Juliana Jenny Kolb

Home > Segurança da Informação> NBR ISO/IEC 27001:2006

NBR ISO/IEC 27001:2006

Materiais Complementares

Documento em PDF

NBR ISO/IEC 27001:2006

Tópicos mais abordados em concursos.

Introdução

Geral

Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples.

Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.

Abordagem de processo

Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um processo. Freqüentemente a saída de um processo forma diretamente a entrada do processo seguinte.

A aplicação de um sistema de processos dentro de uma organização, junto com a identificação e interações
destes processos, e a sua gestão podem ser consideradas como “abordagem de processo”.

A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que
seus usuários enfatizem a importância de:

a) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança de informação;

b) implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização;

c) monitoração e análise crítica do desempenho e eficácia do SGSI; e

d) melhoria contínua baseada em medições objetivas.

Esta Norma adota o modelo conhecido como “Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.

Modelo PDCA aplicado aos processos do SGSI

• Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da
  segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
• Do (fazer) (implementar e operar o SGSI) Implementar e operar a política, controles, processos e procedimentos do SGSI.
• Check (checar) (monitorar e analisar criticamente o SGSI) Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.
• Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

 

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos

IMPORTANTE – Esta publicação não tem o propósito de incluir todas as cláusulas necessárias a um
contrato. Os usuários são responsáveis pela sua correta aplicação. Conformidade com esta Norma por si
só não confere imunidade em relação às obrigações legais.

1 Objetivo

1.1 Geral

Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para  estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para
proteger os ativos de informação e propiciar confiança às partes interessadas.

1.2 Aplicação

Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza.

Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas  responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.
NOTA Se uma organização já tiver um sistema de gestão de processo de negócio em operação (por exemplo, em relação com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), é preferível na maioria dos casos satisfazer os requisitos desta Norma dentro deste sistema de gestão existente.

3 Termos e definições

Para os efeitos desta Norma, aplicam-se os seguintes termos e definições.

3.1 ativo – qualquer coisa que tenha valor para a organização

3.2 disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada

3.3 confidencialidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados

3.4 segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas

3.5 evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação

3.6 incidente de segurança da informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

3.7 sistema de gestão da segurança da informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação

3.8 integridade – propriedade de salvaguarda da exatidão e completeza de ativos

3.9 risco residual – risco remanescente após o tratamento de riscos

3.10 aceitação do risco – decisão de aceitar um risco

3.11 análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco

3.12 análise/avaliação de riscos –  processo completo de análise e avaliação de riscos

3.13 avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco

3.14 gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos

3.15 tratamento do risco – processo de seleção e implementação de medidas para modificar um risco

3.16 declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização

4 Sistema de gestão de segurança da informação

4.1 Requisitos gerais

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.

4.2 Estabelecendo e gerenciando o SGSI

4.2.1 Estabelecer o SGSI

A organização deve:

a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2);

b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:

1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação;

2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;

3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer ;

4) estabeleça critérios em relação aos quais os riscos serão avaliados (ver 4.2.1c)); e

5) tenha sido aprovada pela direção.

c) Definir a abordagem de análise/avaliação de riscos da organização.

1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio.

2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco (ver 5.1f)). A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de riscos produzam resultados comparáveis e reproduzíveis.

NOTA Existem diferentes metodologias para análise/avaliação de riscos. São discutidos exemplos de metodologias de análise/avaliação de riscos na ISO/IEC TR 13335-3, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security.

d) Identificar os riscos.

1) Identificar os ativos dentro do escopo do SGSI e os proprietários2) destes ativos.

2) Identificar as ameaças a esses ativos.

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças.

4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.

e) Analisar e avaliar os riscos.

1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos.

2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.

3) Estimar os níveis de riscos.

4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação de riscos estabelecidos em 4.2.1c)2).

f) Identificar e avaliar as opções para o tratamento de riscos.

Possíveis ações incluem:

1) aplicar os controles apropriados;

2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da
organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));

3) evitar riscos; e

4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.

g) Selecionar objetivos de controle e controles para o tratamento de riscos.

Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos.

Esta seleção deve considerar os critérios para aceitação de riscos (ver 4.2.1c)2)) como também os requisitos legais, regulamentares e contratuais.

Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados.

Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controles e controles adicionais podem também ser selecionados.

NOTA O anexo A contém uma lista detalhada de objetivos de controle e controles que foram comumente considerados relevantes nas organizações. Os usuários desta Norma são direcionados para o anexo A como um ponto de partida para a seleção de controles, para assegurar que nenhuma opção de controle importante seja negligenciada.

h) Obter aprovação da direção dos riscos residuais propostos.

i) Obter autorização da direção para implementar e operar o SGSI.

j) Preparar uma Declaração de Aplicabilidade.

Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte:

1) Os objetivos de controle e os controles selecionados em 4.2.1g) e as razões para sua seleção;

2) Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e)2)); e

3) A exclusão de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua exclusão.

NOTA A Declaração de Aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos.

A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.

4.2.2 Implementar e operar o SGSI

A organização deve:

a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5).

b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados,  que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.

c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle.

d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)).

NOTA A medição da eficácia dos controles permite aos gestores e à equipe determinar o quanto os controles alcançam de forma satisfatória os objetivos de controle planejados.

e) Implementar programas de conscientização e treinamento (ver 5.2.2).

f) Gerenciar as operações do SGSI.

g) Gerenciar os recursos para o SGSI (ver 5.2).

h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação (ver 4.2.3 a)).

4.2.3 Monitorar e analisar criticamente o SGSI

A organização deve:

a) Executar procedimentos de monitoração e análise crítica e outros controles para:

1) prontamente detectar erros nos resultados de processamento;

2) prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação;

3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado;

4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e

5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram
eficazes.

b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.

c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.

d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a:

1) organização;

2) tecnologias;

3) objetivos e processos de negócio;

4) ameaças identificadas;

5) eficácia dos controles implementados;

6) eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das
obrigações contratuais e mudanças na conjuntura social.

e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos.

f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI (ver 7.1).

g) Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica.

h) Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI (ver 4.3.3).

4.2.4 Manter e melhorar o SGSI

A organização deve regularmente :

a) Implementar as melhorias identificadas no SGSI.

b) Executar as ações preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.

c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às
circunstâncias e, se relevante, obter a concordância sobre como proceder.

d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

4.3 Requisitos de documentação

4.3.1 Geral

A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.

É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI.

A documentação do SGSI deve incluir:

a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI;

b) o escopo do SGSI (ver 4.2.1a));

c) procedimentos e controles que apoiam o SGSI;

d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c));

e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));

f) o plano de tratamento de riscos (ver 4.2.2b));

g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles (ver 4.2.3c));

h) registros requeridos por esta Norma (ver 4.3.3); e

i) a Declaração de Aplicabilidade.

NOTA 3 Documentos e registros podem estar em qualquer forma ou tipo de mídia.

4.3.2 Controle de documentos

Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:

a) aprovar documentos para adequação antes de sua emissão;

b) analisar criticamente e atualizar, quando necessário, e reaprovar documentos;

c) assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas;

d) assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso;

e) assegurar que os documentos permaneçam legíveis e prontamente identificáveis;

f) assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação;

g) assegurar que documentos de origem externa sejam identificados;

h) assegurar que a distribuição de documentos seja controlada;

i) prevenir o uso não intencional de documentos obsoletos; e

j) aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito.

 

4.3.3 Controle de registros

Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e implementados.

Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de incidentes de segurança da informação significativos relacionados ao SGSI.

EXEMPLO

Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso preenchidos.

5 Responsabilidades da direção

5.1 Comprometimento da direção

A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:

a) o estabelecimento da política do SGSI;

b) a garantia de que são estabelecidos os planos e objetivos do SGSI;

c) o estabelecimento de papéis e responsabilidades pela segurança de informação;

d) a comunicação à organização da importância em atender aos objetivos de segurança da informação e a conformidade com a política de segurança de informação, suas responsabilidades perante a lei e a
necessidade para melhoria contínua;

e) a provisão de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI (ver 5.2.1);

f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;

g) a garantia de que as auditorias internas do SGSI sejam realizadas (ver seção 6); e

h) a condução de análises críticas do SGSI pela direção (ver seção 7).

5.2 Gestão de recursos

5.2.1 Provisão de recursos

A organização deve determinar e prover os recursos necessários para:

a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;

b) assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio;

c) identificar e tratar os requisitos legais e regulamentares e obrigações contratuais de segurança da
informação;

d) manter a segurança da informação adequada pela aplicação correta de todos os controles implementados;

e) realizar análises críticas, quando necessário, e reagir adequadamente aos resultados destas análises críticas;

f) onde requerido, melhorar a eficácia do SGSI.

5.2.2 Treinamento, conscientização e competência

A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja
competente para desempenhar as tarefas requeridas:
a) determinando as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI;
b) fornecendo treinamento ou executando outras ações (por exemplo, contratar pessoal competente) para
satisfazer essas necessidades;
c) avaliando a eficácia das ações executadas; e
d) mantendo registros de educação, treinamento, habilidades, experiências e qualificações (ver 4.3.3).
A organização deve também assegurar que todo o pessoal pertinente esteja consciente da relevância e
importância das suas atividades de segurança da informação e como eles contribuem para o alcance dos objetivos
do SGSI.

6 Auditorias internas do SGSI

A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:

a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes;

b) atendem aos requisitos de segurança da informação identificados;

c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.

Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.

As responsabilidades e os requisitos para planejamento e para execução de auditorias e para relatar os resultados e a manutenção dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado.

O responsável pela área a ser auditada deve assegurar que as ações sejam executadas, sem demora indevida, para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados de verificação (ver seção 8).

NOTA A ABNT NBR ISO 19011:2002 – Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental – pode prover uma orientação útil para realizar auditorias internas do SGSI.

7 Análise crítica do SGSI pela direção

7.1 Geral

A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).

7.2 Entradas para a análise crítica

As entradas para a análise crítica pela direção devem incluir:

a) resultados de auditorias do SGSI e análises críticas;

b) realimentação das partes interessadas;

c) técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a eficácia do SGSI ;

d) situação das ações preventivas e corretivas;

e) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;

f) resultados da eficácia das medições ;

g) acompanhamento das ações oriundas de análises críticas anteriores pela direção;

h) quaisquer mudanças que possam afetar o SGSI; e

i) recomendações para melhoria.

7.3 Saídas da análise crítica

As saídas da análise crítica pela direção devem incluir quaisquer decisões e ações relacionadas a:

a) Melhoria da eficácia do SGSI.

b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.

c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de:

1) requisitos de negócio;
2) requisitos de segurança da informação;
3) processos de negócio que afetem os requisitos de negócio existentes;
4) requisitos legais ou regulamentares;
5) obrigações contratuais; e
6) níveis de riscos e/ou critérios de aceitação de riscos.
d) Necessidade de recursos.
e) Melhoria de como a eficácia dos controles está sendo medida.

8 Melhoria do SGSI

8.1 Melhoria contínua

A organização deve continuamente melhorar a eficácia do SGSI por meio do uso da política de segurança da informação, objetivos de segurança da informação, resultados de auditorias, análises de eventos monitorados, ações corretivas e preventivas e análise crítica pela direção (ver seção 7).

8.2 Ação corretiva

A organização deve executar ações para eliminar as causas de não-conformidades com os requisitos do SGSI, de forma a evitar a sua repetição. O procedimento documentado para ação corretiva deve definir requisitos para:

a) identificar não-conformidades;

b) determinar as causas de não-conformidades;

c) avaliar a necessidade de ações para assegurar que aquelas não-conformidades não ocorram novamente;

d) determinar e implementar as ações corretivas necessárias;

e) registrar os resultados das ações executadas (ver 4.3.3); e

f) analisar criticamente as ações corretivas executadas.

8.3 Ação preventiva

A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas. O procedimento documentado para ação preventiva deve definir requisitos para:

a) identificar não-conformidades potenciais e suas causas;

b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;

c) determinar e implementar as ações preventivas necessárias;

d) registrar os resultados de ações executadas (ver 4.3.3); e

e) analisar criticamente as ações preventivas executadas.

A organização deve identificar mudanças nos riscos e identificar requisitos de ações preventivas focando a
atenção nos riscos significativamente alterados.

A prioridade de ações preventivas deve ser determinada com base nos resultados da análise/avaliação de riscos.

NOTA Ações para prevenir não-conformidades freqüentemente têm melhor custo-benefício que as ações corretivas.

Anexo A
(normativo)

Objetivos de controle e controles

Objetivos de controle e controles listados na tabela A.1 são derivados diretamente e estão alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15.

As listas na tabela A.1 não são exaustivas e uma organização pode considerar que objetivos de controle e controles adicionais são necessários. Os objetivos de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado em 4.2.1.

A ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15 fornece recomendações e um guia de implementação das melhores práticas para apoiar os controles especificados em A.5 a A.15.

Tabela A.1 — Objetivos de controle e controles

A.5 Política de segurança

A.5.1 Política de segurança da informação

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes

A.5.1.1

Documento da política de segurança da informação

Controle Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

A.5.1.2

Análise crítica da política de segurança da informação

Controle A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

A.6 Organizando a segurança da informação

A.6.1 Infra-estrutura da segurança da informação

Objetivo: Gerenciar a segurança da informação dentro da organização.

A.6.1.1

Comprometimento da direção com a segurança da informação

Controle A Direção deve apoiar ativamente a segurança da informação dentro da organização, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explícita e conhecendo as responsabilidades pela segurança da informação.