Introdução à ISO/IEC 27001:2022
A ISO/IEC 27001:2022 é a norma internacional que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto da organização.
Atualização 2022
A versão 2022 trouxe importantes atualizações, incluindo novos controles organizacionais, maior foco em segurança na nuvem, inteligência de ameaças e privacidade de dados, alinhando-se perfeitamente com os requisitos da LGPD.
Objetivos da ISO 27001
Confidencialidade
Garantir que a informação seja acessível apenas por pessoas autorizadas
Integridade
Assegurar a exatidão e completude da informação e métodos de processamento
Disponibilidade
Garantir que usuários autorizados tenham acesso à informação quando necessário
Estrutura da Norma
A ISO 27001:2022 segue a estrutura de alto nível (HLS) comum a todas as normas ISO de sistemas de gestão, facilitando a integração com outras normas.
Escopo, Referências e Termos
Definição do escopo de aplicação, referências normativas e definições de termos utilizados.
Contexto da Organização
Compreensão da organização, necessidades das partes interessadas e escopo do SGSI.
Liderança
Liderança e comprometimento, política de segurança da informação e papéis organizacionais.
Planejamento
Ações para abordar riscos e oportunidades, objetivos de segurança da informação e planejamento.
Apoio
Recursos, competência, conscientização, comunicação e informação documentada.
Operação
Planejamento e controle operacional, avaliação de riscos de segurança da informação.
Avaliação de Desempenho
Monitoramento, medição, análise, avaliação, auditoria interna e análise crítica.
Melhoria
Não conformidade, ação corretiva e melhoria contínua do SGSI.
Anexo A.5 - Controles Organizacionais
Os controles organizacionais estabelecem a base para um programa de segurança da informação eficaz. Estes controles abordam aspectos de governança, políticas, gestão de riscos, recursos humanos e relacionamentos com terceiros.
A.5.1 – Políticas de segurança da informação
A organização deve estabelecer uma política de segurança da informação aprovada pela direção, documentada, comunicada internamente e sujeita a revisões periódicas. Essa política deve fornecer orientação geral sobre os objetivos e princípios de segurança aplicáveis à organização como um todo.
A.5.2 – Papéis e responsabilidades organizacionais para a segurança da informação
Devem ser atribuídos papéis e responsabilidades claras relacionados à segurança da informação. Todos os envolvidos — desde a alta direção até os usuários — devem conhecer e compreender suas obrigações específicas em relação à proteção dos ativos de informação.
A.5.3 – Segregação de funções
Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização. A segregação adequada de funções previne que uma única pessoa tenha acesso completo a processos críticos.
A.5.4 – Responsabilidades da direção
A direção deve demonstrar liderança e comprometimento com a segurança da informação através do estabelecimento de políticas claras, alocação de recursos adequados e apoio ativo às iniciativas de segurança. O comprometimento da alta direção é fundamental para o sucesso do programa de segurança.
A.5.5 – Contato com autoridades
Contatos apropriados com autoridades relevantes devem ser mantidos. Isso inclui autoridades reguladoras, agências de aplicação da lei, bombeiros, provedores de serviços públicos e outras organizações que possam ser necessárias em situações de emergência ou incidentes de segurança.
A.5.6 – Contato com grupos de interesse especial
Contatos apropriados com grupos de interesse especial ou outros fóruns especializados em segurança da informação e associações profissionais devem ser mantidos. Esses contatos facilitam o compartilhamento de informações sobre ameaças, vulnerabilidades e melhores práticas.
A.5.7 – Inteligência de ameaças
Informações relacionadas a ameaças de segurança da informação devem ser coletadas e analisadas para produzir inteligência de ameaças. Esta inteligência deve ser usada para informar a avaliação de riscos e as decisões de tratamento de riscos, mantendo a organização atualizada sobre o panorama de ameaças.
A.5.8 – Gestão de riscos de segurança da informação
Um processo de gestão de riscos de segurança da informação deve ser implementado e mantido em toda a organização. Este processo deve incluir identificação, análise, avaliação e tratamento de riscos, bem como monitoramento e revisão contínuos dos riscos identificados.
A.5.9 – Inventário de ativos
Um inventário de ativos associados com informação e instalações de processamento de informação deve ser desenvolvido, mantido e atualizado regularmente. O inventário deve incluir todos os ativos relevantes e identificar seus proprietários ou responsáveis.
A.5.10 – Uso aceitável de ativos
Regras para o uso aceitável de informação e de ativos associados com informação e instalações de processamento de informação devem ser identificadas, documentadas e implementadas. Os usuários devem estar cientes dessas regras e concordar em cumpri-las.
A.5.11 – Devolução de ativos
Todo o pessoal e outras partes interessadas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, contrato ou acordo. Isso inclui equipamentos, documentos, credenciais de acesso e qualquer informação confidencial.
A.5.12 – Classificação da informação
A informação deve ser classificada de acordo com as necessidades de segurança da organização com base no valor, requisitos legais, sensibilidade e criticidade para a organização. Um esquema de classificação apropriado deve ser desenvolvido e implementado.
A.5.13 – Rotulagem da informação
Um conjunto apropriado de procedimentos para rotulagem da informação deve ser desenvolvido e implementado de acordo com o esquema de classificação de informação adotado pela organização. A rotulagem deve ser clara e consistente.
A.5.14 – Transferência da informação
Regras, procedimentos ou acordos de transferência da informação devem estar em vigor para todos os tipos de instalações de transferência dentro da organização e entre a organização e outras partes. Isso inclui transferências eletrônicas e físicas de informação.
A.5.15 – Controle de acesso
Regras de controle de acesso, incluindo direitos e restrições de acesso, devem ser estabelecidas, documentadas e revisadas com base nos requisitos de negócio e segurança da informação. O acesso deve ser concedido com base no princípio do menor privilégio.
A.5.16 – Gerenciamento de identidade
O ciclo de vida completo das identidades deve ser gerenciado, incluindo provisionamento, manutenção e desprovisionamento de identidades. Cada usuário deve ter uma identidade única e as identidades devem ser verificadas antes da concessão de acesso.
A.5.17 – Informações de autenticação
A alocação e gerenciamento de informações de autenticação devem ser controlados por um processo de gerenciamento formal. As informações de autenticação devem ser protegidas adequadamente e os usuários devem seguir boas práticas para sua proteção.
A.5.18 – Direitos de acesso
Os direitos de acesso de usuários e outros assuntos devem ser provisionados, revisados, modificados e removidos de acordo com a política de controle de acesso da organização. Os direitos de acesso devem ser revisados regularmente e ajustados conforme necessário.
A.5.19 – Segurança da informação em relacionamentos com fornecedores
Processos e procedimentos devem ser definidos e implementados para manter um nível apropriado de segurança da informação e entrega de serviços em linha com acordos com fornecedores. Os requisitos de segurança devem ser estabelecidos antes do início do relacionamento.
A.5.20 – Endereçamento da segurança da informação em contratos com fornecedores
Requisitos de segurança da informação relevantes devem ser estabelecidos e acordados com cada fornecedor que pode acessar, processar, armazenar, comunicar ou fornecer componentes de infraestrutura de TI para informação da organização.
A.5.21 – Gerenciamento da segurança da informação na cadeia de suprimentos de TIC
Processos e procedimentos devem ser definidos e implementados para gerenciar os riscos de segurança da informação associados com o uso de produtos ou serviços da cadeia de suprimentos de TIC. Isso inclui avaliação de fornecedores e monitoramento contínuo.
A.5.22 – Monitoramento, análise crítica e gerenciamento de mudanças de serviços de fornecedores
A organização deve monitorar, analisar criticamente e gerenciar regularmente mudanças realizadas por fornecedores. Isso inclui mudanças nos serviços prestados, nos procedimentos de segurança e nos termos contratuais.
A.5.23 – Segurança da informação para uso de serviços em nuvem
Processos para aquisição, uso, gerenciamento e saída de serviços em nuvem devem ser estabelecidos de acordo com os requisitos de segurança da informação da organização. Isso inclui avaliação de riscos específicos da nuvem e implementação de controles apropriados.
A.5.24 – Planejamento e preparação do gerenciamento de incidentes de segurança da informação
A organização deve planejar e preparar-se para o gerenciamento de incidentes de segurança da informação definindo, estabelecendo e comunicando processos, papéis e responsabilidades. Um plano de resposta a incidentes deve ser desenvolvido e mantido atualizado.
A.5.25 – Avaliação e decisão sobre eventos de segurança da informação
A organização deve avaliar eventos de segurança da informação e decidir se devem ser classificados como incidentes de segurança da informação. Critérios claros devem ser estabelecidos para determinar quando um evento constitui um incidente.
A.5.26 – Resposta a incidentes de segurança da informação
Incidentes de segurança da informação devem ser respondidos de acordo com procedimentos documentados. A resposta deve ser rápida, coordenada e eficaz, visando minimizar o impacto e prevenir recorrências.
A.5.27 – Aprendizado com incidentes de segurança da informação
O conhecimento obtido da análise e resolução de incidentes de segurança da informação deve ser usado para reduzir a probabilidade ou impacto de incidentes futuros. Lições aprendidas devem ser documentadas e compartilhadas apropriadamente.
A.5.28 – Coleta de evidências
A organização deve estabelecer e implementar procedimentos para identificação, coleta, aquisição e preservação de informação que pode servir como evidência. Isso é particularmente importante para investigações de incidentes e possíveis ações legais.
A.5.29 – Segurança da informação durante interrupções
A organização deve planejar como manter a segurança da informação em um nível apropriado durante interrupções. Isso inclui situações de emergência, desastres e outras circunstâncias que possam afetar as operações normais.
A.5.30 – Preparação para continuidade de negócios
A organização deve preparar-se para manter suas operações e acesso à informação no nível requerido durante interrupções. Planos de continuidade de negócios devem ser desenvolvidos, implementados e testados regularmente.
A.5.31 – Requisitos legais, estatutários, regulamentares e contratuais
Requisitos legais, estatutários, regulamentares e contratuais relacionados à segurança da informação e o uso da organização de propriedade intelectual devem ser identificados, documentados e mantidos atualizados para cada sistema de informação e para a organização.
A.5.32 – Direitos de propriedade intelectual
A organização deve implementar procedimentos apropriados para assegurar o cumprimento de requisitos legais, regulamentares e contratuais relacionados aos direitos de propriedade intelectual e uso de produtos de software proprietário.
A.5.33 – Proteção de registros
Registros devem ser protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com requisitos legislativos, regulamentares, contratuais e de negócio. Um esquema de retenção de registros deve ser estabelecido.
A.5.34 – Privacidade e proteção de informações pessoais identificáveis
A organização deve identificar e atender aos requisitos relacionados à preservação da privacidade e proteção de informações pessoais identificáveis de acordo com leis e regulamentações aplicáveis e, onde apropriado, requisitos contratuais.
A.5.35 – Análise crítica independente da segurança da informação
A abordagem da organização para gerenciar a segurança da informação e sua implementação deve ser analisada criticamente de forma independente em intervalos planejados ou quando mudanças significativas ocorrerem.
A.5.36 – Conformidade com políticas, regras e normas para segurança da informação
A conformidade com as políticas e procedimentos de segurança da informação da organização deve ser regularmente analisada criticamente. Não conformidades devem ser identificadas, registradas e tratadas apropriadamente.
A.5.37 – Procedimentos operacionais documentados
Procedimentos operacionais para instalações de processamento de informação devem ser documentados e disponibilizados para todos os usuários que precisam deles. Esses procedimentos devem ser mantidos atualizados e revisados regularmente.
Anexo A.6 - Controles de Pessoas
Os controles de pessoas abordam aspectos relacionados aos recursos humanos, desde o recrutamento até o desligamento, incluindo conscientização, treinamento e disciplina. Estes controles são fundamentais pois as pessoas são frequentemente o elo mais fraco na segurança da informação.
A.6.1 – Triagem
Verificações de antecedentes de todos os candidatos a emprego devem ser realizadas de acordo com leis, regulamentações e ética relevantes, e devem ser proporcionais aos requisitos de negócio, à classificação da informação a ser acessada e aos riscos percebidos.
A.6.2 – Termos e condições de contratação
Os acordos contratuais com funcionários e contratados devem estabelecer suas responsabilidades e as da organização para segurança da informação. Isso inclui cláusulas específicas sobre confidencialidade, uso aceitável de recursos e consequências de violações de segurança.
A.6.3 – Conscientização, educação e treinamento em segurança da informação
Todo o pessoal da organização e, onde relevante, contratados devem receber educação e treinamento em conscientização em segurança da informação apropriados e atualizações regulares em políticas e procedimentos organizacionais relevantes para sua função.
A.6.4 – Processo disciplinar
Um processo disciplinar formal deve ser implementado para funcionários que tenham cometido uma violação de segurança da informação. O processo deve ser justo, consistente e proporcional à gravidade da violação, seguindo os procedimentos legais e contratuais aplicáveis.
A.6.5 – Responsabilidades após mudança ou encerramento da contratação
Responsabilidades e atividades de segurança da informação que permanecem válidas após mudança ou encerramento da contratação devem ser definidas, comunicadas ao funcionário ou contratado e aplicadas. Isso inclui obrigações contínuas de confidencialidade.
A.6.6 – Acordos de confidencialidade ou não divulgação
Acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização para proteção de informação devem ser identificados, documentados, revisados regularmente e assinados por funcionários e partes externas conforme necessário.
A.6.7 – Trabalho remoto
Medidas de segurança devem ser implementadas para proteger informação acessada, processada ou armazenada em locais de trabalho remoto. Isso inclui políticas claras, equipamentos seguros e procedimentos para acesso remoto aos sistemas da organização.
A.6.8 – Relatório de eventos de segurança da informação
A organização deve fornecer um mecanismo para que o pessoal relate eventos de segurança da informação observados ou suspeitos através de canais de gerenciamento apropriados o mais rapidamente possível. O processo deve ser claro, acessível e proteger quem reporta.
Anexo A.7 - Controles Físicos
Os controles físicos protegem as instalações, equipamentos e outros ativos físicos da organização. Estes controles são essenciais para prevenir acesso não autorizado, danos, interferência ou roubo de informações e instalações de processamento de informação.
A.7.1 – Perímetros de segurança física
Perímetros de segurança física devem ser definidos e usados para proteger áreas que contenham informação sensível ou crítica e instalações de processamento de informação. Os perímetros devem ser fisicamente sólidos e adequadamente protegidos.
A.7.2 – Controles de entrada física
Áreas seguras devem ser protegidas por controles de entrada apropriados para assegurar que somente pessoal autorizado tenha acesso. Isso inclui sistemas de controle de acesso, guardas de segurança e procedimentos de verificação de identidade.
A.7.3 – Proteção contra ameaças ambientais
Proteção contra danos por fogo, inundação, terremoto, explosão, distúrbios civis e outras formas de desastres naturais ou causados pelo homem deve ser projetada e aplicada. Isso inclui sistemas de detecção e supressão apropriados.
A.7.4 – Trabalho em áreas seguras
Procedimentos para trabalho em áreas seguras devem ser projetados e aplicados. Isso inclui controles sobre quem pode acessar essas áreas, quando podem acessar e que atividades podem realizar, bem como supervisão adequada.
A.7.5 – Proteção contra ameaças físicas e ambientais
Proteção física contra danos por fogo, inundação, terremoto, explosão, distúrbios civis e outras formas de desastres naturais ou causados pelo homem deve ser projetada e aplicada às instalações de processamento de informação.
A.7.6 – Trabalho em áreas seguras
Procedimentos para trabalho em áreas seguras devem ser projetados e aplicados para proteger áreas seguras e controlar o acesso a elas. Isso inclui escolta de visitantes, controle de materiais que entram e saem da área, e limpeza regular das áreas.
A.7.7 – Mesa limpa e tela limpa
Uma política de mesa limpa para papéis e mídia de armazenamento removível e uma política de tela limpa para instalações de processamento de informação devem ser adotadas. Isso previne acesso não autorizado a informações sensíveis.
A.7.8 – Posicionamento e proteção de equipamentos
Equipamentos devem ser posicionados e protegidos para reduzir os riscos de ameaças e perigos ambientais e oportunidades para acesso não autorizado. Isso inclui considerações sobre localização, ventilação e proteção contra interferência.
A.7.9 – Segurança de ativos fora das dependências
Ativos fora das dependências devem ser protegidos. Isso inclui equipamentos móveis, trabalho em casa e uso de instalações de terceiros. Medidas apropriadas de segurança devem ser aplicadas independentemente da localização.
A.7.10 – Mídia de armazenamento
Mídia de armazenamento deve ser gerenciada de acordo com o esquema de classificação adotado pela organização. Isso inclui manuseio seguro, armazenamento adequado e descarte seguro quando não mais necessária.
A.7.11 – Utilidades de apoio
Instalações de processamento de informação devem ser protegidas contra falhas de energia e outras interrupções causadas por falhas em utilidades de apoio. Isso inclui sistemas de energia ininterrupta, geradores de emergência e sistemas de climatização redundantes.
A.7.12 – Segurança de cabeamento
Cabos de energia e telecomunicações que transportam dados ou apoiam serviços de informação devem ser protegidos contra interceptação, interferência ou danos. Isso inclui roteamento seguro, proteção física e separação de cabos sensíveis.
A.7.13 – Manutenção de equipamentos
Equipamentos devem ser mantidos corretamente para assegurar sua disponibilidade e integridade contínuas. Isso inclui manutenção preventiva regular, uso de peças e serviços autorizados, e manutenção de registros de manutenção.
A.7.14 – Descarte ou reutilização segura de equipamentos
Itens de equipamento contendo mídia de armazenamento devem ser verificados para assegurar que quaisquer dados sensíveis e software licenciado tenham sido removidos ou sobrescritos com segurança antes do descarte ou reutilização.
Anexo A.8 - Controles Tecnológicos
Os controles tecnológicos abordam aspectos técnicos da segurança da informação, incluindo gestão de sistemas, redes, aplicações, criptografia e desenvolvimento seguro. Estes controles são implementados através de tecnologia e processos técnicos.
A.8.1 – Dispositivos de usuário final
Informação armazenada em, processada por ou acessível através de dispositivos de usuário final deve ser protegida. Isso inclui laptops, smartphones, tablets e outros dispositivos móveis, bem como estações de trabalho fixas.
A.8.2 – Direitos de acesso privilegiado
A alocação e uso de direitos de acesso privilegiado devem ser restringidos e controlados. Contas privilegiadas devem ser monitoradas regularmente e seus direitos revisados periodicamente para assegurar que permanecem apropriados.
A.8.3 – Restrição de acesso à informação
Acesso à informação e funções de sistema de aplicação deve ser restringido de acordo com a política de controle de acesso. Isso inclui implementação de controles de acesso baseados em funções e princípio do menor privilégio.
A.8.4 – Acesso ao código fonte
Acesso de leitura e gravação ao código fonte, ferramentas de desenvolvimento e bibliotecas de software deve ser apropriadamente controlado. Isso inclui controle de versão, segregação de ambientes e proteção de propriedade intelectual.
A.8.5 – Autenticação segura
Tecnologias de autenticação segura devem ser implementadas para controlar acesso por usuários autorizados. Isso inclui autenticação multifator, senhas fortes e métodos biométricos quando apropriado.
A.8.6 – Gerenciamento de capacidade
O uso de recursos deve ser monitorado e ajustado, e projeções de requisitos de capacidade futura devem ser feitas para assegurar o desempenho requerido do sistema. Isso inclui monitoramento de CPU, memória, armazenamento e largura de banda.
A.8.7 – Proteção contra malware
Proteção contra malware deve ser implementada e apoiada por conscientização apropriada do usuário. Isso inclui software antivírus atualizado, filtros de email, controles de navegação web e educação dos usuários.
A.8.8 – Gerenciamento de vulnerabilidades técnicas
Informação sobre vulnerabilidades técnicas de sistemas de informação sendo usados deve ser obtida, a exposição da organização a tais vulnerabilidades avaliada e medidas apropriadas tomadas para endereçar o risco associado.
A.8.9 – Gerenciamento de configuração
Configurações de hardware, software, serviços e redes devem ser estabelecidas, documentadas, implementadas, monitoradas e revisadas. Isso inclui configurações de segurança padrão e controle de mudanças de configuração.
A.8.10 – Exclusão de informações
Informação armazenada em sistemas de informação, dispositivos ou em qualquer outra mídia de armazenamento deve ser excluída quando não mais requerida. Isso inclui exclusão segura e verificação de que a informação não pode ser recuperada.
A.8.11 – Mascaramento de dados
Mascaramento de dados deve ser usado de acordo com a política de controle de acesso da organização e requisitos de negócio, levando em consideração a legislação aplicável. Isso é especialmente importante para dados de teste e desenvolvimento.
A.8.12 – Prevenção de vazamento de dados
Medidas de prevenção de vazamento de dados devem ser aplicadas a sistemas, redes e qualquer outro dispositivo que processe, armazene ou transmita informação sensível. Isso inclui monitoramento de transferências de dados e controles de saída.
A.8.13 – Backup de informações
Cópias de backup de informação, software e imagens de sistema devem ser feitas e testadas regularmente de acordo com uma política de backup acordada. Isso inclui armazenamento seguro de backups e testes regulares de restauração.
A.8.14 – Redundância de instalações de processamento de informação
Instalações de processamento de informação devem ser implementadas com redundância suficiente para atender aos requisitos de disponibilidade. Isso inclui sistemas redundantes, sites alternativos e procedimentos de failover.
A.8.15 – Registro de eventos
Logs de eventos que registram atividades do usuário, exceções, falhas e eventos de segurança da informação devem ser produzidos, armazenados e regularmente revisados. Os logs devem incluir informações suficientes para investigações.
A.8.16 – Monitoramento de atividades
Redes, sistemas e aplicações devem ser monitorados para comportamento anômalo e ações apropriadas tomadas para avaliar potenciais incidentes de segurança da informação. Isso inclui monitoramento em tempo real e análise de padrões.
A.8.17 – Sincronização de relógios
Os relógios de todos os sistemas de processamento de informação relevantes dentro da organização e domínio de segurança devem ser sincronizados para uma única fonte de referência de tempo. Isso é crucial para correlação de eventos e investigações.
A.8.18 – Uso de utilitários de sistema privilegiados
O uso de utilitários que podem ser capazes de sobrepor controles de sistema e aplicação deve ser restringido e rigorosamente controlado. Isso inclui ferramentas de administração de sistema e utilitários de baixo nível.
A.8.19 – Instalação de software em sistemas operacionais
Procedimentos devem ser implementados para controlar a instalação de software em sistemas operacionais. Isso inclui listas de software aprovado, procedimentos de instalação e verificação de integridade do software.
A.8.20 – Segurança de redes
Redes devem ser gerenciadas e controladas para proteger informação em sistemas e aplicações. Isso inclui segmentação de rede, firewalls, sistemas de detecção de intrusão e monitoramento de tráfego de rede.
A.8.21 – Segurança de serviços de rede
Mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede devem ser identificados e incluídos em acordos de serviços de rede. Isso inclui autenticação, autorização e criptografia.
A.8.22 – Segregação de redes
Grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes. Isso inclui VLANs, sub-redes e zonas de segurança para controlar o fluxo de informações e reduzir riscos.
A.8.23 – Filtragem web
Acesso a websites externos deve ser gerenciado para reduzir exposição a conteúdo malicioso. Isso inclui filtros de conteúdo, listas de bloqueio/permissão e monitoramento de atividade de navegação.
A.8.24 – Uso de criptografia
Regras para o uso eficaz e apropriado de criptografia devem ser desenvolvidas e implementadas para proteger informação. Isso inclui políticas de criptografia, gerenciamento de chaves e seleção de algoritmos apropriados.
A.8.25 – Ciclo de vida de desenvolvimento seguro
Regras para o desenvolvimento seguro de software e sistemas devem ser estabelecidas e aplicadas. Isso inclui requisitos de segurança, revisões de código, testes de segurança e procedimentos de implantação segura.
A.8.26 – Requisitos de segurança de aplicações
Requisitos de segurança da informação devem ser identificados, especificados e aprovados ao desenvolver ou adquirir aplicações. Isso inclui autenticação, autorização, validação de entrada e tratamento de erros.
A.8.27 – Arquitetura segura de sistema e princípios de engenharia
Princípios para engenharia de sistemas seguros devem ser estabelecidos, documentados, mantidos e aplicados a qualquer atividade de desenvolvimento de sistemas de informação. Isso inclui defesa em profundidade e fail-secure.
A.8.28 – Codificação segura
Princípios de codificação segura devem ser aplicados ao desenvolvimento de software. Isso inclui validação de entrada, tratamento seguro de erros, prevenção de vulnerabilidades comuns e revisões de código de segurança.
A.8.29 – Testes de segurança no desenvolvimento e aceitação
Processos de teste de segurança devem ser definidos e implementados no ciclo de vida de desenvolvimento. Isso inclui testes de penetração, análise de código estático, testes de vulnerabilidade e validação de controles de segurança.
A.8.30 – Desenvolvimento terceirizado
A organização deve dirigir, monitorar e revisar as atividades de desenvolvimento de sistemas terceirizados. Isso inclui requisitos contratuais de segurança, revisões regulares e testes de aceitação de segurança.
A.8.31 – Separação de ambientes de desenvolvimento, teste e produção
Ambientes de desenvolvimento, teste e produção devem ser separados para reduzir os riscos de acesso ou mudanças não autorizadas ao ambiente operacional. Isso inclui controles de acesso separados e procedimentos de promoção.
A.8.32 – Gerenciamento de mudanças
Mudanças em instalações e sistemas de processamento de informação devem ser controladas. Isso inclui procedimentos formais de controle de mudanças, aprovações necessárias e testes antes da implementação.
A.8.33 – Informações de teste
Dados de teste devem ser selecionados cuidadosamente, protegidos e controlados. Dados de produção não devem ser usados para teste a menos que adequadamente protegidos, e dados sintéticos devem ser preferidos quando possível.
A.8.34 – Proteção de sistemas de informação durante testes de auditoria
Testes de auditoria e outras atividades de garantia envolvendo avaliação de sistemas operacionais devem ser planejados e acordados entre o testador e o gerenciamento apropriado para minimizar interrupções nos processos de negócio.
Implementação da ISO 27001
A implementação da ISO 27001 segue o ciclo PDCA (Plan-Do-Check-Act):
Integração com a LGPD
A ISO 27001 é uma ferramenta poderosa para auxiliar na conformidade com a LGPD.
Benefícios da ISO 27001
Adotar a ISO 27001 traz diversos benefícios para a organização.