ISO 27001

Prévia do material em texto

Clique para editar o estilo do subtítulo mestre
1
NBR ISO/IEC 27001:2006
Sistema de Gestão 
de Segurança da 
Informação
2
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Versão 20100719-V001
© Copyright 2010, by Stefanini Training Treinamento em Informática Ltda.
Todos os direitos reservados e protegidos pela Lei Federal n° 9.609 de 19.02.1998.
Nenhuma parte deste material didático e de seu conteúdo poderá ser adaptada, alterada, 
armazenada, cedida, distribuída, divulgada, editada, publicada, reproduzida, suprimida, 
traduzida, transmitida ou vendida, direta ou indiretamente, sem a autorização prévia e expressa 
da STEFANINI TRAINING®, por quaisquer meios de disposição de domínio – eletrônicos, 
fonográficos, gravação, mecânicos ou quaisquer outros existentes ou que venham a ser 
inventados – sob pena de sanções administrativas, cíveis e criminais aplicáveis nos termos da 
legislação vigente.
As informações aqui contidas estão sujeitas a alterações sem aviso prévio.
DIREITOS DE PROPRIEDADE
 
 
3
BOAS VINDAS
Desejamos a todos uma ótima estada e um excelente curso.
Que os conhecimentos compartilhados sirvam de base para 
alavancar e garantir o seu sucesso pessoal e profissional.
Sejam bem-vindos !
Equipe Stefanini
4
APRESENTAÇÕES
ROBERVAL FRANÇA
Graduado em Direito e Administração. Pós-Graduado em Administração de Programas e Projetos 
(especialização, latu sensu). Certificações Internacionais: COBIT Foundation & IT Governance pela 
ISACA/USA; ITIL Master, ISO20K Consultant e TTT in ITSM@ISO20K pelo EXIN/NDL; TTT in ITSM pela 
TAOS/AUS. Experiência sólida como Gerente de Portfólio de Programas e Projetos (PPPM) de Pesquisa, 
Desenvolvimento e Inovação (PD&I) e de Gestão de Tecnologia da Informação (ITSM) com base nas 
melhores práticas mundialmente reconhecidas, com destaque para: Arquitetura Corporativa (baseada 
nos modelos TOGAF e FEA), Gestão Estratégica (baseada no BSC), Inteligência Corporativa (baseada nos 
modelos Bill Inmon e Ralph Kimball), Gerenciamento de Serviços de TI (baseada nos modelos ITIL e 
ISO/IEC 20000), Sistema de Gerenciamento da Segurança da Informação (baseado na ISO/IEC 27001), 
Gestão de Portfólio de Programas e Projetos (baseada nos padrões do PMI), Gestão de Processos de 
Negócio (baseada no BPM), Governança de Tecnologia da Informação (baseada nos modelos COBIT e 
ISO/IEC 38500), Modelo de Capacidade e Maturidade de Processos Integrados (baseado no CMMI). 
Professor de Pós-Graduação (MBA, Mestrado e Doutorado) de renomadas Instituições de Ensino, nas 
disciplinas: “Escritório de Gerenciamento Processos e de Projetos”; “Gerenciamento de Custos e 
Gerenciamento de Valor Agregado”; “Gerenciamento de Aquisições”, “Gerenciamento do Portfólio de 
Programas e Projetos”, “Planejamento Estratégico e Processo Decisório”; “Sarbanes Oxley for IT”. 
 
 
5
APRESENTAÇÕES
ROBERVAL FRANÇA
Palestras Proferidas: “Sistema de Gestão de Segurança da Informação (SGSI)” na IOB Thompson 
(Brasil/São Paulo, 2006); “Gerenciamento de Projetos no contexto do Governo” no PMI/Brasil-SPO 
(Brasil/São Paulo, 2007); “ITIL v3: O desafio de estar entre os primeiros no mundo” no itSMF/Brasil 
(Brasil/São Paulo, 2008) e no IV Fórum Executivo de TI (Colônia/Uruguai, 2009); “ITSM no Governo: uma 
nova estratégia” no EXIN/Brasil (Brasil/São Paulo, 2009); “Gestão de TI e Pensamento Estratégico 
Contemporâneo” na PRODAM/SP (Brasil/São Paulo, 2009); “Governança de TI: Desenvolvimento 
retenção de talentos” no GRC Internacional (Brasil/São Paulo, 2010). Membro de Comunidades de 
Melhores Práticas: ABNT/CE-21 (Comissão de Estudos de Operações de Tecnologia da Informação) e 
ABNT/CEE-63 (Comissão Especial de Estudos de Gestão de Riscos); itSMF Brasil (Information Technology 
Service Management Forum Brasil); PMI/Brasil-SPO (Project Management Institute/Brasil - São Paulo 
Chapter); grupo de tradução do guia “COBIT 4.1” (Control Objectives for Information and Related 
Technology version 4.0) para a ISACA International (Information Systems Audit and Control Association); 
grupo de tradução das normas “NBR ISO/IEC 20000:2005-1” e “NBR ISO/IEC 20000:2005-2” para a ABNT 
(Associação Brasileira de Normas Técnicas/CE-21:007.25); grupo de revisão da versão oficial para a 
língua portuguesa da “ITIL V3 (Lifecycle Publication Suite of Information Technology Infrastructure 
Library version 3.0) para o itSMF International (Information Technology Service Management Forum).
6
APRESENTAÇÕES
Nome, idade, formação acadêmica e profissional
Organização, cargo e setor em que trabalha
Qual a sua experiência em segurança da informação
O que espera aprender no curso 
 
 
7
OBJETIVOS DO CURSO
Este curso é dirigido aos profissionais que querem conhecer os requisitos da norma NBR 
ISO/IEC 27001:2006 e adquirir os conhecimentos necessários para implantar e manter um 
sistema de gestão de segurança da informação adequado e eficaz, conforme os requisitos 
desta norma.
Ao final do curso o aluno será capaz de:
ENTENDER a organização da ISO
CONHECER a evolução das normas de Gestão de Segurança da Informação
IDENTIFICAR as normas da série ISO/IEC 27000 
COMPREENDER os princípios, requisitos e controles da norma NBR ISO/IEC 27001:2006
ENTENDER o processo de certificação do Sistema de Segurança da Informação
8
CONTEÚDO DO CURSO
Visão Geral da Organização ISO
Visão Geral da norma NBR ISO/IEC 27001:2006
Conceitos: informação, segurança da informação, ativos, confidencialidade, integridade, 
disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade, riscos de 
segurança, processos de avaliação e tratamento do risco, sistema de gestão, sistema de 
gestão de segurança da informação
Interpretação da NBR ISO/IEC 27001:2006 
cláusulas: 0, 1, 2, 3
cláusulas: 4, 4.1, 4.2, 4.2.1, 4.2.2
cláusulas: 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3
cláusulas: 5, 6, 7 e 8
Interpretação do Anexo A - objetivos de controle e controles detalhados
controles: A5 ao A9
controles: A10 ao A12
controles: A13 ao A15
Processo de certificação do sistema de gestão de segurança da informação
 
 
9
ORIENTAÇÕES GERAIS
Por favor, desliguem os celulares
Sejam pontuais, respeitem os horários
Usem o notebook somente nas oficinas de trabalho
Em caso de problemas procurem a coordenação
X
10
AULA 01
Visão Geral da
ISO/IEC 27001
 
 
11
Organização não-governamental fundada em 1946, com sede em Genebra, na 
Suíça, tem a missão de desenvolver e editar normas internacionais.
Congrega uma rede de institutos de normalização de 163 países que fazem 
uma ponte entre os setores público e privado na busca do consenso em 
soluções que atendam às necessidades dos negócios e da sociedade.
Muitos dos institutos membros fazem parte da estrutura governamental de 
seus países ou exercem mandados pelos respectivos governos. Outros têm suas 
raízes no setor privado e foram criados por associações da indústria.
O Brasil é representado pela ABNT - Associação Brasileira de Normas Técnicas.
INTERNATIONAL ORGANIZATION
FOR STANDARDIZATION
12
NÍVEIS DE NORMALIZAÇÃO
Internacion
al
ISO, IEC, ITU
Regional
AMN, COPANT, 
CEN,
CENELEC 
Nacional
INTN, ABNT, 
AFNOR,
DIN
Empresa
COSIPA, IBM, 
MIROSOFT 
PETROBRAS
M
en
os
 E
xi
ge
nt
e 
(g
en
ér
ic
a)
M
ai
s 
Ex
ig
en
te
 
(e
sp
ec
ífi
ca
)
 
 
13
HISTÓRIA DA ISO/IEC 27001 
Código de Práticas - 1993
Norma Britânica - 1995
BS 7799 Parte 2 - 1998
BS 7799 Parte 1 e Parte 2 - 1999 (revisadas, par consistente)
BS ISO/IEC 17799 (BS 7799-1:2000)
BS ISO/IEC 17799:2005
NBR ISO/IEC 17799:2005 - set/2005
ISO/IEC 27001:2005
NBR ISO/IEC 27001:2006 - abr/2006
Não existem praticamente diferenças entre a ISO/IEC 27001 e a BS 7799-2
14
ISO/IEC 27000:2009
Information technology - Security techniques - Information security management systems - Overview and 
vocabulary 
1ª Edição | Publicada em 30.04.2009
ISO/IEC 27001:2005 
Information technology - Security techniques - Information security management systems - Requirements1ª Edição | Publicada em 14.10.2005
ISO/IEC 27002:2005 
Information technology - Security techniques - Code of practice for information security management 
1ª Edição | Publicada em 15.06.2005
ISO/IEC 27003:2010 
Information technology - Security techniques - Information security management system implementation guidance
1ª Edição | Publicada em 03.02.2010
ISO/IEC 27004:2009 
Information technology - Security techniques - Information security management - Measurement 
1ª Edição | Publicada em 07.12.2009
NORMAS DA SÉRIE ISO/IEC 27000 
 
 
15
NORMAS DA SÉRIE ISO/IEC 27000 
ISO/IEC 27005:2008 
Information technology - Security techniques - Information security risk management 
1ª Edição | Publicada em 04.06.2008
ISO/IEC 27006:2007 
Information technology - Security techniques - Requirements for bodies providing audit and certification of 
information security management systems 
1ª Edição | Publicada em 13.02.2007
ISO/IEC 27011:2008 
Information technology - Security techniques - Information security management guidelines for telecommunications 
organizations based on ISO/IEC 27002 
1ª Edição | Publicada em 15.12.2008
ISO 27799:2008 
Health informatics - Information security management in health using ISO/IEC 27002 
1ª Edição | Publicada em 12.06.2008
16
NORMAS DA SÉRIE ISO/IEC 27000 
Normas em Desenvolvimento
ISO/IEC NP 27001 
Information technology - Security techniques - Information security management systems - Requirements 
2ª Edição | Data do estágio corrente: 19.05.2009
 
ISO/IEC WD 27013 
Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 20000-1 and 
ISO/IEC 27001 
1ª Edição | Data do estágio corrente: 28.05.2010
 
 
17
A ISO 27001
É ...
� Um modelo estruturado e reconhecido internacionalmente, dedicada ao 
gerenciamento da segurança da informação
� Um processo para estabelecer, implementar, operar, monitorar, analisar, manter 
e melhorar um Sistema de Gestão de Segurança da Informação (SGSI)
� Um grupo completo de controles contendo as melhores práticas para gerenciar 
os riscos de segurança da informação no contexto dos riscos da organização
� Desenvolvida por empresas e para empresas
Não é ...
� Uma norma técnica
� Dirigida para produtos ou tecnologia
� Uma metodologia de avaliação de equipamento
18
RAZÕES PARA SE ADOTAR A 
ISO 27001
� Governança Corporativa
� Melhoria da eficácia da Segurança da Informação
� Diferencial de mercado
� Atender os requisitos das partes interessadas e dos clientes
� Única norma com aceitação global
� Redução potencial no valor do seguro
� Focada nas responsabilidades dos funcionários
� A norma cobre TI bem como a organização, pessoal e instalações
� Conformidade legal
 
 
19
DIFICULDADES PARA 
IMPLEMENTAÇÃO DE UM SGSI
� Dificuldade na definição do escopo
� Dificuldade para desenvolver uma abordagem sistemática simples e clara 
para a Gestão de Risco
� Mesmo existindo Planos de Continuidade de Negócio, raramente eles são 
testados
� Designação da área de TI como responsável por desenvolver o projeto
� Falta de visão e “mente aberta” ao estabelecer os controles identificados 
na norma
� Falta de ação para identificar e usar controles fora da norma
� Limitação de orçamento
20
BENEFÍCIOS DA 
CERTIFICAÇÃO ISO 27001
� Reduz o risco de responsabilidade pela não implementação ou 
determinação de políticas e procedimentos
� Oportunidade de identificar e corrigir pontos fracos
� A alta direção assume a responsabilidade pela segurança da informação
� Permite revisão independente do Sistema de Gestão da Segurança da 
Informação
� Oferece confiança aos parceiros comerciais, partes interessadas e clientes
� Melhor nível de conscientização sobre segurança da informação
� Combina recursos com outros Sistemas de Gestão
� Mecanismo para se medir o sucesso do sistema
 
 
21
CERTIFICADOS ISO 27001 POR PAÍS
http://www.iso27001certificates.com/Register%20Search.htm
Japan 3572 Philippines 15 Peru 3 
India 490 Pakistan 14 Portugal 3 
UK 448 Iceland 13 Argentina 2 
Taiwan 373 Saudi Arabia 13 Belgium 2 
China 373 Netherlands 12 Bosnia Herzegovina 2 
Germany 138 Singapore 12 Cyprus 2 
Korea 106 Indonesia 11 Isle of Man 2 
USA 96 Bulgaria 10 Kazakhstan 2 
Czech Republic 85 Norway 10 Morocco 2 
Hungary 71 Russian Federation 10 Ukraine 2 
Italy 61 Kuwait 9 Armenia 1 
Poland 56 Sweden 9 Bangladesh 1 
Spain 43 Colombia 8 Belarus 1 
Malaysia 39 Iran 8 Denmark 1 
22
CERTIFICADOS ISO 27001 POR PAÍS
http://www.iso27001certificates.com/Register%20Search.htm
Ireland 37 Bahrain 7 Dominican Republic 1 
Austria 35 Switzerland 7 Kyrgyzstan 1 
Thailand 34 Croatia 6 Lebanon 1 
Hong Kong 32 Canada 5 Luxembourg 1 
Romania 30 South Africa 5 Macedonia 1 
Australia 29 Sri Lanka 5 Mauritius 1 
Greece 28 Vietnam 5 Moldova 1 
Mexico 24 Lithuania 4 New Zealand 1 
Brazil 23 Oman 4 Sudan 1 
Turkey 21 Qatar 4 Uruguay 1 
UAE 20 Chile 3 Yemen 1 
Slovakia 19 Egypt 3 
France 18 Gibraltar 3 
Slovenia 16 Macau 3 Total 6573 
 
 
23
CERTIFICADOS ISO 27001 POR PAÍS
http://www.iso27001certificates.com/Register%20Search.htm
Ireland 37 Bahrain 7 Dominican Republic 1 
Austria 35 Switzerland 7 Kyrgyzstan 1 
Thailand 34 Croatia 6 Lebanon 1 
Hong Kong 32 Canada 5 Luxembourg 1 
Romania 30 South Africa 5 Macedonia 1 
Australia 29 Sri Lanka 5 Mauritius 1 
Greece 28 Vietnam 5 Moldova 1 
Mexico 24 Lithuania 4 New Zealand 1 
Brazil 23 Oman 4 Sudan 1 
Turkey 21 Qatar 4 Uruguay 1 
UAE 20 Chile 3 Yemen 1 
Slovakia 19 Egypt 3 
France 18 Gibraltar 3 
Slovenia 16 Macau 3 Total 6573 
24
AtivosAtivosAtivosAtivos
Qualquer coisa que tenha valor para a organização
[ISO/IEC 13335-1:2004]
Algo a que a organização atribui valor e considera 
relevante para o escopo do Sistema de Gestão de 
Segurança da Informação. Por exemplo:
� Informação eletrônica
� Documentos em papel
� Software, hardware
� Instalações
� Pessoas
� Imagem e reputação da companhia
� Serviços
[ISO/IEC 27001:2005]
 
 
25
AtivosAtivosAtivosAtivos
Os ‘ativos’ não incluirão necessariamente tudo 
que normalmente uma organização considera que 
tem um valor.
A organização deve determinar qual é o valor de 
um ativo no caso de um incidente:
� Afeta a entrega de um produto ou serviço pela 
sua ausência ou deterioração; 
� Causa dano à organização através de perda de 
disponibilidade, integridade ou 
confidencialidade
[ISO/IEC 27001:2005]
26
InformaçãoInformaçãoInformaçãoInformação
“Informação é um ativo que,
como qualquer outro ativo
importante para os negócios,
tem valor para a organização e
consequentemente necessita
ser adequadamente protegida”
 
 
27
Ativos Intangíveis da Organização
Registro de fatos objetivos relacionados a eventos
Dados dotados de relevância e propósito
Informação interpretada e útil para a tomada de decisão
Conhecimento que gera capacidades pessoais e 
coletivas
SVEIBY, Karl E. A nova riqueza das organizações: gerenciando patrimônios de conhecimento. Rio de Janeiro: Campus, 1998.
28
Tipos de Informação Tipos de Informação Tipos de Informação Tipos de Informação 
� Impressa ou escrita em papel
� Armazenada eletronicamente
� Transmitida pelo correio ou por meios eletrônicos
� Mostrada em vídeos
� Verbal - falada em conversações
“…Não importa a forma que a informação toma ou os meios pelos quais ela é 
compartilhada ou armazenada, ela deve sempre ser apropriadamente 
protegida.”
 
 
29
 Fontes de Informação Fontes de Informação Fontes de Informação Fontes de Informação 
Internas a companhia - informação que você 
não gostaria que a concorrência soubesse
 Clientes e fornecedores - informação que 
eles não gostariam que você divulgasse
 Parceiros - informação que necessita ser 
compartilhada com outros parceiros 
comerciais
30
 A informação pode ser:A informação pode ser:A informação pode ser:A informação pode ser:
� Alterada
� Armazenada
� Cedida
� Corrompida
� Criada 
� Destruída
� Distribuída
� Divulgada
� Editada 
� Perdida
� Publicada� Processada
� Reproduzida
� Suprimida
� Transmitida 
� Vendida
 
 
31
 Segurança da InformaçãoSegurança da InformaçãoSegurança da InformaçãoSegurança da Informação
Preservação da confidencialidade, 
integridade e disponibilidade da 
informação; adicionalmente, outras
propriedades, tais como autenticidade, 
responsabilidade, não repúdio e 
confiabilidade, podem também estar
envolvidas
[ABNT NBR ISO/IEC 27001:2005]
32
VulnerabilidadeVulnerabilidadeVulnerabilidadeVulnerabilidade
Fraqueza associada aos ativos da 
organização.
Vulnerabilidade = ponto fraco
Por exemplo:
Pessoas
� Qualificação inadequada
� Insuficiência de profissionais
Instalação
� Falta de monitoramento
� Proteção física inadequada
� Energia elétrica instável
Banco de dados
� Falta de backup
� Armazenamento inadequado
 
 
33
AmeaçaAmeaçaAmeaçaAmeaça
Prenúncio ou indício de um evento 
danoso ou prejudicial.
Ameaça = ocorrência, fato
Por exemplo:
Pessoas
� Erros e acidentes
� Roubo de informações
Instalação
� Incêndio ou inundação
� Invasão e sabotagem
Banco de dados
� Acesso remoto não autorizado
� Corrupção da base de dados
34
Ameaças à InformaçãoAmeaças à InformaçãoAmeaças à InformaçãoAmeaças à Informação
� Funcionários descontentes ou desmotivados
� Baixa conscientização de segurança
� Processamento distribuído 
� Aumento das ferramentas de “hacking” e vírus
� E-mail
� Inexistência de planos de recuperação
� Desastres naturais ou não… (ex. incêndio, 
inundação, terremoto, terrorismo)
� Falta de políticas e procedimentos 
implementados
 
 
35
ProbabilidadeProbabilidadeProbabilidadeProbabilidade
Possibilidade real ou potencial de uma 
ameaça explorar uma vulnerabilidade.
Probabilidade = possibilidade, chance
Por exemplo:
Fontes de Ameaças, Invasões e Ataques
� Funcionários (24%) 
� Hackers (20
� Vírus (15%)
� Spam (10%) 
� Fraudes (8%)
[10ª Pesq. Nac. Seg. Inf., 2007]
36
Conceitos Conceitos Conceitos Conceitos - Impacto Impacto Impacto Impacto
Dano ou prejuízo causado pela ocorrência 
da ameaça.
Por exemplo:
Prejuízos Financeiros
� Perda de clientes e contratos
� Danos à imagem
� Perda de produtividade
� Aumento no custo para conter, reparar e 
recuperar desastres
� Aumento no custo de seguros
� Penalidades e multas
 
 
37
Conceitos Conceitos Conceitos Conceitos - Requisitos da Informação Requisitos da Informação Requisitos da Informação Requisitos da Informação
Confidencialidade: assegurar que a
informação é acessível somente às
pessoas autorizadas
 Integridade: proteger a exatidão e a
completeza da informação e dos métodos
de processamento.
 Disponibilidade: assegurar que os
usuários autorizados tenham acesso à
informação e ativos associados quando
necessário.
38
Evento de Segurança da InformaçãoEvento de Segurança da InformaçãoEvento de Segurança da InformaçãoEvento de Segurança da Informação
Uma ocorrência identificada de um estado 
de sistema, serviço ou rede, indicando uma 
possível violação da política de segurança 
da informação ou falha de controles, ou 
uma situação previamente desconhecida, 
que possa ser relevante para a segurança 
da informação.
[ISO/IEC TR 18044:2004]
 
 
39
Incidente de Segurança da Incidente de Segurança da Incidente de Segurança da Incidente de Segurança da 
InformaçãoInformaçãoInformaçãoInformação
Um simples evento ou uma série de 
eventos de segurança da informação 
indesejados ou inesperados, que tenham 
uma grande probabilidade de comprometer 
as operações do negócio e ameaçar a 
segurança da informação.
[ISO/IEC TR 18044:2004]
40
Riscos de SegurançaRiscos de SegurançaRiscos de SegurançaRiscos de Segurança
Potencial em que uma ameaça irá explorar 
vulnerabilidades para causar perda ou dano 
a um ativo ou grupo de ativos. 
Risco = Probabilidade x Impacto
Tipos de Riscos
� Internos ou Externos
� Gerenciais ou Técnicos
� Operacionais ou de Procedimentos
� Pessoas ou Equipamentos
� etc.
 
 
41
Gestão de RiscosGestão de RiscosGestão de RiscosGestão de Riscos
Atividades coordenadas para direcionar e 
controlar uma organização no que se 
refere a riscos. 
Inclui:
� Identificação de riscos
� Análise de riscos
� Avaliação de riscos
� Aceitação de riscos
� Tratamento de riscos
� Comunicação de riscos
� Monitoração e revisão
[ABNT ISO/IEC Guia 73:2005]
42
Gestão de RiscosGestão de RiscosGestão de RiscosGestão de Riscos
Análise de Riscos
Uso sistemático de informações para 
identificar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
Avaliação de Riscos
Processo de comparar o risco estimado 
com critérios de risco predefinidos para 
determinar a importância do risco
[ABNT ISO/IEC Guia 73:2005]
 
 
43
Tratamento do RiscoTratamento do RiscoTratamento do RiscoTratamento do Risco
Processo de seleção e implementação de 
medidas (controles) para modificar um risco
[ABNT ISO/IEC Guia 73:2005]
Tipos de Respostas a Riscos
� Detectar eventos indesejados
� Evitar o risco
� Transferir o risco (p. ex. seguro)
� Reduzir:
� Vulnerabilidades
� Ameaças
� Impactos
� Aceitar o risco (residual)
� Reagir e recuperar 
44
ControlesControlesControlesControles
Medidas adotadas para modificar um risco.
Estão baseados nos resultados e conclusões 
do processo de avaliação de risco e 
tratamento de risco, requisitos legais ou 
regulatórios, obrigações contratuais e os 
requisitos de negócio da organização.
[ISO/IEC 27001:2005]
 
 
45
Tipos de ControlesTipos de ControlesTipos de ControlesTipos de Controles
PREVENTIVO : executado no início do 
processo. Previne erros ou irregularidades e 
minimiza os riscos na fonte. Controle pró-
ativo (Maior eficácia)
DETECTIVO : executado ao longo do 
processo. Detecta erros difíceis de definir ou 
prever (Controle reativo)
AUTOMATIZADO : executado por sistemas 
automatizados, não depende de julgamentos 
pessoais. Para garantir consistência, precisão 
e tempestividade, é preciso ter um sistema 
seguro e confiável (Maior eficácia)
MANUAL : executado por pessoas de forma 
manual.
46
Aplicação de ControlesAplicação de ControlesAplicação de ControlesAplicação de Controles
Processo de aplicação de controles:
� Identificar os riscos 
� Identificar os controles existentes 
� Verificar se o risco residual é aceitável 
� Avaliar a necessidade de novos controles
As normas ISO 27001 e ISO 27002 especificam 
133 controles que podem ser implementados, 
mas a organização não está limitada a esse rol 
e pode aplicar outros controles identificados.
 
 
47
Exemplos de ControlesExemplos de ControlesExemplos de ControlesExemplos de Controles
Exemplos de controles:
 A.11.5 Controle de Acesso ao sistema operacional
� Procedimentos de entrada no sistema (log on)
� Identificação e autenticação de usuário
� Sistema de gerenciamento de senha
� Uso de utilitários de sistema
� Desconexão de terminal por inatividade
� Limitação de horário de conexão
48
Avaliação de Risco e ControlesAvaliação de Risco e ControlesAvaliação de Risco e ControlesAvaliação de Risco e Controles
 
 
49
Avaliação e Tratamento do RiscoAvaliação e Tratamento do RiscoAvaliação e Tratamento do RiscoAvaliação e Tratamento do Risco
Cláusula 4.2.1 da ISO/IEC 27001:2005:
Uma avaliação de risco deve ser realizada 
para identificar ameaças aos ativos.
Avaliação de risco
� Identificação e valorização dos ativos
� Identificação das vulnerabilidades
� Identificação das ameaças
� Avaliação de impactos
� Análise e avaliação dos riscos
� Priorização dos riscos
Tratamento de risco
� Definição do grau de garantia
� Revisão de controles existentes
� Identificação de novos controles
� Implementação dos novos controles
� Aceitação do risco residual
50
O que é um Sistema de Gestão...
 
 
51
Sistema de GestãoSistema de GestãoSistema de GestãoSistema de Gestão
Sistema que rege, governa ou gere os 
negócios de uma organização.
Um sistema de gestão inclui:
� Estrutura organizacional
� Políticas
� Atividades de planejamento
� Responsabilidades
�Práticas
� Procedimentos
� Processos 
� Recursos
[ISO/IEC 27001:2005]
Sistema de Gestão da Petrobras
52
Sistema de GestãoSistema de GestãoSistema de GestãoSistema de Gestão
Sistema que rege, governa ou gere os 
negócios de uma organização.
Um sistema de gestão inclui:
� Estrutura organizacional
� Políticas
� Atividades de planejamento
� Responsabilidades
� Práticas
� Procedimentos
� Processos 
� Recursos
[ISO/IEC 27001:2005] Modelo de Excelência em Gestão
FNQ - Fundação Nacional da Qualidade
 
 
53
Elementos de um Sistema de GestãoElementos de um Sistema de GestãoElementos de um Sistema de GestãoElementos de um Sistema de Gestão
� Política (demonstração de compromisso e 
princípios para ação)
� Planejamento (identificação das 
necessidades, recursos, estrutura e 
responsabilidades)
� Implementação e operação (construção da 
consciência organizacional e treinamento)
� Avaliação de Desempenho (monitoramento 
e medição, auditoria e tratamento de não-
conformidades)
� Melhoria (ação preventiva e corretiva, 
melhoria contínua)
� Análise Crítica pela Direção
54
Normas de Sistemas de GestãoNormas de Sistemas de GestãoNormas de Sistemas de GestãoNormas de Sistemas de Gestão
� ISO 9001 - Qualidade
� ISO/IEC 20000 - Gestão de TI
� ISO/IEC 27001 - Segurança da Informação
� ISO 14001 - Ambiental
� ISO 22001 - Alimentos
� OHSAS 18001 - Segurança e Saúde Ocupacional
� SAE AS 9100 - Aerospacial
� TL 9000 - Telecomunicações
� TS 16949 - Automotiva
 
 
55
Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da 
InformaçãoInformaçãoInformaçãoInformação
SGSI
Parte do sistema de gestão global, baseado 
na abordagem de riscos do negócio, para 
estabelecer, implementar, operar, monitorar, 
analisar criticamente, manter e melhorar a 
segurança da informação.
[ISO/IEC 27001:2005]
Projeto e Implementação
Influenciados pelas necessidades e objetivos 
dos negócios, resultando em requisitos de 
segurança, processos definidos e estrutura 
da organização. O SGSI e os sistemas de 
apoio mudam com o tempo.
56
Fatores Críticos do SucessoFatores Críticos do SucessoFatores Críticos do SucessoFatores Críticos do Sucesso
� Comprometimento e apoio visível de todos os níveis da direção
� Provisão de recursos para as atividades de gerenciamento da 
segurança da informação
� Divulgação, conscientização, educação e treinamento adequados
� Política de segurança da informação, objetivos e atividades que 
refletindo os objetivos do negócio
� Bom entendimento dos requisitos de segurança da informação, 
avaliação de risco e gerenciamento de risco
� Implementação, manutenção, monitoramento, e melhoria da 
segurança da informação consistente com a cultura 
organizacional
� Estabelecer um processo eficaz de gestão de incidentes de 
segurança da informação
� Implementação de um sistema de medição que seja usado para 
avaliar o desempenho da gestão da segurança da informação e 
obtenção de sugestões para a melhoria
 
 
57
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
Índice
0 - Introdução
1 - Objetivo
2 - Referência normativa
3 - Termos e definições
4 - Sistema de gestão de segurança da informação
5 - Responsabilidade da direção
6 - Auditorias internas do SGSI
7 - Análise crítica do SGSI pela direção
8 - Melhoria do SGSI
Anexo A - Objetivos de controle e controles
Anexo B - Princípios da OECD e desta norma
Anexo C - Correspondência com a NBR ISO 9001:2000 e 14001:2004
58
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0 Introdução / 0.1 Geral
� A norma ISO 27001 foi preparada para prover um modelo para estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema 
de Gestão de Segurança da Informação - SGSI.
� A adoção de um SGSI deve ser uma decisão estratégica para uma organização.
� O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, 
processos empregados e estrutura da organização.
� É esperado que o SGSI e os sistemas de apoio mudem com o tempo.
� É esperado que a implementação de um SGSI seja escalada conforme as necessidades 
da organização, por exemplo, uma situação simples requer uma solução simples.
� A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes 
interessadas internas e externas.
 
 
59
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo
60
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo
 
 
61
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo
Planejar
Estabelecer objetivos e processos
Resultados p/ Clientes e Organização
Fazer
Implementar os processos
Verificar
Monitorar / Medir Processos e
produtos (requisitos produtos)
Agir
Agir para melhorar continuamente 
o desempenho dos processos
62
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo / Fase “Planejar”
� Definir o escopo do SGSI
� Definir uma política para o SGSI
� Definir objetivos e metas
� Identificar os riscos
� Avaliar os riscos
� Selecionar objetivos de controle e controles
� Preparar uma Declaração de Aplicabilidade
 
 
63
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo / Fase “Fazer”
� Formular um Plano de Tratamento de Risco
� Implementar o Plano de Tratamento de Risco
� Implementar os controles selecionados para 
atingir os objetivos de controle
64
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo / Fase “Verificar”
� Executar monitoramento dos processos
� Conduzir auditorias internas do SGSI em intervalos 
planejados
� Realizar análises críticas regulares da eficácia do 
SGSI
� Analisar criticamente os níveis de risco residual e 
riscos aceitáveis
 
 
65
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.2 Abordagem de processo / Fase “Agir”
� Implementar as melhorias identificadas
� Tomar ações corretivas e preventivas apropriadas
� Comunicar os resultados e ações
� Garantir que as melhorias atendem aos objetivos 
pretendidos
66
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
0.3 Compatibilidade com outros sistema de gestão
� ISO 9001 - Gestão da Qualidade
� ISO 14001 - Gestão do Meio Ambiente
� ISO 20000 - Gestão de TI
� OSHAS 18001 - Gestão de Saúde e Segurança do 
Trabalhador
Obs.: Possível adaptação a sistemas já existentes na 
organização
 
 
67
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
1 Objetivo / 1.1 Geral
A norma ISO 27001:� Cobre todos os tipos de organizações.
� Especifica requisitos para estabelecer, 
implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI 
documentado dentro do contexto dos riscos 
de negócios globais da organização.
� Especifica requisitos para a implementação 
de controles de segurança personalizados 
para as necessidades individuais de 
organizações ou suas partes.
O SGSI é projetado para assegurar a seleção de controles de segurança 
adequados e proporcionados para proteger os ativos de informação e 
propiciar confiança às partes interessadas.
68
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
1.2 Aplicação
Requisitos Genéricos
Exclusões (itens não atendidos pela organização):
� Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos
� Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para 
serem aceitas e não podem comprometer a capacidade da organização de 
atender requisitos de segurança da informação determinados pela 
análise /avaliação de riscos e por requisitos legais e regulamentares 
aplicáveis.
A ISO 27001
é aplicável
a quaisquer
organizações
Qualquer Tipo
Qualquer Tamanho
Qualquer Produto / Serviço
 
 
69
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
Declaração de Aplicabilidade
Declaração documentada que descreve os 
objetivos de controle e controles que são 
pertinentes e aplicáveis ao SGSI da organização
70
Conclusões IniciaisConclusões IniciaisConclusões IniciaisConclusões Iniciais
� A segurança da informação se materializa através de 
um conjunto adequado de controles, incluindo 
políticas, procedimentos, estrutura organizacional e 
funções de hardware e software
� Cada organização estabelece suas exigências e 
requisitos de controle para os níveis requeridos de 
confidencialidade, integridade e disponibilidade.
� Nem todos os controles e orientações estabelecidas 
são aplicáveis às organizações interessadas
 
 
Clique para editar o estilo do subtítulo mestre
71
AULA 02
Interpretação da
ISO/IEC 27001
Clique para editar o estilo do subtítulo mestre
72
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
2 Referência Normativa
NBR ISO/IEC 27001:2006 - Tecnologia da
informação - Sistema de gerenciamento 
de segurança da informação -
Requerimentos
 
 
Clique para editar o estilo do subtítulo mestre
73
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
3 - Termos e definições
� Ativo - qualquer coisa que tenha valor para a organização
� Disponibilidade - propriedade de estar acessível e utilizável sob demanda por 
uma entidade autorizada.
� Confidencialidade - propriedade de que a informação não esteja disponível ou 
revelada a indivíduos, entidades ou processos não autorizados.
� Segurança da informação - preservação da confidencialidade, integridade e 
disponibilidade da informação; adicionalmente, outras propriedades, tais como 
autenticidade, responsabilidade, não repúdio e confiabilidade, podem também 
estar envolvidos.
� Evento de segurança da informação - uma ocorrência identificada de um estado 
de sistema, serviço ou rede, indicando uma possível violação da política de 
segurança da informação ou falha de controles, ou uma situação previamente 
desconhecida, que possa ser relevante para a segurança da informação
Clique para editar o estilo do subtítulo mestre
74
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
3 - Termos e definições
� Incidente de segurança da informação - um simples ou uma série de eventos de 
segurança da informação indesejados ou inesperados, que tenham uma grande 
probabilidade de comprometer as operações do negócio e ameaçar a segurança 
da informação.
� Sistema de segurança da informação – SGSI - a parte do sistema de gestão 
global, baseado na abordagem de riscos do negócio, para estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar a 
segurança da informação.
� Integridade – propriedade de salvaguarda da exatidão e completeza de ativos.
� Risco residual - risco remanescente após o tratamento de riscos.
� Aceitação do risco - decisão de aceitar um risco.
� Análise de riscos - uso sistemático de informações para identificar fontes e 
estimar o risco.
 
 
Clique para editar o estilo do subtítulo mestre
75
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 0, 1, 2, 3 - 
3 - Termos e definições
� Análise/avaliação de riscos - processo completo de análise e avaliação de riscos.
� Avaliação de riscos - processo de comparar o risco estimado com critérios de 
risco predefinidos para determinar a importância do risco
� Gestão de riscos - atividades coordenadas para direcionar e controlar uma 
organização no que se refere a riscos
� Tratamento de risco - processo de seleção e implementação de medidas para 
modificar um risco.
� Declaração de aplicabilidade - declaração documentada que descreve os 
objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da 
organização.
Clique para editar o estilo do subtítulo mestre
76
Estrutura da NBR ISO/IEC 27001:2006Estrutura da NBR ISO/IEC 27001:2006Estrutura da NBR ISO/IEC 27001:2006Estrutura da NBR ISO/IEC 27001:2006
 
 
Clique para editar o estilo do subtítulo mestre
77
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4 Sistema de gestão de segurança da informação
4.1 Requisitos gerais
A organização deve estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto das 
atividades de negócios globais da organização e os riscos que ela enfrenta.
O Sistema deve ser documentado e:
Estabeleci
do
Implementa
do
Operad
o
Mantid
o
Melhorad
o
O sistema é
composto por
processos que se
relacionam
Clique para editar o estilo do subtítulo mestre
78
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4 Sistema de gestão de segurança da informação
4.1 Requisitos gerais
Para os efeitos desta norma, o processo usado está baseado no modelo PDCA.
 
 
Clique para editar o estilo do subtítulo mestre
79
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, 
da organização, sua localização, ativos e tecnologia, incluindo detalhes e 
justificativas para quaisquer exclusões do escopo (ver 1.2).
Exemplo de Escopo:
O Sistema de Gestão se aplica a:
ESCOPO DE FORNECIMENTO
PRESTAÇÃO DE SERVIÇOS DE DATA CENTER (HOUSING E HOSTING), SERVIÇOS DE PROCESSAMENTO 
MULTI-CANAL DE TRANSAÇÕES ELETRÔNICAS E DESENVOLVIMENTO DE SOFTWARE.
Declaração de Aplicabilidade
Statement of Applicability
Versão 1.0
29 Maio 2010
Clique para editar o estilo do subtítulo mestre
80
Interpretação da NBR ISO/IEC27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
b) Definir uma política do SGSI nos termos das características do negócio, da 
organização, sua localização, ativos e tecnologia que:
1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento 
global e princípios para ações relacionadas com a segurança da informação;
2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de 
segurança contratuais;
3) esteja alinhada com o contexto estratégico de gestão de riscos da organização 
no qual o estabelecimento e manutenção do SGSI irão ocorrer;
4) estabeleça critérios em relação aos quais os riscos serão avaliados; e
5) tenha sido aprovada pela direção.
 
 
Clique para editar o estilo do subtítulo mestre
81
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
Exemplo de Política
Nossos serviços e projetos são bens de importância fundamental para a empresa. A 
continuidade do nosso negócio depende da qualidade, confidencialidade, 
integridade e disponibilidade destes.
Os gestores do projeto são responsáveis em proteger estes ativos contra uso não 
autorizado, recebimento, processamento, armazenamento e transmissão das 
informações.
Todos os funcionários, prestadores de serviço e consultores devem entender suas 
obrigações para proteger estas informações e implementar os procedimentos de 
segurança.
Todos os incidentes de segurança devem ser comunicados para área de segurança 
para serem tomadas as devidas ações corretivas.
Este política é valida a partir de 20.08.2006.
Clique para editar o estilo do subtítulo mestre
82
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
c) Definir a abordagem de análise/avaliação de riscos da organização.
1) Identificar uma metodologia de análise / avaliação de riscos que seja adequada 
ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, 
identificados para o negócio.
2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis 
de risco.
A metodologia de análise/avaliação de riscos selecionada deve assegurar 
que as análises/avaliações de risco produzam resultados comparáveis e 
reproduzíveis.
Várias metodologias de gerenciamento de riscos podem ser aplicadas. A 
organização deve definir o modelo de referência (framework ) e o processo 
mais adequados à natureza do seu negócio e às suas necessidades.
 
 
Clique para editar o estilo do subtítulo mestre
83
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
d) Identificar os riscos.
1) Identificar os ativos dentro do escopo do SGSI e os proprietários destes ativos.
2) Identificar as ameaças a esses ativos.
3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças.
4) Identificar os impactos que as perdas de confidencialidade, integridade e 
disponibilidade podem causar aos ativos.
Exemplo:
 Ativo
 Ameaça
 Vulnerabilidade
 Impacto
• Servidor utilizado para armazenar sites de clientes
• Vírus
• Antivírus desatualizado
• Sites de clientes fora do ar
Clique para editar o estilo do subtítulo mestre
84
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
e) Analisar e avaliar os riscos.
1) Avaliar os impactos para o negócio da organização que podem resultar de falhas 
de segurança, levando em consideração as conseqüências de uma perda de 
confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de 
ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos 
e os controles atualmente implementados.
3) Estimar os níveis de riscos.
4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os 
critérios para aceitação estabelecidos.
 
 
Clique para editar o estilo do subtítulo mestre
85
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
e) Analisar e avaliar os riscos.
1) Avaliar os impactos para o negócio da organização que podem resultar de falhas 
de segurança, levando em consideração as conseqüências de uma perda de 
confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de 
ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos 
e os controles atualmente implementados.
3) Estimar os níveis de riscos.
4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os 
critérios para aceitação estabelecidos.
Clique para editar o estilo do subtítulo mestre
86
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
e) Analisar e avaliar os riscos.
Exemplo:
 Ativo
 Ameaça
 Vulnerabilidade
 Impacto
• Servidor utilizado para armazenar sites de clientes
• Vírus
• Antivírus desatualizado
• Sites de clientes fora do ar
 Avaliação do impacto
 Probabilidade de ocorrência
 Risco
 Nível de risco aceitável
• desgaste de imagem, perda de clientes e multas contratuais
• 2% de chance
• 1 (de 0 a 5), controle implantado (atualização de antivírus)
• 1 a 3
 
 
Clique para editar o estilo do subtítulo mestre
87
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
f) Identificar e avaliar as opções para o tratamento de riscos.
1) aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente 
às políticas da organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));
3) evitar riscos; e
4) transferir os riscos associados ao negócio a outras partes, por exemplo, 
seguradoras e fornecedores.
Clique para editar o estilo do subtítulo mestre
88
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
g) Selecionar objetivos de controle e controles para o tratamento de risco.
��Objetivos de controle e controles devem ser selecionados e implementados para 
atender aos requisitos identificados pela análise / avaliação de riscos e pelo 
processo de tratamento de riscos. Esta seleção deve considerar os critérios para 
aceitação de riscos como também os requisitos legais, regulamentarese 
contratuais.
��Os objetivos de controle e controles do anexo A devem ser selecionados como 
parte deste processo, como adequados para cobrir os requisitos identificados.
��Os objetivos de controle e controles listados no anexo A não são exaustivos, e 
objetivos de controle e controles adicionais podem também ser selecionados.
Exemplo: Anexo A, Item A.11.3
Responsabilidades dos Usuários
�� Uso de senhas
�� Política de mesa limpa e tela limpa
 
 
Clique para editar o estilo do subtítulo mestre
89
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
h) Obter aprovação da direção dos riscos residuais propostos.
i) Obter autorização da direção para implementar e operar o SGSI.
Não há sistema a prova de falhas. Independente dos controles 
implantados sempre haverá riscos residuais. Ações deliberadas
ou acidentais podem ultrapassar o nível de proteção fornecido
pelo SGSI.
Clique para editar o estilo do subtítulo mestre
90
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.1 Estabelecer o SGSI
A organização deve:
j) Preparar a Declaração de Aplicabilidade, que deve incluir o seguinte:
1) Os objetivos de controle e controles selecionados e as razões para sua seleção;
2) Os objetivos de controle e os controles atualmente implementados;
3) A exclusão de quaisquer objetivos de controle e controles do anexo A e as 
justificativas para sua exclusão.
A Declaração de Aplicabilidade provê um resumo das decisões relativas ao
tratamento de riscos. A justificativa das exclusões provê uma checagem
Cruzada e garante que nenhum controle foi omitido inadvertidamente. A 
ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles.
 
 
Clique para editar o estilo do subtítulo mestre
91
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.2 Implementar e Operar o SGSI
A organização deve:
a) Formular um plano de tratamento de riscos que identifique a ação de gestão 
apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos 
de segurança.
b) Implementar o plano de tratamento de riscos para alcançar os objetivos e 
controles identificados, que inclua considerações de financiamento e atribuições 
de papéis e responsabilidades.
c) Implementar os controles selecionados para atender aos objetivos de controle.
d) Definir como medir a eficácia dos controles ou grupos de controles 
selecionados, e especificar como estas medidas devem ser usadas para avaliar a 
eficácia dos controles de modo a produzir resultados comparáveis e 
reproduzíveis.
Clique para editar o estilo do subtítulo mestre
92
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.2 Implementar e Operar o SGSI
O que é um plano?
R: documento que diz o que será feito, porque, como, quando, por quem e onde. 
Conhecido pelo acrônimo em inglês como 5W1H.
� What - O que
� Who - Quem 
� When - Quando
� Where - Onde 
� Why - Porque
� How - Como
 
 
Clique para editar o estilo do subtítulo mestre
93
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.2 Implementar e Operar o SGSI
e) Implementar programas de conscientização e treinamento; 
A organização deve assegurar que todo pessoal que tem responsabilidades atribuídas definidas 
no SGSI seja competente para desempenhar as tarefas requeridas.
g) Gerenciar as operações do SGSI;
É importante que haja um profissional que seja responsável pelo sistema.
i) Gerenciar os recursos para o SGSI;
Sempre que houver necessidade de recursos humanos e materiais a direção deve ser informada 
e deve analisar as disponibilidades financeiras para decidir onde prover os recursos necessários.
k) Implementar procedimentos e controles capazes de permitir a pronta detecção 
de eventos e resposta a incidentes de segurança da informação.
Uma sistemática de documentação e tratamento dos incidentes identificados com ações 
imediatas para sanar o incidente e ações corretivas, quando aplicável para evitar a recorrência destes 
incidentes deve ser implementada.
Clique para editar o estilo do subtítulo mestre
94
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
A organização deve:
a) Executar procedimentos de monitoração, análise crítica e outros controles para:
1) Prontamente detectar erros nos resultados de processamentos;
2) Prontamente identificar tentativas e violações de segurança bem sucedidas, e 
incidentes de segurança da informação;
3) Permitir à direção determinar se as atividades de segurança da informação 
delegadas a pessoas ou implementadas por meio de tecnologias de informação 
são executadas conforme esperado;
4) Ajudar a detectar eventos de segurança da informação e assim prevenir 
incidentes de segurança da informação pelo uso de indicadores; e
5) Determinar se as ações tomadas para solucionar uma violação de segurança da 
informação foram eficazes.
 
 
Clique para editar o estilo do subtítulo mestre
95
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
A organização deve:
b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da 
política e dos objetivos do SGSI, e a análise crítica de controles de segurança), 
levando em consideração os resultados de auditorias de segurança da 
informação, incidentes, resultados da eficácia das medições, sugestões e 
realimentação de todas as partes interessadas.
Clique para editar o estilo do subtítulo mestre
96
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
Exemplo de análise de dados utilizando o Diagrama de Pareto:
• Durante a realização do produto ou do serviço as não conformidades são 
identificadas por tipo e por período num Diagrama de Pareto.
 
 
Clique para editar o estilo do subtítulo mestre
97
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
Exemplo de análise de dados utilizando o Diagrama de Pareto:
• O Diagrama de Pareto fornece uma representação visual do impacto de cada 
problema, ajuda a pesquisar as possíveis causas de “não conformidades” e 
definir ações para eliminá-las, evitando sua repetição.
Clique para editar o estilo do subtítulo mestre
98
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação daNBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
A organização deve:
c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo 
atingidos.
d) Revisar as análises/avaliações de risco a intervalos planejados e analisar os riscos 
residuais e os níveis de risco aceitáveis identificados, levando em consideração 
mudanças relativas a:
1) Organização;
2) Tecnologias;
3) Objetivos e processos do negócio;
4) Ameaças identificadas;
5) Eficácia dos controles implementados;
6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, 
alterações das obrigações contratuais e mudanças na conjuntura social.
Sempre que uma mudança ocorre poderemos ter alteração dos 
ativos, das ameaças, das vulnerabilidades e portanto dos riscos.
 
 
Clique para editar o estilo do subtítulo mestre
99
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
A organização deve:
e) Conduzir auditorias internas a intervalos planejados
Existem auditorias de primeira parte – internas, de segunda parte – 
realizadas pelos clientes na organização ou pela organização em seus 
fornecedores e de terceira parte – realizadas por organismos independentes 
como por exemplo uma certificadora.
g) Realizar análises críticas do SGSI pela direção em períodos regulares para 
assegurar que o escopo permanece adequado e que são identificadas melhorias 
nos processos do SGSI.
Essas análises críticas são reuniões com a direção onde diversos temas são 
discutidos sobre o desempenho do sistema de gestão e a ISO 27001 especifica 
os temas mínimos a serem discutidos e que como saída deve haver um plano de 
ação definido.
Clique para editar o estilo do subtítulo mestre
100
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.3 Monitorar e Revisar o SGSI
A organização deve:
g) Atualizar planos de segurança da informação para levar em consideração os 
resultados das atividades de monitoramento e análise crítica.
j) Registrar ações e eventos que poderiam ter impacto no desempenho ou na 
eficácia do SGSI.
 
 
Clique para editar o estilo do subtítulo mestre
101
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.2 Estabelecendo e Gerenciando SGSI 
4.2.4 Manter e Melhorar o SGSI
A organização deve regularmente:
a) Implementar as melhorias identificadas para o SGSI.
b) Realizar ações corretivas e preventivas apropriadas e aplicar lições aprendidas 
com a experiência da própria organização ou de outras.
c) Comunicar as ações e melhorias para as partes interessadas com um nível de 
detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre 
como proceder.
d) Garantir que as melhorias atingem os objetivos determinados
Clique para editar o estilo do subtítulo mestre
102
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.3 Requisitos da Documentação 
4.3.1 Geral
� A documentação deve incluir registros de decisões da direção, assegurar que as 
ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os 
resultados registrados sejam reproduzíveis.
As reuniões de análise crítica do sistema devem ser documentadas e o 
monitoramento deve ser registrado.
� É importante que se possa demonstrar a relação dos controles selecionados com 
os resultados da análise/avaliação de riscos e do processo de tratamento de 
riscos, e conseqüentemente com a política e objetivos do SGSI.
Quando elaboramos a matriz de riscos já podemos indicar os controles e 
procedimentos relacionados, isto facilita a demonstração dos controles 
selecionados com os resultados da análise/avaliação de riscos e do processo de 
tratamento de riscos.
 
 
Clique para editar o estilo do subtítulo mestre
103
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
Extensão da Documentação do SGSI
A abrangência e detalhes depende de:
� Tamanho e tipo da empresa
� Complexidade de serviços, produtos e processos
� Requisitos de clientes e regulamentares
� Códigos e normas da Industria
� Educação, experiência e treinamento
� Estabilidade da força de trabalho
� Problemas de segurança no passado
A documentação pode variar devido ao tamanho e atividades, da organização 
escopo e complexidade dos requisitos de segurança e do sistema. 
Clique para editar o estilo do subtítulo mestre
104
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.3 Requisitos da Documentação 
4.3.1 Geral
A documentação deve incluir:
a) Declarações documentadas de políticas e objetivos do SGSI;
b) Escopo do SGSI;
c) Procedimentos e controles que do SGSI;
d) Descrição da metodologia de análise/avaliação de riscos;
e) Relatório de análise/avaliação de riscos;
f) Plano de tratamento de riscos;
g) Procedimentos documentados requeridos pela organização para assegurar o 
planejamento efetivo, a operação e o controle de seus processos de segurança 
de informação e para descrever como medir a eficácia dos controles;
h) Registros requeridos por esta Norma; 
i) Declaração de Aplicabilidade.
 
 
Clique para editar o estilo do subtítulo mestre
105
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.3 Requisitos da Documentação 
4.3.2 Controle de documentos 
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um 
procedimento documentado deve ser estabelecido para definir as ações de gestão 
necessárias para:
a) aprovar documentos para adequação antes de sua emissão;
b) analisar criticamente, atualizar e, quando necessário, reaprovar documentos;
c) assegurar que as alterações e a situação da revisão atual dos documentos sejam 
identificadas;
d) assegurar que as versões pertinentes de documentos aplicáveis estejam 
disponíveis nos locais de uso;
e) assegurar que os documentos permaneçam legíveis e prontamente 
identificáveis;
Clique para editar o estilo do subtítulo mestre
106
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.3 Requisitos da Documentação 
4.3.2 Controle de documentos 
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um 
procedimento documentado deve ser estabelecido para definir as ações de gestão 
necessárias para:
f) assegurar que os documentos estejam disponíveis àqueles que deles precisam e 
sejam transferidos, armazenados e finalmente descartados conforme os 
procedimentos aplicáveis à sua classificação;
g) assegurar que documentos de origem externa sejam identificados;
h) assegurar que a distribuição de documentos seja controlada;
i) prevenir o uso não intencional de documentos obsoletos;
j) aplicar identificaçãoadequada nos casos em que sejam retidos para qualquer 
propósito.
 
 
Clique para editar o estilo do subtítulo mestre
107
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
4.3 Requisitos da Documentação 
4.3.3 Controle de registros
� Registros devem ser estabelecidos e mantidos para prover evidência da 
conformidade aos requisitos e da operação eficaz do SGSI,
� Devem ser considerados quaisquer registros referentes a requisitos legais ou 
obrigações contratuais,
� Registros devem ser legíveis e prontamente identificáveis e recuperáveis,
� Controles devem ser definidos, documentados e implementados para: 
identificação, armazenamento, proteção, recuperação, tempo de retenção e 
disposição
� Registros devem manter informações sobre o desempenho dos processos e de 
ocorrências significativas relacionadas ao SGSI
Exemplo de registros: livros de visitantes, relatórios de auditoria, formulários de 
autorização de acesso, etc.
Clique para editar o estilo do subtítulo mestre
108
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 
Documentação do SGSI
 
 
Clique para editar o estilo do subtítulo mestre
109
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.1 Comprometimento da Direção
A Direção deve fornecer evidência de seu comprometimento com o 
estabelecimento, implementação, operação, monitoramento, análise crítica e 
melhoria do SGSI, mediante:
a) Estabelecimento da política do SGSI;
b) Garantia de que são estabelecidos os planos e objetivos do SGSI;
c) Estabelecimento de papéis e responsabilidades pela segurança de informação;
d) Comunicação à organização da importância em atender aos objetivos de 
segurança da informação e a conformidade com a política de segurança de 
informação, suas responsabilidades perante a lei e a necessidade para melhoria 
contínua;
Clique para editar o estilo do subtítulo mestre
110
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.1 Comprometimento da Direção
A Direção deve fornecer evidência de seu comprometimento com o 
estabelecimento, implementação, operação, monitoramento, análise crítica e 
melhoria do SGSI, mediante:
e) Provisão de recursos suficientes para estabelecer, implementar, operar, 
monitorar, analisar criticamente, manter e melhorar o SGSI;
f) Definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;
g) Garantia de que as auditorias internas do SGSI sejam realizadas; 
h) Condução de análises críticas do SGSI pela direção.
 
 
Clique para editar o estilo do subtítulo mestre
111
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.1 Comprometimento da Direção
“Envolvimento é a participação formal 
nas atividades, iniciativas e projetos por 
força de relações de trabalho do 
indivíduo com a organização”
Hidalberto Chiavenato
Clique para editar o estilo do subtítulo mestre
112
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.1 Comprometimento da Direção
“Comprometimento é a disposição do 
indivíduo de alocar todos os recursos, 
colocar todo o seu potencial e empenhar 
todos os esforços necessários em prol dos 
objetivos da organização”
Hidalberto Chiavenato
 
 
Clique para editar o estilo do subtítulo mestre
113
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.2.1 Provisão de Recursos
A organização deve determinar e prover os recursos necessários para:
a) Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI;
b) Assegurar que os procedimentos de segurança da informação apoiam os 
requisitos de negócio;
c) Identificar e tratar os requisitos legais e regulamentares e obrigações 
contratuais de segurança da informação;
d) Manter a segurança da informação adequada pela aplicação correta de todos 
os controles implementados;
e) Realizar análises críticas, quando necessário, e reagir adequadamente aos 
resultados destas análises críticas; e
f) Onde requerido, melhorar a eficácia do SGSI.
Clique para editar o estilo do subtítulo mestre
114
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.2.2 Treinamento, Conscientização e Competência
A organização deve assegurar que todo o pessoal que tem responsabilidades 
atribuídas definidas no SGSI seja competente para desempenhar as tarefas:
a) Determinando as competências necessárias para o pessoal que executa 
trabalhos que afetam o SGSI;
b) Fornecendo treinamento ou executando outras ações (por exemplo, contratar 
pessoal competente) para satisfazer essas necessidades;
c) Avaliando a eficácia das ações executadas; e
d) Mantendo registros de educação, treinamento, habilidades, experiências e 
qualificações.
A organização deve também assegurar que todo o pessoal pertinente esteja 
consciente da relevância e importância das suas atividades de segurança da 
informação e como eles contribuem para o alcance dos objetivos do SGSI.
 
 
Clique para editar o estilo do subtítulo mestre
115
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.2.2 Treinamento, Conscientização e Competência
A organização deve assegurar que todo o pessoal que tem responsabilidades 
atribuídas definidas no SGSI seja competente para desempenhar as tarefas:
a) Determinando as competências necessárias para o pessoal que executa 
trabalhos que afetam o SGSI;
b) Fornecendo treinamento ou executando outras ações (por exemplo, contratar 
pessoal competente) para satisfazer essas necessidades;
c) Avaliando a eficácia das ações executadas; e
d) Mantendo registros de educação, treinamento, habilidades, experiências e 
qualificações.
Garantir a conscientização dos colaboradores internos e externos sobre a 
relevância e importância das atividades de segurança da informação e 
como eles podem contribuir para o alcance dos objetivos do SGSI.
Clique para editar o estilo do subtítulo mestre
116
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
5 Responsabilidade da Direção 
5.2.2 Treinamento, Conscientização e Competência
COMPETÊNCIA
“Conjunto de Conhecimentos, Habilidades e Atitudes que habilitam 
uma pessoa a desempenhar suas funções”.
Conhecimentos 
Competência 
Teórica
Habilidades 
Competência 
Técnica
Atitudes
Competência 
Comportamental
RABAGLIO, Maria O. Gestão por Competências: ferramentas para atração e captação de talentos humanos. QualityMark, 2010.
 
 
Clique para editar o estilo do subtítulo mestre
117
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretaçãoda NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
6 Auditorias Internas do SGSI
A Direção deve conduzir auditorias internas em intervalos 
planejados para determinar se os objetivos de controle e 
controles, processos e procedimentos do SGSI:
a) atendem aos requisitos desta Norma e à legislação ou 
regulamentações pertinentes;
b) atendem aos requisitos de segurança da informação 
identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.
Clique para editar o estilo do subtítulo mestre
118
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
6 Auditorias Internas do SGSI
� Deve ser elaborado um programa de auditoria levando em consideração a 
importância dos processos e resultados anteriores;
� Devem ser definidos: critérios de auditoria, escopo, freqüência, e métodos; 
� Auditores não devem auditar seu próprio trabalho;
� Um procedimento deve ser documentado;
� Auditados são responsáveis por eliminar não conformidades e suas causas;
� As ações de acompanhamento devem incluir a verificação das ações executadas 
e o relato dos resultados destas verificações;
� A norma ISO 19011 orienta a realização de auditorias e a qualificação de 
auditores.
 
 
Clique para editar o estilo do subtítulo mestre
119
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
7 Análise Crítica do SGSI
7.1 Geral
� A Direção deve analisar o SGSI em intervalos planejados (pelo menos 1 vez ao 
ano) para garantir sua apropriada continuidade, adequação e eficácia.
� A análise crítica deve incluir a avaliação de oportunidades de melhoria e a 
necessidade do SGSI, incluindo a política e objetivos de segurança da 
informação.
� Os resultados dessas análises críticas devem ser claramente documentados e 
os registros devem ser mantidos.
Clique para editar o estilo do subtítulo mestre
120
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
7 Análise Crítica do SGSI
7.2 Entradas para a análise crítica
As entradas para a análise crítica pela direção devem incluir:
a) resultados de auditorias do SGSI e análises críticas;
b) realimentação das partes interessadas;
c) técnicas, produtos ou procedimentos que podem ser usados na organização 
para melhorar o desempenho e a eficácia do SGSI ;
d) situação das ações preventivas e corretivas;
e) vulnerabilidades ou ameaças não contempladas adequadamente nas 
análises/avaliações de risco anteriores;
f) resultados da eficácia das medições ;
g) acompanhamento das ações oriundas de análises críticas anteriores pela 
direção;
h) quaisquer mudanças que possam afetar o SGSI; e
i) recomendações para melhoria.
 
 
Clique para editar o estilo do subtítulo mestre
121
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
7 Análise Crítica do SGSI
7.3 Saídas da análise crítica
As saídas da análise crítica pela direção devem incluir quaisquer decisões e 
ações relacionadas a:
a) Melhoria da eficácia do SGSI.
b) Atualização da análise/avaliação de riscos e do plano de tratamento de 
riscos.
c) Modificação de procedimentos e controles que afetem a segurança da 
informação, quando necessário, para responder a eventos internos ou 
externos que possam impactar no SGSI;
d) Necessidade de recursos.
e) Melhoria de como a eficácia dos controles está sendo medida.
Clique para editar o estilo do subtítulo mestre
122
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
7 Análise Crítica do SGSI
7.3 Saídas da análise crítica
As saídas da análise crítica pela direção devem incluir quaisquer decisões e 
ações relacionadas a:
c) Modificação de procedimentos e controles que afetem a segurança da 
informação, quando necessário, para responder a eventos internos ou 
externos que possam impactar no SGSI, incluindo mudanças de:
1) requisitos de negócio;
2) requisitos de segurança da informação;
3) processos de negócio que afetem os requisitos de negócio existentes;
4) requisitos legais ou regulamentares;
5) obrigações contratuais; e
6) níveis de riscos e/ou critérios de aceitação de riscos.
 
 
Clique para editar o estilo do subtítulo mestre
123
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
8 Melhoria do SGSI
8.1 Melhoria contínua
A organização deve melhorar a eficácia do SGSI continuamente por meio do 
uso de (a,o):
� Política de segurança da informação
� Objetivos de segurança da informação
� Resultados de auditorias
� Análises de eventos monitorados
� Ações corretivas e preventivas
� Análise crítica pela direção
Clique para editar o estilo do subtítulo mestre
124
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
8 Melhoria do SGSI
8.2 Ação corretiva
A organização deve executar ações para eliminar as causas de não-
conformidades com os requisitos do SGSI, de forma a evitar a sua repetição. O 
procedimento documentado para ação corretiva deve definir requisitos para:
a) identificar não-conformidades;
b) determinar as causas de não-conformidades;
c) avaliar a necessidade de ações para assegurar que aquelas não-
conformidades não ocorram novamente;
d) determinar e implementar as ações corretivas necessárias;
e) registrar os resultados das ações executadas;
f) analisar criticamente as ações corretivas executadas.
 
 
Clique para editar o estilo do subtítulo mestre
125
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
8 Melhoria do SGSI
8.3 Ação preventiva
A organização deve determinar ações para eliminar causas de não-conformidades 
com os requisitos do SGSI, de forma a evitar a sua ocorrência. 
As ações preventivas tomadas devem ser apropriadas aos impactos
dos potenciais problemas. 
O procedimento documentado de ação preventiva deve definir requisitos para:
a) identificar não-conformidades potenciais e suas causas;
b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
c) determinar e implementar as ações preventivas necessárias;
d) registrar os resultados de ações executadas (ver 4.3.3); e
e) analisar criticamente as ações preventivas executadas.
Clique para editar o estilo do subtítulo mestre
126
Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006
- Cláusulas 5, 6, 7 e 8 - 
8 Melhoria do SGSI
8.3 Ação preventiva
A organização deve identificar mudanças nos riscos e identificar requisitos de 
ações preventivas focando a atenção nos riscos significativamente alterados.
A prioridade de ações preventivas deve ser determinada com base nos 
resultados da análise/avaliação de riscos.
 
 
Clique para editar o estilo do subtítulo mestre
127
AULA 03
Interpretação 
do Anexo A 
(Objetivos e Controles)
Clique para editar o estilo do subtítulo mestre
128
ABNT NBR ISO/IEC 20000:2008
Gerenciamento de Serviços de 
Tecnologia da Informação
 
 
129
GERENCIAMENTO DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO 
Versão 20100722-V001
© Copyright 2010, by Stefanini Training Treinamento