A.5.12 Classificar a informação conforme sensibilidade e criticidade.
A.5.13 Rotular a informação de acordo com sua classificação.
A.5.14 Proteger a transferência de informação por qualquer meio.
A.5.15 Estabelecer e aplicar regras de controle de acesso (menor privilégio).
A.5.16 Gerir o ciclo de vida das identidades (criação, alteração, remoção).
A.5.17 Proteger as informações de autenticação (senhas, chaves, segredos).
A.5.18 Conceder, revisar e revogar direitos de acesso conforme a necessidade.
A.5.19 Gerir riscos de segurança nas relações com fornecedores.
A.5.20 Incluir requisitos de segurança nos contratos com fornecedores.
A.5.21 Gerir a segurança ao longo da cadeia de suprimentos de TIC.
A.5.22 Monitorar, revisar e gerir mudanças nos serviços de fornecedores.
A.5.23 Definir e aplicar requisitos de segurança para uso de serviços em nuvem.
A.5.24 Planejar e preparar a gestão de incidentes de segurança.
A.5.25 Avaliar eventos de segurança e decidir se são incidentes.
A.5.26 Responder aos incidentes conforme procedimentos definidos.
A.5.27 Aprender com os incidentes para reduzir recorrência.
A.5.28 Coletar e preservar evidências de incidentes de forma íntegra.
A.5.29 Manter a segurança da informação durante interrupções/crises.
A.5.30 Preparar a TIC para dar suporte à continuidade do negócio.
A.5.31 Identificar e atender requisitos legais, regulatórios e contratuais.
A.5.32 Proteger direitos de propriedade intelectual e uso de licenças.
A.5.33 Proteger registros contra perda, destruição e falsificação.
A.5.34 Proteger a privacidade e os dados pessoais (PII) conforme a lei.
A.5.35 Realizar revisão independente da segurança da informação.
A.5.36 Verificar a conformidade com as políticas, regras e normas de segurança.
A.5.37 Documentar os procedimentos operacionais de segurança.

A.6 A.6 — Controles de pessoas

A.6.1 Fazer triagem/verificação de antecedentes na contratação.
A.6.2 Incluir responsabilidades de segurança nos termos de emprego.
A.6.3 Prover conscientização, educação e treinamento em segurança.
A.6.4 Ter processo disciplinar para violações de segurança.
A.6.5 Definir responsabilidades de segurança após desligamento/mudança.
A.6.6 Firmar acordos de confidencialidade/não divulgação (NDA).
A.6.7 Proteger a informação no trabalho remoto.
A.6.8 Ter canal para reportar eventos de segurança da informação.

A.7 A.7 — Controles físicos

A.7.1 Definir perímetros de segurança física para áreas com informação.
A.7.2 Controlar a entrada física às instalações.
A.7.3 Proteger escritórios, salas e instalações.
A.7.4 Monitorar continuamente a segurança física (ex.: câmeras, alarmes).
A.7.5 Proteger contra ameaças físicas e ambientais (fogo, enchente, etc.).
A.7.6 Definir regras para trabalhar em áreas seguras.
A.7.7 Adotar política de mesa limpa e tela limpa.
A.7.8 Posicionar e proteger equipamentos contra riscos e acessos indevidos.
A.7.9 Proteger ativos usados fora das instalações.
A.7.10 Gerir mídias de armazenamento com segurança durante o ciclo de vida.
A.7.11 Proteger utilidades de suporte (energia, refrigeração, telecom).
A.7.12 Proteger o cabeamento de energia e de dados.
A.7.13 Manter os equipamentos corretamente para garantir disponibilidade.
A.7.14 Descartar ou reutilizar equipamentos de forma segura (apagar dados).

A.8 A.8 — Controles tecnológicos

A.8.1 Proteger os dispositivos dos usuários (endpoints).
A.8.2 Restringir e controlar direitos de acesso privilegiado.
A.8.3 Restringir o acesso à informação conforme a política de acesso.
A.8.4 Controlar o acesso ao código-fonte.
A.8.5 Usar autenticação segura (ex.: MFA, políticas de senha).
A.8.6 Gerir a capacidade dos recursos para garantir desempenho e disponibilidade.
A.8.7 Proteger contra malware (antivírus/EDR e conscientização).
A.8.8 Gerir vulnerabilidades técnicas (identificar e corrigir/patch).
A.8.9 Gerir configurações seguras (baseline) de hardware e software.
A.8.10 Excluir informação quando não for mais necessária.
A.8.11 Mascarar dados sensíveis conforme necessário.
A.8.12 Prevenir vazamento de dados (DLP).
A.8.13 Fazer backups da informação e testar a restauração.
A.8.14 Ter redundância dos recursos de processamento para disponibilidade.
A.8.15 Gerar e proteger logs de eventos.
A.8.16 Monitorar sistemas e redes para detectar comportamento anômalo.
A.8.17 Sincronizar os relógios dos sistemas (para correlação de logs).
A.8.18 Restringir o uso de programas utilitários privilegiados.
A.8.19 Controlar a instalação de software em sistemas operacionais.
A.8.20 Proteger a segurança das redes.
A.8.21 Definir e garantir a segurança dos serviços de rede.
A.8.22 Segregar redes em domínios de segurança.
A.8.23 Aplicar filtragem de acesso à web.
A.8.24 Usar criptografia conforme uma política definida.
A.8.25 Adotar um ciclo de desenvolvimento seguro (Secure SDLC).
A.8.26 Definir requisitos de segurança para as aplicações.
A.8.27 Aplicar princípios de arquitetura e engenharia seguras.
A.8.28 Adotar práticas de codificação segura.
A.8.29 Fazer testes de segurança no desenvolvimento e na aceitação.
A.8.30 Supervisionar a segurança no desenvolvimento terceirizado.
A.8.31 Separar os ambientes de desenvolvimento, teste e produção.
A.8.32 Controlar mudanças em sistemas e aplicações (gestão de mudanças).
A.8.33 Proteger as informações usadas como dados de teste.
A.8.34 Proteger sistemas durante testes de auditoria.
Trocar de perfil