Prévia do material em texto
Número de referência 54 páginas © ISO/IEC 2017 - © ABNT 2020 ABNT NBR ISO/IEC 27003:2020 ABNT NBR ISO/IEC 27003 Segunda edição 24.04.2020 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações Information technology — Security techniques — Information security management systems — Guidance NORMA BRASILEIRA ICS 35.040 ISBN 978-65-5659-093-6 D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA ii ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados © ISO/IEC 2017 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT, único representante da ISO no território brasileiro. © ABNT 2020 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT. ABNT Av.Treze de Maio, 13 - 28º andar 20031-901 - Rio de Janeiro - RJ Tel.: + 55 21 3974-2300 Fax: + 55 21 3974-2346 abnt@abnt.org.br www.abnt.org.br D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA iii ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Sumário Página Prefácio Nacional ................................................................................................................................v Introdução ...........................................................................................................................................vi 1 Escopo ................................................................................................................................1 2 Referências normativas .....................................................................................................1 3 Termos e definições ...........................................................................................................1 4 Contexto da organização ...................................................................................................1 4.1 Entendendo a organização e seu contexto .....................................................................1 4.2 Entendendo as necessidades e expectativas das partes interessadas .......................4 4.3 Determinando o escopo do sistema de gestão da segurança da informação .............5 4.4 Sistema de gestão da segurança da informação ............................................................7 5 Liderança ............................................................................................................................7 5.1 Liderança e comprometimento .........................................................................................7 5.2 Política .................................................................................................................................9 5.3 Autoridades, responsabilidades e papéis organizacionais .........................................10 6 Planejamento ....................................................................................................................12 6.1 Ações para contemplar riscos e oportunidades ...........................................................12 6.1.1 Geral ..................................................................................................................................12 6.1.2 Avaliação de riscos de segurança da informação ........................................................14 6.1.3 Tratamento de riscos de segurança da informação .....................................................18 6.2 Objetivos de segurança da informação e planejamento para alcançá-los .................23 7 Apoio .................................................................................................................................26 7.1 Recursos ...........................................................................................................................26 7.2 Competência .....................................................................................................................27 7.3 Conscientização ...............................................................................................................28 7.4 Comunicação ....................................................................................................................29 7.5 Informação documentada ................................................................................................31 7.5.1 Geral ..................................................................................................................................31 7.5.2 Criando e atualizando ......................................................................................................33 7.5.3 Controle da informação documentada ...........................................................................34 8 Operação ...........................................................................................................................35 8.1 Planejamento operacional e controle .............................................................................35 8.2 Avaliação de riscos de segurança da informação ........................................................38 8.3 Tratamento de riscos de segurança da informação .....................................................39 9 Avaliação do desempenho ..............................................................................................39 9.1 Monitoramento, medição, análise e avaliação ..............................................................39 9.2 Auditoria interna ...............................................................................................................41 9.3 Análise crítica pela direção .............................................................................................44 10 Melhoria .............................................................................................................................46 10.1 Não conformidade e ação corretiva ...............................................................................46 10.2 Melhoria contínua .............................................................................................................49 Anexo A (informativo) Estrutura de política .....................................................................................51 Bibliografia .........................................................................................................................................54 D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA iv ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Figuras Figura A.1 – Hierarquia de políticas ................................................................................................51 Figura A.2 – Entradas para o desenvolvimento de uma política ..................................................52 D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex clde objetivos de controle e de controles. Os usuários deste documento são direcionados para a representação genérica dos controles na ABNT NBR ISO/IEC 27001:2013, Anexo A, para assegurar que nenhum dos controles necessários seja ignorado. A comparação com a ABNT NBR ISO/IEC 27001:2013, Anexo A, também pode identificar controles alternativos para aqueles determinados em 6.1.3 b) que podem ser mais efetivos em modificar riscos de segurança da informação. Objetivos de controle são incluídos implicitamente nos controles escolhidos. Os objetivos de controle e de controles relacionados na ABNT NBR ISO/IEC 27001:2013, Anexo A, não são exaustivos, e convém que objetivos de controle e controles adicionais sejam adicionados conforme a necessidade. Nem todos os controles da ABNT NBR ISO/IEC 27001:2013, Anexo A, precisam ser incluídos. Convém que qualquer controle da ABNT NBR ISO/IEC 27001:2013, Anexo A, que não contribua para a modificação de risco seja excluído, e convém que a justificativa para a exclusão seja dada. Orientações para a produção de uma declaração de aplicabilidade (SoA) (6.1.3 d)) A SoA contém: — todos os controles necessários (conforme determinado em 6.1.3 b) e 6.1.3 c)) e, para cada controle: — a justificativa para a inclusão do controle; e — se o controle foi implementado ou não (por exemplo, totalmente implementado, em andamento, ainda não iniciado); e — a justificativa para a exclusão de qualquer um dos controles da ABNT NBR ISO/IEC 27001:2013, Anexo A. A justificativa para a inclusão de um controle depende, em parte, do efeito do controle na modificação de um risco de segurança da informação. Convém que uma referência sobre os resultados de avaliação de riscos de segurança da informação e o plano de tratamento de riscos de segurança da informação seja suficiente, juntamente com a modificação de risco de segurança da informação esperada pela implementação de controles necessários. A justificativa para a exclusão de um controle contido na ABNT NBR ISO/IEC 27001:2013, Anexo A, pode incluir o seguinte: — foi determinado que o controle não é necessário para implementar a(s) opção(ões) escolhida(s) de tratamento de risco segurança da informação; — o controle não é aplicável porque está fora do escopo do SGSI (por exemplo, ABNT NBR ISO/IEC 27001:2013, A.14.2.7. O desenvolvimento terceirizado não é aplicável se o desenvolvimento de sistema da organização for realizado internamente); e — é obviado por um controle personalizado (por exemplo, ABNT NBR ISO/IEC 27001:2013, A.8.3.1. O gerenciamento de mídia removível pode ser excluído se um controle personalizado impedir o uso de mídias removíveis). NOTA Um controle personalizado é um controle não incluído na ABNT NBR ISO/IEC 27001:2013, Anexo A. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 21 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Uma SoA útil pode ser produzida como uma tabela contendo todos os 114 controles da ABNT NBR ISO/IEC 27001:2013, Anexo A, ao longo das linhas, e linhas com controles adicionais que não são mencionados na ABNT NBR ISO/IEC 27001:2013, Anexo A, se necessário. Uma coluna da tabela pode indicar se um controle é necessário para implementar a(s) opção(ões) de tratamento de risco ou se pode ser excluído. Uma próxima coluna pode conter a justificativa para a inclusão ou exclusão de um controle. Uma última coluna da tabela pode indicar o estado atual da implementação do controle. Colunas adicionais podem ser utilizadas, como para detalhes não requeridos pela ABNT NBR ISO/IEC 27001, mas usualmente útil para análises críticas posteriores; estes detalhes podem ser uma descrição mais detalhada de como o controle é implementado ou uma referência cruzada para uma descrição mais detalhada e informações documentadas ou políticas relevantes para a implementação do controle. Embora não seja um requisito específico da ABNT NBR ISO/IEC 27001, as organizações podem achar útil incluir responsabilidades para a execução de cada controle incluído na SoA. Orientações para formular um plano de tratamento de riscos de segurança da informação (6.1.3 e)) A ABNT NBR ISO/IEC 27001 não especifica uma estrutura ou conteúdo para o plano de tratamento de riscos de segurança da informação. No entanto, convém que o plano seja formulado a partir das saídas da 6.1.3 a) a c). Desse modo, convém que o plano documente para cada risco tratado: — a(s) opção(ões) de tratamento selecionada(s); — o(s) controle(s) necessário(s); e — o estado de implementação. Outros conteúdos úteis podem incluir: — o(s) proprietários(s) de risco; e — risco residual esperado após a implementação de ações. Se alguma ação for necessária pelo plano de tratamento de risco, então convém que seja planejada indicando responsabilidades e prazos (ver também 6.2); tal plano de ação pode ser representado por uma lista dessas ações. Um plano útil de tratamento de riscos de segurança da informação pode ser projetado como uma tabela ordenada por riscos identificados durante a avaliação de risco, mostrando todos os controles determinados. Como um exemplo, pode haver colunas nesta tabela que indicam os nomes das pessoas responsáveis pelo fornecimento dos controles. Colunas adicionais podem indicar a data de implementação do controle, informações sobre como se pretende que o controle (ou um processo) opere, e uma coluna sobre o estado de implementação pretendido. Como um exemplo para parte do processo de tratamento de risco, considera-se o furto de um telefone celular. As consequências são perda de disponibilidade e potencial divulgação não desejada de informações. Se a avaliação do risco mostrou que o nível de risco é fora do aceitável, a organização pode decidir alterar a probabilidade, ou alterar as consequências do risco. Para alterar a probabilidade de perda ou roubo de um telefone celular, a organização pode determinar que um controle adequado seja o de obrigar os funcionários, por meio de uma política de dispositivo móvel, a cuidar dos telefones móveis e verificar periodicamente se houve perda. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 22 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Para alterar a consequência da perda ou roubo de um telefone celular, a organização pode determinar controles como: — um processo de gestão de incidentes, para que os usuários possam comunicar a perda; — um gerenciamento de dispositivos móveis (MDM) para excluir o conteúdo do telefone em caso de perda; e — um plano de cópia de segurança de dispositivos móveis para recuperar o conteúdo do telefone. Ao preparar a sua SoA (6.1.3d)), a organização pode incluir seus controles escolhidos (política de dispositivos móveis e MDM), justificando sua inclusão com base em seu efeito de mudar a probabilidade e as consequências de perda ou roubo de telefone móvel, resultando em menor risco residual. Comparando-se estes controles com aqueles listados na ABNT NBR ISO/IEC 27001:2013, Anexo A (6.1.3 c)), pode-se verificar que a política de dispositivo móvel é alinhada com a ABNT NBR ISO/IEC 27001:2013, A.6.2.1, mas o controle de MDM não alinha diretamente e convém que seja considerado como um controle personalizado adicional. Se o MDM e outros controles forem determinados como controle(s) necessário(s) em um plano de tratamento de riscos de segurança da informação de uma organização, convém que eles sejam incluídosna SoA (ver “Diretrizes para a produção de uma SoA”, 6.1.3 d)). Se a organização pretende reduzir ainda mais o risco, ela pode considerar da ABNT NBR ISO/IEC 27001:2013, A.9.1.1 (política de controle de acesso) que não dispunha de controle de acesso a telefones móveis e modificar a sua política de dispositivo móvel para exigir o uso de PIN em todos os telefones móveis. Convém que isto seja então mais um controle para mudar as consequências de perda ou roubo de telefones móveis. Ao formular o seu plano de tratamento de riscos de segurança da informação (6.1.3 e)), convém que a organização inclua, então, ações para implementar a política de dispositivo móvel e o MDM e atribuir responsabilidades e prazos. Orientações para a obtenção de aprovação dos proprietários de risco (6.1.3 f)) Quando o plano de tratamento de riscos de segurança da informação é formulado, convém que a organização obtenha a autorização dos proprietários de risco. Convém que esta autorização seja baseada em critérios definidos de aceitação de risco, ou concessão justificada se houver qualquer desvio destes. Por meio de seus processos de gestão, convém que a organização registre a aceitação do proprietário de risco do risco residual e da aprovação da direção do plano. Como um exemplo, a aprovação do proprietário de risco pode ser documentada por meio de uma alteração do plano de tratamento de risco descrita nas orientações de 6.1.3 e) por colunas indicando a eficácia do controle, o risco residual, e a aprovação do proprietário de risco. Outras informações Informações adicionais sobre tratamento de risco podem ser encontrados na ABNT NBR ISO/IEC 27005 e na ABNT NBR ISO 31000. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 23 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados 6.2 Objetivos de segurança da informação e planejamento para alcançá-los Atividade requerida A organização estabelece objetivos de segurança da informação e planos para atingi-los em funções e níveis pertinentes. Explicação Objetivos de segurança da informação ajudam a implementar metas estratégicas de uma organização, assim como implementar a política de segurança da informação. Assim, em um SGSI são os objetivos de segurança da informação de confidencialidade, integridade e disponibilidade da informação. Os objetivos de segurança da informação também ajudam a definir e medir o desempenho de controles e processos de segurança da informação, em conformidade com a política de segurança da informação (ver 5.2). A organização planeja, estabelece e emite objetivos de segurança da informação para as funções e níveis pertinentes. Requisitos na ABNT NBR ISO/IEC 27001 sobre objetivos de segurança da informação se aplicam a todos os objetivos de segurança da informação. Se a política de segurança da informação contém objetivos, então é necessário que esses objetivos atendam aos critérios em 6.2. Se a política contém uma estrutura de definição de objetivos, então é necessário que os objetivos produzidos por estas estruturas atendam aos requisitos de 6.2. Requisitos a serem considerados ao definir objetivos são aqueles determinados ao compreender a organização e o seu contexto (ver 4.1), bem como as necessidades e expectativas das partes interessadas (ver 4.2). Os resultados das avaliações de risco e tratamentos de risco são usados como entrada para a análise crítica em curso de objetivos para assegurar que permaneçam adequados às circunstâncias de uma organização. Os objetivos de segurança da informação são entradas para avaliação de riscos: critérios de aceitação de riscos e critérios para a realização de avaliações de risco de segurança da informação (ver 6.1.2) consideram estes objetivos de segurança da informação e, portanto, asseguram que os níveis de risco sejam alinhados com eles. Os objetivos de segurança da informação de acordo com a ABNT NBR ISO/IEC 27001 são: a) consistentes com a política de segurança da informação; b) se possível mensuráveis; isto significando que é importante ser possível determinar se um objetivo foi respeitado ou não; c) conectados a requisitos de segurança da informação aplicáveis, e resultados da avaliação de risco e tratamento de risco; d) comunicados; e e) atualizados conforme adequado. A organização mantém informação documentada sobre os objetivos de segurança da informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 24 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Ao planejar como alcançar seus objetivos de segurança da informação, a organização determina: f) o que será feito; g) quais recursos serão necessários; h) quem será responsável; i) quando será concluído; e j) como os resultados serão avaliados. O requisito referido anteriormente sobre planejamento é genérico e aplicável a outros planos requeridos pela ABNT NBR ISO/IEC 27001. Planos a considerar para um SGSI incluem: — planos para melhoria do SGSI conforme descrito em 6.1.1 e 8.1; — planos para tratar riscos identificados conforme descrito em 6.1.3 e 8.3; e — quaisquer outros planos que sejam considerados necessários para uma execução eficaz (por exemplo, planos para desenvolvimento de competência e de aumento de conscientização, comunicação, avaliação de desempenho, auditorias internas e análise crítica pela direção). Orientações Convém que a política de segurança da informação informe os objetivos de segurança da informação ou forneça uma estrutura para a definição dos objetivos. Os objetivos de segurança da informação podem ser expressos de diversas maneiras. Convém que a expressão seja adequada para atender o requisito de ser mensurável (se possível) (ABNT NBR ISO/IEC 27001:2013, 6.2 b)). Por exemplo, objetivos de segurança da informação podem ser expressos em termos de: — valores numéricos com os seus limites, por exemplo, “não ir acima de um determinado limite”, e “alcançar o nível 4”; — as metas para medições de desempenho de segurança de informação; — as metas para medições da eficácia do SGSI (ver 9.1); — conformidade com a ABNT NBR ISO/IEC 27001; — conformidade com procedimentos do SGSI; — necessidade de concluir ações e planos; e — critérios de risco a serem cumpridos. As seguintes orientações se aplicam para os pontos referenciados na explicação: — ver 6.2 a). A política de segurança da informação especifica os requisitos de segurança da informação em uma organização. Convém que todos os outros requisitos específicos estabelecidos para as funções e níveis pertinentes sejam consistentes com eles. Se a política de segurança da D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 25 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados informação tiver objetivos de segurança da informação, logo convém que qualquer outro objetivo de segurança da informação específico seja ligado aos da política de segurança da informação. Se a política de segurança da informação só fornece a estrutura para a definição de objetivos, então convém que esta estrutura seja seguida e convém que ela assegure que os objetivos mais específicos estejam relacionados com os maisgenéricos; — ver 6.2 b). Nem todos os objetivos podem ser mensuráveis, mas fazer objetivos mensuráveis apoia realização e aperfeiçoamento. É altamente desejável ser possível descrever, qualitativamente ou quantitativamente, o grau em que o objetivo foi atingido. Por exemplo, para orientar prioridades para esforço adicional se os objetivos não foram atendidos, ou para fornecer compreensão sobre oportunidades para a melhoria da efetividade se os objetivos forem excedidos. Convém que seja possível compreender se eles foram alcançados ou não, como é determinada a realização dos objetivos, e se é possível determinar o grau de realização dos objetivos utilizando medições quantitativas. Convém que descrições quantitativas de realização de objetivo especifiquem como a medição associada é feita. Pode não ser possível determinar quantitativamente o grau de realização de todos os objetivos. A ABNT NBR ISO/IEC 27001 requer objetivos a serem mensuráveis, se possível; — ver 6.2 c). Convém que os objetivos de segurança da informação estejam alinhados com as necessidades de segurança da informação; por esta razão, convém que a avaliação de risco e resultados de tratamento sejam utilizados como entradas ao definir objetivos de segurança da informação; — ver 6.2 d). Convém que os objetivos de segurança da informação sejam comunicados às partes interessadas internas relevantes da organização. Eles também podem ser comunicados às partes interessadas externas, por exemplo, clientes, stakeholders, na medida em que eles precisem saber e sejam afetados por objetivos de segurança da informação; e — ver 6.2 e). Quando a segurança da informação precisa de mudança ao longo do tempo, convém que objetivos de segurança da informação relacionados sejam atualizados de acordo. Convém que a sua atualização seja comunicada, conforme requerido em d), para as partes interessadas internas e externas, conforme adequado. Convém que a organização planeje como alcançar seus objetivos de segurança da informação. A organização pode usar qualquer metodologia ou mecanismo que escolher para planejar a realização dos seus objetivos de segurança da informação. Pode haver um único plano de segurança de informação, um ou mais planos de projetos, ou ações incluídas em outros planos organizacionais. Independentemente da forma que o planejamento tomar, convém que os planos resultantes definam no mínimo (ver 6.2 f) a j)): — as atividades a serem realizadas; — os recursos necessários para se comprometer a executar as atividades; — as responsabilidades; — os prazos e metas de atividades; e — os métodos e medições para avaliar se os resultados atingem objetivos, o que inclui o momento destas avaliações. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 26 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados A ABNT NBR ISO/IEC 27001 requer que as organizações mantenham informação documentada sobre os objetivos de segurança da informação. Estas informações documentadas podem incluir: — planos, ações, recursos, responsabilidades, prazos e métodos de avaliação; e — requisitos, tarefas, recursos, responsabilidades, frequência de avaliação e métodos. Outras informações Nenhuma outra informação. 7 Apoio 7.1 Recursos Atividade requerida A organização determina e fornece os recursos para estabelecimento, implementação, manutenção e melhoria contínua do SGSI. Explicação Recursos são fundamentais para realizar qualquer tipo de atividade. Categorias de recursos podem incluir: a) pessoal para conduzir e operar as atividades; b) tempo para a realização de atividades e tempo para permitir que resultados se estabilizem antes de executar uma nova etapa; c) recursos financeiros para adquirir, desenvolver e implementar o que é necessário; d) informações para apoiar decisões, medir o desempenho de ações e melhorar o conhecimento; e e) infraestrutura e outros meios que possam ser adquiridos ou construídos, como tecnologia, ferramentas e materiais, independentemente de serem produtos de tecnologia da informação ou não. Estes recursos devem ser mantidos em linha com as necessidades do SGSI e, portanto, devem ser adaptados quando necessário. Orientações Convém à organização: f) estimar os recursos necessários para todas as atividades relacionadas com o SGSI em termos de quantidade e qualidade (capacidades e habilidades); g) adquirir os recursos conforme necessário; h) fornecer os recursos; i) manter os recursos em todos os processos e atividades específicas do SGSI; e D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 27 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados j) analisar criticamente os recursos fornecidos contra as necessidades do SGSI e ajustá-los con- forme necessário. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Outras informações Nenhuma outra informação. 7.2 Competência Atividade requerida A organização determina a competência de pessoas necessárias para o desempenho da segurança da informação e assegura que as pessoas são competentes. Explicação Competência é a habilidade de aplicar conhecimento e aptidões para obter resultados pretendidos. Ela é influenciada por conhecimento, experiência e sabedoria. Competência pode ser específica (por exemplo, sobre tecnologia ou áreas de gestão específicas como a gestão de riscos) ou geral (por exemplo, aptidões, confiabilidade e assuntos de tecnologia básica e administrativos). Competência se refere a pessoas que trabalham sob o controle da organização. Isto significa que convém que a competência seja gerida para pessoas que são funcionárias da organização e para outras pessoas, conforme necessário. Aquisição de novas ou maiores competências e aptidões pode ser obtida tanto internamente quanto externamente por meio de experiência, treinamento (por exemplo, cursos, seminários e workshops), mentoria, recrutamento ou contratação de pessoal externo. Para competência que é necessária apenas temporariamente - para uma atividade específica ou por um curto período de tempo, por exemplo, para cobrir falta temporária inesperada do pessoal interno – as organizações podem empregar ou contratar recursos externos, cuja competência deve ser descrita e verificada. Orientações Convém à organização: a) determinar a competência esperada para cada função dentro do SGSI e decidir se precisa ser documentada (por exemplo, em uma descrição de trabalho); b) atribuir as funções dentro do SGSI (ver 5.3) a pessoas com as competências requeridas, por meio: 1) da identificação de pessoas dentro da organização que tenham a competência (com base, por exemplo, em sua educação, experiência ou certificações); D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 28 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados 2) do planejamento e implementação de ações para que pessoas dentro da organização obte- nham a competência (por exemplo, por meio da provisãode treinamento, orientação, reatri- buição de responsabilidade de funcionários atuais); ou 3) do engajamento de novas pessoas que tenham a competência (por exemplo, por meio de contratação ou contratante); c) avaliar a eficácia das ações em 7.2 b); EXEMPLO 1 Considerar se as pessoas adquiriram a competência após o treinamento. EXEMPLO 2 Analisar a competência das pessoas recém-contratadas ou contratadas após algum tempo da sua chegada na organização. EXEMPLO 3 Verificar se o plano para adquirir novo pessoal foi concluído como esperado. d) verificar que as pessoas são competentes para suas funções; e e) assegurar que a competência evolui ao longo do tempo conforme necessário e que atende às expectativas. Informações documentadas apropriadas são requeridas como prova de competência. Convém à organização, portanto, conservar a documentação sobre as competências necessárias que afetam o desempenho da segurança da informação e como esta competência é atendida por pessoas relevantes. Outras informações Nenhuma outra informação. 7.3 Conscientização Atividade requerida As pessoas fazendo o trabalho sob o controle da organização são conscientizadas da política da segurança da informação, sua contribuição para a eficácia do SGSI, benefícios da melhora do desempenho da segurança da informação e as implicações de não conformidade com os requisitos do SGSI. Explicação A conscientização das pessoas trabalhando sob o controle da organização se refere à posse da necessária compreensão e motivação sobre o que é esperado delas em relaão à segurança da informação. Conscientização envolve pessoas que têm de conhecer, entender, aceitar e: a) apoiar os objetivos declarados na política de segurança da informação; e b) seguir as regras para desempenhar corretamente suas tarefas diárias em apoio à segurança da informação. Adicionalmente, as pessoas fazendo o trabalho sob o controle da organização precisam também saber, entender e aceitar as implicações de não conformidade com os requisitos do SGSI. As implicações podem ser consequências negativas para a segurança da informação ou repercussões para a pessoa. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 29 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Estas pessoas precisam estar conscientes de que existe uma política de segurança da informação e onde encontrar informações sobre ela. Muitos funcionários em uma organização não precisam saber o conteúdo detalhado da política. Em vez disso, convém que eles conheçam, entendam, aceitem e implementem os objetivos e requisitos de segurança da informação derivados da política que afeta o seu cargo. Estes requisitos podem ser incluídos nas normas ou procedimentos que se espera que sejam seguidos para fazer o seu trabalho. Orientações Convém à organização: c) preparar um programa com as mensagens específicas focadas em cada audiência (por exemplo, pessoas internas e externas); d) incluir as necessidades e expectativas da segurança da informação dentro dos materiais de treinamento e conscientização em outros tópicos para colocar as necessidades da segurança da informação em contextos operacionais relevantes; e) preparar um plano para comunicar mensagens a intervalos planejados; f) verificar o conhecimento e o entendimento de mensagens tanto no final de uma sessão de conscientização quanto aleatoriamente entre as sessões; e g) verificar se as pessoas atuam de acordo com as mensagens de comunicação e usar exemplos de “bons” ou “maus” comportamentos para reforçar a mensagem. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Outras informações Mais informações sobre a conscientização no campo de segurança da informação podem ser encontradas na ABNT NBR ISO/IEC 27002:2013, 7.2.2. 7.4 Comunicação Atividade requerida A organização determina as necessidades de comunicações internas e externas relacionadas ao SGSI. Explicação A comunicação é um processo-chave dentro de um SGSI. Comunicação adequada é necessária com as partes internas e externas interessadas (ver 4.2). A comunicação pode ser entre entidades internas interessadas em todos os níveis da organização ou entre a organização e entidades externas interessadas. A comunicação pode ser iniciada dentro da organização ou por uma das entidades externas interessadas. As organizações precisam determinar: — qual conteúdo precisa ser comunicado, por exemplo, as políticas de segurança da informa- ção, objetivos, procedimentos, suas mudanças, o conhecimento sobre os riscos de segurança D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 30 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados da informação, requisitos para fornecedores e retroalimentação sobre o desempenho da segu- rança da informações; — o momento preferível ou ideal para as atividades de comunicação; — quem deve ser envolvido em atividades de comunicação e qual é o público pretendido de cada esforço de comunicação; — quem vai iniciar atividades de comunicação, por exemplo, conteúdo específico pode requerer que a comunicação seja iniciada por uma pessoa específica ou organização; e — quais processos estão impulsionando ou iniciando atividades de comunicação, e quais processos são dirigidos ou atingidos por atividades de comunicação. A comunicação pode tomar parte de forma periódica ou conforme o surgimento da necessidade. Ela pode ser tanto proativa como reativa. Orientações Comunicação depende de processos, canais e protocolos. Convém que estes sejam escolhidos de modo a assegurar que a mensagem comunicada seja integralmente recebida, corretamente entendida e, quando relevante, postas em prática de forma apropriada. Convém que organizações determinem qual conteúdo precisa ser comunicado, como: a) planos e resultados da gestão de riscos às entidades interessadas conforme necessário e apro- priado, na identificação, análise, avaliação e tratamento dos riscos; b) objetivos de segurança da informação; c) objetivos de segurança da informação atingidos, incluindo aqueles que podem apoiar a sua posição no mercado (por exemplo, certificado ABNT NBR ISO/IEC 27001 concedido; declarando conformidade com leis de proteção de dados pessoais); d) incidentes ou crises, onde a transparência é frequentemente a chave para preservar e aumentar a confiança e a segurança na capacidade da organização de gerenciar sua segurança da infor- mação e de lidar com situações inesperadas; e) funções, responsabilidades e autoridade; f) a troca de informações entre funções e cargos conforme requerido pelos processos do SGSI; g) mudanças ao SGSI; h) outras questões identificadas pela análise crítica de controles e processos dentro do escopo do SGSI; i) questões (por exemplo, notificação de incidentes ou crises) que requerem comunicação com entidades regulamentares ou de outras entidades interessadas; e j) solicitações ou outras comunicações de partes externas, como clientes, potenciais clientes, usuários de serviços e autoridades. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/202016:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 31 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Convém que a organização identifique os requisitos de comunicação sobre questões relevantes, conforme a seguir: k) quem tem permissão para se comunicar externamente e internamente (por exemplo, em casos especiais como uma violação de dados), atribuindo a funções específicas com a autoridade apropriada. Por exemplo, agentes de comunicações oficiais podem ser estabelecidos com autoridade apropriada. Eles poderiam ser um agente de relações públicas para comunicação externa e um agente de segurança para comunicação interna; l) os gatilhos ou a frequência de comunicação (por exemplo, para a comunicação de um evento, o gatilho é a identificação do evento); m) o conteúdo de mensagens para as principais entidades interessadas (por exemplo, clientes, reguladores, público em geral, usuários internos importantes) com base no elevado nível de cenários de impacto. A comunicação pode ser mais eficaz se baseada em mensagens preparadas e pré-aprovadas por um nível apropriado de direção como parte de um plano de comunicação, o plano de resposta a incidentes ou o plano de continuidade de negócios; n) os destinatários pretendidos da comunicação; em alguns casos, convém que uma lista seja mantida (por exemplo, para comunicar mudanças em serviços ou crises); o) os meios de comunicação e canais. Convém que a comunicação utilize meios e canais dedicados, para se ter a certeza de que a mensagem é oficial e ostenta a autoridade apropriada. Convém que canais de comunicação abordem todas as necessidades para a proteção da confidencialidade e integridade da informação transmitida; e p) o processo projetado e o método para assegurar que as mensagens são enviadas e foram corre- tamente recebidas e compreendidas. Convém que as comunicações sejam classificadas e tratadas de acordo com os requisitos da organização. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b)). Outras informações Nenhuma outra informação. 7.5 Informação documentada 7.5.1 Geral Atividade requerida A organização inclui informação documentada no SGSI diretamente como requerido pela ABNT NBR ISO/IEC 27001, bem como determinado pela organização como sendo necessária para a eficácia do SGSI. Explicação Informações documentadas são necessárias para definir e comunicar objetivos, políticas, diretrizes, instruções, controles, processos e procedimentos de segurança da informação, e o que é esperado D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 32 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados que pessoas ou grupos de pessoas façam e como é esperado que elas se comportem. Informação documentada também é necessária para auditorias do SGSI e para manter um SGSI estável quando pessoas em funções-chave mudam. Além disso, é necessária informação documentada para gravação de ações, decisões e resultado(s) dos processos e controles de segurança da informação do SGSI. A informação documentada pode conter: — informações sobre objetivos, riscos, requisitos e normas de segurança da informação; — informações sobre processos e procedimentos a serem seguidos; e — registros de entrada (por exemplo, para análise crítica pela direção) e os resultados dos processos (incluindo planos e resultados de atividades operacionais). Existem muitas atividades dentro do SGSI que produzem informações documentadas que são utilizadas, na maioria das vezes, como uma entrada para outra atividade. A ABNT NBR ISO/IEC 27001 requer um conjunto obrigatório de informações documentadas e contém um requisito geral de que informações documentadas adicionais são necessárias se elas forem necessárias para a eficácia do SGSI. A quantidade de informação documentada necessária é muitas vezes relacionada ao tamanho da organização. No total, as informações documentadas adicionais e obrigatórias contém informações suficientes para permitir que os requisitos de avaliação de desempenho especificados na Seção 9 sejam executados. Orientações Convém que a organização determine que informação documentada é necessária para assegurar a eficácia do seu SGSI além de informações documentadas requeridas pela ABNT NBR ISO/IEC 27001. Convém que as informações documentadas estejam lá para cumprir o propósito. Informações factuais e “ao ponto” são o que é necessário. Exemplos de informações documentadas que podem ser determinadas pela organização a serem necessárias para assegurar a eficácia do seu SGSI são: — os resultados do estabelecimento de contexto (ver Seção 4); — as funções, responsabilidades e autoridades (ver Seção 5); — os relatos das diferentes fases da gestão de riscos (ver Seção 6); — os recursos determinados e fornecidos (ver 7.1); — a competência esperada (ver 7.2); — os planos e resultados de atividades de conscientização (ver 7.3); — os planos e resultados de atividades de comunicação (ver 7.4); — a informação documentada de origem externa que é necessária para o SGSI (ver 7.5.3); D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 33 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados — o processo para controle de informação documentada (ver 7.5.3); — as políticas, regras e diretivas para dirigir e executar atividades de segurança da informação; — processos e procedimentos usados para implementar, manter e melhorar o SGSI e o estado global de segurança de informação (ver Seção 9); — planos de ação; e — evidência dos resultados dos processos de SGSI (por exemplo, gestão de incidentes, controle de acesso, continuidade da segurança da informação, manutenção de equipamentos etc.). A informação documentada pode ser de origem interna ou externa. Outras informações Se a organização quer gerir sua informação documentada em um sistema de gestão de documentos, este pode ser construído de acordo com os requisitos da ABNT NBR ISO 30301. 7.5.2 Criando e atualizando Atividade requerida Durante a criação e a atualização de informações documentadas, a organização assegura sua identificação e descrição, formato e mídia, análise crítica e aprovação. Explicação A organização identifica em detalhes como as informações documentadas são melhor estruturadas e define uma abordagem de documentação adequada. Análise crítica e aprovação pela direção pertinente assegura que a informação documentada seja correta, adequada para o propósito, e em uma forma e detalhe adequados para o público-alvo. Análises críticas periódicas asseguram a adequação e suficiência contínuas das informações documentadas. Orientações Informação documentada pode ser mantida em qualquer forma, por exemplo, documentos tradicionais (em papel e em formato eletrônico), páginas de rede, bancos de dados, registros de computador, relatórios gerados por computador, áudio e vídeo. Além disso, informações documentadas podem consistir de especificações de intenções (por exemplo, a política de segurança da informação) ou registros de desempenho (por exemplo, os resultados de uma auditoria) ou uma mistura de ambos. As orientações a seguir se aplicam diretamente a documentos tradicionais e convém que sejaminterpretadas adequadamente quando aplicadas a outras formas de informação documentada. Convém que as organizações criem uma biblioteca estruturada de informação documentada, ligando diferentes partes de informação documentada por: a) determinação da estrutura da informação documentada; b) determinação da estrutura-padrão da informação documentada; c) fornecimento de modelos para diferentes tipos de informação documentada; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 34 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados d) determinação das responsabilidades para a preparação, aprovação, publicação e gestão da infor- mação documentada; e e) determinação e documentação do processo de análise crítica e aprovação para assegurar ade- quação e suficiência contínuas. Convém que as organizações definam uma abordagem de documentação que inclua atributos comuns a todos os documentos, que permitam identificação clara e única. Estes atributos normalmente incluem: tipo de documento (por exemplo, política, diretiva, regra, diretrizes, plano, forma, processo ou procedimento), propósito e escopo, título, data de publicação, classificação, número de referência, número de versão, e histórico de revisão. Convém que a identificação do autor e da(s) pessoa(s) atualmente responsável(is) pelo documento, sua aplicação e evolução, bem como o(s) aprovador(es) ou autoridade de aprovação sejam incluídos. Os requisitos de formato podem incluir definição de linguagens de documentação, formatos de arquivo, versão de software para trabalhar estes, e conteúdo gráfico adequados. Requisitos de mídia definem em qual mídia física e eletrônica convém que a informação esteja disponível. Convém que declarações e estilos de escrita sejam adaptados para o público e o alcance da documentação. Convém que a duplicação de informação em informação documentada seja evitada e que sejam usadas referências cruzadas em lugar de replicar a mesma informação em diferentes documentos. Convém que a abordagem de documentação assegure a análise crítica oportuna das informações documentadas e que todas as alterações de documentação sejam sujeitas à aprovação. Critérios de análise crítica adequados podem estar relacionados com o tempo (por exemplo, o período de tempo máximo entre análises críticas de documentos) ou relacionados com o conteúdo. Convém que critérios de aprovação sejam definidos, o que assegura que a informação documentada seja correta, adequada para o propósito, e em uma forma e detalhe adequados para o público-alvo. Outras informações Nenhuma outra informação. 7.5.3 Controle da informação documentada Atividade requerida A organização gerencia informação documentada em todo o seu ciclo de vida e a torna disponível onde e quando necessária. Explicação Uma vez aprovada, a informação documentada é comunicada ao seu público-alvo. A informação documentada é disponibilizada onde e quando for necessária, preservando a sua integridade, confidencialidade e relevância ao longo de todo o ciclo de vida. Observar que as atividades descritas como “aplicável” na ABNT NBR ISO/IEC 27001:2013, 7.5.3, precisam ser realizadas se puderem ser realizadas e são úteis, considerando as necessidades e expectativas da organização. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 35 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações Uma biblioteca estruturada de informações documentadas pode ser utilizada para facilitar o acesso à informação documentada. Convém que todas as informações documentadas sejam classificadas (ver ABNT NBR ISO/IEC 27001:2013, A.8.2.1) de acordo com o esquema de classificação da organização. Convém que informações documentadas sejam protegidas e tratadas de acordo com o seu nível de classificação (ver ABNT NBR ISO/IEC 27001:2013, A.8.2.3). Convém que um processo de gerenciamento de alterações para informação documentada assegure que apenas pessoas autorizadas tenham o direito de alterá-la e distribuí-la conforme necessário por meios adequados e predefinidos. Convém que informações documentadas sejam protegidas para assegurar que mantenham sua validade e autenticidade. Convém que informações documentadas sejam distribuídas e disponibilizadas para partes interessa- das autorizadas. Para isso, convém que a organização estabeleça quem são as partes interessadas relevantes para cada informação documentada (ou grupos de informação documentada), e os meios de uso para distribuição, acesso, recuperação e uso (por exemplo, uma página de rede com meca- nismos de controle de acesso adequadas). Convém que a distribuição cumpra quaisquer requisitos relacionados à proteção e ao tratamento de informações classificadas. Convém que a organização estabeleça o período adequado de retenção de informação documentada de acordo com sua validade pretendida e outros requisitos pertinentes. Convém que a organização assegure que as informações sejam legíveis durante seu período de retenção (por exemplo, utilizando formatos que possam ser lidos pelo software disponível, ou verificando se não houve alteração indevida no papel). Convém que a organização estabeleça o que fazer com informações documentadas após a expiração de seu período de retenção. Convém que a organização também gerencie informações documentadas de origem externa (ou seja, de clientes, parceiros, fornecedores, entidades reguladoras etc.). Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b)). Outras informações Nenhuma outra informação. 8 Operação 8.1 Planejamento operacional e controle Atividade requerida A organização planeja, implementa e controla os processos para atender seus requisitos de segu- rança da informação e para atingir seus objetivos de segurança da informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 36 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados A organização mantém informações documentadas conforme necessário para ter a confiança de que os processos sejam realizados conforme planejado. A organização controla alterações planejadas e analisa criticamente as consequências de alterações não desejadas, e garante que processos terceirizados sejam identificados, definidos e controlados. Explicação Os processos que uma organização usa para cumprir os seus requisitos de segurança de informação são planejados e, assim que implementados, controlados, principalmente quando são necessárias alterações. No desenvolvimento do planejamento do SGSI (ver 6.1 e 6.2), a organização realiza o planejamento operacional e as atividades necessários para implementar os processos para cumprir os requisitos de segurança da informação. Processos para atender aos requisitos de segurança da informação incluem: a) processos SGSI (por exemplo, análise crítica pela direção, auditoria interna); e b) processos requeridos para a implementação do plano de tratamento de riscos de segurança da informação. A implementação de planosresulta em processos executados e controlados. A organização continua a ser essencialmente responsável pelo planejamento e controle de quaisquer processos terceirizados para alcançar os seus objetivos de segurança da informação. Assim, a organização necessita: c) determinar processos terceirizados considerando os riscos de segurança da informação relacio- nados à terceirização; e d) assegurar que os processos terceirizados sejam controlados (ou seja, planejados, monitorados e analisados criticamente) de uma forma que forneça a garantia de que eles funcionem como previsto (também considerando os objetivos de segurança da informação e o plano de tratamento de riscos de segurança da informação). Após a implementação completa, os processos são gerenciados, controlados e analisados criticamente para assegurar que eles continuem a cumprir os requisitos determinados após a compreensão das necessidades e expectativas das partes interessadas (ver 4.2). Alterações do SGSI em operação podem ser planejadas ou podem ocorrer de forma não intencional. Sempre que a organização faz alterações ao SGSI (como resultado do planejamento ou de forma não intencional), ela avalia as consequências potenciais das alterações para controlar quaisquer efeitos adversos. A organização pode obter confiança sobre a eficácia da implementação de planos ao documentar atividades e usar informação documentada como entrada para processos de avaliação de desempenho especificados na Seção 9. A organização portanto estabelece a informação documentada requerida a ser mantida. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 37 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações Convém que os processos que foram definidos como resultado do planejamento descrito na Seção 6 sejam implementados, executados e verificados em toda a organização. Convém que os seguintes itens sejam considerados e implementados: e) processos que são específicos para a gestão de segurança da informação (como gestão de riscos, gerenciamento de incidentes, gestão da continuidade, auditorias internas, análises críticas pela direção); f) processos provenientes de controles de segurança da informação no plano de tratamento de riscos de segurança da informação; g) relatório de estruturas (conteúdo, frequência, formato, responsabilidades etc.) dentro da área de segurança da informação, por exemplo, relatórios de incidentes, relatórios sobre medição do cumprimento dos objetivos de segurança da informação, relatórios sobre atividades realizadas; e h) atender a estruturas (frequência, participantes, propósito e autorização) dentro da área de segurança da informação. Convém que atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização com os cargos e funções relevantes para gestão eficaz da área de segurança da informação. Para alterações planejadas, convém à organização: i) planejar sua implementação e atribuir tarefas, responsabilidades, prazos e recursos; j) implementar alterações de acordo com o plano; k) monitorar sua aplicação para confirmar que elas sejam implementadas de acordo com o plano; e l) coletar e reter informação documentada sobre a execução das alterações como prova de que elas foram realizadas conforme o planejado (por exemplo, com responsabilidades, prazos, avaliações de eficácia). Para alterações não intencionais observadas, convém à organização: m) analisar criticamente suas consequências; n) determinar se quaisquer efeitos adversos já ocorreram ou se podem ocorrer no futuro; o) planejar e implementar ações para mitigar os efeitos adversos conforme necessário; e p) coletar e reter informação documentada sobre alterações não intencionadas e ações tomadas para mitigar efeitos adversos. Se parte das funções ou processos da organização for terceirizada para fornecedores, convém à organização: q) determinar todos os relacionamentos de terceirização; r) estabelecer interfaces adequadas para os fornecedores; s) abordar questões relacionadas com a segurança da informação nos contratos de fornecedor; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 38 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados t) acompanhar e analisar criticamente os serviços de fornecedor para assegurar que eles sejam executados como pretendido e que riscos associados de segurança da informação cumpram os critérios de aceitação de riscos da organização; e u) gerenciar alterações aos serviços de fornecedor conforme necessário. Outras informações Nenhuma outra informação. 8.2 Avaliação de riscos de segurança da informação Atividade requerida A organização realiza avaliações de risco de segurança da informação e retém informação documen- tada sobre seus resultados. Explicação Ao realizar avaliações de risco de segurança da informação, a organização executa o processo definido em 6.1.2. Estas avaliações são executadas de acordo com uma programação definida previamente, ou em resposta a alterações significativas ou incidentes de segurança da informação. Os resultados das avaliações de risco de segurança da informação são mantidos em informações documentadas como prova de que o processo em 6.1.2 foi realizado conforme definido. Informação documentada de avaliações de risco de segurança da informação é essencial para tratamento de risco de segurança da informação e é importante para a avaliação de desempenho (ver Seção 9). Orientações Convém que as organizações tenham um plano para a realização de avaliações programadas de risco de segurança da informação. Quando ocorrerem quaisquer alterações significativas do SGSI (ou de seu contexto) ou incidentes de segurança da informação, convém que a organização determine: a) quais destas alterações ou incidentes exigem uma avaliação adicional de riscos de segurança da informação; e b) como essas avaliações são acionadas. Convém que o nível de detalhamento da identificação de riscos seja refinado passo a passo em mais iterações de avaliação de riscos de segurança da informação no contexto da melhoria contínua do SGSI. Convém que uma ampla avaliação de riscos de segurança da informação seja realizada pelo menos uma vez por ano. Outras informações A ABNT NBR ISO/IEC 27005 fornece orientações para a realização de avaliações de risco de segu- rança da informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 39 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados 8.3 Tratamento de riscos de segurança da informação Atividade requerida A organização implementa o plano de tratamento de riscos de segurança da informação e retém informação documentada sobre os resultados do tratamento de segurança da informação. Explicação A fim de tratar os riscos de segurança da informação, a organização precisa realizar o processo de tratamento de riscos de segurança da informação definido em 6.1.3. Durante a execução do SGSI, sempre que a avaliação de risco for atualizada de acordo com 8.2, a organização então aplica o tratamento de risco de acordo com 6.1.3 e atualiza o plano de tratamento de riscos. O planoatualizado de tratamento de risco é novamente implementado. Os resultados dos tratamentos de risco de segurança da informação são mantidos em informações documentadas como evidência de que o processo em 6.1.3 foi realizado conforme definido. Orientações Convém que o processo de tratamento de riscos de segurança da informação seja realizado após cada iteração do processo de avaliação de segurança da informação em 8.2 ou quando a implementação do plano de tratamento de risco, ou partes dela, falhar. Convém que o progresso da implementação do plano de tratamento de riscos de segurança da informação seja conduzido e monitorado por esta atividade. Outras informações Nenhuma outra informação. 9 Avaliação do desempenho 9.1 Monitoramento, medição, análise e avaliação Atividade requerida A organização avalia o desempenho de segurança da informação e a eficácia do SGSI. Explicação O objetivo do monitoramento e da medição é ajudar a organização a avaliar se o resultado pretendido da segurança da informação, incluindo as atividades de avaliação e tratamento de riscos, foi obtido como planejado. O monitoramento determina o estado de um sistema, um processo ou uma atividade, enquanto a medição é um processo para determinar um valor. Assim, o monitoramento pode ser obtido por meio de uma sucessão de medidas semelhantes sobre algum período de tempo. Para monitoramento e medição, a organização estabelece: a) o que monitorar e medir; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 40 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados b) quem monitora e mede, e quando; e c) métodos a serem usados, de modo a produzir resultados válidos (ou seja, comparáveis e reprodutíveis). Para análise e avaliação, a organização estabelece: d) quem analisa e avalia os resultados do monitoramento e da medição, e quando; e e) métodos a serem usados, de modo a produzir resultados válidos. Há dois aspectos da avaliação: f) avaliar o desempenho da segurança da informação, para determinar se a organização está fazendo conforme o esperado, o que inclui determinar o quanto os processos dentro do SGSI estão de acordo com suas especificações; e g) avaliar a eficácia do SGSI, para determinar se a organização está fazendo as coisas certas, o que inclui determinar a extensão em que os objetivos de segurança da informação são obtidos. Observar que “conforme aplicável” (ABNT NBR ISO/IEC 27001:2013, 9.1, b)) significa que se métodos de monitoramento, medição, análise e avaliação podem ser determinados, eles precisam ser determinados. Orientações Uma boa prática é definir a “necessidade de informação” ao planejar o monitoramento, medição, análise e avaliação. Uma necessidade de informação é geralmente expressa como uma questão ou declaração de segurança da informação de alto nível que ajuda a organização a avaliar o desempenho de segurança da informação e a eficácia do SGSI. Em outras palavras, convém que o monitoramento e a medição sejam realizados para obter uma necessidade de informação definida. Convém que cuidado seja tomado ao determinar os atributos a serem medidos. É impraticável, dispendioso e contraproducente medir muitos atributos, ou os atributos errados. Além dos custos de medição, análise e avaliação de vários atributos, existe a possibilidade de que questões-chave possam ser obscurecidas ou perdidas por completo. Existem dois tipos genéricos de medições: h) medições de desempenho, que expressam os resultados planejados nos termos das características da atividade planejada, como número de pessoal, obtenção de marcos, ou o grau em que controles de segurança da informação são implementados; e i) medições de eficácia, que expressam o efeito que a realização das atividades planejadas tem nos objetivos de segurança da informação da organização. Pode ser adequado identificar e atribuir funções distintas para os participantes no monitoramento, medição, análise e avaliação. Estas funções podem ser usuário de medição, planejador de medição, revisor de medição, proprietário de informação, coletor de informação, analista de informação e comu- nicador de informação de entrada ou saída de avaliação (ver ABNT NBR ISO/IEC 27004:2017, 6.5). As responsabilidades para monitoramento e medição e aquelas para análise e avaliação são normal- mente atribuídas a pessoas separadas de quem diferentes competências são requeridas. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 41 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Outras informações Monitoramento, medição, análise e avaliação são fundamentais para o sucesso de um SGSI eficaz. Há uma série de seções na ABNT NBR ISO/IEC 27001 que requerem explicitamente a determinação da eficácia de algumas atividades. Por exemplo, ABNT NBR ISO/IEC 27001:2013, 6.1.1 e), 7.2 c) ou 10.1 d). Informações adicionais podem ser encontradas na ABNT NBR ISO/IEC 27004, que fornece orienta- ções sobre o cumprimento dos requisitos da ABNT NBR ISO/IEC 27001:2013, 9.1. Em particular, ela se expande em todos os conceitos anteriormente mencionados, como, por exemplo, funções e res- ponsabilidades, e formas, e fornece inúmeros exemplos. 9.2 Auditoria interna Atividade requerida A organização realiza auditorias internas para fornecer informações sobre a conformidade do SGSI aos requisitos. Explicação Avaliação de um SGSI em intervalos planejados por meio de auditorias internas constitui uma garantia do estado do SGSI para a Alta Direção. A auditoria é caracterizada por um certo número de princípios: integridade; apresentação justa; devido cuidado profissional; confidencialidade; independência; e abordagem baseada em evidências (ver ABNT NBR ISO 19011). Auditorias internas fornecem informações sobre se o SGSI está em conformidade com os requisitos próprios da organização para seus SGSI, bem como com os requisitos da ABNT NBR ISO/IEC 27001. Os requisitos próprios da organização incluem: a) requisitos declarados na política e nos procedimentos de segurança da informação; b) requisitos produzidos pela estrutura para estabelecer objetivos de segurança da informação, incluindo os resultados do processo de tratamento de risco; c) requisitos legais e contratuais; e d) requisitos na informação documentada. Auditores também avaliam se o SGSI é efetivamente implementado e mantido. Um programa de auditoria descreve a estrutura global para um conjunto de auditorias, planejado para períodos específicos de tempo e direcionado para propósitos específicos. Isto é diferente de um plano de auditoria, que descreve as atividades e providências para uma auditoria específica. Critérios de auditoria são um conjunto de políticas, procedimentos ou requisitos usados como referência contra o qual evidências de auditoria são comparadas, isto é, os critérios de auditoria descrevem o que o auditor espera que esteja estabelecido. Uma auditoria interna pode identificar não conformidades, riscos e oportunidades. Não conformidades são geridas de acordo com os requisitos em 10.1. Riscos e oportunidades são geridos de acordo com os requisitos em 4.1 e 6.1. A organização é necessária para manter a informação documentada sobre o(s) programa(s) de audi- toria e resultados da auditoria. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO RIA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 42 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações Gerenciando um programa de auditoria Um programa de auditoria define a estrutura e as responsabilidades pelo planejamento, condução, acompanhamento e relatórios sobre as atividades individuais de auditoria. Como tal, convém que ele assegure que as auditorias realizadas sejam adequadas, tenham o escopo correto, minimizem o impacto nas operações da organização e mantenham a qualidade necessária das auditorias. Convém que um programa de auditoria também assegure a competência das equipes de auditoria, a manuten- ção adequada dos registros de auditoria, e o monitoramento e a análise crítica das operações, riscos e eficácia das auditorias. Além disso, convém que um programa de auditoria assegure que o SGSI (ou seja, todos os processos, funções e controles relevantes) seja auditado dentro de um período de tempo especificado. Finalmente, convém que um programa de auditoria inclua informação documen- tada sobre os tipos, duração, locais e o cronograma das auditorias. Convém que a amplitude e a frequência das auditorias internas sejam com base no tamanho e natureza da organização, assim como sobre a natureza, a funcionalidade, a complexidade e o nível de maturidade do SGSI (auditoria baseada em risco). Convém que a eficácia dos controles implementados seja examinada no escopo das auditorias internas. Convém que um programa de auditoria seja projetado para assegurar a cobertura de todos os controles necessários, e inclua a avaliação da eficácia dos controles selecionados ao longo do tempo. Convém que os controles-chave (de acordo com o programa de auditoria) sejam incluídos em cada auditoria em que controles implementados para gerenciar riscos menores possam ser controlados com menos frequência. Convém que o programa de auditoria também considere que convém que os processos e controles tenham estado em funcionamento há algum tempo para permitir a avaliação de evidências adequadas. Auditorias internas relativas a um SGSI podem ser realizadas de modo eficaz como uma parte de, ou em colaboração com, outras auditorias internas da organização. O programa de auditoria pode incluir auditorias relacionadas a um ou mais padrões de sistema de gestão, conduzidos separadamente ou em combinação. Convém que um programa de auditoria inclua informação documentada sobre: critérios de auditoria, métodos de auditoria, seleção de equipes de auditoria, processos para o tratamento de confidencia- lidade, segurança da informação, provisões de saúde e segurança para auditores, e outros assuntos semelhantes. Competência e avaliação de auditores Sobre competência e avaliação de auditores, convém à organização: e) identificar os requisitos de competência para seus auditores; f) selecionar auditores internos ou externos com a competência adequada; g) ter um processo em funcionamento para monitorar o desempenho de auditores e equipes de auditoria; e h) incluir pessoal em equipes de auditoria interna que tenham setores específicos adequados e conhecimentos de segurança da informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 43 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Convém que os auditores sejam selecionados considerando que convém que sejam competentes, independentes e treinados adequadamente. A seleção de auditores internos pode ser difícil para as pequenas empresas. Se os recursos e a competência necessários não estiverem disponíveis internamente, convém que auditores externos sejam nomeados. Quando as organizações usam auditores externos, convém que elas assegurem que eles tenham adquirido bastante conhecimento sobre o contexto da organização. Convém que esta informação seja fornecida pelo pessoal interno. Convém que as organizações considerem que funcionários internos atuando como auditores internos possam ser capazes de realizar auditorias detalhadas considerando o contexto da organização, mas possam não ter conhecimento suficiente sobre a realização de auditorias. Convém que as organizações, em seguida, reconheçam deficiências características e potenciais dos auditores internos versus externos e estabeleçam equipes de auditoria adequadas com conhecimento e competência necessários. Execução da auditoria Ao realizar a auditoria, convém que o líder da equipe de auditoria prepare um plano de auditoria considerando resultados de auditorias anteriores e a necessidade de acompanhamento de não conformidades anteriormente relatadas e riscos inaceitáveis. Convém que o plano de auditoria seja mantido como informação documentada e inclua critérios, escopo e métodos da auditoria. Convém que a equipe de auditoria analise criticamente: — a adequação e a eficácia dos processos e controles determinados; — o cumprimento de objetivos de segurança da informação; — a conformidade com os requisitos estabelecidos na ABNT NBR ISO/IEC 27001:2013, Seções 4 a 10; — a conformidade com os requisitos de segurança da informação próprios da organização; — a consistência da declaração de aplicabilidade em relação ao resultado do processo de tratamento de riscos de segurança da informação; — a consistência do plano de tratamento de riscos de segurança da informação com os riscos avaliados identificados e os critérios de aceitação de risco; — a relevância (considerando o tamanho e a complexidade da organização) das entradas e saídas da análise crítica pela direção; e — os impactos das saídas da análise crítica pela direção (incluindo necessidades de melhoria) na organização. A extensão e a confiabilidade do monitoramento disponível sobre a eficácia dos controles conforme produzidos pelo SGSI (ver 9.1) podem permitir que os auditores reduzam seus próprios esforços de avaliação, desde que confirmem a eficácia dos métodos de medição. Se o resultado da auditoria inclui não conformidades, convém que a auditada prepare um plano de ação para cada não conformidade a ser acordada com o líder da equipe de auditoria. Um plano de ação de acompanhamento normalmente inclui: i) descrição da não conformidade detectada; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 44 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados j) descrição da(s) causa(s) da não conformidade; k) descrição de correções a curto prazo e ação corretiva a longo prazo para eliminar uma não conformidade detectada dentro de um período estabelecido; e l) as pessoas responsáveis pela implementação do plano. Convém que relatórios da auditoria, com os resultados da auditoria, sejam distribuídos para a Alta Direção. Convém que resultados de auditorias anteriores sejam analisados criticamente e o programa de auditoria seja ajustado para gerenciar melhor as áreas que apresentam maiores riscos devidos à não conformidade. Outras informações Informações adicionais podem ser encontradas na ABNT NBR ISO 19011, que fornece orientações gerais sobre sistemas de gestão de auditoria, incluindo os princípios de auditoria, gerenciamento de um programa de auditoria e condução de auditorias de sistema de gestão. Ela também fornece orientações sobre a avaliação de competência de pessoas ou grupo de pessoas envolvidas na auditoria, incluindo a pessoa gerenciando o programa de auditoria,auditores e equipes de auditoria. Ademais, além das orientações contidas na ABNT NBR ISO 19011, informações adicionais podem ser encontradas em: a) ABNT NBR ISO/IEC 270071, que fornece orientações específicas sobre o gerenciamento de um programa de auditoria do SGSI, sobre a condução das auditorias, e sobre a competência dos auditores do SGSI; e b) ISO/IEC 27008, que fornece orientações sobre a avaliação dos controles de segurança da informação. 9.3 Análise crítica pela direção Atividade requerida A Alta Direção analisa criticamente o SGSI em intervalos planejados. Explicação O propósito da análise crítica pela direção é assegurar a continuidade da adequação, suficiência e eficácia do SGSI. A adequação se refere ao alinhamento contínuo com os objetivos da organização. Suficiência e eficácia se referem a projeto e incorporação organizacional adequados do SGSI, bem como a implementação eficaz de processos e controles que são dirigidos pelo SGSI. De forma global, a análise crítica pela direção é um processo realizado em vários níveis da organização. Estas atividades podem variar entre reuniões diárias, semanais ou mensais de unidade organizacional e simples discussões de relatórios. A Alta Direção é essencialmente responsável pela análise crítica pela direção, com entradas de todos os níveis da organização. 1 Segunda edição em preparação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 45 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações Convém que a Alta Direção exija e analise regularmente relatórios do desempenho do SGSI. Há muitas maneiras em que a direção pode analisar criticamente o SGSI, tal como receber e analisar criticamente medições e relatórios, comunicação eletrônica, atualizações verbais. As entradas-chave são os resultados das medidas de segurança da informação conforme descrito em 9.1, os resultados das auditorias internas descritas em 9.2, os resultados da avaliação de riscos e o estado do plano de tratamento de riscos. Ao analisar criticamente os resultados da avaliação de riscos de segurança da informação e o estado do plano de tratamento de riscos de segurança da informação, convém que a direção confirme que os riscos residuais satisfaçam aos critérios de aceitação de risco, e que o plano de tratamento de risco aborde todos os riscos relevantes e suas opções de tratamento de risco. Convém que todos os aspectos do SGSI sejam analisados criticamente pela direção em intervalos planejados, pelo menos anualmente, mediante a criação de horários adequados e itens de agenda em reuniões de gestão. Convém que SGSI novos ou menos maduros sejam analisados criticamente com mais frequência pela direção para obter mais eficácia. Convém que a agenda da análise crítica pela direção considere os seguintes tópicos: a) o estado das ações das análises críticas anteriores pela direção; b) as alterações em questões externas e internas (ver 4.1) que são relevantes ao SGSI; c) a retroalimentação sobre o desempenho de segurança da informação, incluindo tendências, em: 1) não conformidades e ações corretivas; 2) resultados de monitoramento e medição; 3) resultados de auditoria; e 4) cumprimento de objetivos de segurança da informação. d) a retroalimentação de partes interessadas, incluindo sugestões de melhorias, solicitações de alterações e queixas. e) os resultados da(s) avaliação(ões) de riscos de segurança da informação e o estado do plano de tratamento de riscos de segurança da informação; f) as oportunidades para melhoria contínua, incluindo melhorias de eficiência tanto do SGSI quanto de controles de segurança da informação. Convém que entradas para a análise crítica da direção estejam em um nível de detalhe adequado, de acordo com os objetivos estabelecidos para a direção envolvida na análise crítica. Por exemplo, convém que a Alta Direção avalie apenas um resumo de todos os itens, de acordo com os objetivos de segurança da informação ou de objetivos de alto nível. Convém que as saídas do processo de análise crítica pela direção incluam decisões relacionadas a oportunidades de melhoria contínua e quaisquer necessidades de alterações do SGSI. Elas também podem incluir evidências de decisões referentes a: g) alterações na política e nos objetivos de segurança da informação, por exemplo, impulsionadas por mudanças nas questões externas e internas e requisitos das partes interessadas; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 46 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados h) alterações nos critérios de aceitação de riscos e nos critérios para a realização de avaliações de riscos de segurança da informação (ver 6.1.2); i) ações, se necessárias, após avaliação do desempenho de segurança da informação; j) alterações de recursos ou orçamento para o SGSI; k) plano de tratamento de riscos de segurança da informação ou declaração de aplicabilidade atualizados; e l) melhorias necessárias de atividades de monitoramento e medição. Informação documentada de análise crítica da direção é necessária. Convém que ela seja mantida para demonstrar que foi dada consideração a (pelo menos) todas as áreas listadas na ABNT NBR ISO/IEC 27001, mesmo nos casos em que for decidido que nenhuma ação é necessária. Quando várias análises críticas pela direção são feitas em diferentes níveis da organização, convém que elas sejam ligadas entre si de forma adequada. Outras informações Nenhuma outra informação. 10 Melhoria 10.1 Não conformidade e ação corretiva Atividade requerida A organização reage às não conformidades, as analisa e realiza correções bem como ações corretivas se necessário. Explicação Uma não conformidade é um não atendimento a um requisito do SGSI. Requisitos são necessidades ou expectativas que são declaradas, implícitas ou obrigatórias. Existem vários tipos de não conformidades como: a) falha no atendimento a um requisito (completamente ou parcialmente) da ABNT NBR ISO/IEC 27001 no SGSI; b) falha na correta implementação ou cumprimento a um requisito, regra ou controle declarado pelo SGSI; e c) falha parcial ou total no cumprimento dos requisitos legais, contratuais ou acordados com o cliente. Não conformidades podem ser, por exemplo: d) pessoas não se comportando como esperado pelos procedimentos e políticas; e) fornecedores não fornecendo produtos ou serviços conforme acordado; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 47 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados f) projetos não entregando os resultados esperados; e g) controles não sendo executados de acordo com o projeto. Não conformidades podem ser reconhecidas por: h) deficiências das atividades desempenhadas no âmbito do sistema de gestão; i) controles ineficazes que não são solucionados apropriadamente; j) análise de incidentes de segurança da informação, mostrando o não atendimento a um requisito do SGSI; k) queixas de clientes; l) alertas de usuários ou fornecedores; m) monitoramento e resultados de medição que não cumpram os critérios de aceitação; e n) objetivos não alcançados. Correçõesus iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA v ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Prefácio Nacional A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalização. Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da ABNT Diretiva 3. A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996). Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência sobre qualquer Documento Técnico ABNT. Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT. A ABNT NBR ISO/IEC 27003 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-021), pela Comissão de Estudo de Técnicas de Segurança (CE-021:000.027). O Projeto de Revisão circulou em Consulta Nacional conforme Edital nº 03, de 16.03.2020 a 14.04.2020. A ABNT NBR ISO/IEC 27003 é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/IEC 27003:2017, que foi elaborada pelo Technical Committee Information techonology (ISO/JTC 1), Subcommittee Information security, cybersecurity and privacy protection (SC 27). A ABNT NBR ISO/IEC 27003:2020 cancela e substitui a ABNT NBR ISO/IEC 27003:2011 Versão corrigida: 2015, a qual foi tecnicamente revisada. O Escopo da ABNT NBR ISO/IEC 27003 em inglês é o seguinte: Scope This document provides explanation and guidance on ABNT NBR ISO/IEC 27001:2013. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA vi ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Introdução Este documento fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na ABNT NBR ISO/IEC 27001 e fornece recomendações (‘Convém que’), possibilidades (‘pode’) e permissões (‘pode’) em relação a eles. Não é a intenção deste documento fornecer orientações gerais sobre todos os aspectos de segurança da informação. As Seções 4 a 10 deste documento espelham a estrutura da ABNT NBR ISO/IEC 27001:2013. Este documento não adiciona quaisquer novos requisitos para um SGSI e seus termos e definições relacionados. Convém que as organizações consultem a ABNT NBR ISO/IEC 27001 e a ISO/IEC 27000 para requisitos e definições. As organizações implementando um SGSI não estão sob qualquer obrigação de observar as orientações deste documento. Um SGSI enfatiza a importância das seguintes fases: — compreender as necessidades da organização e a necessidade de estabelecer política de segu- rança da informação e objetivos de segurança da informação; — avaliar a organização, e os riscos relacionados à segurança da informação; — implementar e operar processos, controles e outras medidas de segurança da informação para o tratamento de riscos; — fiscalizar e analisar o desempenho e a eficácia do SGSI; e — praticar melhoria contínua. Um SGSI, semelhante a qualquer outro tipo de sistema de gestão, inclui os seguintes componentes principais: a) política; b) pessoal com responsabilidades definidas; c) processos de gestão relacionados com: 1) estabelecimento de política; 2) provisão de conscientização e competência; 3) planejamento; 4) implementação; 5) operação; 6) avaliação de desempenho; 7) análise crítica pela direção; e 8) melhoria; e d) informação documentada. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA vii ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Um SGSI tem componentes principais adicionais, como: e) avaliação de riscos de segurança da informação; e f) tratamento de riscos de segurança da informação, incluindo a determinação e a implementação de controles. Este documento é genérico e se destina a ser aplicável a todas as organizações, independentemente do tipo, tamanho ou natureza. Convém que a organização identifique que parte destas orientações se aplica a ela de acordo com o seu contexto organizacional específico (ver ABNT NBR ISO/IEC 27001:2013, Seção 4). Por exemplo, algumas orientações podem ser mais adequadas para grandes organizações, mas para organizações muito pequenas (por exemplo, com menos de dez pessoas) algumas das orientações podem ser desnecessárias ou inadequadas. As descrições das Seções 4 a 10 são estruturadas da seguinte forma: — Atividade necessária: apresenta as principais atividades necessárias na subseção correspon- dente da ABNT NBR ISO/IEC 27001; — Explicação: explica o que os requisitos da ABNT NBR ISO/IEC 27001 demandam; — Orientações: fornece informações mais detalhadas ou de apoio para implementar a “atividade necessária”, incluindo exemplos para implementação; e — Outras informações: fornece mais informações que podem ser consideradas. As ABNT NBR ISO/IEC 27003, ABNT NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 formam um conjunto de documentos que dão suporte e orientações para a ABNT NBR ISO/IEC 27001:2013. Dentre esses documentos, a ABNT NBR ISO/IEC 27003 é um documento básico e abrangente que fornece orientações para todos os requisitos da ABNT NBR ISO/IEC 27001, mas não tem descrições detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. As ABNT NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 focam em conteúdos específicos e fornecem orientações mais detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. Existem várias referências explícitas à informação documentada na ABNT NBR ISO/IEC 27001. No entanto, uma organização pode reter informações documentadas adicionais que considera necessárias para a eficácia do seu sistema de gestão como parte de sua resposta à ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Nestes casos, este documento usa a frase “Informação documentada sobre esta atividade e o seu resultado é mandatório somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b)”.D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA D oc um en to im pr es so e m 2 3/ 12visam atender a não conformidade imediatamente e a lidar com as suas consequências (ABNT NBR ISO/IEC 27001:2013, 10.1 a)). Ações corretivas visam eliminar a causa de uma não conformidade e evitar a reincidência (ABNT NBR ISO/IEC 27001:2013, 10.1 b) a g)). Observar que como “conforme aplicável” (ABNT NBR ISO/IEC 27001:2013, 10.1 a)) significa que se uma ação para controlar e corrigir uma não conformidade pode ser tomada, então precisa ser tomada. Orientações Os incidentes de segurança da informação não implicam necessariamente na existência de uma não conformidade, mas podem ser um indicador de uma não conformidade. Auditoria interna e externa e reclamações dos clientes são outras fontes importantes que ajudam a identificar as não conformidades. Convém que a reação à não conformidade seja baseada em um processo de manuseio definido. Convém que o processo inclua: — identificar a medida e o impacto da não conformidade; — decidir sobre as correções a fim de limitar o impacto da não conformidade. As correções podem incluir a troca para o estado prévio, à prova de falhas ou outros apropriados. Convém que sejam tomadas precauções para que as correções não piorem a situação; — comunicação com o pessoal relevante para assegurar que as correções sejam executadas; — execução de correções conforme decidido; — monitoramento da situação para assegurar que as correções tiveram o efeito pretendido e não têm produzido efeitos secundários não intencionais; — atuação continuada para corrigir a não conformidade se ele ainda não estiver remediado; e — comunicação com outras partes interessadas relevantes, conforme apropriado. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 48 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Como um resultado global, convém que o tratamento do processo seja conduzido a um estado gerenciado relacionado à não conformidade e às consequências associadas. No entanto, as correções por si só não impedem necessariamente a reincidência de não conformidade. Ações corretivas podem ocorrer após, ou em paralelo com as correções. Convém que sejam realizados os passos do processo a seguir: 1) decidir se existe a necessidade de efetuar uma ação corretiva, em conformidade com o critério estabelecido (por exemplo, impacto da repetitividade da não conformidade etc.); 2) análise crítica da não conformidade, considerando: — se não conformidades semelhantes foram registradas; — todas as consequências e efeitos secundários causados pela não conformidade; e — as correções tomadas. 3) desempenhar uma profunda análise de causa da não conformidade, considerando: — o que ocorreu errado, o gatilho específico ou situação que levou à não conformidade (por exemplo, erros determinados por pessoas, métodos, processos ou procedimentos, hardware ou ferramentas de software, medições erradas, ambiente); e — padrões e critérios que possam ajudar a identificar situações semelhantes no futuro. 4) efetuar uma análise das potenciais consequências sobre o SGSI, considerando: — se não conformidades semelhantes existem em outras áreas, por exemplo, pelo uso dos padrões e critérios encontrados durante a análise de causa; e — se outras áreas correspondem aos padrões ou critérios identificados, de modo que seja apenas uma questão de tempo até que uma não conformidade semelhante ocorra. 5) determinar as ações necessárias para corrigir a causa, avaliando se são proporcionais às consequências e impacto da não conformidade, e conferir se eles não têm efeitos secundários que possam levar a outras não conformidades ou a novos riscos de segurança da informação significativos; 6) planejar as ações corretivas, dando prioridade, se possível, para áreas onde há maior proba- bilidade de recorrência e consequências mais significativas da não conformidade. Convém que o planejamento inclua uma pessoa responsável para uma ação corretiva e um prazo para a sua implementação; 7) implementar as ações corretivas de acordo com o plano; e 8) avaliar as ações corretivas para determinar se elas têm realmente tratado a causa da não conformidade, e se elas tem impedido não conformidades relacionadas de ocorrer. Convém que esta avaliação seja imparcial e baseada em evidências e documentada. Convém também que ela seja comunicada às funções apropriadas e partes interessadas. Como um resultado de correções e ações corretivas, é possível que novas oportunidades de melhoria sejam identificadas. Convém que estas sejam tratadas em conformidade (ver 10.2). D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 49 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados É requerido que sejam retidas informações documentadas o suficiente para demonstrar que a organi- zação tenha atuado apropriadamente para atender a não conformidade e tem lidado com as consequên- cias relacionadas. Convém que todos os passos significativos de gestão da não conformidade (par- tindo da descoberta e correções) e, se iniciada, a gestão de ação corretiva (análise de causa, análise crítica, decisão sobre a implementação das ações, análise crítica e mudança das decisões feitas para o próprio SGSI) sejam documentadas. As informações documentadas também são requeridas para incluir evidências de que as ações tomadas obtiveram ou não os efeitos pretendidos. Algumas organizações mantêm registos para rastrear as não conformidades e ações corretivas. Pode haver mais do que um registro (por exemplo, um para cada área funcional ou processo) e em diferentes mídias (papel, arquivo, aplicativo etc.). Se este for o caso, então convém que eles sejam estabelecidos e controlados como as informações documentadas e que permitam uma análise crítica abrangente de todas as não conformidades e ações corretivas para assegurar a correta análise da necessidade de ações. Outras informações A ABNT NBR ISO/IEC 27001 não declara explicitamente quaisquer requisitos para “ação preventiva”. Isto é porque uma das principais finalidades de um sistema de gestão formal é atuar como um instrumento preventivo. Consequentemente, o texto comum usado nas normas de sistema de gestão ISO requer uma avaliação da organização “questões internas e externas que são relevantes para a sua finalidade e que afetam a sua habilidade para obter o(s) resultado(s) pretendido(s)” em 4.1, e “determinar os riscos e as oportunidades que precisam ser consideradas para: garantir que o SGSI pode obter o(s) resultado(s) pretendido(s); evitar ou atenuar os efeitos indesejáveis; e obter melhorias contínuas.” em 6.1. Estes dois conjuntos de requisitos são considerados para cobrir o conceito de “ação preventiva”, e também para adotar uma perspectiva mais ampla que analisa os riscos e oportunidades. 10.2 Melhoria contínua Atividade requerida A organização melhora continuadamente a aptidão, adequação e eficácia do SGSI. Explicação Organizações e seus contextos nunca são estáticos. Além disso, os riscos para os sistemas de informação, e as maneiras pelas quais eles podem ser comprometidos, estão evoluindo rapidamente. Por último, nenhum SGSI é perfeito; há sempre uma maneira em que ele pode ser melhorado, mesmo se a organização e o seu contexto não estiverem mudando. Como um exemplo de melhorias não relacionadas com as não conformidades ou riscos, a avaliação de um elemento do SGSI (em termos de aptidão, adequação e eficácia) pode mostrar que ele excede os requisitosdo SGSI ou carece de eficácia. Se isso acontecer, então pode ser uma oportunidade para melhorar o SGSI pela alteração do elemento avaliado. Uma abordagem sistemática usando melhoria contínua resulta em um SGSI mais eficaz, que irá melhorar a segurança da informação da organização. A gestão da segurança da informação orienta as atividades operacionais da organização a fim de evitar que sejam muito reativas, ou seja, que a maioria dos recursos seja utilizada para encontrar problemas e para atender a estes problemas. O SGSI está trabalhando sistematicamente por meio da melhoria contínua de forma que a organização possa ter uma abordagem mais proativa. A Alta Direção pode estabelecer objetivos de melhoria contínua, por exemplo, por meio de medições de eficácia, custo ou da maturidade do processo. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 50 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Como consequência, a organização trata os seus SGSI como uma parte viva das operações de negó- cios, em evolução e aprendizagem. Para que o SGSI continue com as mudanças, ele é avaliado de forma periódica quanto à sua aptidão a finalidade, eficácia, e alinhamento com os objetivos da orga- nização. Não há nada a ser tomado como concedido, e nada está a ser considerado como “fora dos limites” simplesmente porque ele era bom o suficiente quando foi implementado. Orientações Convém que a melhoria contínua do SGSI implique que o SGSI em si e todos os seus elementos sejam avaliados considerando questões internas e externas (4.1), requisitos de partes interessadas (4.2) e resultados da avaliação de desempenho (Seção 9). Convém que a avaliação inclua uma análise de: a) adequação do SGSI, considerando se as questões externas e internas, requisitos das partes interessadas, objetivos de segurança da informação estabelecidos e riscos de segurança da informação identificados são propriamente atendidos por meio de planejamento e implementação do SGSI e de controles de segurança da informação; b) suficiência do SGSI, considerando se os processos do SGSI e os controles de segurança da informação são compatíveis com os propósitos, atividades e processos globais da organização; e c) eficácia do SGSI, considerando se o(s) resultado(s) pretendido(s) do SGSI são obtidos, os requisitos das partes interessadas são atendidos, os riscos de segurança da informação são gerenciados para atender aos objetivos de segurança da informação, não conformidades são gerenciadas, enquanto recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do SGSI são consistentes com os resultados. A avaliação também pode incluir uma análise da eficiência do SGSI e seus elementos, considerando se a sua utilização dos recursos é apropriada, se há um risco de que a falta de eficiência pode levar à perda de eficácia ou se há oportunidades para aumentar a eficiência. Oportunidades de melhoria também podem ser identificadas ao gerenciar não conformidades e ações corretivas. Uma vez que as oportunidades de melhoria forem identificadas, convém à organização, de acordo com 6.1.1: d) avaliar para estabelecer se vale a pena prosseguir; e) determinar as mudanças para o SGSI e seus elementos a fim de obter a melhoria; f) planejar e implementar as ações para atender às oportunidades, garantindo que os benefícios sejam realizados e as não conformidades não ocorram; e g) avaliar a eficácia das ações. Convém que estas ações sejam consideradas como um subconjunto de ações para atender aos riscos e oportunidades descritos em 6.1.1. Outras informações Nenhuma outra informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 51 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Anexo A (informativo) Estrutura de política O Anexo A fornece orientações sobre a estrutura da documentação que inclui a política de segurança da informação. Em geral, uma política é uma declaração de intenções e direções de uma organização formalmente expressa pela sua Alta Direção (ver ISO/IEC 27000:2016, 2.84). O conteúdo de uma política dirige ações e decisões referentes ao tópico da política. Uma organização pode ter um número de políticas; uma para cada uma das áreas de atividade que são importantes para a organização. Algumas políticas são independentes uma da outra, enquanto outras políticas têm uma relação hierárquica. Normalmente, uma organização tem uma política geral, por exemplo, código de conduta, ao nível mais alto da hierarquia política. A política geral é apoiada por outras políticas que consideram diferentes tópicos e pode ser aplicável a áreas específicas ou funções da organização. A política de segurança da informação é uma dessas políticas específicas. A política de segurança da informação é apoiada por uma série de políticas de tópicos específicos relacionados com aspectos da segurança da informação. Um número destas é discutido na ABNT NBR ISO/IEC 27002, por exemplo, a política de segurança da informação pode ser apoiada por políticas de controle de acesso, classificação (e tratamento) de informação, segurança física e ambiental, tópicos orientados para o usuário final, entre outros. Camadas adicionais de políticas podem ser adicionadas. Este arranjo é mostrado na Figura A.1. Observar que algumas organizações usam outros termos para documentos de política de tópicos específicos, como “normas”, “diretivas” ou “regras”. Políticas gerais de alto nível: códigos de conduta etc. Política de segurança da informação Políticas de tópico específico, por exemplo: política de controle de acesso, política de mesa limpa e tela limpa, política de cópia de segurança, política de controle criptográfico Figura A.1 – Hierarquia de políticas A ABNT NBR ISO/IEC 27001 requer que as organizações tenham uma política de segurança da informação. No entanto, ela não especifica qualquer relação em particular entre esta política e outras políticas da organização. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 52 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados O conteúdo das políticas é baseado no contexto em que uma organização opera. Especificamente, convém que os seguintes itens sejam considerados ao desenvolver qualquer política dentro da estru- tura de política: 1) as metas e os objetivos da organização; 2) as estratégias adotadas para alcançar os objetivos da organização; 3) a estrutura e os processos adotados pela organização; 4) as metas e os objetivos associados com o tema da política; 5) os requisitos de políticas de alto nível relacionadas; e 6) o grupo-alvo a ser dirigido pela política. Isto é mostrado na Figura A.2. Política em um tópico As estratégias da organização O grupo-alvo a ser direcionado pela política As metas e os objetivos de alto nível da organização Requisitos em políticas de nível mais alto Estrutura e processos da organização Metas e objetivos da organização na área da política Figura A.2 – Entradas para o desenvolvimento de uma política As políticas podem ter a seguinte estrutura: a) Administrativo - título da política,versão, data de publicação/validade, histórico de alterações, proprietário(s) e aprovador(es), classificação, público-alvo etc.; b) Sumário da política - uma visão geral em uma ou duas sentenças (esta às vezes pode ser juntada com a introdução); c) Introdução - uma breve explicação do tópico da política; d) Escopo - descreve as áreas ou atividades de uma organização que são afetadas pela política. Se pertinente, a seção do escopo lista outras políticas que são apoiadas pela política; e) Objetivos - descreve o intento da política; f) Princípios - descreve as regras sobre as ações e decisões para atingir os objetivos. Em alguns casos, pode ser útil identificar os processos-chave associados com o tópico da política e então as regras para operar os processos; g) Responsabilidades - descreve quem é responsável por ações para atender aos requisitos da política. Em alguns casos, isto pode incluir uma descrição de arranjos organizacionais assim como as responsabilidades e autoridade de pessoal com funções designadas; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 53 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados h) Resultados-chave - descreve os resultados de negócios caso os objetivos sejam atendidos. Em alguns casos, esta pode ser juntada com os objetivos; i) Políticas relacionadas - descreve outras políticas relevantes ao alcance dos objetivos, usualmente fornecendo detalhes adicionais sobre tópicos específicos; e j) Requisitos da política - descreve detalhadamente os requisitos da política. O conteúdo da política pode ser organizado em uma variedade de modos. Por exemplo, organizações que colocam ênfase em funções e responsabilidades podem simplificar a descrição de objetivos, e aplicar os princípios especificamente à descrição das responsabilidades. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 54 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Bibliografia [1] ABNT NBR ISO 19011, Diretrizes para auditoria de sistemas de gestão [2] ABNT NBR ISO/IEC 27002:2013, Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação [3] ABNT NBR ISO/IEC 27003:2011, Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação [4] ABNT NBR ISO/IEC 27004:2016, Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Monitoramento, medição, análise e avaliação [5] ABNT NBR ISO/IEC 27005, Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação [6] ABNT NBR ISO/IEC 27007, Tecnologia da informação – Técnicas de segurança – Diretrizes para auditoria de sistemas de gestão da segurança da informação [7] ISO/IEC/TS 27008, Information technology – Security techniques – Guidelines for the assessment of information security controls [8] ABNT NBR ISO 30301, Informação e documentação – Sistemas de gestão de documentos de arquivo – Requisitos [9] ABNT NBR ISO 31000, Gestão de riscos – Diretrizes D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA/2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA ABNT NBR ISO/IEC 27003:2020NORMA BRASILEIRA 1© ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações 1 Escopo Este documento fornece explicações e orientações sobre a ABNT NBR ISO/IEC 27001:2013. 2 Referências normativas Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas). ISO/IEC 27000:2016, Information technology – Security techniques – Information security management systems – Overview and vocabulary ABNT NBR ISO/IEC 27001:2013, Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos 3 Termos e definições Para os efeitos deste documento, aplicam-se os termos e definições da ISO/IEC 27000:2016. A ISO e a IEC mantêm bases de dados terminológicos para uso na padronização nos seguintes endereços: — IEC Electropedia: disponível em http://www.electropedia.org/ — Plataforma de navegação online ISO: disponível em http://www.iso.org/obp 4 Contexto da organização 4.1 Entendendo a organização e seu contexto Atividade requerida A organização determina questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o(s) resultado(s) pretendido(s) do sistema de gestão da segurança da informação (SGSI). Explicação Como uma função integrante do SGSI, a organização analisa constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 2 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados A análise destas questões tem três objetivos: — entender o contexto a fim de decidir o escopo do SGSI; — analisar o contexto para determinar riscos e oportunidades; e — assegurar que o SGSI esteja adaptado para mudar questões externas e internas. Questões externas são aquelas que estão fora do controle da organização. Isso é frequentemente referido como o ambiente da organização. A análise deste ambiente pode incluir os seguintes aspectos: a) social e cultural; b) político, jurídico, normativo e regulatório; c) financeiro e macroeconômico; d) tecnológico; e) natural; e f) competitivo. Estes aspectos do ambiente da organização apresentam continuamente questões que afetam a segu- rança da informação e como a segurança da informação pode ser gerida. As questões externas rele- vantes dependem da situação e das prioridades específicas da organização. Por exemplo, questões externas para uma organização específica podem incluir: g) implicações legais do uso de um serviço de TI terceirizado (aspecto legal); h) características da natureza em termos de possibilidade de desastres como incêndios, inundações e terremotos (aspecto natural); i) avanços técnicos de ferramentas de invasão e uso de criptografia (aspecto tecnológico); e j) demanda geral por serviços da organização (aspectos sociais, culturais ou financeiros). Questões internas estão sujeitas ao controle da organização. A análise das questões internas pode incluir os seguintes aspectos: k) cultura da organização; l) políticas, objetivos e estratégias para alcançá-los; m) governança, estrutura organizacional, funções e responsabilidades; n) normas, diretrizes e modelos adotados pela organização; o) relações contratuais que podem afetar diretamente os processos da organização incluídos no escopo do SGSI; p) processos e procedimentos; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 3 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados q) capacidades, em termos de recursos e de conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); r) infraestrutura e ambiente físicos; s) sistemas de informação, fluxos de informação e processos de tomada de decisão (ambos formal e informal); e t) auditorias anteriores ou resultados de análise de riscos anteriores. Os resultados desta atividade são usados em 4.3, 6.1 e 9.3. Orientações Com base em um entendimento da finalidade da organização (por exemplo, se referindo a sua declaração de missão ou plano de negócios), bem como o(s) resultado(s) pretendido(s) do SGSI da organização, convém para a organização: — analisar criticamente o ambiente externo para identificar questões externas relevantes; e — analisar criticamente os aspectos internos para identificar questões internas relevantes. A fim de identificar questões relevantes, a seguinte pergunta pode ser feita: Como uma determinada categoria de questões (ver 4.1 a) a t)) afetam os objetivos de segurança da informação? Três exemplos de questões internas servem como uma ilustração de: EXEMPLO 1 Sobre a governança e a estrutura organizacional (ver 4.1 m)): Ao estabelecer um SGSI, convém considerar a governança e as estruturas organizacionais já existentes. Como um exemplo, a organização pode modelar a estrutura do seu SGSI com base na estrutura de outros sistemas de gestão existentes, e pode combinar funções comuns, como análise crítica pela direção e auditoria. EXEMPLO 2 Sobre a política, objetivos e estratégias (ver 4.1 l)): Uma análise das políticas, objetivos e estratégias existentes pode indicar o que a organização pretende obter e como os objetivos de segurança da informação podem ser alinhados com os objetivos de negócio para assegurar resultados bem-sucedidos. EXEMPLO 3 Sobre os sistemas de informação e fluxos de informação (ver 4.1 s)): Quando determinar questões internas, convém à organização identificar, a um nível de detalhe suficiente, os fluxos de informação entre os seus vários sistemas de informação. Como tanto as questões internas e externas irão mudar ao longo do tempo, convém serem analisadas criticamente, de forma periódica, as questões e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Outras informações Na ISO/IEC 27000, a definição de “organização” possui uma nota que diz: “O conceito de organização inclui, mas não se limita a, comerciante independente, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, pública ou privada”. Alguns destes exemplos são entidades jurídicas em sua totalidade, enquanto outros não são. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documentoimpresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 4 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Existem quatro casos: 1) a organização é uma entidade jurídica ou administrativa (por exemplo, comerciante indepen- dente, companhia, firma, empresa, autoridade, parceria, caridade ou instituição incorporada ou não, pública ou privada); 2) a organização é um subconjunto de uma entidade jurídica ou administrativa (por exemplo, parte de uma companhia, corporação, empresa); 3) a organização é um conjunto de entidades jurídicas ou administrativas (por exemplo, um con- sórcio de comerciantes independentes, grandes companhias, corporações, firmas); e 4) a organização é um conjunto de subconjuntos de entidades jurídicas ou administrativas (por exemplo, clubes, associações comerciais). 4.2 Entendendo as necessidades e expectativas das partes interessadas Atividade requerida A organização determina as partes interessadas relevantes para o SGSI e seus requisitos relevantes para a segurança da informação. Explicação Parte interessada é um termo definido (ver ISO/IEC 27000:2016, 2.41), que se refere a pessoas ou organizações que podem afetar, serem afetadas por, ou se associarem para serem afetadas por uma decisão ou atividade da organização. As partes interessadas podem ser encontradas tanto dentro como fora da organização e podem ter necessidades específicas, expectativas e requisitos para a organização da segurança da informação. Partes interessadas externas podem incluir: a) reguladores e legisladores; b) acionistas, incluindo proprietários e investidores; c) fornecedores, incluindo subcontratados, consultores e parceiros terceirizados; d) associações industriais; e) concorrentes; f) clientes e consumidores; e g) grupos ativistas. Partes internas interessadas podem incluir: h) tomadores de decisão, incluindo Alta Direção; i) proprietários de processo, proprietários de sistema e proprietários de informação; j) funções de apoio, como TI ou recursos humanos; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 5 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados k) funcionários e usuários; e l) profissionais de segurança da informação. Os resultados desta atividade são usados em 4.3 e 6.1. Orientações Convém que os seguintes passos sejam tomados: — identificar as partes externas interessadas; — identificar as partes internas interessadas; e — identificar requisitos das partes interessadas. Como as necessidades, expectativas e requisitos das partes interessadas mudam ao longo do tempo, convém que sejam analisadas criticamente, de forma periódica, estas mudanças e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Outras informações Nenhuma outra informação. 4.3 Determinando o escopo do sistema de gestão da segurança da informação Atividade requerida A organização determina os limites e aplicabilidade do SGSI para estabelecer o seu escopo. Explicação O escopo define onde e para o que exatamente o SGSI é pertinente, e onde e para o que não é. Estabelecimento do escopo é, portanto, uma atividade principal que determina a base necessária para todas as outras atividades na implementação do SGSI. Por exemplo, análise de risco e tratamento de riscos, incluindo a determinação de controles, não irão produzir resultados válidos sem ter um entendimento preciso de onde exatamente o SGSI é aplicável. Um conhecimento preciso dos limites e aplicabilidade do SGSI e as interfaces e dependências entre a organização e outras organizações também é crítica. Quaisquer modificações posteriores do escopo podem resultar em esforços e custos adicionais consideráveis. Os seguintes fatores podem afetar a determinação do escopo: a) as questões externas e internas descritas em 4.1; b) as partes interessadas e seus requisitos que são determinados de acordo com a ABNT NBR ISO/IEC 27001:2013, 4.2; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 6 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados c) a disponibilidade das atividades de negócios para serem incluídas como parte da cobertura do SGSI; d) todas as funções de apoio, ou seja, as funções que são necessárias para apoiar estas atividades de negócio (por exemplo, gestão de recursos humanos; serviços de TI e aplicações de software; gestão das instalações de edifícios, zonas físicas, serviços essenciais e utilitários); e e) todas as funções que são terceirizadas para outras partes dentro da organização ou para forne- cedores independentes. O escopo de um SGSI pode ser muito diferente de uma implementação para outra. Por exemplo, o escopo pode incluir: — um ou mais processos específicos; — uma ou mais funções específicas; — um ou mais serviços específicos; — uma ou mais seções ou locais específicos; — toda uma entidade legal; e — toda uma entidade administrativa e um ou mais de seus fornecedores. Orientações Para estabelecer o escopo de um SGSI, uma abordagem de multietapas pode ser seguida: f) determinar o escopo preliminar: convém que essa atividade seja realizada por um grupo pequeno, mas representativo, de representantes de gestão; g) determinar o escopo refinado: convém analisar criticamente as unidades funcionais dentro e fora do escopo preliminar, possivelmente seguido pela inclusão ou exclusão de algumas destas unidades funcionais para reduzir o número de interfaces ao longo dos limites. Quando refinar o escopo preliminar, convém que todas as funções de apoio sejam consideradas necessárias para apoiar as atividades de negócios inclusas no escopo; h) determinar o escopo final: convém que o escopo refinado seja valorado por toda a gestão dentro do escopo refinado. Se necessário, convém que seja ajustado e em seguida descrito precisamente; e i) aprovar o escopo: convém que as informações documentadas descrevendo o escopo sejam formalmente aprovadas pela Alta Direção. Convém também à organização considerar as atividades com impacto sobre o SGSI ou atividades que sejam terceirizadas, tanto para outras partes dentro da organização quanto para fornecedores independentes. Para essas atividades, convém identificar interfaces (físicas, técnicas e organizacionais) e sua influência sobre o escopo. Convém que a informação documentada descrevendo o escopo inclua: j) o escopo organizacional, limites e interfaces; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 7 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados k) o escopo de tecnologia da informação e comunicação, limites e interfaces; e l) o escopo físico, limites e interfaces. Outras informações Nenhuma outra informação. 4.4 Sistema de gestão da segurança da informação Atividade requerida A organização estabelece, implementa, mantém e melhora continuamente o SGSI.Explicação A ABNT NBR ISO/IEC 27001:2013, 4.4, declara o requisito central para estabelecer, implementar, manter e melhorar continuamente um SGSI. Enquanto as outras partes da ABNT NBR ISO/IEC 27001 descrevem os elementos requeridos de um SGSI, 4.4 requer que a organização assegure que todos os elementos requeridos sejam cumpridos para estabelecer, implementar, manter e melhorar continuamente o SGSI. Orientações Nenhuma orientação específica. Outras informações Nenhuma outra informação. 5 Liderança 5.1 Liderança e comprometimento Atividade requerida A Alta Direção demonstra liderança e comprometimento em relação ao SGSI. Explicação Liderança e comprometimento são essenciais para um SGSI efetivo. A Alta Direção é definida (ver ISO/IEC 27000) como uma pessoa ou grupo de pessoas que dirige e controla a organização do SGSI ao mais alto nível, ou seja, a Alta Direção tem a responsabilidade geral do SGSI. Isto significa que a Alta Direção direciona o SGSI de forma semelhante a outras áreas da organização, por exemplo, a forma como os orçamentos são alocados e monitorados. A Alta Direção pode delegar autoridade na organização e fornecer recursos para realizar atividades relacionadas com segurança da informação e o SGSI, mas ainda mantém a responsabilidade global. Como exemplo, a organização implementando e operando o SGSI pode ser uma unidade de negócios dentro de uma organização maior. Neste caso, a Alta Direção é a pessoa ou grupo de pessoas que dirige e controla a unidade de negócios. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 8 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados A Alta Direção também participa na análise crítica da direção (ver 9.3) e promove melhoria contínua (ver 10.2). Orientações Convém que a Alta Direção proporcione liderança e demonstre comprometimento por meio das seguintes ações: a) convém que a Alta Direção assegure que a política de segurança da informação e os objetivos de segurança da informação sejam estabelecidos e sejam compatíveis com a direção estratégica da organização; b) convém que a Alta Direção assegure que requisitos e controles do SGSI sejam integrados em processos da organização. Convém que o modo de alcançar isto seja adaptado ao contexto específico da organização. Por exemplo, uma organização que tenha proprietários de processo designados pode delegar a responsabilidade de implementar requisitos aplicáveis a essas pessoas ou grupos de pessoas. Apoio à Alta Direção pode também ser necessário para superar a resistência organizacional a mudanças em processos e controles; c) convém que a Alta Direção assegure a disponibilidade de recursos para um SGSI eficaz. Os recursos são necessários para o estabelecimento do SGSI, sua implementação, manutenção e melhoria, bem como para a implementação de controles de segurança da informação. Os recursos necessários para o SGSI incluem: 1) recursos financeiros; 2) pessoal; 3) instalações; e 4) infraestrutura técnica. Os recursos necessários dependem do contexto da organização, tal como o tamanho, a complexidade e os requisitos internos e externos. Convém que a análise crítica pela direção forneça informação que indica se os recursos são suficientes para a organização; d) convém que a Alta Direção comunique a necessidade por uma gestão de segurança da informação na organização e a necessidade de estar em conformidade com os requisitos do SGSI. Isto pode ser feito por meio de fornecimento de exemplos práticos que ilustram qual é a real necessidade no contexto da organização, e de comunicação de requisitos de segurança da informação; e) convém que a Alta Direção assegure que o SGSI atinja o(s) resultado(s) pretendido(s) por meio de apoio à implementação de todos os processos de gestão de segurança da informação, e particularmente por meio de solicitação e de análise crítica de relatórios sobre o estado e a eficácia do SGSI (ver 5.3 b)). Estes relatórios podem ser obtidos por meio de medições (ver 6.2 b) e 9.1 a)), análise crítica pela direção e relatórios de auditoria. Convém que a Alta Direçãotambém estabeleça objetivos de desempenho para o pessoal-chave envolvido com o SGSI; f) convém que a Alta Direção direcione e apoie o pessoal da organização diretamente envolvido com segurança da informação e com o SGSI. Deixar de fazer isso pode gerar um impacto negativo sobre a eficácia do SGSI. A retroalimentação da Alta Direção pode incluir como as atividades planejadas estão alinhadas com as necessidades estratégicas para a organização e também para priorizar atividades diferentes no SGSI; D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 9 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados g) convém que a Alta Direção avalie as necessidades de recursos durante a análise crítica da direção e estabeleça objetivos para melhoria contínua e para monitorar a eficácia das atividades planejadas; e h) convém que a Alta Direção apoie pessoas a quem foram atribuídas funções e responsabilidades relacionadas à gestão da segurança da informação, de modo que elas sejam motivadas e capazes de direcionar e dar suporte a atividades de segurança da informação dentro de sua área. Nos casos em que a organização que esteja implementando e operando um SGSI é parte de uma organização maior, liderança e comprometimento podem ser melhorados por envolvimento com a pessoa ou grupo de pessoas que controla e direciona a organização maior. Se eles compreenderem o que é envolvido na implementação de um SGSI, eles podem fornecer suporte para a a Alta Direção no escopo do SGSI e ajudá-la a proporcionar liderança e demonstrar o comprometimento do SGSI. Por exemplo, se partes interessadas fora do escopo do SGSI estiverem envolvidas na tomada de decisões relativa a objetivos de segurança da informação e critérios de risco e estão conscientes dos resultados de segurança da informação produzida pelo SGSI, suas decisões sobre alocações de recursos podem ser alinhadas aos requisitos do SGSI. Outras informações Nenhuma outra informação. 5.2 Política Atividade requerida A Alta Direção estabelece uma política de segurança da informação. Explicação A política de segurança da informação descreve a importância estratégica do SGSI para a organização e é disponibilizada como informação documentada. A política direciona as atividades de segurança da informação na organização. A política declara quais são as necessidades de segurança da informação no contexto atual da organização. Orientações Convém que a política de segurança da informação contenha declarações de intenção e direção breves e de alto nível sobre segurança da informação. Ela pode ser específica para o escopo de um SGSI, ou pode ter uma cobertura mais ampla. Convém que todas as outras políticas, procedimentos, atividades e objetivos relacionados à segurança da informação sejam alinhados com a política de segurança da informação. Convém que a política de segurança da informação reflita a situação de negócios, cultura, questões e preocupações da organização relacionados com a segurança da informação. Convém que a extensão da política de segurança da informação esteja de acordo com o propósito e a cultura da organização e que busque um equilíbrio entre facilidade de leitura e integralidade. É importante que usuários da política possam se identificar com o direcionamento estratégico da política. D oc um ento im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 10 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados A política de segurança da informação pode incluir objetivos de segurança de informações para a organização ou descrever a estrutura de como os objetivos de segurança da informação são estabe- lecidos (ou seja, quem os define para o ISMS e como devem ser implementados no escopo do ISMS). Por exemplo, convém que em organizações muito grandes, objetivos de alto nível sejam estabeleci- dos pela Alta Direção de toda a organização, e então, de acordo com uma estrutura estabelecida na política de segurança da informação, convém que os objetivos sejam detalhados de modo a dar um senso de direção para todas as partes interessadas. Convém que a política de segurança da informação contenha uma declaração clara da Alta Direção de seu comprometimento de satisfazer requisitos relacionados à segurança da informação. Convém que a política de segurança da informação contenha uma declaração clara de que a Alta Direção fornece suporte à melhoria contínua em todas as atividades. É importante declarar este princípio na política, de modo que as pessoas dentro do escopo do SGSI estejam cientes dele. Convém que a política de segurança da informação seja comunicada a todas as pessoas dentro do escopo do SGSI. Portanto, convém que seu formato e linguagem sejam adequados de modo que seja facilmente compreensível por todos os destinatários. Convém que a Alta Direção decida a quais partes interessadas convém que a política seja comunicada. A política de segurança da informação pode ser escrita de tal forma que seja possível comunica-la a partes interessadas pertinentes externas fora da organização. Exemplos destas partes interessadas externas são clientes, fornecedores, empreiteiros, subempreiteiros e reguladores. Se a política de segurança da informação for disponibilizada para as partes interessadas externas, convém que ela não contenha informações confidenciais. A política de segurança da informação pode ser uma política autônoma separada ou incluída em uma política abrangente, que abrange vários tópicos de sistema de gestão dentro da organização (por exemplo, qualidade, ambiente e segurança da informação). Convém que a política de segurança da informação esteja disponível como informação documentada. Os requisitos da ABNT NBR ISO/IEC 27001 não sugerem qualquer forma específica para esta informação documentada e, por conseguinte, cabe à organização decidir qual a forma mais adequada. Se a organização tiver um modelo-padrão para políticas, convém que a forma da política de segurança da informação use este modelo. Outras informações Mais informações sobre políticas relacionadas à segurança da informação podem ser encontradas na ABNT NBR ISO/IEC 27002. Mais informações sobre a relação entre a política de segurança da informação e outras políticas em uma estrutura de políticas podem ser encontradas no Anexo A. 5.3 Autoridades, responsabilidades e papéis organizacionais Atividade requerida A Alta Direção assegura que as responsabilidades e autoridades para funções relevantes para a segurança da informação sejam atribuídas e comunicadas por toda a organização. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 11 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Explicação A Alta Direção assegura que as funções e responsabilidades bem como as autoridades competentes relevantes para a segurança da informação sejam designadas e comunicadas. O propósito deste requisito é atribuir responsabilidades e autoridades para assegurar a conformidade do SGSI com os requisitos da ABNT NBR ISO/IEC 27001, e para assegurar que o desempenho do SGSI seja relatado à Alta Direção. Orientações Convém que a Alta Direção assegure regularmente que as responsabilidades e autoridades para o SGSI sejam atribuídas de modo que o sistema de gestão cumpra os requisitos estabelecidos na ABNT NBR ISO/IEC 27001. A Alta Direção não precisa atribuir todas as funções, responsabilidades e autoridades, mas convém que delegue autoridade adequada para isso. Convém que a Alta Direção aprove as grandes funções, responsabilidades e autoridades do SGSI. Convém que as responsabilidades e autoridades relacionadas às atividades de segurança da informa- ção sejam atribuídas. As atividades incluem: a) coordenar o estabelecimento, implementação, manutenção, relatório de desempenho, e melhoria do SGSI; b) assessorar na avaliação e tratamento de riscos de segurança da informação; c) projetar processos e sistemas de segurança da informação; d) estabelecer normas relativas à determinação, configuração e operação de controles de segurança da informação; e) gerenciar incidentes de segurança da informação; e f) analisar criticamente e auditar o SGSI. Além das funções especificamente relacionadas à segurança da informação, convém que responsabilidades e autoridades de segurança da informação relevantes sejam incluídas dentro de outras funções. Por exemplo, responsabilidades de segurança da informação podem ser incorporadas nas funções de: g) proprietários de informações; h) proprietários do processo; i) proprietários de ativos (por exemplo, proprietários de aplicações ou de infraestrutura); j) proprietários de risco; k) funções ou pessoas de coordenação de segurança da informação (esta função em particular é normalmente uma função de apoio no SGSI); l) gestores de projeto; m) gestores de linha; e n) usuários de informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 12 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Outras informações Nenhuma outra informação. 6 Planejamento 6.1 Ações para contemplar riscos e oportunidades 6.1.1 Geral Visão geral A ABNT NBR ISO/IEC 27001:2013, 6.1, se preocupa com o planejamento de ações que atendam a todos os tipos de riscos e oportunidades que sejam relevantes ao SGSI. Isto inclui avaliação de risco e planejamento de tratamento de risco. A estrutura da ABNT NBR ISO/IEC 27001 subdivide riscos em duas categorias durante o planejamento: a) riscos e oportunidades relevantes para o(s) resultado(s) pretendido(s) do SGSI como um todo; e b) riscos de segurança da informação que se relacionam com a perda de confidencialidade, integri- dade e disponibilidade da informação no escopo do SGSI. Convém que a primeira categoria seja tratada em conformidade com requisitos especificados na ABNT NBR ISO/IEC 27001:2013, 6.1.1 (geral). Os riscos que se enquadram nesta categoria podem ser riscos relacionados ao SGSI propriamente dito, a definição do escopo do SGSI, o comprometimento da Alta Direção na segurança da informação, recursos para a operação do SGSI etc. As oportunidades que se enquadram nesta categoria podem ser oportunidades relativas ao(s) resultado(s) do SGSI, o valor comercial de um SGSI, a eficiência dos processos e informaçõese controles de segurança em operação do SGSI etc. A segunda categoria consiste em todos os riscos que se relacionam diretamente com a perda de confidencialidade, integridade e disponibilidade da informação no escopo do SGSI. Convém que estes riscos sejam tratados de acordo com 6.1.2 (avaliação de riscos de segurança da informação) e 6.1.3 (tratamento de risco de segurança da informação). As organizações podem optar por utilizar técnicas diferentes para cada categoria. A subdivisão dos requisitos para atender riscos pode ser explicada da seguinte maneira: — incentiva a compatibilidade com outras normas de sistemas de gestão para as organizações que possuem sistemas de gestão integrados para diferentes aspectos como qualidade, ambiente e segurança da informação; — requer que a organização defina e aplique processos completos e detalhados para a avaliação e tratamento de riscos de segurança da informação; e — enfatiza que a gestão de riscos de segurança da informação é o elemento central de um SGSI. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 13 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados A ABNT NBR ISO/IEC 27001:2013, 6.1.1, usa as expressões “determina os riscos e as oportunidades” e “atende esses riscos e oportunidades”. A palavra “determinar” pode ser considerada equivalente à palavra “avaliar” utilizada na ABNT NBR ISO/IEC 27001:2013, 6.1.2 (ou seja, identificar, analisar e avaliar). Similarmente, a palavra “atender” pode ser considerada equivalente à palavra “tratar” utilizada na ABNT NBR ISO/IEC 27001:2013, 6.1.3. Atividade requerida Ao planejar o SGSI, a organização determina os riscos e as oportunidades considerando questões referidas em 4.1 e os requisitos referidos em 4.2. Explicação Para riscos e oportunidades relevantes ao(s) resultado(s) pretendido(s) do SGSI, a organização os determina com base em questões internas e externas (ver 4.1) e os requisitos das partes interessadas (ver 4.2). Então, a organização planeja seu SGSI para: a) assegurar que os resultados pretendidos sejam entregues pelo SGSI, por exemplo, que os riscos de segurança da informação sejam conhecidos pelos proprietários de risco e tratados a um nível aceitável; b) prevenir ou reduzir os efeitos indesejados de riscos relevantes ao(s) resultado(s) pretendido(s) do SGSI; e c) alcançar melhoria contínua (ver 10.2), por exemplo, por meio de mecanismos adequados para detectar e corrigir deficiências nos processos de gestão ou aproveitar oportunidades para melhorar a segurança da informação. Riscos ligados a a) podem ser processos e responsabilidades pouco claros, falta de conscientização entre funcionários, mal comprometimento da gestão etc. Riscos ligados a b) podem ser má gestão de riscos ou má conscientização sobre riscos. Riscos ligados a c) podem ser má gestão da documentação e dos processos do SGSI. Quando uma organização busca oportunidades em suas atividades, estas atividades na sequência afetam o contexto da organização (ABNT NBR ISO/IEC 27001:2013, 4.1) ou as necessidades e expectativas das partes interessadas (ABNT NBR ISO/IEC 27001:2013, 4.2), e pode alterar os riscos para a organização. Exemplos destas oportunidades podem ser: focar seus negócios em algumas áreas de produtos ou serviços, estabelecer estratégia de comercialização para algumas regiões geográficas, ou ampliar parcerias comerciais com outras organizações. Oportunidades também existem na melhoria contínua dos processos e documentação do SGSI, juntamente com a avaliação dos resultados pretendidos entregues pelo SGSI. Por exemplo, a consideração de um SGSI relativamente novo normalmente resulta na identificação de oportunidades para processos de refinação pelo esclarecimento de interfaces, redução de despesas administrativas, eliminação de partes de processos que não sejam vantajosas, por refinação de documentação e introdução de novas tecnologias da informação. O planejamento em 6.1.1 inclui a determinação : d) de ações para contemplar os riscos e oportunidades; e e) do modo de: 1) integrar e implementar tais ações nos processos de SGSI; e D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 14 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados 2) avaliar a eficácia destas ações. Orientações Convém à organização: f) determinar os riscos e oportunidades que possam afetar a realização dos objetivos descritos em a), b) e c), considerando as questões referidas em 4.1 e os requisitos referidos em 4.2; e g) desenvolver um plano para implementar as ações determinadas e avaliar a eficácia dessas ações; convém que ações sejam planejadas considerando a integração dos processos e documentação de segurança da informação nas estruturas existentes; todas essas ações são ligadas com os objetivos de segurança da informação (6.2), contra os quais as informações de riscos de segurança são avaliados e tratados (ver 6.1.2 e 6.1.3). O requisito geral para melhoria contínua do SGSI declarado na ABNT NBR ISO/IEC 27001:2013, 10.2, é apoiado pelo requisito para alcançar melhoria contínua que consta em 6.1.1 com outros requisitos relevantes da ABNT NBR ISO/IEC 27001:2013, 5.1 g), 5.2 d), 9.1, 9.2 e 9.3. As ações previstas em 6.1.1 podem ser diferentes para níveis estratégicos, táticos e operacionais, para diferentes ambientes, ou para diferentes serviços ou sistemas. Várias abordagens podem ser tomadas para atender aos requisitos de 6.1.1, dois dos quais são: — considerar riscos e oportunidades associadas com o planejamento, implementação e operação do SGSI separadamente dos riscos de segurança da informação; e — considerar todos os riscos simultaneamente. Uma organização que esteja integrando um SGSI em um sistema de gestão estabelecido pode achar que os requisitos de 6.1.1 são atendidos pela metodologia de planejamento de negócios existente da organização. Neste caso, convém ter o cuidado de verificar se a metodologia abrange todos os requisitos de 6.1.1. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver ABNT NBR ISO/IEC 27001:2013, 7.5.1 b). Outras informações Mais informações sobre a gestão de riscos podem ser encontradas na ABNT NBR ISO 31000. NOTA O termo “risco” é definido como o “efeito da incerteza em objetivos” (ver ISO/IEC 27000:2016, 2.68). 6.1.2 Avaliação de riscos de segurança da informação Atividade requerida A organização define e aplica um processo de avaliação de riscos de segurança da informação. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 15 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Explicação A organização define um processo de avaliação de riscos de segurança da informação que: a) estabelece e mantém: 1) critérios de aceitação de risco; e 2) critérios para realizar avaliações de risco de segurança da informação, o que pode incluir critérios para avaliar as consequências e a probabilidade, e regras para a determinação do nível de risco; e b) assegura que as avaliações de riscode segurança de informações repetidas, produzam resultados consistentes, válidos e comparáveis. O processo de avaliação de riscos de segurança da informação é então definido de acordo com os seguintes subprocessos: c) identificação de riscos de segurança da informação: 1) identificação de riscos relacionados à perda de confidencialidade, integridade e disponibili- dade da informação no escopo do SGSI; e 2) identificação dos proprietários de risco associado a esses riscos, por exemplo, identificação e nomeação das pessoas com autoridade e responsabilidade para gerenciar os riscos identificados; d) análise de riscos de segurança da informação: 1) avaliação das possíveis consequências em caso de riscos identificados se materializarem, por exemplo, impactos diretos de negócios como perda monetária ou impactos indiretos de negócios como danos na reputação. Consequências avaliadas podem ser relatadas com valores quantitativos ou qualitativos; 2) avaliação da probabilidade real de ocorrência dos riscos identificados, com valores quantita- tivos (ou seja, probabilidade ou frequência) ou qualitativos; e 3) determinação dos níveis de risco identificados como um conjunto predefinido de consequên- cias avaliadas e probabilidades avaliadas; e e) avaliação de riscos de segurança da informação: 1) comparação dos resultados da análise de risco com os critérios de aceitação de risco esta- belecidos anteriormente; e 2) priorização dos riscos analisados para tratamento do risco, ou seja, determinação da urgência de tratamento para riscos que são considerados inaceitáveis, e da sequência se vários riscos necessitarem de tratamento. O processo de avaliação de riscos de segurança da informação é então aplicado. Todas as etapas do processo de avaliação de riscos de segurança da informação (6.1.2 de a) a e)), bem como os resultados de sua aplicação, são mantidas pela organização como informação documentada. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 16 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações Orientações sobre o estabelecimento de critérios de risco (6.1.2 a)) Convém que os critérios de risco de segurança da informação sejam estabelecidos considerando o contexto da organização e os requisitos de partes interessadas, e sejam definidos de acordo com as preferências de risco da Alta Direção e percepções do risco por um lado, e permitam um processo de gestão de risco possível e adequado por outro lado. Convém que os critérios de risco de segurança da informação sejam estabelecidos em conexão com o(s) resultado(s) pretendido(s) do SGSI. De acordo com a ABNT NBR ISO/IEC 27001:2013, 6.1.2 a), convém que critérios relativos à avaliação de riscos de segurança da informação que considerem a avaliação de probabilidade e consequências sejam estabelecidos. Além disso, convém que critérios de aceitação de risco sejam estabelecidos. Após o estabelecimento de critérios para avaliar as consequências e probabilidades de riscos de segurança da informação, convém que a empresa também estabeleça um método para combiná-los, a fim de determinar o nível de risco. Consequências e probabilidades podem ser expressas em um modo qualitativo, quantitativo ou semiquantitativo. Os critérios de aceitação de risco estão relacionados à avaliação de risco (em sua fase de avaliação, quando convém que a organização compreenda se um risco é aceitável ou não), e atividades de tratamento de risco (quando convém que a organização compreenda se o tratamento de risco proposto é suficiente para alcançar um nível aceitável de risco). Os critérios de aceitação do risco podem ser baseados em um nível máximo de riscos aceitáveis, em considerações de custo-benefício, ou em consequências para a organização. Convém que os critérios de aceitação de riscos sejam aprovados pelo departamento responsável pela gestão. Orientações sobre produção de resultados consistentes, válidos e comparáveis de avaliação (6.1.2 b)) Convém que o processo de avaliação de riscos seja baseado em métodos e ferramentas projetados em detalhes suficientes para que conduza a resultados consistentes, válidos e comparáveis. Qualquer que seja o método escolhido, convém que o processo de avaliação de riscos de segurança da informação assegure que: — todos os riscos, no nível necessário de detalhe, sejam considerados; — seus resultados sejam consistentes e reprodutíveis (isto é, a identificação dos riscos, sua análise e sua avaliação possam ser entendidos por um terceiro e os resultados sejam os mesmos quando diferentes pessoas avaliarem os riscos no mesmo contexto); e — os resultados de avaliações de risco repetidas sejam comparáveis (ou seja, seja possível entender se os níveis de risco são aumentados ou diminuídos). Inconsistências ou discrepâncias nos resultados quando a totalidade ou parte do processo de avalia- ção de riscos de segurança da informação for repetida podem indicar que o método de avaliação de risco escolhido não é adequado. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 17 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações sobre a identificação de riscos de segurança da informação (6.1.2 c)) A identificação de riscos é o processo de encontrar, reconhecer e descrever os riscos. Isto envolve a identificação de fontes e eventos de riscos, suas causas e suas possíveis consequências. O objetivo da identificação de riscos é gerar uma lista abrangente de riscos com base nestes eventos que possam criar, reforçar, prevenir, degradar, acelerar ou retardar a realização de objetivos de segu- rança da informação. Duas abordagens são comumente usadas para a identificação de riscos de segurança da informação: — abordagem baseada em evento: considera as fontes de risco de maneira genérica. Eventos considerados podem ter acontecido no passado, ou podem ser antecipados para o futuro. No primeiro caso, eles podem envolver dados históricos; no segundo caso, eles podem ser baseados na análise teórica e pareceres de peritos; e — abordagem baseada na identificação de ativos, ameaças e vulnerabilidades: considera dois tipos diferentes de fontes de risco: ativos com suas vulnerabilidades intrínsecas e ameaças. Potenciais eventos considerados aqui são modos de como ameaças poderiam explorar uma determinada vulnerabilidade de um ativo para impactar os objetivos da organização. Ambas as abordagens são consistentes com os princípios e diretrizes genéricas em avaliação de riscos, de acordo com a ABNT NBR ISO 31000. Outras abordagens de identificação de risco podem ser usadas se elas provaram uma utilidade prática semelhante e se podem assegurar os requisitos em 6.1.2 b). NOTA A abordagem baseada em ativos, ameaças e vulnerabilidades corresponde à abordagem de identificação de riscos de segurança da informação, e são compatíveis com os requisitos da ABNT NBR ISO/IEC 27001 para assegurar que investimentos anteriores na identificação de risco não sejam perdidos. Não é recomendado que a identificação de risco seja demasiadamente detalhada no primeiro ciclo de avaliação de risco. Ter uma imagem de nível elevado, com claridade quanto aos riscos de segurança da informação, é muito melhor do que não ter imagem. Orientações sobre análise dos riscos de segurança da informação (6.1.2 d)) A análise de risco tem o objetivo de determinar o nível do risco. A ABNT NBR ISO 31000 é referenciadana ABNT NBR ISO/IEC 27001 como um modelo geral. A ABNT NBR ISO/IEC 27001 requer que para cada risco identificado, a análise de risco seja baseada na avaliação das consequências resultantes do risco e na avaliação da probabilidade destas consequências ocorrerem para determinar o nível do risco. Técnicas de análise de risco com base nas consequências e nas probabilidades podem ser: 1) qualitativa, utilizando uma escala de atributos de qualificação (por exemplo: alto, médio, baixo); 2) quantitativa, utilizando uma escala com valores numéricos (por exemplo: custo monetário, frequência ou probabilidade de ocorrência); ou 3) semiquantitativa, usando escalas qualitativas com valores atribuídos. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 18 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Qualquer que seja a técnica de análise de risco utilizada, convém que o seu nível de objetividade seja considerado. Existem vários métodos para analisar os riscos. As duas abordagens mencionadas (abordagem baseada em eventos e abordagem baseada em identificação de ativos, ameaças e vulnerabilidades) podem ser adequadas para análise de risco de segurança da informação. A identificação de riscos e os processos de análise podem ser mais eficazes quando realizado com a ajuda de especialistas em riscos relevantes sob discussão. Orientações sobre avaliação dos riscos de segurança da informação (6.1.2 e)) Avaliação de riscos analisados envolve a utilização de processos de tomada de decisão da organização para comparar o nível de risco avaliado para cada risco com os critérios de aceitação predeterminados a fim de determinar as opções de tratamento de risco. Esta etapa final da avaliação de risco verifica se os riscos que foram analisados nas etapas anteriores podem ser aceitos de acordo com os critérios de aceitação definidos em 6.1.2 a), ou se precisam de mais tratamento. A etapa em 6.1.2 d) fornece informações sobre a magnitude do risco, mas não fornece informações imediatas sobre a urgência de implementação de opções de tratamento de risco. Dependendo das circunstâncias em que os riscos ocorrem, eles podem ter diferentes prioridades para tratamento. Portanto, convém que a saída desta etapa seja uma lista de riscos em ordem de prioridade. É útil reter mais informações sobre estes riscos a partir das etapas de identificação de riscos e da análise de risco para apoiar as decisões de tratamento de risco. Outras informações A ABNT NBR ISO/IEC 27005 fornece orientações para a realização de avaliações de risco de segurança da informação. 6.1.3 Tratamento de riscos de segurança da informação Atividade requerida A organização define e aplica um processo de tratamento de riscos de segurança da informação. Explicação O tratamento de risco de segurança da informação é o processo global de seleção de opções de tra- tamento de riscos, determinação de controles adequados para implementar tais opções, formulação de um plano de tratamento de riscos e obtenção de aprovação do plano de tratamento de risco pelo(s) proprietário(s) de risco. Todas as etapas do processo de tratamento de riscos de segurança da informação (6.1.3 a) a f)), bem como os resultados de sua aplicação, são mantidas pela organização como informação documentada. Orientações Orientações sobre as opções de tratamento de riscos de segurança da informação (6.1.3 a)) Opções de tratamento de risco são: a) evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco ou remo- ver a fonte de risco (por exemplo, fechar um portal de comércio eletrônico); D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 19 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados b) correr risco adicional ou risco crescente a fim de buscar uma oportunidade de negócio (por exemplo, a abertura de um portal de comércio eletrônico); c) modificar o risco por meio de alteração da probabilidade (por exemplo, redução das vulnerabilidades) ou das consequências (por exemplo, diversificação de ativos) ou ambos; d) partilhar o risco com outras partes por meio de seguro, subcontratação ou financiamento de risco; e e) manter o risco com base em critérios de aceitação de risco ou por decisão informada (por exemplo, manutenção do portal de e-commerce existente do modo que é). Convém que cada risco individual seja tratado em conformidade com os objetivos de segurança da informação por uma ou mais destas opções, a fim de cumprir os critérios de aceitação de riscos. Orientações para determinação de controles necessários (6.1.3 b)) Convém que atenção especial seja dada para a determinação dos controles de segurança da informação necessários. Convém que qualquer controle seja determinado com base em informações de riscos de segurança avaliadas anteriormente. Se uma organização tiver uma avaliação fraca dos riscos de segurança da informação, ela tem uma base fraca para sua escolha de controles de segurança da informação. A determinação de controle apropriado assegura que: f) todos os controles necessários sejam incluídos, e controles desnecessários não sejam escolhidos; e g) o design dos controles necessários satisfaça uma amplitude e uma profundidade adequadas. Como consequência de uma escolha fraca de controles, o tratamento de risco de segurança da infor- mação proposto pode ser: h) ineficaz; ou i) ineficiente, e portanto, inapropriadamente caro. Para assegurar que o tratamento de riscos de segurança da informação seja eficaz e eficiente, é importante que seja capaz de demonstrar a relação entre os controles necessários aos resultados da avaliação de risco e processos de tratamento de risco. Pode ser necessária a utilização de vários controles para atingir o tratamento requerido de risco de segurança da informação. Por exemplo, se a opção de alterar as consequências de um evento em particular for escolhida, podem ser requeridos controles para efetuar detecção imediata do evento, assim como controles para responder a, e recuperar do, evento. Ao determinar os controles, convém que a organização considere também controles necessários para os serviços de fornecedores externos de, por exemplo, aplicações, processos e funções. Normalmente, estes controles são demandados ao inserir os requisitos de segurança da informação nos acordos com estes fornecedores, incluindo formas de obter informações sobre em que medida estes requisitos são atendidos (por exemplo, direito de auditoria). Pode haver situações em que a organização pretenda determinar e descrever controles detalhados como parte de seu próprio SGSI mesmo que os controles sejam realizados por fornecedores externos. Independentemente da abordagem utilizada, convém que a organização considere sempre os controles necessários a seus fornecedores ao determinar os controles para seu SGSI. D oc um en to im pr es so e m 2 3/ 12 /2 02 0 16 :5 4: 46 , d e us o ex cl us iv o de IC V BR AS IL IN SP EC AO , C ER TI FI C AC AO E V IS TO R IA L TD A Documento impresso em 23/12/2020 16:54:46, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA 20 ABNT NBR ISO/IEC 27003:2020 © ISO/IEC 2017 - © ABNT 2020 - Todos os direitos reservados Orientações para comparação de controles com aqueles na ABNT NBR ISO/IEC 27001:2013, Anexo A (6.1.3 c)) A ABNT NBR ISO/IEC 27001:2013, Anexo A, contém uma lista abrangente
Mais conteúdos dessa disciplina
Mapa Mental - Lei Geral de Proteção de Dados (LGPD)- A2643476-7795-4663-A4D9-BCA6031282D2
- Regionalismo_Qual_das_alternativas_abaixo
- (31)994408961- RESOLVIDO-Projeto integrado inovacao Gestao da Tecnologia da informacao
- Regionalismo
- Criptografia e Segurança de Re
- Gestão Integrada de Riscos em TI
- OLAP e BI: Tecnologia de Informação
- Tecnologia na Gestão de Hospedagens Rurais
- tema_0284versao1_Tecnologia_de_Informação_Plata
- A compreensão da artrocinemática é crucial para a aplicação eficaz das técnicas de mobilização. As articulações possuem movimentos específicos que ...
- Qual das alternativas abaixo melhor define o conceito de desenvolvimento sustentável? A Crescimento econômico a qualquer custo, sem considerar os ...
- Quais são os 3 tipos de internação: Registradas, Manipuladas e Voluntárias. Voluntárias, Involuntárias e Compulsórias. Involuntárias, Internação e SUS
- A utilização de jogos como ferramenta pedagógica tem se mostrado eficaz em diversos contextos educacionais. Os jogos não apenas entretêm, mas també...
- A automação residencial não apenas melhora a conveniência, mas também pode aumentar a segurança. Considerando o sistema de iluminação da garagem, c...
- A literatura portuguesa, especialmente a produzida em contextos pós-coloniais, reflete as complexidades da identidade cultural e as tensões sociais...
- O conceito de 'gênero' é frequentemente confundido com 'sexo', mas eles têm significados distintos. O gênero é uma construção social que envolve pa...
- No contexto de contratos financeiros, a análise de risco é uma parte crucial da tomada de decisão. Qual das alternativas abaixo melhor descreve o r...
- O conceito de 'hooliganismo' é frequentemente discutido no contexto da violência no esporte, especialmente no futebol. Esse fenômeno é caracterizad...
- É possível capturar o tráfego de uma rede sem fio e tentar quebrar a senha da rede com a suíte aircrack-ng. Sobre a segurança de redes e suíte airc...
- A competitividade no mercado exige que as empresas estejam sempre atentas às mudanças. Qual das alternativas abaixo melhor descreve a importância d...
- O uso do BIM permite a criação de modelos paramétricos que podem ser ajustados de acordo com as necessidades do projeto. Essa flexibilidade é uma d...
- no desenvolvimento eaplicação de formas adequadas de mensurar fenomenos de criminalidade e violencia dentre os aspectos inpresendivels importancia ...
- PROJETO DE ENSINO ANALISE DE CREDITO CONCEITOS BASICOS 532021
- Apostila GEQ Etec Brasil
