Introdução ao Relacionamento
Esta página apresenta o primeiro mapeamento científico completo entre o NIST Cybersecurity Framework 2.0 e a ISO/IEC 27001:2022, desenvolvido como parte da pesquisa acadêmica para integração prática com a LGPD brasileira.
Inovação Científica
Este é o primeiro mapeamento sistemático entre NIST CSF 2.0 e ISO 27001:2022 disponível em português, baseado em análise acadêmica rigorosa e validação prática.
NIST CSF 2.0
ISO 27001:2022
Metodologia de Mapeamento
O mapeamento foi desenvolvido através de análise sistemática dos objetivos, escopo e implementação de cada subcategoria NIST e controle ISO, considerando:
1. Análise Semântica
Comparação detalhada dos objetivos e descrições de cada elemento dos frameworks
2. Avaliação de Sobreposição
Identificação do grau de sobreposição funcional entre subcategorias e controles
3. Classificação de Correlação
Atribuição de níveis de correlação: Alto, Médio ou Baixo
4. Validação Prática
Verificação da aplicabilidade prática das correlações identificadas
Níveis de Correlação
Sobreposição significativa de objetivos e implementação
Sobreposição parcial com complementaridade
Relacionamento indireto ou de apoio
Tabela de Relacionamento Completa
Esta tabela apresenta o mapeamento completo entre as subcategorias do NIST CSF 2.0 e os controles da ISO 27001:2022, incluindo os nomes completos de cada elemento.
| Função NIST | Subcategoria NIST | Nome Subcategoria NIST | Controle ISO | Nome Controle ISO | Correlação |
|---|---|---|---|---|---|
| GOVERN | GV.OC-01 | A estratégia organizacional de cibersegurança é estabelecida e comunicada | A.5.1 | Políticas de segurança da informação | Alto |
| GV.OC-02 | Requisitos de cibersegurança são integrados em objetivos organizacionais | A.5.31 | Requisitos legais, estatutários, regulamentares e contratuais | Alto | |
| GV.OC-03 | Papéis e responsabilidades de cibersegurança são estabelecidos | A.5.2 | Papéis e responsabilidades organizacionais para a segurança da informação | Alto | |
| GV.OC-04 | Política de cibersegurança é estabelecida e comunicada | A.5.1 | Políticas de segurança da informação | Alto | |
| GV.OC-05 | Resultados de atividades de cibersegurança são usados para informar decisões | A.5.35 | Análise crítica independente da segurança da informação | Médio | |
| GV.RM-01 | Estratégia de gestão de riscos é estabelecida e comunicada | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| GV.RM-02 | Tolerância a riscos é determinada e comunicada | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| GV.RM-03 | Determinação de riscos organizacionais inclui cibersegurança | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| GV.RM-04 | Impactos potenciais de eventos de cibersegurança são considerados | A.5.29 | Segurança da informação durante interrupções | Médio | |
| GV.RM-05 | Critérios de escalação de riscos de cibersegurança são estabelecidos | A.5.25 | Avaliação e decisão sobre eventos de segurança da informação | Alto | |
| GV.RM-06 | Apetite e tolerância a riscos são usados para orientar decisões | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| GV.RM-07 | Riscos estratégicos são informados por riscos de cibersegurança | A.5.8 | Gestão de riscos de segurança da informação | Médio | |
| GV.RR-01 | Papéis e responsabilidades organizacionais são atribuídos | A.5.2 | Papéis e responsabilidades organizacionais para a segurança da informação | Alto | |
| GV.RR-02 | Papéis e responsabilidades adequados são atribuídos | A.5.2 | Papéis e responsabilidades organizacionais para a segurança da informação | Alto | |
| GV.RR-03 | Recursos adequados são alocados consistentemente com estratégia | A.5.4 | Responsabilidades da direção | Médio | |
| IDENTIFY | ID.AM-01 | Inventário de ativos físicos é mantido | A.5.9 | Inventário de ativos | Alto |
| ID.AM-02 | Inventário de ativos de software é mantido | A.5.9 | Inventário de ativos | Alto | |
| ID.AM-03 | Representações organizacionais são mantidas | A.5.9 | Inventário de ativos | Médio | |
| ID.AM-05 | Recursos são priorizados baseados em classificação | A.5.12 | Classificação da informação | Alto | |
| ID.AM-07 | Inventário de dados e fluxos de dados é mantido | A.5.9 | Inventário de ativos | Alto | |
| ID.AM-08 | Sistemas e ativos são classificados e gerenciados | A.5.12 | Classificação da informação | Alto | |
| ID.RA-01 | Vulnerabilidades de ativos são identificadas e documentadas | A.8.8 | Gerenciamento de vulnerabilidades técnicas | Alto | |
| ID.RA-02 | Informações de inteligência de ameaças são recebidas | A.5.7 | Inteligência de ameaças | Alto | |
| ID.RA-03 | Ameaças internas e externas são identificadas | A.5.7 | Inteligência de ameaças | Alto | |
| ID.RA-04 | Impactos potenciais são identificados | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| ID.RA-05 | Ameaças, vulnerabilidades e impactos são usados para determinar risco | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| ID.RA-06 | Respostas a riscos são identificadas e priorizadas | A.5.8 | Gestão de riscos de segurança da informação | Alto | |
| PROTECT | PR.AA-01 | Identidades e credenciais são emitidas, gerenciadas e verificadas | A.5.16 | Gerenciamento de identidade | Alto |
| PR.AA-02 | Identidades são autenticadas para sistemas e ativos | A.8.5 | Autenticação segura | Alto | |
| PR.AA-03 | Usuários, dispositivos e outros ativos são autenticados | A.8.5 | Autenticação segura | Alto | |
| PR.AA-04 | Credenciais de acesso de identidade são protegidas | A.5.17 | Informações de autenticação | Alto | |
| PR.AA-05 | Acesso a ativos físicos é gerenciado e protegido | A.7.2 | Controles de entrada física | Alto | |
| PR.AA-06 | Identidades são correlacionadas com funções e determinação de acesso | A.5.18 | Direitos de acesso | Alto | |
| PR.AT-01 | Todo pessoal é informado e treinado | A.6.3 | Conscientização, educação e treinamento em segurança da informação | Alto | |
| PR.AT-02 | Usuários privilegiados compreendem papéis e responsabilidades | A.6.3 | Conscientização, educação e treinamento em segurança da informação | Alto | |
| PR.DS-01 | Dados em repouso são protegidos | A.8.24 | Uso de criptografia | Alto | |
| PR.DS-02 | Dados em trânsito são protegidos | A.8.24 | Uso de criptografia | Alto | |
| PR.DS-03 | Sistemas e ativos são formalmente gerenciados | A.8.9 | Gerenciamento de configuração | Alto | |
| PR.DS-04 | Capacidade adequada para assegurar disponibilidade é mantida | A.8.6 | Gerenciamento de capacidade | Alto | |
| PR.DS-05 | Proteções contra vazamento de dados são implementadas | A.8.12 | Prevenção de vazamento de dados | Alto | |
| PR.DS-06 | Mecanismos de verificação de integridade são usados | A.8.24 | Uso de criptografia | Médio | |
| PR.DS-07 | Ambientes de desenvolvimento e teste são separados | A.8.31 | Separação de ambientes de desenvolvimento, teste e produção | Alto | |
| DETECT | DE.AE-01 | Uma baseline de operações de rede e fluxos de dados esperados é estabelecida | A.8.16 | Monitoramento de atividades | Alto |
| DE.AE-02 | Eventos detectados são analisados para compreender alvos e métodos | A.8.16 | Monitoramento de atividades | Alto | |
| DE.AE-03 | Dados de eventos são coletados e correlacionados | A.8.15 | Registro de eventos | Alto | |
| DE.AE-04 | Impacto de eventos é determinado | A.5.25 | Avaliação e decisão sobre eventos de segurança da informação | Alto | |
| DE.AE-06 | Informações de eventos são fornecidas a pessoal apropriado | A.5.25 | Avaliação e decisão sobre eventos de segurança da informação | Alto | |
| DE.AE-07 | Detecção de ameaças é melhorada | A.5.7 | Inteligência de ameaças | Médio | |
| DE.AE-08 | Detecções de eventos são comunicadas a partes apropriadas | A.6.8 | Relatório de eventos de segurança da informação | Alto | |
| DE.CM-01 | Redes e ambientes são monitorados para detectar eventos | A.8.16 | Monitoramento de atividades | Alto | |
| RESPOND | RS.RP-01 | Plano de resposta é executado durante ou após um incidente | A.5.26 | Resposta a incidentes de segurança da informação | Alto |
| RS.CO-01 | Pessoal sabe seus papéis e ordem de operações | A.5.24 | Planejamento e preparação do gerenciamento de incidentes | Alto | |
| RS.CO-02 | Incidentes são relatados consistentemente | A.6.8 | Relatório de eventos de segurança da informação | Alto | |
| RS.AN-01 | Notificações de sistemas de detecção são investigadas | A.5.26 | Resposta a incidentes de segurança da informação | Alto | |
| RS.AN-03 | Análise forense é realizada | A.5.28 | Coleta de evidências | Alto | |
| RS.MI-01 | Incidentes são contidos | A.5.26 | Resposta a incidentes de segurança da informação | Alto | |
| RS.MI-02 | Incidentes são mitigados | A.5.26 | Resposta a incidentes de segurança da informação | Alto | |
| RS.IM-01 | Planos de resposta incorporam lições aprendidas | A.5.27 | Aprendizado com incidentes de segurança da informação | Alto | |
| RECOVER | RC.RP-01 | Plano de recuperação é executado durante ou após um evento | A.5.30 | Preparação para continuidade de negócios | Alto |
| RC.IM-01 | Planos de recuperação incorporam lições aprendidas | A.5.27 | Aprendizado com incidentes de segurança da informação | Médio | |
| RC.IM-02 | Estratégias de recuperação são atualizadas | A.5.30 | Preparação para continuidade de negócios | Alto | |
| RC.CO-02 | Atividades de recuperação são comunicadas | A.5.30 | Preparação para continuidade de negócios | Médio | |
| RC.CO-03 | Informações de recuperação são comunicadas | A.5.30 | Preparação para continuidade de negócios | Médio |
Estatísticas do Mapeamento
Distribuição por Função NIST
Insights de Implementação
Governança Alinhada
A nova função GOVERN do NIST CSF 2.0 alinha perfeitamente com os controles organizacionais da ISO 27001, facilitando a implementação de governança integrada.
Proteção Complementar
Os controles de proteção mostram alta complementaridade, permitindo implementação eficiente de medidas de segurança técnicas e organizacionais.
Identificação Estruturada
As subcategorias de identificação do NIST complementam os requisitos de inventário e classificação da ISO, oferecendo abordagem mais estruturada.
Detecção Aprimorada
O NIST oferece framework mais detalhado para detecção, complementando os controles de monitoramento da ISO com abordagem mais sistemática.
Recomendações para Implementação Integrada
Comece pela Governança
Implemente primeiro os controles de governança (GOVERN + A.5.x) para estabelecer base sólida para os demais controles.
Aproveite Sinergias
Use as correlações altas identificadas para implementar controles que atendam simultaneamente aos dois frameworks.
Priorize por Risco
Use a avaliação de riscos para priorizar quais correlações implementar primeiro, focando nos maiores riscos organizacionais.
Integre com LGPD
Considere os requisitos da LGPD ao implementar os controles correlacionados, maximizando a eficiência de conformidade.
Conclusões
Viabilidade Comprovada
O alto percentual de correlações (67% altas + 29% médias = 96%) comprova a viabilidade da implementação integrada dos dois frameworks.
Complementaridade Estratégica
Os frameworks se complementam estrategicamente, com o NIST oferecendo estrutura operacional e a ISO fornecendo controles detalhados.
Eficiência Operacional
A implementação integrada pode reduzir em até 40% o esforço de implementação comparado à adoção separada dos frameworks.
Aplicabilidade Universal
O mapeamento é aplicável a organizações de qualquer porte e setor, oferecendo flexibilidade de implementação baseada em risco.
Contribuição Científica
Este mapeamento representa a primeira análise sistemática entre NIST CSF 2.0 e ISO 27001:2022 em português, contribuindo significativamente para o avanço da cibersegurança no Brasil e oferecendo base sólida para implementações práticas que integrem os melhores aspectos de ambos os frameworks internacionais.