1

Captulo 5 Polticas de segurana da informao

(1) Controle: Polticas para a segurana da informao.
5.1.1 - Convm que um conjunto de polticas de segurana da informao seja
definido, aprovado pela direo, publicado e comunicado para todos os
funcionrios e partes externas relevantes. (ABNT, NBR 27002, 2013, p.2)

(2) Controle: Anlise crtica das polticas de segurana da informao.

5.1.2 - Convm que as polticas de segurana da informao sejam analisadas
criticamente a intervalos planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua continua pertinncia, adequao e eficcia.
(ABNT, NBR 27002, 2013, p.4)

Captulo 6 Organizao da segurana da informao

(3) Controle: Responsabilidades e papis pela segurana da informao.
6.1.1 Convm que todas as responsabilidades pela segurana da informao
sejam definidas e atribudas. (ABNT, NBR 27002, 2013, p.4)

(4) Controle: Segregao de funes.

6.1.2 - Convm que funes conflitantes e reas de responsabilidades sejam
segregadas para reduzir as oportunidades de modificao no autorizada ou
no intencional, ou uso indevido dos ativos da organizao. (ABNT, NBR 27002,
2013, p.5)

(5) Controle: Contato com autoridades.

6.1.3 - Convm que contatos apropriados com autoridades relevantes sejam
mantidos. (ABNT, NBR 27002, 2013, p.6)

(6) Controle: Contato com grupos especiais

6.1.4 Convm que contatos apropriados com grupos especiais, associaes
profissionais ou outros fruns especializados em segurana da informao
sejam mantidos. (ABNT, NBR 27002, 2013, p.6)

(7) Controle: Segurana da informao no gerenciamento de projetos.

6.1.5 - Convm que a segurana da informao seja considerada no
gerenciamento de projetos, independentemente do tipo do projeto. (ABNT, NBR
27002, 2013, p.7)

(8) Controle: Poltica para uso de dispositivo mvel.

6.2.1 - Convm que uma poltica e medidas que apoiam a segurana da
informao sejam adotadas para gerenciar os riscos decorrentes do uso de
dispositivos mveis. (ABNT, NBR 27002, 2013, p.8)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

(9) Controle: Trabalho remoto

6.2.2 - Convm que uma poltica e medidas que apoiam a segurana da
informao sejam implementadas para proteger as informaes acessadas,
processadas ou armazenadas em locais de trabalho remoto. (ABNT, NBR 27002,
2013, p.9)

Captulo 7 Segurana em recursos humanos

(10) Controle: Recursos Humanos - Seleo.
7.1.1 - Convm que verificaes do histrico sejam realizadas para todos os
candidatos a empregos, de acordo com a tica, regulamentaes e leis
relevantes, e seja proporcional aos requisitos de negcio, aos riscos percebidos
e classificao das informaes a serem acessadas. (ABNT, NBR 27002, 2013,
p.11)

(11) Controle: Recursos Humanos Termos e condies de contratao.

7.1.2 - Convm que as obrigaes contratuais com funcionrios e partes
externas declarem a sua responsabilidade e as da organizao para a segurana
da informao. (ABNT, NBR 27002, 2013, p.12)

(12) Controle: Recursos Humanos Responsabilidade da Direo.

7.2.1 - Convm que a Direo solicite a todos os funcionrios e partes externas
que pratiquem a segurana da informao de acordo com o estabelecido nas
polticas e procedimentos da organizao. (ABNT, NBR 27002, 2013, p.13)

(13) Controle: Recursos Humanos Conscientizao, educao e treinamento.

7.2.2 - Convm que todos os funcionrios da organizao e, onde pertinente,
partes externas, recebam treinamento, educao e conscientizao apropriados,
e as atualizaes regulares das polticas e procedimentos organizacionais
relevantes para as suas funes. (ABNT, NBR 27002, 2013, p.13)

(14) Controle: Recursos Humanos Processo disciplinar.

7.2.3 - Convm que exista um processo disciplinar formal, implantado e
comunicado, para tomar aes contra funcionrios que tenham cometido uma
violao da segurana da informao. (ABNT, NBR 27002, 2013, p.15)

(15) Controle: Recursos Humanos Encerramento ou mudana de contratao.

7.3.1 - Convm que as responsabilidades e obrigaes pela segurana da
informao que permaneam vlidas aps um encerramento ou mudana da
contratao sejam definidas, comunicadas aos funcionrios ou partes externas
e cumpridas. (ABNT, NBR 27002, 2013, p.16)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

Captulo 8 Gesto de ativos

(16) Controle: Inventrio dos ativos.
8.1.1 Convm que os ativos associados informao e aos recursos de
processamento da informao sejam identificados, e um inventrio destes ativos
seja estruturado e mantido. (ABNT, NBR 27002, 2013, p.16)

(17) Controle: Proprietrio dos ativos.

8.1.2 - Convm que os ativos mantidos no inventrio tenham um proprietrio.
(ABNT, NBR 27002, 2013, p.17)

(18) Controle: Uso aceitvel dos ativos.

8.1.3 - Convm que regras para o uso aceitvel das informaes, dos ativos
associados com a informao e dos recursos de processamento da informao
sejam identificadas, documentadas e implementadas. (ABNT, NBR 27002, 2013,
p.18)

(19) Controle: Devoluo de ativos.

8.1.4 - Convm que todos os funcionrios e partes externas devolvam todos os
ativos da organizao que estejam em sua posse, aps o encerramento de suas
atividades, do contrato ou do acordo. (ABNT, NBR 27002, 2013, p.18)

(20) Controle: Classificao da informao.

8.2.1 - Convm que a informao seja classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para evitar modificao ou
divulgao no autorizada. (ABNT, NBR 27002, 2013, p.18)

(21) Controle: Rtulos e tratamento da informao.

8.2.2- Convm que um conjunto apropriado de procedimentos para rotular e
tratar a informao seja desenvolvido e implementado de acordo com o esquema
de classificao adotado pela organizao. (ABNT, NBR 27002, 2013, p.20)

(22) Controle: Tratamento dos ativos

8.2.3 - Convm que procedimentos para o tratamento dos ativos sejam
desenvolvidos e implementados de acordo com o esquema de classificao da
informao adotado pela organizao. (ABNT, NBR 27002, 2013, p.20)

(23) Controle: Gerenciamento de mdias removveis.

8.3.1- Convm que existam procedimentos implementados para o gerenciamento
de mdias removveis, de acordo com o esquema de classificao adotado pela
organizao. (ABNT, NBR 27002, 2013, p.21)

(24) Controle: Descarte de mdias

8.3.2 - Convm que as mdias sejam descartadas de forma segura, quando no
forem mais necessrias, por meio de procedimentos formais. (ABNT, NBR
27002, 2013, p.22)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

(25) Controle: Transferncia fsica de mdias.

8.3.3 Convm que mdias contendo informaes sejam protegidas contra
acesso no autorizado, uso imprprio ou corrupo durante o transporte.
(ABNT, NBR 27002, 2013, p.22)

Captulo 9 Controle de acesso

(26) Controle: Poltica de controle de acesso.
9.1.1 - Convm que uma poltica de controle de acesso seja estabelecida,
documentada e analisada criticamente, baseada nos requisitos de segurana da
informao e dos negcios. (ABNT, NBR 27002, 2013, p.23)

(27) Controle: Acesso s redes e aos servios de rede.

9.1.2 - Convm que os usurios somente recebam acesso s redes e aos servios
de rede que tenham sido especificamente autorizados para utilizar. (ABNT, NBR
27002, 2013, p.25)

(28) Controle: Registro e cancelamento de usurio

9.2.1 - Convm que um processo formal de registro e cancelamento de usurio
seja implementado para permitir atribuio dos direitos de acesso. (ABNT, NBR
27002, 2013, p.25)

(29) Controle: Provisionamento para acesso de usurio.

9.2.2 - Convm que um processo formal de provisionamento de acesso do
usurio seja implementado para conceder ou revogar os direitos de acesso do
usurio para todos os tipos de usurios em todos os tipos de sistemas e servios.
(ABNT, NBR 27002, 2013, p.26)

(30) Controle: Gerenciamento de direitos de acesso privilegiados.

9.2.3 - Convm que a concesso e o uso de direitos de acesso privilegiado sejam
restritos e controlados. (ABNT, NBR 27002, 2013, p.27)

(31) Controle: Gerenciamento da informao de autenticao secreta de usurios

9.2.4 - Convm que a concesso de informao de autenticao secreta seja
controlada por meio de um processo de gerenciamento formal. (ABNT, NBR
27002, 2013, p.28)

(32) Controle: Anlise crtica dos direitos de acesso de usurio.

9.2.5 - Convm que os proprietrios de ativos analisem criticamente os direitos
de acesso dos usurios a intervalos regulares. (ABNT, NBR 27002, 2013, p.28)

(33) Controle: Retirada ou ajuste dos direitos de acesso.

9.2.6 - Convm que os direitos de acesso de todos os funcionrios e partes
externas s informaes e aos recursos de processamento da informao sejam
retirados logo aps o encerramento de suas atividades, contratos ou acordos,
ou ajustados aps a mudana desta atividade. (ABNT, NBR 27002, 2013, p.29)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

(34) Controle: Uso da informao de autenticao secreta.

9.3.1 - Convm que os usurios sejam orientados a seguir as prticas da
organizao quanto ao uso da informao de autenticao secreta. (ABNT, NBR
27002, 2013, p.30)

(35) Controle: Restrio de acesso informao

9.4.1 Convm que o acesso informao e s funes dos sistemas de
aplicaes seja restrito, de acordo com a poltica de controle de acesso. (ABNT,
NBR 27002, 2013, p.31)

(36) Controle: Procedimentos seguros de entrada no sistema (log-on)

9.4.2 - Convm que, onde aplicvel pela poltica de controle de acesso, o acesso
aos sistemas e aplicaes, sejam controlados por um procedimento seguro de
entrada no sistema (log-on). (ABNT, NBR 27002, 2013, p.31)

(37) Controle: Sistemas de gerenciamento de senha

9.4.3 - Convm que sistemas para gerenciamento de senhas sejam interativos e
assegurem senhas de qualidade. (ABNT, NBR 27002, 2013, p.33)

(38) Controle: Uso de programas utilitrios privilegiados.

9.4.4 - Convm que o uso de programas utilitrios que podem ser capazes de
sobrepor os controles dos sistemas e aplicaes seja restrito e estritamente
controlado. (ABNT, NBR 27002, 2013, p.33)

(39) Controle: Controle de acesso ao cdigo fonte de programas.

9.4.5 - Convm que o acesso ao cdigo fonte de programas seja restrito. (ABNT,
NBR 27002, 2013, p.34)

Captulo 10 Criptografia
(40) Controle: Poltica para uso de controles criptogrficos
10.1.1 - Convm que seja desenvolvida e implementada uma poltica sobre o uso
de controles criptogrficos para a proteo da informao. (ABNT, NBR 27002,
2013, p.35)

(41) Controle: Gerenciamento de chaves.

10.1.2 - Convm que uma poltica sobre o uso, proteo e tempo de vida das
chaves criptogrficas seja desenvolvida e implementada ao longo de todo o seu
ciclo de vida. (ABNT, NBR 27002, 2013, p.36)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

Captulo 11 Segurana fsica e do ambiente

(42) Controle: Permetro de segurana fsica.
11.1.1 - Convm que permetros de segurana sejam definidos e usados para
proteger tanto as instalaes de processamento da informao como as reas
que contenham informaes crticas ou sensveis. (ABNT, NBR 27002, 2013,
p.38)

(43) Controle: Controles de entrada fsica.

11.1.2 - Convm que as reas seguras sejam protegidas por controles
apropriados de entrada para assegurar que somente pessoas autorizadas
tenham acesso permitido. (ABNT, NBR 27002, 2013, p.39)

(44) Controle: Segurana em escritrios, salas e instalaes.

11.1.3 - Convm que seja projetada e aplicada segurana fsica para escritrios,
salas e instalaes. (ABNT, NBR 27002, 2013, p.40)

(45) Controle: Proteo contra ameaas externas e do meio ambiente.

11.1.4 - Convm que seja projetada e aplicada proteo fsica contra desastres
naturais, ataques maliciosos ou acidentes. (ABNT, NBR 27002, 2013, p.40)

(46) Controle: Trabalhando em reas seguras.

11.1.5 - Convm que sejam projetados e aplicados procedimentos para o
trabalho em reas seguras (ABNT, NBR 27002, 2013, p.40)

(47) Controle: reas de entrega e de carregamento.

11.1.6 - Convm que pontos de acesso como reas de entrega e de carregamento
e outros pontos em que pessoas no autorizadas possam entrar nas instalaes,
sejam controlados e, se possvel, isolados das instalaes de processamento de
informao, para evitar o acesso no autorizado. (ABNT, NBR 27002, 2013,
p.41)

(48) Controle: Localizao e proteo do equipamento.

11.2.1 - Convm que os equipamentos sejam protegidos e colocados em locais
para reduzir os riscos de ameaas e perigos do meio ambiente, bem como as
oportunidades de acesso no autorizado. (ABNT, NBR 27002, 2013, p.41)

(49) Controle: Utilidades.

11.2.2 - Convm que os equipamentos sejam protegidos contra a falta de energia
eltrica e outras interrupes causadas por falhas das utilidades. (ABNT, NBR
27002, 2013, p.42)

(50) Controle: Segurana do cabeamento.

11.2.3 - Convm que o cabeamento de energia e de telecomunicaes que
transporta dado ou d suporte aos servios de informaes seja protegido
contra interceptao, interferncia ou danos. (ABNT, NBR 27002, 2013, p.43)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

(51) Controle: Manuteno dos equipamentos.

11.2.4 Convm que os equipamentos tenham uma manuteno correta para
assegurar a sua contnua integridade e disponibilidade. (ABNT, NBR 27002,
2013, p.43)

(52) Controle: Remoo de ativos.

11.2.5 - Convm que equipamentos, informaes ou software no sejam
retirados do local sem autorizao prvia. (ABNT, NBR 27002, 2013, p.44)

(53) Controle: Segurana de equipamentos e ativos fora das dependncias da

organizao.
11.2.6 - Convm que sejam tomadas medidas de segurana para ativos que
operem fora do local, levando em conta os diferentes riscos decorrentes do fato
de se trabalhar fora das dependncias da organizao. (ABNT, NBR 27002,
2013, p.45)

(54) Controle: Reutilizao ou descarte seguro de equipamentos.

11.2.7 - Convm que todos os equipamentos que contenham mdias de
armazenamento de dados sejam examinados antes da reutilizao, para
assegurar que todos os dados sensveis e software licenciados tenham sido
removidos ou sobre gravados com segurana. (ABNT, NBR 27002, 2013, p.46)

(55) Controle: Equipamento de usurio sem monitorao.

11.2.8 - Convm que os usurios assegurem que os equipamentos no
monitorados tenham proteo adequada. (ABNT, NBR 27002, 2013, p.46)

(56) Controle: Poltica de mesa limpa e tela limpa.

11.2.9 - Convm que sejam adotadas uma poltica de mesa limpa para papis e
mdias de armazenamento removveis e uma poltica de tela limpa para os
recursos de processamento de informao. (ABNT, NBR 27002, 2013, p.47)

Captulo 12 Segurana nas operaes

(57) Controle: Documentao dos procedimentos de operao.
12.1.1 - Convm que os procedimentos de operao sejam documentados e
disponibilizados para todos os usurios que necessitem deles. (ABNT, NBR
27002, 2013, p.48)

(58) Controle: Gesto de mudanas.

12.1.2 - Convm que mudanas na organizao, nos processos de negcio, nos
recursos de processamento da informao e nos sistemas que afetam a
segurana da informao, sejam controladas. (ABNT, NBR 27002, 2013, p.49)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

(59) Controle: Gesto de capacidade.

12.1.3 - Convm que a utilizao dos recursos seja monitorada e ajustada, e que
as projees sejam feitas para necessidades de capacidade futura para garantir
o desempenho requerido do sistema (ABNT, NBR 27002, 2013, p.49)

(60) Controle: Separao dos ambientes de desenvolvimento, teste e produo.

12.1.4 - Convm que ambientes de desenvolvimento, teste e produo sejam
separados para reduzir os riscos de acessos ou modificaes no autorizadas
no ambiente de produo. (ABNT, NBR 27002, 2013, p.50)

(61) Controle: Controles contra malware

12.2.1 - Convm que sejam implementados controles de deteco, preveno e
recuperao para proteger contra malware, combinados com um adequado
programa de conscientizao do usurio. (ABNT, NBR 27002, 2013, p.51)

(62) Controle: Cpias de segurana das informaes.

12.3.1 - Convm que cpias de segurana das informaes, dos software e das
imagens do sistema sejam efetuadas e testadas regularmente conforme a poltica
de gerao de cpias de segurana definida. (ABNT, NBR 27002, 2013, p.53)

(63) Controle: Registro de eventos.

12.4.1 - Convm que registros (log) de eventos das atividades do usurio,
excees, falhas e eventos de segurana da informao sejam produzidos,
mantidos e analisados criticamente, a intervalos regulares. (ABNT, NBR 27002,
2013, p.54)

(64) Controle: Proteo das informaes dos registros de eventos (log).

12.4.2 - Convm que as informaes dos registros de eventos (log) e os seus
recursos sejam protegidos contra acesso no autorizado e adulterao. (ABNT,
NBR 27002, 2013, p.55)

(65) Controle: Registro de eventos (log) de administrador e operador

12.4.3 - Convm que as atividades dos administradores e operadores do sistema
sejam registradas e os registros (log) protegidos e analisados criticamente, a
intervalos regulares. (ABNT, NBR 27002, 2013, p.56)

(66) Controle: Sincronizao dos relgios

12.4.4 - Convm que os relgios de todos os sistemas de processamento de
informaes relevantes, dentro da organizao ou do domnio de segurana,
sejam sincronizados com uma nica fonte de tempo precisa. (ABNT, NBR 27002,
2013, p.56)

(67) Controle: Instalao de software nos sistemas operacionais.

12.5.1 - Convm que procedimentos para controlar a instalao de software em
sistemas operacionais sejam implementados. (ABNT, NBR 27002, 2013, p.57)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

(68) Controle: Gesto de vulnerabilidades tcnicas.

12.6.1 - Convm que informaes sobre vulnerabilidades tcnicas dos sistemas
de informao em uso sejam obtidas em tempo hbil; convm que a exposio
da organizao a estas vulnerabilidades seja avaliada e que sejam tomadas as
medidas apropriadas para lidar com os riscos associados. (ABNT, NBR 27002,
2013, p.58)

(69) Controle: Restrio quanto instalao de software.

12.6.2 - Convm que sejam estabelecidas e implementadas regras definindo
critrios para a instalao de software pelos usurios. (ABNT, NBR 27002,
2013, p.59)

(70) Controle: Controles de auditoria de sistemas de informao.

12.7.1 - Convm que as atividades e requisitos de auditoria envolvendo a
verificao nos sistemas operacionais sejam cuidadosamente planejados e
acordados para minimizar interrupo dos processos do negcio. (ABNT, NBR
27002, 2013, p.60)

Captulo 13 Segurana nas comunicaes

(71) Controle: Controles de redes
13.1.1 - Convm que as redes sejam gerenciadas e controladas para proteger as
informaes nos sistemas e aplicaes. (ABNT, NBR 27002, 2013, p.61)

(72) Controle: Segurana dos servios de rede.

13.1.2 - Convm que mecanismos de segurana, nveis de servio e requisitos de
gerenciamento de todos os servios de rede sejam identificados e includos em
qualquer acordo de servios de rede, tanto para servios de rede providos
internamente como para terceirizados. (ABNT, NBR 27002, 2013, p.61)

(73) Controle: Segregao de redes

13.1.3 - Convm que grupos de servios de informao, usurios e sistemas de
informao, sejam segregados em redes. (ABNT, NBR 27002, 2013, p.62)

(74) Controle: Polticas e procedimentos para transferncia de informaes

13.2.1 - Convm que polticas, procedimentos e controles de transferncias
formais sejam estabelecidos para proteger a transferncia de informaes, por
meio de uso de todos os tipos de recursos de comunicao. (ABNT, NBR 27002,
2013, p.63)

(75) Controle: Acordos para transferncia de informaes.

13.2.2 - Convm que sejam estabelecidos acordos para transferncia segura de
informaes do negcio entre a organizao e as partes externas. (ABNT, NBR
27002, 2013, p.64)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

10

(76) Controle: Mensagens eletrnicas

13.2.3 - Convm que as informaes que trafegam em mensagens eletrnicas
sejam adequadamente protegidas. (ABNT, NBR 27002, 2013, p.65)

(77) Controle: Acordos de confidencialidade e no divulgao.

13.2.4 - Convm que os requisitos para a confidencialidade ou acordos de no
divulgao que reflitam as necessidades da organizao para a proteo da
informao sejam identificados, analisados criticamente e documentados.
(ABNT, NBR 27002, 2013, p.668)

Captulo 14 Aquisio, desenvolvimento e manuteno de sistemas

(78) Controle: Anlise e especificao dos requisitos de segurana da informao
14.1.1 - Convm que os requisitos relacionados segurana da informao
sejam includos nos requisitos para novos sistemas de informao ou melhorias
dos sistemas de informao existentes. (ABNT, NBR 27002, 2013, p.67)

(79) Controle: Servios de aplicao seguros em redes pblicas.

14.1.2 - Convm que as informaes envolvidas nos servios de aplicao que
transitam sobre as redes pblicas sejam protegidas de atividades fraudulentas,
disputas contratuais e divulgao e modificaes no autorizadas. (ABNT, NBR
27002, 2013, p.68)

(80) Controle: Protegendo as transaes nos aplicativos de servios

14.1.3 - Convm que informaes envolvidas em transaes nos aplicativos de
servios sejam protegidas para prevenir transmisses incompletas, erros de
roteamento, alterao no autorizada da mensagem, divulgao no
autorizada, duplicao ou reapresentao da mensagem no autorizada.
(ABNT, NBR 27002, 2013, p.70)

(81) Controle: Poltica de desenvolvimento seguro.

14.2.1 - Convm que regras para o desenvolvimento de sistemas e software
sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da
organizao. (ABNT, NBR 27002, 2013, p.70)

(82) Controle: Procedimentos para controle de mudana de sistemas

14.2.2 - Convm que as mudanas em sistemas no ciclo de vida de
desenvolvimento sejam controladas utilizando procedimentos formais de
controle de mudanas. (ABNT, NBR 27002, 2013, p.71)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

11

(83) Controle: Anlise crtica tcnica das aplicaes aps mudanas nas plataformas
operacionais.
14.2.3 Quando plataformas operacionais forem modificadas, convm que as
aplicaes crticas de negcio sejam analisadas criticamente e testadas para
garantir que no haver qualquer impacto adverso na operao da organizao
ou na segurana. (ABNT, NBR 27002, 2013, p.73)

(84) Controle: Restries sobre mudanas em pacotes de software

14.2.4 - Convm que modificaes em pacotes de software sejam
desencorajadas e estejam limitadas s mudanas necessrias, e todas as
mudanas sejam estritamente controladas. (ABNT, NBR 27002, 2013, p.73)

(85) Controle: Princpios para projetar sistemas seguros

14.2.5 - Convm que princpios para projetar sistemas seguros sejam
estabelecidos,

documentados,

mantidos

aplicados

para

qualquer

implementao de sistemas de informao. (ABNT, NBR 27002, 2013, p.74)

(86) Controle: Ambiente seguro para desenvolvimento

14.2.6 Convm que as organizaes estabeleam e protejam adequadamente
ambientes seguros de desenvolvimento, para os esforos de integrao e
desenvolvimento de sistemas, que cubram todo o ciclo de vida de
desenvolvimento de sistema. (ABNT, NBR 27002, 2013, p.74)

(87) Controle: Desenvolvimento terceirizado.

14.2.7 - Convm que a organizao supervisione e monitore as atividades de
desenvolvimento de sistemas terceirizado. (ABNT, NBR 27002, 2013, p.75)

(88) Controle: Testes de segurana do sistema

14.2.8 - Convm que os testes das funcionalidades de segurana sejam
realizados durante o desenvolvimento e sistemas. (ABNT, NBR 27002, 2013,
p.76)

(89) Controle: Teste de aceitao de sistemas

14.2.9 - Convm que testes de aceitao e critrios relacionados sejam
estabelecidos para novos sistemas de informao, atualizaes e novas verses.
(ABNT, NBR 27002, 2013, p.76)

(90) Controle: Proteo dos dados para testes

14.3.1 - Convm que os dados de testes sejam selecionados com cuidado,
protegidos e controlados. (ABNT, NBR 27002, 2013, p.76)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

12

Captulo 15 Relacionamento na cadeia de suprimento

(91) Controle: Poltica de segurana da informao no relacionamento com os
fornecedores.
15.1.1 - Convm que os requisitos de segurana da informao para mitigar os
riscos associados com o acesso dos fornecedores aos ativos da organizao
sejam acordados com o fornecedor e documentados. (ABNT, NBR 27002, 2013,
p.77)

(92) Controle: Identificando segurana da informao nos acordos com fornecedores

15.1.2 - Convm que todos os requisitos de segurana da informao relevantes
sejam estabelecidos e acordados com cada fornecedor que possa acessar,
processar, armazenar, comunicar ou prover componentes de infraestrutura de
TI para as informaes da organizao, (ABNT, NBR 27002, 2013, p.78)

(93) Controle: Cadeia de suprimento na tecnologia da informao e comunicao

15.1.3 - Convm que acordos com fornecedores incluam requisitos para
contemplar os riscos de segurana da informao associados cadeia de
suprimento de produtos e servios de tecnologia da informao e comunicao.
(ABNT, NBR 27002, 2013, p.80)

(94) Controle: Monitoramento e anlise crtica de servios com fornecedores

15.2.1 - Convm que as organizaes monitorem, analisem criticamente e
auditem, a intervalos regulares, a entrega dos servios executados pelos
fornecedores. (ABNT, NBR 27002, 2013, p.81)

(95) Controle: Gerenciamento de mudanas para servios com fornecedores

15.2.2 - Convm que mudanas no provisionamento dos servios pelos
fornecedores, incluindo manuteno e melhoria das polticas de segurana da
informao, dos procedimentos e controles existentes, sejam gerenciadas,
levando-se em conta a criticidade das informaes do negcio, dos sistemas e
processos envolvidos, e a reavaliao de riscos. (ABNT, NBR 27002, 2013,
p.82)

Captulo 16 Gesto de incidentes de segurana da informao

(96) Controle: Responsabilidades e procedimentos
16.1.1 - Convm que responsabilidades e procedimentos de gesto sejam
estabelecidos para assegurar respostas rpidas, efetivas e ordenadas aos
incidentes de segurana da informao. (ABNT, NBR 27002, 2013, p.83)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

13

(97) Controle: Notificao de eventos de segurana da informao.

16.1.2 - Convm que os eventos de segurana da informao sejam relatados
por meio de canais de gesto, o mais rapidamente possvel. (ABNT, NBR 27002,
2013, p.84)

(98) Controle: Notificando fragilidades de segurana da informao.

16.1.3 - Convm que os funcionrios e partes externas que usam os sistemas e
servios de informao da organizao sejam instrudos a notificar e registrar
quaisquer fragilidades de segurana da informao, observada ou suspeita, nos
sistemas ou servios. (ABNT, NBR 27002, 2013, p.85)

(99) Controle: Avaliao e deciso dos eventos de segurana da informao.

16.1.4 - Convm que os eventos de segurana da informao sejam avaliados e
seja decidido se eles so classificados como incidentes de segurana da
informao. (ABNT, NBR 27002, 2013, p.86)

(100) Controle: Resposta aos incidentes de segurana da informao

16.1.5 - Convm que incidentes de segurana da informao sejam reportados
de acordo com procedimentos documentados. (ABNT, NBR 27002, 2013, p.86)

(101) Controle: Aprendendo com os incidentes de segurana da informao.

16.1.6 - Convm que os conhecimentos obtidos da anlise e resoluo dos
incidentes de segurana da informao sejam usados para reduzir a
probabilidade ou o impacto de incidentes futuros. (ABNT, NBR 27002, 2013,
p.87)

(102) Controle: Coleta de evidncias

16.1.7 - Convm que a organizao defina e aplique procedimentos para
identificao, coleta, aquisio e preservao dos informaes, as quais podem
servir como evidencias. (ABNT, NBR 27002, 2013, p.87)

Captulo 17 Aspectos de segurana da informao na gesto de continuidade do

negcio
(103) Controle: Planejando a continuidade da segurana da informao
17.1.1 - Convm que a organizao determine seus requisitos para a segurana
da informao e continuidade da gesto da segurana da informao em
situaes diversas, por exemplo, durante uma crise ou desastre. (ABNT, NBR
27002, 2013, p.88)

(104) Controle: Implementando a continuidade da segurana da informao.

17.1.2 - Convm que a organizao estabelea, documente, implemente e
mantenha processos, procedimentos e controles para assegurar o nvel
requerido de continuidade para a segurana da informao, durante uma
situao adversa. (ABNT, NBR 27002, 2013, p.89)
__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

14

(105) Controle: Verificao, anlise crtica e avaliao da continuidade da segurana

da informao.
17.1.3 - Convm que a organizao verifique os controles de continuidade da
segurana da informao, estabelecidos e implementados, a intervalos
regulares, para garantir que eles sejam vlidos e eficazes em situaes
adversas. (ABNT, NBR 27002, 2013, p.90)

(106) Controle: Disponibilidade dos recursos de processamento da informao.

17.2.1- Convm que os recursos de processamento da informao sejam
implementados com redundncia suficiente para atender aos requisitos de
disponibilidade. (ABNT, NBR 27002, 2013, p.91)

Captulo 18 Conformidade
(107) Controle: Identificao da legislao aplicvel e de requisitos contratuais
18.1.1 - Convm que todos os requisitos legislativos estatutrios,
regulamentares e contratuais pertinentes e o enfoque da organizao para
atender a esses requisitos sejam explicitamente identificados, documentados e
mantidos atualizados para cada sistema de informao da organizao. (ABNT,
NBR 27002, 2013, p.91)

(108) Controle: Direitos de propriedade intelectual.

18.1.2 - Convm que procedimentos apropriados sejam implementados para
garantir a conformidade com os requisitos legislativos, regulamentares e
contratuais relacionados aos direitos de propriedade intelectual, e sobre o uso
de produtos de softwares proprietrios. (ABNT, NBR 27002, 2013, p.93)

(109) Controle: Proteo de registros

18.1.3 - Convm que registros sejam protegidos contra perda, destruio,
falsificao, acesso no autorizado e liberao no autorizada, de acordo com
os requisitos regulamentares, estatutrios, contratuais e do negcio. (ABNT,
NBR 27002, 2013, p.93)

(110) Controle: Proteo e privacidade de informaes de identificao pessoal

18.1.4 - Convm que a privacidade e a proteo das informaes de
identificao pessoal sejam asseguradas conforme requerido por legislao e
regulamentao pertinente, quando aplicvel (ABNT, NBR 27002, 2013, p.94)

(111) Controle: Regulamentao de controles de criptografia

18.1.5 - Convm que controles de criptografia sejam usados em conformidade
com todas as leis, acordos, legislao e regulamentao pertinentes (ABNT,
NBR 27002, 2013, p.94)

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013

15

(112) Controle: Anlise crtica independente da segurana da informao

18.2.1- Convm que o enfoque da organizao para gerenciar a segurana da
informao e a sua implementao (por exemplo, objetivo dos controles,
controles, polticas, processos e procedimentos para a segurana da
informao) seja analisado criticamente, de forma independente, a intervalos
planejados, ou quando ocorrerem mudanas significativas. (ABNT, NBR 27002,
2013, p.95)

(113) Controle: Conformidade com as polticas e procedimentos de segurana da

informao.
18.2.2 - Convm que os gestores analisem criticamente, a intervalos regulares,
a conformidade dos procedimentos e do processamento da informao, dentro
das suas reas de responsabilidades, com as normas e polticas de segurana e
quaisquer outros requisitos de segurana da informao. (ABNT, NBR 27002,
2013, p.96)

(114) Controle: Anlise crtica da conformidade tcnica

18.2.3 - Convm que os sistemas de informao sejam analisados criticamente,
a intervalos regulares, para verificar a conformidade com as normas e polticas
de segurana da informao da organizao. (ABNT, NBR 27002, 2013, p.96)

+++++++++++++++++++++++++++ FIM ++++++++++++++++++++++++++++++++++++

__________________________________________________________________________________________________________
CONTROLES DA NORMA NBR ISO/IEC 27002:2013