ISO/IEC 27001:2022 Norma — SGSI
116 controles, organizados por grupo, com resumo em português.
Norma internacional de gestão de segurança da informação (SGSI). Define os requisitos de gestão (Cláusulas 4–10) e um catálogo de controles (Anexo A) para proteger a informação; é a base para a certificação em segurança da informação.
Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.
Os códigos das Cláusulas e do Anexo A são referências factuais. As descrições em português são redigidas pela InfoCuestaSec (não reproduzem o texto da norma, protegido por direitos autorais). A divisão em perfis é didática.
4 Cláusula 4 — Contexto da organização
-
4.1
Entender a organização e seu contexto (questões internas e externas relevantes). Entender as questões internas e externas que afetam a segurança (mercado, tecnologia, leis, cultura). Sem conhecer o contexto, o SGSI protege as coisas erradas.Básico
-
4.2
Entender as necessidades e expectativas das partes interessadas. Identificar quem tem interesse no seu SGSI (clientes, reguladores, sócios) e seus requisitos. Esses requisitos definem o que o sistema precisa atender.Intermediário
-
4.3
Determinar o escopo do SGSI (limites e aplicabilidade). Definir claramente o que entra e o que fica de fora do SGSI (áreas, processos, sistemas). Escopo mal definido deixa brechas sem dono.Intermediário
-
4.4
Estabelecer, implementar, manter e melhorar continuamente o SGSI. Estabelecer, implementar, manter e melhorar o sistema de gestão. É o compromisso de tratar segurança como processo vivo, não projeto pontual.Básico
5 Cláusula 5 — Liderança
-
5.1
A alta direção demonstra liderança e comprometimento com o SGSI. A alta direção lidera e se compromete de verdade com o SGSI, alinhando-o ao negócio. Sem o topo comprando a ideia, o resto não se sustenta.Básico
-
5.2
Estabelecer uma política de segurança da informação adequada e comunicada. Ter uma política de segurança clara, aprovada e comunicada. É o documento que declara a intenção e orienta todos.Básico
-
5.3
Definir papéis, responsabilidades e autoridades da segurança da informação. Definir e comunicar papéis, responsabilidades e autoridades de segurança. Cada um precisa saber o que é seu.Básico
6 Cláusula 6 — Planejamento
-
6.1
Planejar ações para tratar riscos e oportunidades (processo de avaliação e tratamento de riscos). Planejar como tratar riscos e oportunidades, incluindo avaliação e tratamento de riscos. É o coração do SGSI: decidir o que proteger e como.Básico
-
6.2
Definir objetivos de segurança da informação e planejar como alcançá-los. Definir objetivos de segurança mensuráveis e planejar como alcançá-los. Objetivo sem plano é só desejo.Básico
-
6.3
Planejar as mudanças no SGSI de forma controlada. Planejar as mudanças no SGSI de forma controlada. Mudança improvisada quebra controles que funcionavam.Intermediário
7 Cláusula 7 — Apoio
-
7.1
Prover os recursos necessários ao SGSI. Prover os recursos necessários (pessoas, tempo, ferramentas, orçamento). Sistema sem recursos não opera.Intermediário
-
7.2
Garantir a competência das pessoas que afetam a segurança (formação/experiência). Garantir a competência das pessoas, por formação ou experiência. Gente despreparada é risco.Básico
-
7.3
Assegurar que as pessoas tenham consciência da política e do seu papel na segurança. Assegurar que todos tenham consciência da política e do seu papel. Consciência transforma regra em prática.Básico
-
7.4
Determinar as necessidades de comunicação interna e externa sobre o SGSI. Definir o que, quando e como comunicar sobre segurança. Comunicação ruim atrapalha a resposta e a cultura.Intermediário
-
7.5
Controlar a informação documentada exigida pelo SGSI (criar, atualizar, controlar). Criar e controlar a informação documentada do SGSI (versão, acesso, guarda). Documento descontrolado gera confusão e não conformidade.Básico
8 Cláusula 8 — Operação
-
8.1
Planejar e controlar os processos operacionais para atender aos requisitos de segurança. Planejar e controlar os processos operacionais para cumprir os requisitos. É onde a política vira operação.Básico
-
8.2
Realizar avaliações de risco de segurança em intervalos planejados e quando houver mudanças. Realizar avaliações de risco em intervalos planejados e quando houver mudanças. O risco muda; a avaliação precisa acompanhar.Básico
-
8.3
Implementar o plano de tratamento de riscos de segurança da informação. Implementar de fato o plano de tratamento de riscos. Plano no papel não reduz risco nenhum.Básico
9 Cláusula 9 — Avaliação de desempenho
-
9.1
Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI. Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI. Sem medir, não se sabe se funciona.Básico
-
9.2
Realizar auditorias internas periódicas do SGSI. Fazer auditorias internas periódicas para verificar conformidade e eficácia. Enxerga problemas antes do auditor externo (ou do atacante).Intermediário
-
9.3
Realizar análises críticas do SGSI pela alta direção. A alta direção analisa criticamente o SGSI em intervalos planejados. Garante que a liderança acompanha e decide melhorias.Intermediário
10 Cláusula 10 — Melhoria
-
10.1
Melhorar continuamente a adequação, suficiência e eficácia do SGSI. Melhorar continuamente a adequação e a eficácia do SGSI. Segurança é um alvo em movimento.Intermediário
-
10.2
Tratar não conformidades e adotar ações corretivas. Tratar não conformidades e adotar ações corretivas para que não se repitam. Corrigir a causa, não só o sintoma.Básico
A.5 A.5 — Controles organizacionais
-
A.5.1
Ter políticas de segurança da informação aprovadas, publicadas e comunicadas. Políticas aprovadas e comunicadas dão direção e respaldo para tudo o mais. Sem política, cada um faz do seu jeito.Básico
-
A.5.2
Definir e atribuir papéis e responsabilidades de segurança da informação. Atribuir papéis e responsabilidades define quem cuida de quê. O que é de todos acaba não sendo de ninguém.Básico
-
A.5.3
Segregar funções conflitantes para reduzir fraude e erro. Separar funções conflitantes (quem aprova não é quem executa) reduz fraude e erro. Concentração de poder é risco.Intermediário
-
A.5.4
A direção exige e apoia a segurança conforme as políticas. A direção exige e apoia a segurança conforme as políticas. Cobrança do topo faz a regra pegar.Intermediário
-
A.5.5
Manter contato com autoridades relevantes (ex.: órgãos reguladores, polícia). Contato com autoridades agiliza a resposta em incidentes e o cumprimento legal. Na crise, já saber a quem recorrer economiza tempo.Intermediário
-
A.5.6
Manter contato com grupos especializados e fóruns de segurança. Participar de grupos e fóruns mantém a equipe atualizada sobre ameaças. Segurança evolui rápido demais para ficar isolado.Avançado
-
A.5.7
Coletar e usar inteligência de ameaças para antecipar riscos. Inteligência de ameaças ajuda a antecipar e se preparar para ataques. Melhor prevenir do que reagir.Avançado
-
A.5.8
Considerar segurança da informação na gestão de projetos. Considerar segurança desde o planejamento dos projetos evita retrabalho e brechas. Adicionar no fim custa mais caro.Intermediário
-
A.5.9
Manter inventário de informações e ativos associados, com responsáveis. Inventariar informações e ativos com responsáveis é a base para protegê-los. Não se protege o que não se conhece.Básico
-
A.5.10
Definir e comunicar regras de uso aceitável dos ativos e da informação. Regras de uso aceitável orientam o que se pode ou não fazer com os ativos. Reduz mau uso e responsabiliza.Básico
-
A.5.11
Garantir a devolução de ativos ao término do vínculo ou contrato. Garantir a devolução de ativos no fim do vínculo evita dados e equipamentos soltos. Ex-colaborador com acesso é risco.Intermediário
-
A.5.12
Classificar a informação conforme sensibilidade e criticidade. Classificar a informação por sensibilidade permite proteger cada tipo no nível certo. Tratar tudo igual desperdiça ou expõe.Intermediário
-
A.5.13
Rotular a informação de acordo com sua classificação. Rotular a informação conforme a classificação orienta o manuseio correto. O rótulo lembra o cuidado devido.Intermediário
-
A.5.14
Proteger a transferência de informação por qualquer meio. Proteger a transferência de informação evita interceptação e vazamento. Dado em trânsito é dado vulnerável.Intermediário
-
A.5.15
Estabelecer e aplicar regras de controle de acesso (menor privilégio). Regras de controle de acesso garantem que cada um só acesse o necessário. É a base do menor privilégio.Básico
-
A.5.16
Gerir o ciclo de vida das identidades (criação, alteração, remoção). Gerir o ciclo de vida das identidades (criar, alterar, remover) mantém o acesso sob controle. Identidade órfã é porta aberta.Básico
-
A.5.17
Proteger as informações de autenticação (senhas, chaves, segredos). Proteger senhas, chaves e segredos impede que sejam roubados e reutilizados. Segredo vazado é acesso perdido.Básico
-
A.5.18
Conceder, revisar e revogar direitos de acesso conforme a necessidade. Conceder, revisar e revogar acessos evita acúmulo de privilégios. Acesso que sobra é risco que sobra.Básico
-
A.5.19
Gerir riscos de segurança nas relações com fornecedores. Gerir riscos nas relações com fornecedores. O elo mais fraco costuma ser o terceiro.Intermediário
-
A.5.20
Incluir requisitos de segurança nos contratos com fornecedores. Incluir requisitos de segurança nos contratos torna a exigência efetiva. Sem contrato, não há como cobrar.Intermediário
-
A.5.21
Gerir a segurança ao longo da cadeia de suprimentos de TIC. Gerir a segurança ao longo da cadeia de TIC. O software e hardware que você usa carregam o risco de quem os fez.Avançado
-
A.5.22
Monitorar, revisar e gerir mudanças nos serviços de fornecedores. Monitorar e gerir mudanças nos serviços dos fornecedores mantém o controle no tempo. Fornecedor muda e o risco também.Intermediário
-
A.5.23
Definir e aplicar requisitos de segurança para uso de serviços em nuvem. Definir requisitos de segurança para uso de nuvem. Na nuvem, a responsabilidade é compartilhada e precisa ficar clara.Avançado
-
A.5.24
Planejar e preparar a gestão de incidentes de segurança. Planejar e preparar a gestão de incidentes antes que aconteçam. Improviso na crise custa caro.Intermediário
-
A.5.25
Avaliar eventos de segurança e decidir se são incidentes. Avaliar eventos e decidir se são incidentes. Nem todo alerta é incidente, mas todo incidente começa como evento.Intermediário
-
A.5.26
Responder aos incidentes conforme procedimentos definidos. Responder aos incidentes conforme procedimentos definidos. Resposta organizada limita o dano.Intermediário
-
A.5.27
Aprender com os incidentes para reduzir recorrência. Aprender com os incidentes para que não se repitam. Repetir o mesmo erro é falha de gestão.Intermediário
-
A.5.28
Coletar e preservar evidências de incidentes de forma íntegra. Coletar e preservar evidências de forma íntegra. Evidência mal coletada não vale em investigação ou processo.Avançado
-
A.5.29
Manter a segurança da informação durante interrupções/crises. Manter a segurança durante interrupções e crises. É quando a organização está mais vulnerável.Intermediário
-
A.5.30
Preparar a TIC para dar suporte à continuidade do negócio. Preparar a TIC para dar suporte à continuidade do negócio. Recuperar rápido depende de ter se preparado antes.Intermediário
-
A.5.31
Identificar e atender requisitos legais, regulatórios e contratuais. Identificar e atender requisitos legais, regulatórios e contratuais. Descumprir a lei gera multa e dano de imagem.Básico
-
A.5.32
Proteger direitos de propriedade intelectual e uso de licenças. Proteger propriedade intelectual e uso de licenças. Software pirata traz risco legal e de segurança.Avançado
-
A.5.33
Proteger registros contra perda, destruição e falsificação. Proteger registros contra perda, destruição e falsificação. Registros são memória e prova da organização.Avançado
-
A.5.34
Proteger a privacidade e os dados pessoais (PII) conforme a lei. Proteger a privacidade e os dados pessoais conforme a lei (LGPD/GDPR). É obrigação legal e questão de confiança.Avançado
-
A.5.35
Realizar revisão independente da segurança da informação. Fazer revisão independente da segurança periodicamente. Um olhar de fora enxerga o que a equipe não vê.Avançado
-
A.5.36
Verificar a conformidade com as políticas, regras e normas de segurança. Verificar a conformidade com políticas, regras e normas. Regra que não se verifica vira letra morta.Intermediário
-
A.5.37
Documentar os procedimentos operacionais de segurança. Documentar os procedimentos operacionais. Procedimento na cabeça de uma pessoa some quando ela sai.Intermediário
A.6 A.6 — Controles de pessoas
-
A.6.1
Fazer triagem/verificação de antecedentes na contratação. Triagem/verificação de antecedentes na contratação, conforme o cargo. Reduz o risco de admitir quem não deveria ter acesso.Intermediário
-
A.6.2
Incluir responsabilidades de segurança nos termos de emprego. Incluir responsabilidades de segurança nos termos de emprego. Deixa claro desde o início o que se espera.Intermediário
-
A.6.3
Prover conscientização, educação e treinamento em segurança. Conscientização e treinamento em segurança. A maioria dos incidentes começa em um erro humano evitável.Básico
-
A.6.4
Ter processo disciplinar para violações de segurança. Processo disciplinar para violações de segurança. A consequência sustenta a regra.Intermediário
-
A.6.5
Definir responsabilidades de segurança após desligamento/mudança. Definir responsabilidades após desligamento ou mudança. Acesso não revogado é risco clássico.Intermediário
-
A.6.6
Firmar acordos de confidencialidade/não divulgação (NDA). Acordos de confidencialidade (NDA). Protegem segredos ao compartilhá-los com pessoas e terceiros.Intermediário
-
A.6.7
Proteger a informação no trabalho remoto. Proteger a informação no trabalho remoto. Fora do escritório, os controles precisam acompanhar o colaborador.Intermediário
-
A.6.8
Ter canal para reportar eventos de segurança da informação. Canal para reportar eventos de segurança. Quanto antes se sabe, menor o estrago.Básico
A.7 A.7 — Controles físicos
-
A.7.1
Definir perímetros de segurança física para áreas com informação. Perímetros de segurança física para áreas com informação. A primeira barreira contra o acesso indevido é a porta.Básico
-
A.7.2
Controlar a entrada física às instalações. Controlar a entrada física às instalações. Quem entra sem controle pode burlar toda a segurança digital.Básico
-
A.7.3
Proteger escritórios, salas e instalações. Proteger escritórios, salas e instalações. O ambiente físico guarda dados e equipamentos críticos.Intermediário
-
A.7.4
Monitorar continuamente a segurança física (ex.: câmeras, alarmes). Monitorar a segurança física (câmeras, alarmes, rondas). Detecta e inibe acessos e ações indevidas.Intermediário
-
A.7.5
Proteger contra ameaças físicas e ambientais (fogo, enchente, etc.). Proteger contra ameaças físicas e ambientais (fogo, enchente, energia). Desastre físico também para o negócio.Avançado
-
A.7.6
Definir regras para trabalhar em áreas seguras. Regras para trabalhar em áreas seguras. Onde o dado é mais sensível, o cuidado é maior.Avançado
-
A.7.7
Adotar política de mesa limpa e tela limpa. Mesa limpa e tela limpa. Papel e tela expostos vazam informação para quem passa.Intermediário
-
A.7.8
Posicionar e proteger equipamentos contra riscos e acessos indevidos. Posicionar e proteger equipamentos contra riscos e acesso indevido. Equipamento mal posicionado é alvo fácil.Avançado
-
A.7.9
Proteger ativos usados fora das instalações. Proteger ativos usados fora das instalações. Notebook na rua é alvo comum de roubo.Avançado
-
A.7.10
Gerir mídias de armazenamento com segurança durante o ciclo de vida. Gerir mídias de armazenamento com segurança em todo o ciclo. Pen drive perdido é vazamento na mão.Intermediário
-
A.7.11
Proteger utilidades de suporte (energia, refrigeração, telecom). Proteger utilidades de suporte (energia, refrigeração, telecom). Falha de infraestrutura derruba os sistemas.Avançado
-
A.7.12
Proteger o cabeamento de energia e de dados. Proteger o cabeamento de energia e dados. Cabo acessível pode ser grampeado ou danificado.Avançado
-
A.7.13
Manter os equipamentos corretamente para garantir disponibilidade. Manter os equipamentos para garantir disponibilidade. Equipamento mal mantido falha na hora errada.Avançado
-
A.7.14
Descartar ou reutilizar equipamentos de forma segura (apagar dados). Descartar ou reutilizar equipamentos apagando os dados. Disco descartado sem limpeza vaza tudo.Básico
A.8 A.8 — Controles tecnológicos
-
A.8.1
Proteger os dispositivos dos usuários (endpoints). Proteger os dispositivos dos usuários (endpoints). É onde as pessoas trabalham e por onde muitos ataques entram.Básico
-
A.8.2
Restringir e controlar direitos de acesso privilegiado. Restringir os acessos privilegiados (admin). Conta admin comprometida dá controle total ao atacante.Básico
-
A.8.3
Restringir o acesso à informação conforme a política de acesso. Restringir o acesso à informação conforme a política. Cada um vê só o que precisa.Intermediário
-
A.8.4
Controlar o acesso ao código-fonte. Controlar o acesso ao código-fonte. Código exposto revela segredos e falhas.Avançado
-
A.8.5
Usar autenticação segura (ex.: MFA, políticas de senha). Autenticação segura (MFA, políticas de senha). Login fraco é a porta preferida dos ataques.Básico
-
A.8.6
Gerir a capacidade dos recursos para garantir desempenho e disponibilidade. Gerir a capacidade dos recursos. Sistema sobrecarregado é sistema indisponível.Intermediário
-
A.8.7
Proteger contra malware (antivírus/EDR e conscientização). Proteger contra malware com ferramentas e conscientização. Malware segue entre as ameaças mais comuns.Básico
-
A.8.8
Gerir vulnerabilidades técnicas (identificar e corrigir/patch). Gerir vulnerabilidades técnicas: identificar e corrigir (patch). Falha conhecida e sem correção é convite ao ataque.Básico
-
A.8.9
Gerir configurações seguras (baseline) de hardware e software. Configurações seguras (baseline) de hardware e software. Configuração padrão costuma ser insegura.Básico
-
A.8.10
Excluir informação quando não for mais necessária. Excluir informação quando não for mais necessária. Dado que não existe não pode vazar.Avançado
-
A.8.11
Mascarar dados sensíveis conforme necessário. Mascarar dados sensíveis quando necessário. Mostrar só o mínimo reduz a exposição.Avançado
-
A.8.12
Prevenir vazamento de dados (DLP). Prevenir o vazamento de dados (DLP). Impede que informação saia por canais indevidos.Avançado
-
A.8.13
Fazer backups da informação e testar a restauração. Backups da informação, testando a restauração. É a defesa final contra ransomware e perda.Básico
-
A.8.14
Ter redundância dos recursos de processamento para disponibilidade. Redundância dos recursos de processamento. Um componente cai e o serviço continua.Avançado
-
A.8.15
Gerar e proteger logs de eventos. Gerar e proteger logs de eventos. Sem log, não se detecta nem se investiga.Básico
-
A.8.16
Monitorar sistemas e redes para detectar comportamento anômalo. Monitorar sistemas e redes para detectar anomalias. Perceber o ataque cedo limita o dano.Intermediário
-
A.8.17
Sincronizar os relógios dos sistemas (para correlação de logs). Sincronizar os relógios dos sistemas. Sem isso, correlacionar logs de um ataque fica impossível.Avançado
-
A.8.18
Restringir o uso de programas utilitários privilegiados. Restringir programas utilitários privilegiados. Ferramentas poderosas nas mãos erradas causam estrago.Avançado
-
A.8.19
Controlar a instalação de software em sistemas operacionais. Controlar a instalação de software nos sistemas. Software não controlado traz risco e vulnerabilidade.Básico
-
A.8.20
Proteger a segurança das redes. Proteger a segurança das redes. A rede é o caminho por onde o ataque se move.Básico
-
A.8.21
Definir e garantir a segurança dos serviços de rede. Garantir a segurança dos serviços de rede. Serviços mal configurados abrem portas.Avançado
-
A.8.22
Segregar redes em domínios de segurança. Segregar redes em domínios de segurança. Separar limita até onde um ataque consegue chegar.Intermediário
-
A.8.23
Aplicar filtragem de acesso à web. Filtragem de acesso à web. Bloqueia sites maliciosos e reduz a superfície de ataque.Intermediário
-
A.8.24
Usar criptografia conforme uma política definida. Usar criptografia conforme uma política. Protege a confidencialidade e a integridade dos dados.Básico
-
A.8.25
Adotar um ciclo de desenvolvimento seguro (Secure SDLC). Ciclo de desenvolvimento seguro (Secure SDLC). Corrigir no design é muito mais barato que em produção.Avançado
-
A.8.26
Definir requisitos de segurança para as aplicações. Definir requisitos de segurança para as aplicações. Segurança precisa ser requisito, não item opcional.Avançado
-
A.8.27
Aplicar princípios de arquitetura e engenharia seguras. Princípios de arquitetura e engenharia seguras. Uma base segura sustenta todo o resto.Avançado
-
A.8.28
Adotar práticas de codificação segura. Práticas de codificação segura. Grande parte das falhas nasce em código mal escrito.Avançado
-
A.8.29
Fazer testes de segurança no desenvolvimento e na aceitação. Testes de segurança no desenvolvimento e na aceitação. Achar a falha antes de publicar evita incidente.Avançado
-
A.8.30
Supervisionar a segurança no desenvolvimento terceirizado. Supervisionar a segurança no desenvolvimento terceirizado. Terceiro que codifica para você carrega o seu risco.Avançado
-
A.8.31
Separar os ambientes de desenvolvimento, teste e produção. Separar desenvolvimento, teste e produção. Mistura leva a erros e vazamento de dados reais.Avançado
-
A.8.32
Controlar mudanças em sistemas e aplicações (gestão de mudanças). Controlar mudanças em sistemas e aplicações. Mudança sem controle quebra o que funcionava e abre brechas.Intermediário
-
A.8.33
Proteger as informações usadas como dados de teste. Proteger as informações usadas como dados de teste. Dado real em teste é vazamento esperando acontecer.Avançado
-
A.8.34
Proteger sistemas durante testes de auditoria. Proteger sistemas durante testes de auditoria. Auditoria mal conduzida pode afetar a operação.Avançado