DEZ 2005

Projeto 21:204.01-012

ABNT Associao Brasileira de Normas Tcnicas

Sede: Rio de Janeiro Av. Treze de Maio, 13 / 28 andar CEP 20003-900 Caixa Postal 1680 Rio de Janeiro RJ Tel.: PABX (21) 210-3122 Fax: (21) 2220-1762/2220-6436 Endereo eletrnico: www.abnt.org.br

Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos

Projeto de Reviso de Norma

Copyright 2005 ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os direitos reservados

Folha provisria no ser includa na publicao como norma

Apresentao
I) Este Projeto de Reviso de Norma:
1) foi elaborado pela CE-21:204.01 Comisso de Estudo de Segurana Fsica em Instalaes de Informtica do ABNT/CB21-Comit Brasileiro de Computadores e Processamento de Dados; 2) equivalente a ISO/IEC 27001:2005 e quando da sua homologao receber a seguinte denominao: ABNT NBR ISO/IEC 27001; 3) recebe sugestes de forma e objees de mrito, at a data estipulada no edital correspondente; 4) no tem valor normativo.

II) Tomaram parte na elaborao deste Projeto:

CQSI POLIEDRO SERASA PWC Ariosto Farias Jr Larissa Prado Andr Novaes Frutuoso Denise C Menoncello Andra Thom

ICS 35.040

DEZ 2005

Projeto 21:204.01-012

ABNT Associao Brasileira de Normas Tcnicas

Sede: Rio de Janeiro Av. Treze de Maio, 13 / 28 andar CEP 20003-900 Caixa Postal 1680 Rio de Janeiro RJ Tel.: PABX (21) 210-3122 Fax: (21) 220-1762/220-6436 Endereo eletrnico: www.abnt.org.br

Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos

Origem: ISO/IEC 27001:2005 ABNT/CB-21 - Comit Brasileiro de Computadores e Processamento de Dados CE-21:204.01 - Comisso de Estudo de Segurana Fsica em Instalaes de Informtica 21:204.01-012 - Information technology Security techniques Information security management systems Requirements Descriptors: Information technology. Security Esta Norma equivalente a ISO/IEC 27001 Palavra(s)-chave: Tecnologia da informao. Segurana 30 pginas

Copyright 2005, ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os direitos reservados

Sumrio Prefcio 0 Introduo 1 Escopo 2 Referncia normariva 3 Termos e definies 4 Sistema de gesto de segurana da informao 5 Responsabilidades de gesto 6 Auditorias internas do SGSI 7 Anlise crtica pela direo do SGSI 8 Melhoria do SGSI ANEXOS A Objetivos de controle e controles B Princpios da OECD e desta Norma C Correspondncia entre ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma Bibliografia Prefcio A ABNT Associao Brasileira de Normas Tcnicas o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB) e dos Organismos de Normalizao Setorial (ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os Projetos de Norma Brasileira, elaborados no mbito dos ABNT/CB e ABNT/ONS circulam para Consulta Nacional entre os associados da ABNT e demais interessados. Esta Norma equivalente ISO/IEC 27001:2005 0 Introduo 0.1 Geral Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A especificao e implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, exigncias de segurana, os processos empregados e o tamanho e estrutura da

Projeto 21:204.01-012:2005
organizao. esperado que este e os sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao simples requer uma soluo de SGSI simples. Esta Norma pode ser usada para avaliaes de conformidade pelas partes interessadas internas e externas. 0.2 Estratgia de processo Esta Norma promove a adoo de uma estratgia de processo para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar o SGSI de uma organizao. Uma organizao precisa identificar e administrar muitas atividades para funcionar efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser considerada um processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte. A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaes destes processos, e sua gesto, pode ser chamada de "estratgia de processo. A estratgia de processo para a gesto da segurana da informao apresentada nesta Norma encoraja que seus usurios enfatizem a importncia de: a) Entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma poltica e objetivos para a segurana de informao; b) Implementao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao; c) Monitorao e reviso do desempenho e efetividade do SGSI; e d) Melhoria contnua baseada em medidas objetivas. Esta Norma adota o modelo de processo "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana de informao e as expectativas das partes interessadas, e como as aes necessrias e processos de segurana da informao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra os vnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.
1 A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD (2002) para governar a segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para implementar os princpios nessas diretrizes para governar a anlise de risco, especificao e implementao de segurana, administrao de segurana e reavaliao.

EXEMPLO 1 Um requisito poderia ser essas quebras de segurana de informao que no causam srios danos financeiros e/ou constrangimentos organizao. EXEMPLO 2 Uma expectativa poderia ser que se um incidente srio acontece talvez a invaso da pgina Internet de comrcio eletrnico de uma organizao deveria haver pessoas com treinamento suficiente em procedimentos apropriados para minimizar o impacto.

1 Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana. Paris: OECD, 2002 de julho. http://www.oecd.org.

Projeto 21:204.01-012:2005

Plan (Planejar) (estabelecer o SGSI)

Estabelecer poltica do SGSI, objetivos, processos e procedimentos relevantes para o gerenciamento de riscos e a melhoria da segurana da informao para entregar resultados conforme as polticas globais de uma organizao e objetivos. Implementar e operar a poltica do SGSI, controles, processos e procedimentos.

Do (Fazer) (implementar e operar o SGSI)

Check (Checar) (monitorar e revisar o Avaliar e, onde aplicvel, medir o desempenho de um processo contra SGSI) a poltica do SGSI, objetivos e experincia prtica e relatar os resultados para a gerncia para reviso. Act (Agir) (manter e melhorar o SGSI) Tomar as aes corretivas e preventivas, baseado nos resultados da auditoria interna do SGSI e reviso gerencial ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.

0.3 Compatibilidade com outros sistemas de gesto Esta Norma est alinhada com a ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a consistncia e integrao da implementao e operao com normas de gerenciamento relacionados. Uma arquitetura adequada de sistemas de gerenciamento pode satisfazer os requisitos de todos estes padres. A tabela C.1 ilustra a relao entre as sees desta Norma, ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004. Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistema de gesto relacionados. 1 Escopo 1.1 Geral Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao. Especifica requisitos para a implementao de controles de segurana customizados para as necessidades individuais de organizaes ou suas partes. O SGSI projetado para assegurar a seleo de controles de segurana adequados para proteger os ativos de informao e proporcionar confiana s partes interessadas. NOTA 1: Convm que referncias a negcio nesta Norma sejam interpretadas amplamente para significar as atividades que so fundamentais aos propsitos para a existncia da organizao. NOTA 2: A ABNT NBT ISO/IEC 17799 prov um guia de implementao que pode ser usado quando da especificao de controles. 1.2 Aplicao Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes, independente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no so aceitveis quando uma organizao reivindica conformidade a esta Norma. Qualquer excluso de controles considerada necessria para satisfazer os critrios de aceitao de risco precisa ser justificada e as evidncias precisam ser providas para a associao dos riscos aceitos s pessoas responsveis. Onde qualquer controle excludo, reivindicaes de conformidade a esta Norma no so aceitveis a menos que tais excluses

Projeto 21:204.01-012:2005
no afetem a habilidade da organizao, e/ou responsabilidade de prover segurana da informao que satisfaa os requisitos de segurana determinados por avaliaes de riscos e requisitos regulatrios aplicveis.
NOTA - Se uma organizao j tem um sistema de gesto de processo empresarial operativo (por exemplo, em relao com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), prefervel na maioria dos casos satisfazer as exigncias desta Norma dentro deste sistema de gesto existente.

2 Referncias normativas Os seguintes documentos referenciados so indispensveis para a aplicao deste documento. Para referncias datadas, apenas a edio citada se aplica. Para referncias no datadas, a ltima edio do documento referenciado (incluindo qualquer emenda) se aplica. ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a Gesto da Segurana da Informao. 3 Termos e definies Para os efeitos deste documento, aplicam-se os seguintes termos e definies. 3.1 ativo qualquer coisa que tenha valor para a organizao. [ISO/IEC 13335-1:2004] 3.2 disponibilidade propriedade de ser acessvel e utilizvel sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004] 3.3 confidencialidade propriedade de que a informao no ser disponibilizada ou divulgada a indivduos, entidades ou processos sem autorizao. [ISO/IEC 13335-1:2004] 3.4 segurana da informao preservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade podem tambm estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] 3.5 evento de segurana da informao ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. [ISO/IEC TR 18044:2004] 3.6 incidente de segurana da informao um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. [ISO/IEC TR 18044:2004] 3.7 sistema de gesto da segurana da informao SGSI parte do sistema de gesto global, baseada em uma aproximao de risco empresarial, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurana da informao.
NOTA: O sistema de gesto inclui estrutura organizacional, polticas, planejamento de atividades, responsabilidades, prticas, procedimentos, processos e recursos.

3.8 integridade propriedade de proteo preciso e perfeio de recursos.

Projeto 21:204.01-012:2005
[ISO/IEC 13335-1:2004] 3.9 risco residual risco que permanece aps o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] 3.10 aceitao de riscos deciso para aceitar um risco. [ABNT ISO/IEC Guia 73:2005] 3.11 anlise de riscos uso sistemtico da informao para identificar as fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] 3.12 avaliao de risco processo global da anlise de risco e da valorao do risco. [ABNT ISO/IEC Guia 73:2005] 3.13 valorao do risco processo de comparar o risco estimado contra critrios de risco estabelecidos para determinar a significncia do risco. [ABNT ISO/IEC Guia 73:2005] 3.14 gesto de riscos atividades coordenadas para dirigir e controlar uma organizao, no que se refere aos riscos.
NOTA: A gesto do risco normalmente inclui a avaliao do risco, o tratamento do risco, a aceitao do risco e a comunicao do risco.

[ABNT ISO/IEC Guia 73:2005] 3.15 tratamento de riscos processo de seleo e implementao de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
NOTA: Nesta Norma o termo controle usado como um sinnimo para medida.

3.16 declarao de aplicabilidade declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao sgsi da organizao.
NOTA: Os objetivos de controle e controles esto baseados nos resultados e concluses do processo de avaliao de risco e tratamento de risco, requisitos legais ou regulatrios, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.

4 Sistema de gesto de segurana da informao 4.1 Requisitos gerais A organizao deve estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto das atividades empresariais globais da organizao e os riscos que elas enfrentam. Com a finalidade desta Norma o processo usado est baseado no modelo de PDCA mostrado na figura 1. 4.2 Estabelecendo e administrando o SGSI 4.2.1 Estabelecer o SGSI A organizao deve fazer o seguinte: a) Definir o escopo e limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, recursos, tecnologia, e incluindo detalhes ou justificativas para qualquer excluso do escopo (ver 1.2); b) Definir uma poltica de SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, recursos e tecnologia que:

Projeto 21:204.01-012:2005
1) inclua uma estrutura de implementao para definir objetivos e estabelecer um senso de direo global e princpios para aes relacionadas a segurana de informao; 2) considere requisitos de negcio, legais e/ou regulatrios, e obrigaes de segurana contratuais; 3) esteja alinhada com o contexto de gesto de risco estratgico da organizao no qual o estabelecimento e manuteno do SGSI iro ocorrer; 4) estabelea critrios contra os quais os riscos sero avaliados (ver 4.2.1c)); e 5) seja aprovada pela direo
NOTA: Com a finalidade desta Norma, a poltica do SGSI considerada um documento maior da poltica de segurana de informao. Esta poltica pode ser descrita em um documento.

c) Definir a estratgia de avaliao de risco da organizao; 1) identificar uma metodologia de avaliao de risco adequada ao SGSI, e aos requisitos de negcio, legais e regulatrios identificados para a segurana da informao; e 2) desenvolver critrios para a aceitao de riscos e identificao dos nveis aceitveis de risco (ver 5.1f)). A metodologia de avaliao de risco selecionada dever assegurar que as avaliaes de risco produzam resultados comparveis e reproduzveis.
NOTA: Existem diferentes metodologias para avaliao de risco. So discutidos exemplos de metodologias de avaliao de risco na ISO/IEC TR 13335-3, Tecnologia da Informao Diretrizes para a Gesto de Segurana em TI Tcnicas para a Gesto de Segurana em TI.

d) Identificar os riscos;
2) 1) Identificar os ativos dentro do escopo do SGSI, e os proprietrios destes ativos;

2) Identificar as ameaas para esses ativos; 3) Identificar as vulnerabilidades que poderiam ser exploradas pelas ameaas; e 4) Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos. e) Analisar e avaliar os riscos; 1) Avaliar o impacto para o negcio da organizao que poderia resultar de uma falha de segurana, considerando as conseqncias de uma perda de confidencialidade, integridade ou disponibilidade dos ativos; 2) Avaliar a probabilidade realista de como uma falha de segurana acontece luz de ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos, e os controles implementados atualmente; 3) Estimar os nveis de riscos; e 4) Determinar se o risco aceitvel ou requer tratamento que use o critrio de aceitao de risco estabelecido em 4.2.1c)2). f) Identificar e avaliar as opes para o tratamento de riscos; Possveis aes incluem: 1) Aplicar os controles apropriados; 2) Aceitar os riscos conscientemente e objetivamente, provendo a satisfao clara s polticas da organizao e aos critrios para aceitao de risco (ver 4.2.1c)2); 3) Evitar riscos; e 4) Transferir os riscos de negcio associados a outras partes, por exemplo, corretores de seguro, provedores de servio.

______________________
O termo 'proprietrio' identifica um indivduo ou entidade que aprovou a responsabilidade administrativa de controlar a produo, desenvolvimento, manuteno, uso e segurana dos ativos. O termo 'proprietrio' no significa que a pessoa na verdade tem qualquer direito de propriedade ao ativo.
2)

Projeto 21:204.01-012:2005
g) Selecionar objetivos de controle e controles para o tratamento de riscos;

Sero selecionados e implementados objetivos de controles e controles para satisfazer os requisitos identificados pela avaliao de risco e o processo de tratamento de risco. Esta seleo deve considerar o critrio para aceitao de riscos (ver 4.2.1c) como tambm requisitos legais e regulatrios, e exigncias contratuais. Os objetivos de controle e controles do Anexo A devero ser selecionados como parte deste processo, como satisfatrios, para cobrir estes requisitos. Os objetivos de controle e controles listados no Anexo A no so completos, podendo ser selecionados objetivos de controle e controles adicionais.
NOTA: O Anexo A contm uma lista geral de objetivos de controle e controles que foram comumente considerados relevantes para as organizaes. Os usurios desta Norma so direcionados para o Anexo A como um ponto de partida para a seleo de controles para assegurar que nenhuma opo de controle importante negligenciada.

h) Obter aprovao da Gerncia dos riscos residuais propostos; i) Obter autorizao da Gerncia para implementar e operar o SGSI; e j) Preparar uma Declarao de Aplicabilidade. Uma Declarao de Aplicabilidade dever ser preparada incluindo seguinte: 1) Os objetivos de controle e controles, selecionados em 4.2.1g) e as razes para sua seleo; 2) Os objetivos de controle e controles implementados atualmente (ver 4.2.1e)2)); e 3) A excluso de qualquer objetivo de controle e controle do Anexo 1 e a justificativa para esta excluso.
NOTA: A Declarao de Aplicabilidade prov um resumo das decises relativas a tratamento de risco. A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.

4.2.2 Implementar e operar o SGSI A organizao deve fazer o seguinte: a) Formular um plano de tratamento de risco que identifique a ao de gesto apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de segurana (ver 5); b) Implementar o plano de tratamento de risco para alcanar os objetivos de controle identificados, o que inclui a considerao de financiamentos e a distribuio de papis e responsabilidades; c) Implementar os controles selecionados em 4.2.1g) para alcanar os objetivos de controle; d) Definir como medir a efetividade dos controles selecionados ou grupos de controles e especificar como estas medidas sero usadas para avaliar a efetividade do controle para produzir resultados comparveis e reproduzveis (vrde 4.2.3c));
NOTA: A medio da efetividade dos controles permite aos gerentes e equipe determinar se os controles alcanam de forma satisfatria os objetivos de controle planejados.

e) Implementar programas de treinamento e conscientizao (ver 5.2.2); f) Gerenciar as operaes do SGSI; g) Gerenciar os recursos para o SGSI (ver 5.2); e h) Implementar procedimentos e outros controles capazes de permitir a rpida deteco e resposta a incidentes de segurana (ver 4.2.3). 4.2.3 Monitorar e revisar o SGSI A organizao deve fazer o seguinte: a) Executar procedimentos de monitorao e reviso e outros controles para: 1) Rapidamente detectar erros nos resultados de processamento; 2) Rapidamente identificar tentativas e falhas de segurana e incidentes bem sucedidos; 3) Permitir gerncia determinar se as atividades de segurana delegadas a pessoas ou implementadas por meio de tecnologias de informao esto sendo executadas como esperado; 4) Ajudar a detectar eventos de segurana e assim prevenir incidentes de segurana pelo uso de indicadores; e

Projeto 21:204.01-012:2005
5) Determinar se as aes tomadas para solucionar uma falha de segurana foram efetivas. b) Responsabilizar-se por revises regulares da efetividade do SGSI (incluindo o conhecimento da poltica do SGSI e objetivos, e reviso dos controles de segurana) considerando os resultados de auditorias de segurana, incidentes, efetividade das medidas, sugestes e respostas de todas as partes interessadas; c) Medir a efetividade dos controles para verificar se os requisitos de segurana foram atendidos; d) Revisar as avaliaes de risco a intervalos planejados e revisar o nvel de risco residual e risco aceitvel identificado, considerando mudanas de: 1) A organizao; 2) Tecnologias; 3) Objetivos empresariais e processos; 4) Ameaas identificadas; 5) Efetividade dos controles implementados; e 6) Eventos externos, como mudanas nos aspectos legais ou regulatrios, alteraes das obrigaes contratuais e mudanas no aspecto social. e) Conduzir auditorias internas no SGSI a intervalos planejados (ver 6);
NOTA: Auditorias internas, s vezes chamadas auditorias de primeira parte, so conduzidas por ou em nome da prpria organizao para propsitos internos.

f) Responsabilizar-se por revises gerenciais do SGSI em uma base regular para assegurar que o escopo permanece adequado e se so identificadas melhorias nos processos do SGSI (ver 7.1); g) Atualizar os planos de segurana considerando as descobertas das atividades de monitorao e reviso; e h) Registrar as aes e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI (ver 4.3.3). 4.2.4 Manter e melhorar o SGSI A organizao deve fazer regularmente o seguinte: a) Implementar as melhorias identificadas no SGSI; b) Tomar as aes preventivas e corretivas apropriadas conforme 8.2 e 8.3. Aplicar as lies aprendidas de experincias de segurana de outras organizaes e aquelas da prpria organizao; c) Comunicar as aes e melhorias a todas as partes interessadas com o nvel de detalhamento apropriado para as circunstncias e, quando aplicvel, aprovao de como proceder. d) Assegurar que as melhorias alcancem os objetivos propostos. 4.3 Requisitos de documentao 4.3.1 Geral A documentao deve incluir registros de decises gerenciais, para garantir que as aes estejam alinhadas s decises gerenciais e polticas, e os resultados registrados sejam reproduzveis. importante poder demonstrar a relao dos controles selecionados com os resultados da avaliao de risco e o processo de tratamento de risco, e subseqentemente com a poltica do SGSI e seus objetivos. A documentao do SGSI deve incluir: a) declarao da poltica do sgsi documentada (ver 4.2.1b) e objetivos; b) o escopo do sgsi (ver 4.2.1a)); c) procedimentos e controles que suportam o sgsi; d) uma descrio da metodologia de avaliao de risco (ver 4.2.1c)); e) o relatrio de avaliao de risco (ver 4.2.1c a 4.2.1g)); f) o plano de tratamento de risco (ver 4.2.2b)); g) procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, operao e controle de seus processos de segurana de informao, e descrever como medir a efetividade dos controles (ver 4.2.3c));

Projeto 21:204.01-012:2005
h) registros requeridos por esta Norma (ver 4.3.3); e i) a Declarao de Aplicabilidade.

NOTA 1: Onde o termo "procedimento documentado" aparecer dentro desta Norma, isto significa que o procedimento estabelecido, documentado, implementado e mantido. NOTA 2: A extenso da documentao de SGSI pode diferir de uma organizao a outra devido a:

o tamanho da organizao e o tipo de suas atividades; e o escopo e complexidade dos requisitos de segurana e o de sistema sendo administrado.

NOTA 3: Documentos e registros podem estar em qualquer forma ou tipo de mdia.

4.3.2 Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as aes gerenciais requeridas para: a) aprovar documentos para adequao antes de sua emisso; b) revisar e atualizar documentos quando necessrio e re-aprovar documentos; c) assegurar que as mudanas e os estados de revises atuais dos documentos sejam identificados; d) assegurar que as verses pertinentes aos documentos aplicveis estejam disponveis em pontos de uso; e) assegurar que os documentos permaneam legveis e prontamente identificveis; f) assegurar que os documentos estejam disponveis a aqueles que deles precisarem, e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicveis sua classificao; g) assegurar que documentos de origem externa sejam identificados; h) assegurar que a distribuio de documentos seja controlada; i) prevenir o uso no intencional de documentos obsoletos; e j) aplicar identificao satisfatria para os documentos se eles forem retidos para qualquer propsito. 4.3.3 Controle de registros Registros devem ser estabelecidos e mantidos para prover evidncia de conformidade aos requisitos e efetividade da operao do SGSI. Eles devem ser protegidos e controlados. O SGSI dever considerar qualquer requisito legal ou regulatrio pertinente e obrigaes contratuais. Os registros devem permanecer legveis, prontamente identificveis e recuperveis. Os controles necessrios para a identificao, armazenamento, proteo, recuperao, tempo de reteno e disposio de registros devem ser documentados e implementados. Devem ser mantidos registros do desempenho do processo como esboado em 4.2 e de todas as ocorrncias de incidentes de segurana significativos relacionados ao SGSI. EXEMPLO: Exemplos de registros so os livros de visitantes, relatrios de auditoria e formulrios de autorizao de acesso completo. 5 Responsabilidades de gesto 5.1 Compromisso da gerncia A gerncia deve prover evidncia de seu compromisso para o estabelecimento, implementao, operao, monitorao, reviso, manuteno e melhoria do SGSI por: a) Estabelecendo uma poltica do SGSI; b) Assegurando que os objetivos do SGSI e planos so estabelecidos; c) Estabelecendo papis e responsabilidades por segurana de informao; d) Comunicando organizao a importncia de discutir objetivos de segurana da informao em conformidade com a poltica de segurana de informao, suas responsabilidades sob o aspecto da lei e a necessidade para melhoria contnua; e) Provendo recursos suficientes para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar o SGSI (ver 5.2.1); f) Decidindo os critrios para aceitao de riscos e nveis de risco aceitveis; g) Assegurando que as auditorias internas do SGSI sejam conduzidas (ver seo 6); e

10

Projeto 21:204.01-012:2005
h) Conduzindo revises gerenciais do SGSI (ver 7). 5.2 Gesto de recursos 5.2.1 Proviso de recursos A organizao deve determinar e prover os recursos necessrios para: a) Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI; b) Assegurar que os procedimentos de segurana da informao suportam os requisitos de negcio; c) Identificar e enderear requisitos legais e regulatrios e obrigaes de segurana contratuais; d) Manter a segurana adequada pela aplicao correta de todos os controles implementados; e) Conduzir revises quando necessrio, e reagir adequadamente aos resultados destas revises; e f) Onde exigido, melhorar a efetividade do SGSI. 5.2.2 Treinamento, conscientizao e competncia A organizao deve assegurar que todo o pessoal que tem responsabilidades nomeadas definidas no SGSI competente para executar as tarefas requeridas por: a) Determinando as competncias necessrias para o pessoal que executa o trabalho efetuando o SGSI; b) Provendo treinamento ou tomando outras aes (por exemplo, empregando pessoal competente) para satisfazer estas necessidades; c) Avaliando a efetividade das aes tomadas; e d) Mantendo registros de educao, treinamento, habilidades, experincias e qualificaes (ver 4.3.3). A organizao tambm deve assegurar que todo o pessoal pertinente esteja atento da relevncia e importncia das suas atividades de segurana de informao e como eles contribuem realizao dos objetivos do SGSI. 6 Auditorias internas do SGSI A organizao deve conduzir auditorias internas no SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos de seu SGSI: a) Obedecem aos requisitos desta Norma e legislao pertinente ou regulamentos; b) Obedecem aos requisitos de segurana da informao identificadas; c) So efetivamente implementados e mantidos; e d) So executados conforme esperado. Um programa de auditoria deve ser planejado, considerando o estado e importncia dos processos e reas a serem auditados, como tambm os resultados de auditorias anteriores. Devem ser definidos os critrios de auditoria, escopo, freqncia e mtodos. A seleo de auditores e conduo de auditorias deve assegurar a objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho. As responsabilidades e requisitos para planejar e administrar auditorias, e por informar resultados e manter registros (ver 4.3.3) devem ser definidas em um procedimento documentado. A gerncia responsvel pela rea a ser auditada deve assegurar que as aes sero consideradas sem demora imprpria para eliminar as no-conformidades descobertas e suas causas. Atividades de acompanhamento devem incluir a verificao das aes tomadas e a comunicao de resultados de verificao (ver a seo 8).
NOTA: A ABNT NBR ISO 19011:2002, Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental, pode prover uma direo til para a conduo das auditorias internas do SGSI.

7 Anlise crtica pela direo do SGSI 7.1 Geral A Direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por ano) para assegurar que este continua conveniente, suficiente e efetivo. Esta reviso deve incluir avaliao de oportunidades para melhoria e a necessidade de mudanas do SGSI, inclusive a poltica de segurana da informao e objetivos de segurana da informao. Os resultados dessas anlises devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3). 7.2 Anlise crtica das entradas As anlises crticas pela direo devem incluir:

Projeto 21:204.01-012:2005
a) Resultados das auditorias do SGSI e anlises crticas; b) Respostas das partes interessadas; c) Tcnicas, produtos ou procedimentos que poderiam ser usados na organizao para melhorar o desempenho do SGSI e efetividade; d) Situao das aes preventivas e corretivas; e) Vulnerabilidades ou ameaas no endereadas adequadamente nas avaliaes de risco anteriores; f) Resultados das medidas de efetividade; g) Aes de acompanhamento das anlises crticas anteriores; h) Qualquer mudana que poderia afetar o SGSI; e i) Recomendaes para melhoria. 7.3 Anlise crtica das sadas As sadas da anlise crtica devem incluir quaisquer decises e aes relacionadas ao seguinte: a) Melhoria da efetividade do SGSI; b) Atualizao da avaliao de risco e plano de tratamento de risco; c) Modificao de procedimentos e controles que efetuam segurana da informao, quando necessrio, para responder a eventos internos ou externos que podem impactar no SGSI, inclusive mudanas de: 1) Requisitos de negcio; 2) Requisitos de segurana; 3) Processos de negcio que efetuam os requisitos de negcio existentes; 4) Requisitos legais ou regulatrios; 5) Obrigaes contratuais; e 6) Nveis de risco e/ou critrios de aceitao de risco. d) Recursos necessrios; e e) Melhoria de como a efetividade dos controles est sendo medida. 8 Melhoria do SGSI 8.1 Melhoria contnua

11

A organizao deve melhorar a efetividade do SGSI continuamente pelo uso da poltica de segurana da informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados, aes corretivas e preventivas e revises gerenciais (ver 7). 8.2 Aes corretivas A organizao deve adotar aes para eliminar as causas de no-conformidades aos requisitos do SGSI para prevenir sua recorrncia. O procedimento documentado para aes corretivas deve definir requisitos para: a) Identificar no-conformidades; b) Determinar as causas de no-conformidades; c) Avaliar a necessidade por aes para assegurar que as no-conformidades no ocorram novamente; d) Determinar e implementar as aes corretivas necessrias; e) Registrar os resultados das aes tomadas (ver 4.3.3); e f) Analisar criticamente as aes corretivas tomadas. 8.3 Aes preventivas A organizao deve determinar aes para eliminar a causa de potenciais no-conformidades aos requisitos do SGSI para prevenir sua ocorrncia. As aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas. O procedimento documentado para aes preventivas deve definir requisitos para: a) Identificar no-conformidades potenciais e suas causas;

12

Projeto 21:204.01-012:2005
b) Avaliar a necessidade por aes para assegurar que as no-conformidades no ocorram novamente; c) Determinar e implementar as aes preventivas necessrias; d) Registrar os resultados das aes tomadas (ver 4.3.3); e e) Analisar criticamente as aes preventivas tomadas. A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas que enfocam ateno em riscos significativamente alterados. A prioridade de aes preventivas deve ser determinada baseado nos resultados das avaliaes de risco.
NOTA: Aes para prevenir no-conformidades so freqentemente mais efetivas que aes corretivas.

________________ //ANEXO

Projeto 21:204.01-012:2005

13

Anexo A (normativo)
Objetivos de controle e controles Os objetivos de controle e controles listados na Tabela A.1 so derivados diretamente de e so alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15. As listas nestas tabelas no so exaustivas e uma organizao pode considerar objetivos de controle e controles adicionais que so necessrios. Os objetivos de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado em 4.2.1. A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 prov recomendaes e um guia de implementao das melhores prticas em face aos controles especificados em A.5 a A.15. Tabela A.1 - Objetivos de Controle e Controles A.5 Poltica de segurana A.5.1 Poltica de segurana da informao Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. A.5.1.1 Documento da poltica segurana da informao de Controle Um documento da poltica de segurana da informao deve ser aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas relevantes. Controle A poltica de segurana da informao deve ser analisada criticamente a intervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.

A.5.1.2

Anlise crtica da poltica de segurana da informao

A.6 Organizando a segurana da informao A.6.1 Organizao interna Objetivo: Gerenciar a segurana da informao na organizao. A.6.1.1 Comprometimento da Direo com a segurana da informao Controle A Direo deve apoiar ativamente a segurana da informao dentro da organizao por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e conhecendo as responsabilidades pela segurana da informao. Controle As atividades de segurana da informao devem ser coordenadas por representantes de diferentes partes da organizao, com funes e papis relevantes. Controle Todas as responsabilidades pela segurana da informao devem estar claramente definidas. Controle Deve ser definido e implementado um processo de gesto de autorizao para novos recursos de processamento da informao. Controle Os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades da organizao para a proteo da informao devem ser identificados e analisados criticamente, de forma regular. A.6.1.6 Contato com autoridades Controle Contatos apropriados com autoridades relevantes devem ser mantidos.

A.6.1.2

Coordenao da segurana da informao

A.6.1.3

Atribuio das responsabilidades em segurana da informao

A.6.1.4

Processo de autorizao para os recursos de processamento da informao

A.6.1.5

Acordos de confidencialidade

14

Projeto 21:204.01-012:2005

A.6.1.7

Contato com grupos especiais

Controle Contatos apropriados com grupos especiais de interesse para a organizao ou outros fruns especializados de segurana da informao e associaes profissionais devem ser mantidos.

A.6.1.8

Anlise crtica independente de segurana da informao

Controle O enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da informao) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao.

A.6.2 Partes Externas Objetivo: Manter a segurana dos recursos de processamento da informao e da informao da organizao, que so acessados, processados, comunicados, ou gerenciados por partes externas. A.6.2.1 Identificao dos riscos relacionados com partes externas Controle Os riscos para os recursos de processamento da informao e para a informao da organizao oriundos de processos do negcio que envolva as partes externas devem ser identificados e controles apropriados implementados antes de se conceder o acesso. Controle Todos os requisitos de segurana da informao identificados devem ser considerados antes de conceder aos clientes o acesso aos ativos ou s informaes da organizao. Controle Os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos ou servios aos recursos de processamento da informao devem cobrir todos os requisitos de segurana da informao relevantes.

A.6.2.2

Identificando a segurana da informao quando tratando com os clientes.

A.6.2.3

Identificando segurana informao nos acordos terceiros

da com

A.7 Gesto de ativos A.7.1 Responsabilidade pelos ativos Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. A.7.1.1 Inventrio dos ativos Controle Todos os ativos devem ser claramente identificados e um inventrio de todos os ativos importantes deve ser estruturado e mantido. A.7.1.2 Proprietrio dos ativos Controle Todas as informaes e ativos associados com os recursos de processamento da informao devem ter um proprietrio designado por uma parte definida da organizao. A.7.1.3 Uso aceitvel dos ativos Controle Devem ser identificadas, documentadas e implementadas, regras para que seja permitido o uso de informaes e de ativos associados aos recursos de processamento da informao. A.7.2 Classificao da Informao Objetivo: Assegurar que a informao recebe um nvel adequado de proteo. A.7.2.1 Recomendaes classificao para Controle A informao deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao.

Projeto 21:204.01-012:2005

15

A.7.2.2

Rtulos e informao

tratamento

da

Controle Um conjunto apropriado de procedimentos para rotular e tratar a informao deve ser definido e implementado de acordo com o esquema de classificao adotado pela organizao.

A.8 Segurana nos recursos humanos A.8.1 Antes da contratao Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papeis, e reduzir o risco de roubo, fraude ou mau-uso de recursos. A.8.1.1 Papis e responsabilidades Controle Os papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e terceiros devem ser definidos e documentados de acordo com a poltica de segurana da informao da organizao. A.8.1.2 Seleo Controle Verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros devem ser realizadas de acordo com as leis relevantes, regulamentaes e ticas, e proporcional aos requisitos do negcio, classificao das informaes a serem acessadas e aos riscos percebidos. A.8.1.3 Termos e contratao condies de Controle Como parte das suas obrigaes contratuais os funcionrios, fornecedores e terceiros devem concordar e assinar os termos e condies de sua contratao para o trabalho, os quais devem declarar as suas responsabilidade e a da organizao para a segurana da informao.

A.8.2 Durante a contratao Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano. A.8.2.1 Responsabilidades da Direo Controle A Direo deve solicitar aos funcionrios, fornecedores e terceiros que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao. A.8.2.2 Conscientizao, educao e treinamento em segurana da informao Controle Todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais relevantes para as suas funes. Controle Deve existir um processo disciplinar formal para os funcionrios que tenham cometido uma violao da segurana da informao. A.8.3 Encerramento ou mudana da contratao Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho de forma ordenada. A.8.3.1 Encerramento de atividades Controle As responsabilidades para realizar o encerramento ou a mudana de um trabalho devem ser claramente definidas e atribudas.

A.8.2.3

Processo disciplinar

16

Projeto 21:204.01-012:2005

A.8.3.2

Devoluo de ativos

Controle Todos os funcionrios, fornecedores e terceiros devem devolver todos os ativos da organizao que estejam em sua posse aps o encerramento de suas atividades, do contrato ou acordo.

A.8.3.3

Retirada de direitos de acesso

Controle Os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos recursos de processamento da informao devem ser retirados aps o encerramento de suas atividades, contratos ou acordos, ou ajustado aps a mudana destas atividades.

A.9 Segurana fsica e do ambiente A.9.1 reas seguras Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. A.9.1.1 Permetro de segurana fsica Controle Devem ser utilizados permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e recursos de processamento da informao. A.9.1.2 Controles de entrada fsica Controle As reas seguras devem ser protegidas por controles apropriados de entrada para assegurar que s tenham acesso as pessoas autorizadas. A.9.1.3 Segurana em escritrios salas e instalaes Controle Deve ser projetada e aplicada segurana fsica para escritrios, salas e instalaes. Controle Devem ser projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem. Controle Deve ser projetada e aplicada proteo fsica bem como diretrizes para o trabalho em reas seguras. A.9.1.6 Acesso do pblico, reas de entrega e de carregamento Controle Pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas podem entrar nas instalaes, devem ser controlados e, se possvel, isolados dos recursos de processamento da informao, para evitar o acesso no autorizado.

A.9.1.4

Proteo contra ameaas externas e do meio-ambiente

A.9.1.5

O trabalho em reas seguras

A.9.2 Segurana de equipamentos Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da organizao. A.9.2.1 Instalao e equipamento proteo do Controle Os equipamentos devem ser colocados no local ou protegidos para reduzir os riscos de ameaas e perigos do meio-ambiente, bem como as oportunidades de acesso no autorizado. Controle Os equipamentos devem ser protegidos contra interrupes de energia eltrica e outras falhas causadas pelas utilidades.

A.9.2.2

Utilidades

Projeto 21:204.01-012:2005

17

A.9.2.3

Segurana do cabeamento

Controle O cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos servios de informaes deve ser protegido contra interceptao ou danos.

A.9.2.4

Manuteno dos equipamentos

Controle Os equipamentos devem ter uma manuteno correta para assegurar sua disponibilidade e integridade permanente.

A.9.2.5

Segurana de equipamentos fora do local

Controle Devem ser tomadas medidas de segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao. Controle Todos os equipamentos que contenham suportes fsicos de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobre-gravados com segurana. Controle Equipamentos, informaes ou software no devem ser retirados do local sem autorizao prvia.

A.9.2.6

Reutilizao e alienao seguras de equipamentos

A.9.2.7

Retiradas de bens

A.10 Gerenciamento das operaes e comunicaes A.10.1 Procedimentos e responsabilidades operacionais Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. A.10.1.1 Documentao procedimentos de operao dos Controle Os procedimentos de operao devem ser documentados, mantidos atualizados e disponveis a todos os usurios que deles necessitem. Controle Modificaes nos recursos de processamento informao e sistemas devem ser controladas. A.10.1.3 Segregao de funes Controle Funes e reas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao. A.10.1.4 Separao dos ambientes desenvolvimento, teste e produo de de Controle Ambientes de desenvolvimento, teste e produo devem ser separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais. da

A.10.1.2

Gesto de mudanas

A.10.2 Gerenciamento de servios terceirizados Objetivo: Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios em linha com acordos de entrega de servios terceirizados. A.10.2.1 Entrega de servios Controle Deve ser garantido que os controles de segurana, as definies de servio e os nveis de entrega includos no acordo de entrega de servios terceirizados sejam implementados, executados e mantidos pelo terceiro. A.10.2.2 Monitoramento e anlise crtica de servios terceirizados Controle Os servios, relatrios e registros providos pelo terceiro devem ser regularmente monitorados e analisados criticamente, e auditorias ser executadas regularmente.

18

Projeto 21:204.01-012:2005

A.10.2.3

Gerenciamento de mudanas para servios terceirizados

Controle Mudanas no provisionamento dos servios, incluindo manuteno e melhoria da poltica de segurana da informao, dos procedimentos e controles existentes, devem ser gerenciadas, levando-se em conta a criticidade dos sistemas e processos de negcio envolvidos e a reavaliao de riscos.

A.10.3 Planejamento e aceitao dos sistemas Objetivo: Minimizar o risco de falhas nos sistemas. A.10.3.1 Gesto de capacidade Controle A utilizao dos recursos deve ser monitorada e sincronizada e as projees feitas para necessidades de capacidade futura para garantir a performance requerida do sistema. A.10.3.2 Aceitao de sistemas Controle Devem ser estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses e que ser efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao. A.10.4 Proteo contra cdigos maliciosos e cdigos mveis Objetivo: Proteger a integridade do software e da informao. A.10.4.1 Controle maliciosos contra cdigos Controle Devem ser implantados controles de deteco, preveno e recuperao para proteger contra cdigos maliciosos, assim como procedimentos para a devida conscientizao dos usurios. Controle Onde o uso de cdigos mveis autorizado, a configurao deve garantir que o cdigo mvel autorizado opere de acordo com uma poltica de segurana da informao claramente definida, e cdigos mveis no autorizados tenham sua execuo impedida. A.10.5 Cpias de segurana Objetivo: Manter a integridade e disponibilidade da informao e dos recursos de processamento de informao. A.10.5.1 Cpias de informaes segurana das Controle Cpias de segurana das informaes e dos softwares devem ser efetuadas e testadas regularmente conforme a poltica de gerao de cpias de segurana definida.

A.10.4.2

Controles contra cdigos mveis

A.10.6 Gerenciamento da segurana em redes Objetivo: Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte. A.10.6.1 Controles de redes Controle Redes devem ser adequadamente gerenciadas e controladas, de forma a proteg-las contra ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo a informao em trnsito. A.10.6.2 Segurana dos servios de rede Controle Caractersticas de segurana, nveis de servio e requisitos de gerenciamento dos servios de rede devem ser identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede providos internamente ou terceirizados. A.10.7 Manuseio de mdias Objetivo: Prevenir contra divulgao ano autorizada, modificao, remoo ou destruio aos ativos, e interrupes das atividades do negcio.

Projeto 21:204.01-012:2005

19

A.10.7.1

Gerenciamento removveis

de

mdias

Controle Devem existir procedimentos implementados gerenciamento de mdias removveis. Controle As mdias devem ser descartadas de forma segura e protegida quando no forem mais necessrias, por meio de prodecimentos formais. para o

A.10.7.2

Descarte de mdias

A.10.7.3

Procedimentos para tratamento de informao

Controle Devem ser estabelecidos procedimentos para o tratamento e o armazenamento de informaes, para proteg-las contra divulgao no autorizada; mau uso ou uso indevido. Controle A documentao dos sistemas deve ser protegida contra acessos no autorizados.

A.10.7.4

Segurana da documentao dos sistemas

A.10.8 Troca de informaes Objetivo: Manter a segurana na troca de informaes e softwares internamente organizao e com quaisquer entidades externas. A.10.8.1 Polticas e procedimentos para troca de informaes Controle Polticas, procedimentos e controles devem ser estabelecidos e formalizados para proteger a troca de informaes em todos os tipos de recursos de comunicao. Controle Devem ser estabelecidos acordos para a troca de informaes e softwares entre a organizao e entidades externas. Controle Mdias contendo informaes devem ser protegidas contra acesso no autorizado, uso imprprio ou alterao indevida durante o transporte externo aos limites fsicos da organizao. A.10.8.4 Correio Eletrnico Controle As informaes que trafegam em mensagens eletrnicas devem ser adequadamente protegidas. A.10.8.5 Sistemas negcio de informaes do Controle Polticas e procedimentos devem ser desenvolvidos e implementados para proteger as informaes, associadas com interconexo de sistemas de informaes do negcio.

A.10.8.2

Acordos para informaes

troca

de

A.10.8.3

Mdias em trnsito

A.10.9 Servios de comrcio eletrnico Objetivo: Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura. A.10.9.1 Comrcio eletrnico Controle As informaes envolvidas em comrcio eletrnico transitando sobre redes pblicas devem ser protegidas de atividades fraudulentas, disputas contratuais e divulgao e modificaes no autorizadas. A.10.9.2 Transaes On-Line Controle Informaes envolvidas em transaes on-line devem ser protegidas para prevenir transmisses incompletas, erros de roteamento, alteraes no-autorizadas de mensagens, divulgao no autorizada, duplicao ou reapresentao de mensagem no autorizada. A.10.9.3 Informaes disponveis publicamente Controle A integridade das informaes disponibilizadas em sistemas publicamente acessveis deve ser protegida para prevenir modificaes no autorizadas.

20

Projeto 21:204.01-012:2005

A.10.10 Monitoramento Objetivo: Detectar atividades no autorizadas de processamento da informao. A.10.10.1 Registros de auditoria Controle Registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de segurana da informao devem ser produzidos e mantidos por um perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de controle de acesso. A.10.10.2 Monitoramento do uso do sistema Controle Devem ser estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informao e os resultados das atividades de monitoramento devem ser analisados criticamente,de forma regular. A.10.10.3 Proteo das informaes dos registros (logs) Controle Os recursos e informaes de registros (log) devem ser protegidos contra falsificao e acesso no autorizado. Controle As atividades dos administradores e operadores do sistema devem ser registradas. Controle As falhas ocorridas devem ser registradas e analisadas, e devem ser adotadas as aes apropriadas. A.10.10.6 Sincronizao dos relgios Controle Os relgios de todos os sistemas de processamento de informaes relevantes, dentro da organizao ou do domnio de segurana, devem ser sincronizados de acordo com uma hora oficial. A.11 Controle de acessos A.11.1 Requisitos de negcio para controle de acesso Objetivo: Controlar o acesso informao. A.11.1.1 Poltica de controle de acesso Controle A poltica de controle de acesso deve ser estabelecida, documentada e revisada, tomando-se como base os requisitos de acesso dos negcios e segurana. A.11.2 Gerenciamento de acesso do usurio Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao. A.11.2.1 Registro de Usurio Controle Deve existir um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e servios. A.11.2.2 Gerenciamento de privilgios Controle A concesso e uso de privilgios devem ser restritos e controlados. A.11.2.3 Gerenciamento usurio de senha do Controle A concesso de senhas seja controlada por meio de um processo de gerenciamento formal. Controle O gestor deve conduzir a intervalos regulares a anlise critica dos direitos de acesso dos usurios, por meio de um processo formal.

A.10.10.4

Registros (log) de Administrador e Operador

A.10.10.5

Registros (logs) de falhas

A.11.2.4

Anlise crtica dos direitos de acesso de usurio

A.11.3 Responsabilidades dos usurios Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao.

Projeto 21:204.01-012:2005

21

A.11.3.1

Uso de senhas

Controle Os usurios devem ser orientados a seguir boas prticas de segurana na seleo e uso de senhas.

A.11.3.2

Equipamento monitorao

de

usurio

sem

Controle Os usurios devem assegurar que os equipamentos no monitorados tenham proteo adequada. Controle Deve ser adotada uma poltica de mesa limpa de papis e mdias de armazenamento removveis e uma poltica de tela limpa para os recursos de processamento da informao.

A.11.3.3

Poltica de mesa limpa e tela protegida

A.11.4 Controle de acesso rede Objetivo: Prevenir acesso no autorizado aos servios de rede. A.11.4.1 Poltica de uso dos servios de rede Controle Os usurios devem receber acesso somente aos servios que tenham sido especificamente autorizados a usar. Controle Mtodos apropriados de autenticao devem ser usados para controlar o acesso de usurios remotos. Controle Devem ser consideradas as identificaes automticas de equipamentos como um meio de autenticar conexes vindas de localizaes e equipamentos especficos. Controle Deve ser controlado o acesso fsico e lgico para diagnosticar e configurar portas. Controle Grupos de servios de informao, usurios e sistemas de informao devem ser segredados em redes. A.11.4.6 Controle de conexo de rede Controle Para redes compartilhadas, especialmente as que se estendem alm dos limites da organizao, a capacidade de usurios para conectar a rede deve ser restrita, de acordo com a poltica de controle de acesso e os requisitos das aplicaes do negcio (ver 11.1). A.11.4.7 Controle de roteamento de redes Controle Deve ser implementado controle de roteamento na rede para assegurar que as conexes de computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio. A.11.5 Controle de acesso ao sistema operacional Objetivo: Prevenir acesso no autorizado aos sistemas operacionais. A.11.5.1 Procedimentos seguros entrada no sistema (log-on) de Controle O acesso aos sistemas operacionais deve ser controlado por um procedimento seguro de entrada no sistema (logon). Controle Todos os usurios devem ter um identificador nico (ID de usurio) para uso pessoal e exclusivo, e uma tcnica adequada de autenticao deve ser escolhida para validar a identidade alegada por um usurio. Controle Sistemas para gerenciamento de senhas devem ser interativos e assegurar senhas de qualidade.

A.11.4.2

Autenticao para externa do usurio

conexo

A.11.4.3

Identificao de equipamento em redes

A.11.4.4

Proteo e configurao de portas de diagnostico remotas

A.11.4.5

Segregao de redes

A.11.5.2

Identificao e autenticao de usurio

A.11.5.3

Sistema de gerenciamento de senha

22

Projeto 21:204.01-012:2005

A.11.5.4

Uso de utilitrios de sistema

Controle O uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e aplicaes deve ser restrito e estritamente controlado.

A.11.5.5

Desconexo inatividade

de

terminal

por

Controle Terminais inativos devem ser desconectados aps um perodo definido de inatividade. Controle Restries nos horrios de conexo devem ser utilizadas para proporcionar segurana adicional para aplicaes de alto risco.

A.11.5.6

Limitao de horrio de conexo

A.11.6 Controle de acesso aplicao e informao Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de aplicao. A.11.6.1 Restrio de acesso informao Controle O acesso informao e funes dos sistemas de aplicaes por usurios e pessoal de suporte deve ser restrito de acordo com o definido na poltica de controle de acesso. A.11.6.2 Isolamento de sistemas sensveis Controle Sistemas sensveis devem ter um ambiente computacional dedicado (isolado). A.11.7 Computao mvel e trabalho remoto Objetivo: Assegurar a segurana da informao quando se utilizam a computao mvel e recursos de trabalho remoto. A.11.7.1 Computao mvel e comunicao Controle Uma poltica formal deve ser estabelecida e medidas de segurana apropriadas devem ser adotadas para a proteo contra os riscos do uso de recursos de computao e comunicao mveis. Controle Uma poltica, planos operacionais e procedimentos devem ser desenvolvidos e implementados para atividades de trabalho remoto. A.12 Aquisio, desenvolvimento e manuteno de sistemas de informao A.12.1 Requisitos de segurana de sistemas de informao Objetivo: Garantir que segurana parte integrante de sistemas de informao. A.12.1.1 Anlise e especificao requisitos de segurana dos Controle Devem ser especificados os requisitos para controles de segurana nas especificaes de requisitos de negcios, para novos sistemas de informao ou melhorias em sistemas existentes.

A.11.7.2

Trabalho remoto

A.12.2 Processamento correto de aplicaes Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes. A.12.2.1 Validao dos dados de entrada Controle Os dados de entrada de aplicaes devem ser validados para garantir que so corretos e apropriados. A.12.2.2 Controle interno do processamento Controle Devem ser incorporados nas aplicaes checagens de validao com o objetivo de detectar qualquer corrupo de informaes, por erros ou por aes deliberadas.

Projeto 21:204.01-012:2005

23

A.12.2.3

Integridade de mensagens

Controle Requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes devem ser identificados, e os controles apropriados, identificados e implementados.

A.12.2.4

Validao de dados de sada

Controle Os dados de sada das aplicaes devem ser validados para assegurar que o processamento das informaes armazenadas esta correta e apropriado s circunstncias.

A.12.3 Controle criptogrfico Objetivo: Proteger a confidencialidade, autenticidade ou integridade das informaes por meios criptogrficos. A.12.3.1 Poltica para o uso de controles criptogrficos Controle Deve ser desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a proteo da informao. Controle Um processo de gerenciamento de chaves deve ser implantado para apoiar o uso de tcnicas criptogrficas pela organizao. A.12.4 Segurana dos arquivos do sistema Objetivo: Garantir a segurana de arquivos de sistema. A.12.4.1 Controle de software operacional Controle Procedimentos para controlar a instalao de software em sistemas operacionais devem ser implementados. A.12.4.2 Proteo dos dados para teste de sistema Controle Os dados de teste devem ser selecionados com cuidado, protegidos e controlados. Controle O acesso ao cdigo-fonte deve ser restrito.

A.12.3.2

Gerenciamento de chaves

A.12.4.3

Controle de acesso ao cdigo fonte de programas

A.12.5 Segurana em processos de desenvolvimento e de suporte Objetivo: Manter a segurana de sistemas aplicativos e da informao. A.12.5.1 Procedimentos para controle de mudanas Controle A implementao de mudanas deve ser controlada utilizando procedimentos formais de controle de mudanas. Controle Aplicaes crticas de negcios devem ser analisadas e testadas quando sistemas operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da organizao ou na segurana. Controle Modificaes em pacotes de software no devem ser incentivadas e limitadas s mudanas necessrias e todas as mudanas devem ser estritamente controladas. Controle Oportunidades para vazamento de informaes devem ser prevenidas. A.12.5.5 Desenvolvimento terceirizado de software Controle A organizao deve supervisionar e desenvolvimento terceirizado de software. monitorar o

A.12.5.2

Anlise crtica das aplicaes aps mudanas no sistema operacional

A.12.5.3

Restries sobre mudanas em pacotes de Software

A.12.5.4

Vazamento de informaes

A.12.6 Gesto de vulnerabilidades tcnicas Objetivo: Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.

24

Projeto 21:204.01-012:2005

A.12.6.1

Controle tcnicas

de

vulnerabilidades

Controle Deve ser seja obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, avaliada a exposio da organizao a estas vulnerabilidades, e tomadas as medidas apropriadas para lidar com os riscos associados.

A.13 Aquisio, desenvolvimento e manuteno de sistemas de informao A.13.1 Gesto de incidentes de segurana da informao Objetivo: Notificao de fragilidades e eventos de segurana da informao. A.13.1.1 Notificao de eventos segurana da informao de Controle Os eventos de segurana da informao devem ser relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. de Controle Os funcionrios, fornecedores terceiros de sistemas e servios de informao devem ser instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.

A.13.1.2

Notificando fragilidades segurana da informao

A.13.2 Gesto de incidentes de segurana da informao e melhorias Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado a gesto de incidentes de segurana da informao. A.13.2.1 Responsabilidades procedimentos e Controle Responsabilidades e procedimentos de gesto devem ser estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao. Controle Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados. Controle Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio ou jurisdies pertinentes. A.14 Gesto da continuidade do negcio A.14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hbil, se for o caso. A.14.1.1 Incluindo segurana informao no processo gesto da continuidade negocio da de de Controle Um processo de gesto deve ser desenvolivido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao. Controle Devem ser identificados os eventos que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.

A.13.2.2

Aprendendo com os incidentes de segurana da informao

A.13.2.3

Coleta de evidncias

A.14.1.2

Continuidade de avaliao de risco

negcios

Projeto 21:204.01-012:2005

25

A.14.1.3

Desenvolvimento implementao de planos continuidade relativos segurana da informao

e de

Controle Os planos devem ser desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio. Controle Uma estrutura bsica dos planos de continuidade do negcio deve ser mantida para assegurar que todos os planos sejam consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno. Controle Os planos de continuidade do negcio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.

A.14.1.4

Estrutura do plano continuidade do negcio

de

A.14.1.5

Testes, manuteno e reavaliao dos planos de continuidade do negcio

A.15 Conformidade A.15.1 Conformidade com requisitos legais Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. A.15.1.1 Identificao da legislao vigente Controle Todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da organizao para atender a esses requisitos, devem ser explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao da organizao. A.15.1.2 Direitos de propriedade intelectual Controle Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual, e sobre o uso de produtos de software proprietrios. A.15.1.3 Proteo de organizacionais registros Controle Registros importantes devem ser protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio. Controle A privacidade e proteo de dados devem ser asseguradas conforme exigncia da legislao pertinente, regulamentaes e, se aplicvel, nas clausulas contratuais. Controle Os usurios devem ser dissuadidos de usar os recursos de processamento da informao para propsitos no autorizados. Controle Controles de criptografia devem ser usados em conformidade com leis, acordos e regulamentaes relevantes.

A.15.1.4

Proteo de dados e privacidade da informao pessoal

A.15.1.5

Preveno de mau uso de recursos de processamento da informao

A.15.1.6

Regulamentao de controles de criptografia

A.15.2 Conformidade com a poltica de segurana, normas e conformidade tcnica Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana. A.15.2.1 Conformidade com as polticas e normas de segurana da informao Controle Os gestores devem garantir que todos os procedimentos de segurana dentro da sua rea de responsabilidade sejam executados corretamente para atender a conformidade com as normas e politicas de segurana.

26

Projeto 21:204.01-012:2005

A.15.2.2

Verificao tcnica

da

conformidade

Controle Os sistemas de informao devem ser periodicamente verificados em sua conformidade com as normas de segurana implementadas.

A.15.3 Consideraes quanto auditoria de sistemas de informao Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. A.15.3.1 Controles de auditoria sistemas de informao de Controle Os requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio. de de Controle O acesso s ferramentas de auditoria de sistema de informao deve ser protegido para prevenir qualquer possibilidade de uso imprprio ou comprometimento.

A.15.3.2

Proteo de ferramentas auditoria de sistemas informao

Projeto 21:204.01-012:2005

27

Anexo B (Informativo)
Princpios da OECD e desta Norma
Os princpios definidos pelas Diretrizes de OECD para a Segurana de Sistemas de Informao e Redes aplicam-se para toda a poltica e nveis operacionais que governam a segurana de sistemas de informao e redes. Esta Norma prov uma estrutura de um sistema de gesto de segurana de informao para implementar alguns dos princpios da OECD que usam o modelo PDCA e os processos descritos nas Sees 4, 5, 6 e 8, como indicado na Tabela B.1. Tabela B.1 Princpios da OECD e o modelo PDCA Princpio de OECD Conscientizao Convm que os participantes estejam conscientizados da necessidade por segurana de sistemas de informao e redes e o que eles podem fazer para aumentar a segurana. Responsabilidade Todos os participantes so responsveis pela segurana de sistemas de informao e redes. Resposta Correspondncia entre o processo do ISMS e a fase do PDCA Esta atividade parte da fase Fazer (Do) (ver 4.2.2 e 5.2.2).

Esta atividade parte da fase Fazer (Do) (ver 4.2.2 e 5.1).

Esta em parte uma atividade de monitorao da fase Checar (Check) (ver 4.2.3 e 6 a 7.3) e uma atividade de Convm que os participantes ajam de modo oportuno e resposta da fase Agir (Act) (ver 4.2.4 e 8.1 a 8.3). Isto cooperativo para prevenir, detectar e responder a tambm pode ser coberto por alguns aspectos das fases incidentes de segurana. Planejar (Plan) e Checar (Check). Avaliao de risco Esta atividade parte da fase Planejar (Plan) (ver 4.2.1) e a reavaliao dos riscos parte da fase Checar Convm que os participantes conduzam avaliaes de (Check) (ver 4.2.3 e 6 at 7.3). risco. Arquitetura e implementao de segurana Uma vez finalizada a avaliao de risco, os controles so selecionados para o tratamento dos riscos como parte do Convm que os participantes incorporem a segurana da fase Planejar (Plan) (ver 4.2.1). A fase Fazer (Do) como um elemento essencial de sistemas de informao (ver 4.2.2 e 5.2) ento cobre a implementao e o uso e redes. operacional destes controles. Gesto de segurana A gesto de riscos um processo que inclui a preveno, deteco e resposta a incidentes, Convm que os participantes adotem uma estratgia continuamente, manuteno, reviso e auditoria. Todos inclusiva para a gesto da segurana. estes aspectos so cercados nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act). Reavaliao A revaliao de segurana de informao uma parte da fase Checar (Check) (ver 4.2.3 e 6 at 7.3) onde Convm que os participantes revisem e reavaliem a revises regulares deveriam ser realizadas para conferir segurana dos sistemas de informao e redes, e faam a efetividade do sistema de gesto de segurana da as modificaes apropriadas para polticas de segurana, informao, e a melhoria da segurana parte da fase prticas, medidas e procedimentos. Agir (Act) (ver 4.2.4 e 8.1 a 8.3).

28

Projeto 21:204.01-012:2005

Anexo C (Informativo)
Correspondncia entre ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma
A Tabela C.1 mostra a correspondncia entre a ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma. Tabela C.1 Correspondncia entre ISO 9001:2000, ISO 14001:2004 e esta Norma. Esta Norma 0 Introduo 0.1 Geral 0.2 Estratgia do Processo ABNT NBR ISO 9001:2000 0 Introduo 0.1Geral 0.2 Estratgia do Processo 0.3 Relao com ISO 9004 0.3 Compatibilidade sistemas de gesto 1 Escopo 1.1 Geral 1.2 Aplicao 2 3 4 Referncias normativas Termos e definies Sistema de gesto de segurana da informao com outros 0.4 Compatibilidade sistemas de gesto 1 Escopo 1.1 Geral 1.2 Aplicao 2 3 4 Referncias normativas Termos e definies Sistema de gesto da qualidade 2 3 4 Referncias normativas Termos e definies Requisitos do SGA com outros 1 Escopo ABNT NBR ISO 14001:2004 Introduo

4.1 Requisitos gerais 4.2 Estabelecendo e Administrando o SGSI 4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e revisar o SGSI

4.1 Requisitos gerais

4.1 Requisitos gerais

4.4 Implementao e operao 8.2.3 8.2.4 Monitorao e medida de 4.5.1 processos Monitorao e medida de produtos Monitorao e medida

4.2.4

Manter e melhorar o SGSI 4.3 Requisitos de documentao 4.3.1 4.3.2 Geral Manual da qualidade Controle de documentos Controle de registros 4.4.5 4.5.4 Controle de documentos Controle de registros

4.3 Requisitos de documentao 4.3.1 Geral

4.3.2 4.3.3 5

Controle de documentos Controle de registros

4.3.3 4.3.4 5

Responsabilidades de gesto

Responsabilidades de gesto

5.1 Compromisso da gerncia

5.1 Compromisso da gerncia 5.2 Foco no cliente 5.3 Poltica da qualidade 5.4 Planejamento 5.5 Responsabilidade, autoridade e comunicao 4.2 Poltica ambiental 4.3 Planejamento

5.2 Gesto de recursos 5.1.1 Proviso de recursos

Gesto de recursos

6.1 Proviso de recursos 6.2 Recursos humanos

5.1.2

Treinamento, conscientizao 6.2.2 Treinamento, conscientizao e competncia e competncia 6.3 Infraestrutura 6.4 Ambiente de trabalho

4.4.2 Treinamento, conscientizao e competncia

Projeto 21:204.01-012:2005

29

Esta Norma 6 7 Auditorias internas do SGSI Reviso gerencial do SGSI

ABNT NBR ISO 9001:2000 8.2.2 Auditorias internas

ABNT NBR ISO 14001:2004 4.5.5 Auditorias internas

5.6 Reviso gerencial 5.6.1 5.6.2 5.6.3 Geral Reviso das entradas Reviso das sadas

4.6 Reviso gerencial

7.1 Geral 7.2 Reviso das entradas 7.3 Reviso das sadas 8 Melhoria do SGSI

8.5 Melhoria do SGSI 8.5.1 Melhoria contnua 8.5.3 Aes corretivas 8.5.3 Aes preventivas 4.5.3 No conformidades, aes corretivas e aes preventivas Anexo A - Guia para o uso desta Norma

8.1 Melhoria contnua 8.2 Aes corretivas 8.3 Aes preventivas Anexo A - Objetivos de controle e controles Anexo B - Princpios da OECD e esta Norma Anexo C - Correspondncia entre ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma

Anexo A - Correspondncia entre ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:1996

Anexo B - Correspondncia entre ABNT NBR ISO 14001:2004 e ABNT NBR ISO 9001:2000

30

Projeto 21:204.01-012:2005

Bibliografia
Normas publicadas [1] [2] ABNT NBR ISO 9001:2000, Sistemas de gesto da qualidade - Requisitos ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards ABNT NBR ISO 14001:2004, Sistemas da gesto ambiental - Requisitos com orientaes para uso ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management ABNT NBR ISO 19011:2002, Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental ABNT ISO/IEC Guia 62:1997, Requisitos gerais para organismos que operam avaliao e certificao/registro de sistemas da qualidade ABNT ISO/IEC Guia 73:2005, Gesto de riscos - Vocabulrio - Recomendaes para uso em normas

[3] [4] [5] [6] [7] [8] [9]

Outras Publicaes [1] OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org [2] NIST SP 800-30, Risk Management Guide for Information Technology Systems [3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986

________________