ABNT/CB-21 1 PROJETO 21:027.

00-026 JUL 2012

Segurana da Informao - Diretrizes para classificao, rotulao e tratamento da informao

APRESENTAO
1) Este 1 Projeto de Norma foi elaborado pela Comisso de Estudo de Segurana da Informao (CE-21:027.00) do Comit Brasilero de Computadores e Processamento de Dados (ABNT/CB-21), nas reunies de:

05.12.2011

13.03.2012

04.07.2012

2) No tem valor normativo; 3) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informao em seus comentrios, com documentao comprobatria; 4) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT quando de sua publicao como Norma Brasileira. 5) Tomaram parte na elaborao deste Projeto: Participante ABCTEC ADP ARCON BR.EXPERIAN CQSI FACITEC IBM PROCERGS PROXIS TV GLOBO USIMINAS VERISGN Representante Roberto Henrique Mrcio Freitas Reginaldo Sarraf Nilton Moreira Ariosto Farias Carlos Augusto Valim Felipe Pearanda Marco Vincio Barbosa Dutra Olimpio de Menezes Vinicius Brasileiro Gilmar Pinto Ribeiro Anchises M. G. de Paula

NO TEM VALOR NORMATIVO

1/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

Segurana da Informao - Diretrizes para classificao, rotulao e tratamento da informao

Information Security Guidelines for classification, lettering and treatment of information

Prefcio
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os Documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2. O Escopo desta Norma Brasileira em ingls o seguinte:

Scope
This Standard establishes the basic guidelines for classification, lettering and treatment of information according to its sensibility and criticality to the Organization for the establishment of appropriate levels of protection.

NO TEM VALOR NORMATIVO

2/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

1 Escopo
Esta Norma estabelece as diretrizes bsicas para classificao, rotulao e tratamento das informaes de acordo com sua sensibilidade e criticidade para a Organizao visando o estabelecimento de nveis adequados de proteo.

2 Referncias normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes do referido documento (incluindo emendas). ABNT NBR ISO/IEC 27001, Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao Requisitos ABNT NBR ISO/IEC 27001, Tecnologia da informao - Tcnicas de segurana - Cdigo de pratica para a gesto da segurana da informao ISO/IEC 27000, Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary

3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies. 3.1 informao ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e consequentemente necessita ser adequamente protegida. o conjunto de dados relacionados entre si que levam compreenso de algo e que trazem um determinado conhecimento, podendo estar na forma escrita, verbal ou de imagem e em meio digital ou fsico 3.2 classes de informao classe de informao visa agrupar informaes com requisitos de proteo similares. Um ponto importante na classe de informaes que os documentos que a compem tenham a mesma classificao e o mesmo grupo de acesso 3.3 classificao da informao processo de classificao caracteriza-se pela ao de definir o nvel de sensibilidade da informao e os grupos de acesso mesma. Visa assegurar que a informao receba um nvel adequado de proteo, conforme seu valor, requisitos legais, sensibilidade e criticidade para a organizao 3.4 rotulao da informao ao de registrar claramente nas informaes o nvel de classificao que foi atribudo e o grupo de acesso s mesmas

NO TEM VALOR NORMATIVO

3/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

3.5 tratamento da informao conjunto de aes referente ao estabelecimento de diretrizes de proteo da informao em funo do seu nvel de classificao, envolvendo: a produo, recepo, utilizao, acesso, reproduo, transporte, transmisso, distribuio, destinao, arquivamento, armazenamento e eliminao da informao 3.6 ciclo de vida da informao caracterizado pelo ciclo formado desde sua criao ou obteno, passando por seu uso, manipulao, compartilhamento, armazenamento, transporte e descarte 3.7 criticidade determina o nvel de crise (ou impacto) que pode advir pela divulgao ou uso indevido da informao 3.8 sensibilidade determina o nvel de sigilo necessrio para informao 3.9 documento conjunto de informaes ou instrues dispostas de forma ordenada, podendo estar na forma fsica ou eletrnica 3.10 proprietrio da Informao pessoa responsvel por assegurar que as informaes e os ativos associados com os recursos de processamento da informao estejam adequadamente classificados. Cabe tambm ao proprietrio a responsabilidade por definir e periodicamente realizar anlise critica das classificaes e restries de acesso, levando em conta as polticas de controle de acesso aplicveis As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no diaa-dia, porem a responsabilidade permanece com o proprietrio 3.11 custodiante da informao pessoas, grupos de trabalho ou reas delegadas pelo proprietrio da informao para cuidar da manuteno e guarda do ativo de informao no dia-a-dia. No faz parte do grupo de acesso e, portanto, no est autorizado a acessar a informao 3.12 usurio pessoa autorizada a interagir com a informao. A definio do acesso deve ter como base a necessidade de conhecer a informao para a adequada execuo das tarefas inerentes ao seu cargo ou funo 3.13 grupo de acesso pessoas, grupos de trabalho ou reas autorizadas a terem acesso determinada informao

NO TEM VALOR NORMATIVO

4/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

3.14 necessidade de conhecer condio pessoal inerente funo ou atividade, indispensvel para que o usurio tenha acesso a dados ou informaes classificadas. De acordo com este princpio as pessoas s devem ter acesso s informaes necessrias para o desenvolvimento de suas atividades dentro da Organizao (ABNT NBR ISO IEC 27002) 3.15 nvel de classificao categoria a ser definida para cada informao ou classe de informao. Estabelece a sensibilidade da informao em termos da preservao de sua confidencialidade

4 Diretrizes
4.1 Princpio da necessidade de acesso
As pessoas somente devem possuir acesso s informaes desde que sejam necessrias, direta ou indiretamente, ao desenvolvimento de suas atividades de trabalho e demais responsabilidades associadas.

4.2 Diretrizes gerais

a) Convm que as informaes de propriedade da Organizao ou de terceiros, utilizadas durante as atividades de negcio, sejam classificadas de acordo com o nvel de sensibilidade que representam para o negcio para indicar a necessidade, prioridade e o nvel esperado de proteo quando de seu tratamento pelos colaboradores. Convm que seja definido o papel de proprietrio da informao, e que este seja responsvel por sua classificao.

b)

NOTA 1 O proprietrio da informao pode delegar esta atividade para os responsveis pelos processos que geram as informaes, porm a responsabilidade permanece com o proprietrio. NOTA 2 No caso de dvidas sobre a classificao de determinada informao, recorrer ao gerente responsvel pela rea, que em ultima anlise, o responsvel pelas informaes da rea. NOTA 3 Convm que os proprietrios das informaes cuidem para que todas as informaes sob sua responsabilidade sejam classificadas e rotuladas.

c)

Convm que seja definido o papel de Agentes de Mudana / Transformao nas reas de negcio da Organizao visando facilitar a implantao da cultura de classificao da informao, acompanhamento das aes realizadas e suportar as dvidas dos usurios da informao; Convm que seja atribuda a todos os colaboradores a responsabilidade por tratar as informaes de acordo com sua classificao e com as diretrizes de tratamento estabelecidas pela Organizao; Convm que seja desenvolvido um processo amplo de conscientizao, treinamento e educao visando disseminar a cultura de classificao e tratamento da informao; Convm que seja implantado um sistema de medio para verificao de aderncia do processo de classificao e tratamento da informao e obteno de sugestes de melhoria.

d) e) f)

NO TEM VALOR NORMATIVO

5/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

5 Recomendaes para classificao

a) Convm que no processo de classificao seja considerado o valor da informao, requisitos legais, sensibilidade, criticidade, prazo de validade (ou vida til), necessidade de compartilhamento e restrio, a anlise de riscos e os impactos para o negcio. b) Convm que os proprietrios das informaes realizem sua classificao de acordo com os critrios definidos nesta Norma e considerem: c) O momento em que a informao gerada ou inserida no contexto de negcios; O momento em que identificada uma informao que ainda no foi classificada.

Convm que o processo de classificao de uma determinada informao contemple a anlise crtica peridica a intervalos regulares visando assegurar que o nvel de classificao e proteo est adequado, pois podem ocorrer alteraes na classificao durante o ciclo de vida da informao. Neste contexto pode ocorrer a reclassificao da informao quando: For identificada uma informao incorretamente classificada; Ocorrer mudanas no contexto de sensibilidade das informaes durante seu ciclo de vida; Vencer o prazo de manuteno da informao nos processos de negcio, ou seja, fim do ciclo de vida da informao.

d)

Convm que informaes de origem externa que participam dos processos de negcio, como relatrios de terceiros, informaes e documentos de clientes e fornecedores, correspondncias etc., sejam classificadas, rotuladas e tratadas de acordo com seu nvel de criticidade e sensibilidade.

NOTA 1 Convm que seja considerado o estabelecimento de acordo com terceiros para a correta identificao da classificao e tratamento entre as organizaes visando o compartilhamento seguro das informaes. NOTA 2 Convm que seja dada ateno especial na interpretao dos rtulos de classificao de outras organizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados pela Organizao (ABNT NBR ISO IEC 27002 7.2.1). NOTA 3 Informaes de origem externa que no esto relacionadas a atividades de negcio da organizao no necessitam ser classificadas e rotuladas.

e) f)

Convm que seja considerada pela organizao a criao de classes de informao para simplificar a tarefa de classificao. Convm que o sistema de classificao da informao seja considerado para definio dos requisitos de segurana da informao dos ambientes fsicos que armazenam informaes sensveis. Deve ser considerada pela Organizao a instalao de controles apropriados, como por exemplo, a instalao de sistemas adequados e controle de acesso, monitorao por CFTV etc.

NO TEM VALOR NORMATIVO

6/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

5.1 Nveis de classificao

De acordo com a ABNT NBR ISO IEC 27002, item 7.2.1, recomenda-se ter ateno com a criao de esquemas de classificao muito complexos utilizando diversos nveis, pois isto pode engessar o processo e conseqentemente, o fluxo de informao. Em contrapartida, poucos nveis podem gerar uma falsa sensao de segurana devido relaxamento na classificao ou mesmo perda de recursos por tratamento alm do necessrio. Uma referncia bsica para o estabelecimento dos nveis de classificao pode ser vista na Tabela 1. A titulao de cada nvel deve ser definida pela Organizao. Tabela 1 Nveis de classificao Nveis de classificao Nvel 1 Caractersticas bsicas Informaes que podem ser divulgadas publicamente. Normalmente este tipo de informao de responsabilidade de reas especficas que fazem a interface com os pblicos externos, como por exemplo, as reas de Comunicao e Marketing. Exemplos deste nvel so informaes divulgadas para as mdias externas, ao mercado, sociedade etc. Informaes internas que devem ser divulgadas a todos os colaboradores e prestadores de servios, desde que estes estejam comprometidos com a confidencialidade das informaes. Exemplos deste nvel so as normas corporativas e campanhas internas da Organizao. Informaes restritas a determinados grupos, reas ou cargos. Exemplos de informaes deste nvel so: informaes de projetos, procedimentos especficos das reas, relatrios de desempenho de processos, indicadores das reas etc. Informaes que requerem um tratamento especial e cuja divulgao no autorizada ou acessos indevidos pode gerar prejuzos financeiros, legais, normativos, contratuais, na reputao, na imagem ou nas estratgias da Organizao. Normalmente se encaixam neste nvel informaes privadas das pessoas, de clientes, de fornecedores e informaes estratgicas da Organizao.

Nvel 2

Nvel 3

Nvel 4

NOTA 1 Nveis adicionais podem ser inseridos a critrio da Organizao, considerando, entretanto, a questo do aumento da complexidade. NOTA 2 Em algumas organizaes pode ser avaliada a diviso do nvel 2 em dois itens, sendo um direcionado para os empregados da Organizao e o outro englobando os empregados e demais colaboradores, desde que seja considerada a questo da assinatura dos acordos de confidencialidade pelos prestadores de servio. NOTA 3 So exemplos de titulao para representar os nveis de classificao que podem ser considerado pelas organizaes: Nvel 1: Pblica, Externa NO TEM VALOR NORMATIVO 7/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

Nvel 2: Interna, Uso interno Nvel 3: Restrita, Reservada, Setorial Nvel 4: Confidencial, Sigilosa, Secreta

6 Recomendaes para Rotulao da Informao

a) Convm que as informaes que contenham restrio de acesso sejam rotuladas. Estes rtulos devem conter no mnimo o nvel de classificao que foi atribuda informao e o grupo de acesso s mesmas.
NOTA 1 A insero de outros atributos nos rtulos como, proprietrio da informao, data de classificao, entre outros, podem ser considerados. NOTA 2 A rotulao de informaes que podem ser divulgadas publicamente opcional.

b)

Convm que o processo de rotulao da informao estabelea claramente o nvel de classificao que foi atribudo para determinada informao e o grupo de acesso. Exemplos de informao a serem consideradas englobam: documentos, pastas, envelopes, arquivos fsicos ou eletrnicos, mdias eletrnicas, relatrios emitidos por sistemas, telas de sistema, mensagens eletrnicas, conversas, palestras, etc. Convm que a responsabilidade pela rotulao das informaes seja atribuda aos responsveis pela criao ou obteno da informao. Recomenda-se que o rtulo contenha no mnimo o nvel de classificao e o grupo de acesso definidos pelos proprietrios da informao. Convm que documentos que contenham informaes com diferentes nveis de classificao sejam classificados e rotulados de acordo com o nvel mais alto existente em seu contedo. Convm que o rtulo seja claramente visvel, no mnimo, na capa dos documentos, pastas ou arquivos de armazenamento. Onde aplicvel, pode ser considerada a rotulao de todo o documento, com a insero do rtulo em cabealhos ou rodap dos documentos. Convm que a classificao das informaes transmitidas verbalmente, seja divulgada pelos responsveis pela comunicao antes do incio da transmisso, bem como os cuidados com o tratamento das mesmas em funo de sua sensibilidade. Exemplos: Reunies, apresentaes etc. Convm que informaes armazenadas nos servidores de arquivos, e outros dispositivos de armazenamento possuam rtulos claros indicando o nvel de classificao atribudo. Estas informaes podem ser rotuladas a partir de uma das seguintes formas: Individualmente, atravs do nome do arquivo, seguido de sua classificao. Armazenamento em pastas classificadas. Diretamente nos documentos. Descrio na capa, na primeira pgina, ou em cabealhos/rodaps dos documentos.

c)

d) e)

f)

g)

NO TEM VALOR NORMATIVO

8/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

h)

Convm que as mdias digitais, como CDs/DVDs, mdias de backup, fitas de vdeo ou udio e outras que permitem o armazenamento e transporte de informaes, sejam rotuladas de acordo com o mais alto nvel de classificao atribudo s informaes armazenadas.

7 Recomendaes para Tratamento da informao

O tratamento da informao o objetivo final do processo. por meio do tratamento adequado das informaes que iremos prover os controles e a proteo adequada visando garantir sua confidencialidade, integridade e disponibilidade. Para viabilizar este processo, convm que sejam identificados os cenrios que ocorrem no dia a dia das organizaes no que tange ao fluxo de informaes e, para cada cenrio, sejam estabelecidas as diretrizes de tratamento em funo do nvel de classificao. Os cenrios podem envolver: processamento, armazenamento, transmisso, comunicao, uso/manipulao e descarte da informao. Estes cenrios e respectivas diretrizes formam o senso comum para o tratamento das informaes de modo que, independente de pessoas e reas, o tratamento seja o mesmo para as diversas situaes. A Tabela 2 uma referncia para o estabelecimento das diretrizes de tratamento em funo do tipo de cenrio e do nvel de classificao. Tabela 2 Tratamento da informao
Cenrios Acesso lgico ou fsico Armazenamento mdia impressa (papis, cartazes, etc.) Nvel 1 Sem restrio Sem restrio Nvel 2 Somente colaboradores da Organizao Somente dentro das reas da Organizao Nvel 3 Somente pessoas do grupo de acesso Somente em reas com acesso fsico controlado ao grupo de acesso. Nvel 4 Somente pessoas do grupo de acesso Somente para reas com acesso fsico controlado ao grupo de acesso, em locais com restrio de acesso (armrio / gavetas com chaves) Somente nos servidores de arquivos na rede da Organizao e com controle de acesso. Convm que seja considerado o uso de criptografia.

Armazenamento arquivos digitais (rede)

Sem restrio

Somente nos servidores de arquivos na rede da Organizao.

Somente nos servidores de arquivos na rede da Organizao e com controle de acesso.

NO TEM VALOR NORMATIVO

9/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

Tabela 2 (continuao)
Cenrios Armazenamento mdia digital (DVDs, CDs, Fitas, etc.) Nvel 1 Sem restrio Nvel 2 Convm que as mdias sejam armazenadas dentro das dependncias da Organizao. Nvel 3 Somente com autorizao do proprietrio responsvel. Convm que a mdia seja armazenada dentro das dependncias da Organizao em armrios e gavetas com chave e em locais com acesso fsico controlado ao grupo de acesso. Somente para o grupo de acesso, para outras pessoas somente com autorizao do proprietrio responsvel Somente com utilizao de lacres, caso o transporte no seja realizado por algum do grupo de acesso. A autorizao do proprietrio da informao necessria se for para fora das dependncias da Organizao. Armazenar em locais protegidos durante viagens. Somente para o grupo de acesso. Para fora do grupo de acesso, necessria autorizao do proprietrio da informao. Nvel 4 Somente com autorizao do proprietrio responsvel e com senha ou criptografia. Convm que a mdia seja armazenada dentro das dependncias da Organizao em armrios e gavetas com chave e em locais com acesso fsico controlado ao grupo de acesso. Somente com autorizao do proprietrio responsvel.

Cpia (impressa ou digital)

Sem restrio

Somente para os colaboradores da Organizao.

Transporte Fsico

Sem restrio

Sem restries dentro das dependncias da Organizao. Somente com autorizao do proprietrio da informao se o transporte for para fora da Organizao.

Somente com utilizao de lacres. Caso o transporte no seja realizado por algum do grupo de acesso, usar servio de entrega em mos. Transporte para fora das dependncias da Organizao necessita autorizao do proprietrio da informao. Armazenar em locais com chaves ou cofres durante viagens. Somente para o grupo de acesso. Para fora do grupo de acesso necessria a autorizao do proprietrio da informao. Adicionalmente convm que sejam consideradas tcnicas de proteo, como por exemplo o uso de senhas e criptografia. 10/13

Envio por e-mail

Sem restrio

Interno sem restries. Para fora da Organizao necessria autorizao do proprietrio da informao.

NO TEM VALOR NORMATIVO

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

Tabela 2 (continuao)
Cenrios Transmisso Digital Externa (atravs de redes de dados, FTP, links, Internet, etc.) Nvel 1 Sem restrio Nvel 2 Somente com autorizao do proprietrio responsvel. Nvel 3 Somente com autorizao do proprietrio responsvel e atravs dos equipamentos da Organizao. Somente para o grupo de acesso. Nvel 4 Somente com autorizao do proprietrio responsvel, atravs dos equipamentos da Organizao e de forma criptografada. Somente para o grupo de acesso e atravs dos equipamentos da Organizao. Somente se no houver intermedirios no processo de envio e recebimento. Recomenda-se que o destinatrio pertencente ao grupo de acesso receba pessoalmente o documento atravs do aparelho de fax. Somente para o grupo de acesso. Para pessoas fora do grupo de acesso, somente com autorizao do proprietrio da informao. Convm que os dispositivos que contenham informaes sensveis sejam destrudos fisicamente ou as informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes originais irrecuperveis, em vez de usarem as funespadro de apagar ou formatar

Transmisso Vdeo / Voz

Sem restrio

Somente para os colaboradores da Organizao.

Transmisso Fax

Sem restrio

Somente para as dependncias da Organizao.

Somente para o grupo de acesso.

Apresentaes

Sem restrio

Somente para os colaboradores da Organizao. Para fora da Organizao apenas com autorizao do proprietrio da informao. Somente dentro das reas da Organizao.

Somente para o grupo de acesso. Para pessoas fora do grupo de acesso, somente com autorizao do proprietrio da informao. Convm que os dispositivos que contenham informaes sensveis sejam destrudos fisicamente ou as informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes originais irrecuperveis, em vez de usarem as funes-padro de apagar ou formatar

Descarte Mdia Digital/Analgica

Sem restrio

NO TEM VALOR NORMATIVO

11/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

Tabela 2 (continuao)
Cenrios Descarte Mdia impressa Nvel 1 Sem restrio Nvel 2 Convm que a fragmentao seja realizada nas dependncias da Organizao. Nvel 3 Convm que a fragmentao seja realizada nas dependncias do setor responsvel pela informao quando possvel, ou na presena de algum do grupo de acesso ou do custodiante da informao. Excluir da pasta onde est arquivada e da lixeira tambm. Nvel 4 Convm que a fragmentao seja realizada nas dependncias do setor responsvel pela informao quando possvel, ou na presena de algum do grupo de acesso ou do custodiante da informao. Excluir da lixeira dos dispositivos e adotar solues tecnolgicas visando garantir que as informaes no possam ser recuperadas. Somente com autorizao do proprietrio da informao. Convm que o usurio acompanhe a impresso e garantir que ningum ter acesso ao documento impresso. Uso de senha, quando a mquina impressora possuir este recurso, para liberao da impresso.

Descarte de arquivos de computador

Sem restrio

Excluir da pasta onde est arquivada

IMPRESSO

Sem restrio

Somente dentro das reas da Organizao.

Somente em locais com acesso controlado ao grupo de acesso ou convm que o usurio acompanhe a impresso e garantir que ningum ter acesso ao documento impresso. Uso de senha, quando a mquina impressora possuir este recurso, para liberao da impresso.

NOTA 1 Informaes menos crticas tem menos controles, ao passo que informaes mais sensveis tem maiores controles e restries. Um exemplo tradicional o descarte de informaes fsicas: Informaes que podem ser divulgadas publicamente no tm restries quanto ao descarte, enquanto as informaes sensveis so fragmentadas. NOTA 2 Convm que procedimentos complementares quanto ao tratamento da informao sejam considerados e desenvolvidos de acordo com o item 10.7 Manuseio de mdias da ABNT NBR ISO IEC 27002. NOTA 3 Convm que sejam definidos procedimentos especficos de tratamento da informao onde a aplicao do rtulo no for possvel, como por exemplo o uso de metadados (ABNT NBR ISO IEC 27002 Item 7.2.2 Informaes adicionais).

NO TEM VALOR NORMATIVO

12/13

ABNT/CB-21 1 PROJETO 21:027.00-026 JUL 2012

NOTA 4 Convm que sejam definidos pela Organizao processos disciplinares adequados para apoiar no tratamento dos desvios realizados pelas pessoas em relao s diretrizes desta Norma, conforme a ABNT NBR ISO IEC 27002 Item 8.2.3.

NO TEM VALOR NORMATIVO

13/13