ISO/IEC 27002:2005 Objetivos de Controle e Controles

Imagemap
ISO/IEC 27002:2005 Objetivos de Contr ...A.5 Política de segurança da informaçãoA.5.1 Política de segurança da informaçã ...A.5.1.1 Documento da política de seguran ...A.5.1.2 Análise crítica da política de s ...A.6 Organizando a segurança da informaçã ...A.6.1 Infraestrutura da segurança da inf ...A.6.1.1 Comprometimento da direção com a ...A.6.1.2 Coordenação da segurança da info ...A.6.1.3 Atribuição de responsabilidades ...A.6.1.4 Processo de autorização para os ...A.6.1.5 Acordos de confidencialidadeA.6.1.6 Contato com autoridadesA.6.1.7 Contato com grupos especiaisA.6.1.8 Análise crítica independente de ...A.6.2 Partes externasA.6.2.1 Identificação dos riscos relacio ...A.6.2.2 Identificando a segurança da inf ...A.6.2.3 Identificando segurança da infor ...A.7 Gestão de ativosA.7.1 Responsabilidade pelos ativosA.7.1.1 Inventário dos ativosA.7.1.2 Proprietário dos ativosA.7.1.3 Uso aceitável dos ativosA.7.2 Classificação da informaçãoA.7.2.1 Recomendações para classificaçãoA.7.2.2 Rótulos e tratamento da informaç ...A.8 Segurança em recursos humanosA.8.1 Antes da contrataçãoA.8.1.1 Papéis e responsabilidadesA.8.1.2 SeleçãoA.8.1.3 Termos e condições de contrataçã ...A.8.2 Durante a contrataçãoA.8.2.1 Responsabilidades da direçãoA.8.2.2 Conscientização, educação e trei ...A.8.2.3 Processo disciplinarA.8.3 Encerramento ou mudança da contrat ...A.8.3.1 Encerramento de atividadesA.8.3.2 Devolução de ativosA.8.3.3 Retirada de direitos de acessoA.9 Segurança física e do ambienteA.9.1 Áreas segurasA.9.1.1 Perímetro de segurança físicaA.9.1.2 Controles de entrada físicaA.9.1.3 Segurança em escritórios, salas ...A.9.1.4 Proteção contra ameaças externas ...A.9.1.5 Trabalhando em áreas segurasA.9.1.6 Acesso do público, áreas de entr ...A.9.2 Segurança de equipamentosA.9.2.1 Instalação e proteção do equipam ...A.9.2.2 UtilidadesA.9.2.3 Segurança do cabeamentoA.9.2.4 Manutenção dos equipamentosA.9.2.5 Segurança de equipamentos fora d ...A.9.2.6 Reutilização e alienação segura ...A.9.2.7 Remoção de propriedadeA.10 Gerenciamento das operações e comun ...A.10.1 Procedimentos e responsabilidades ...A.10.1.1 Documentação dos procedimentos ...A.10.1.2 Gestão de mudançasA.10.1.3 Segregação de funçõesA.10.1.4 Separação dos recursos de desen ...A.10.2 Gerenciamento de serviços terceir ...A.10.2.1 Entrega de serviçosA.10.2.2 Monitoramento e análise crítica ...A.10.2.3 Gerenciamento de mudanças para ...A.10.3 Planejamento e aceitação dos sist ...A.10.3.1 Gestão de capacidadeA.10.3.2 Aceitação de sistemasA.10.4 Proteção contra códigos malicioso ...A.10.4.1 Controle contra códigos malicio ...A.10.4.2 Controles contra códigos móveisA.10.5 Cópias de segurançaA.10.5.1 Cópias de segurança das informa ...A.10.6 Gerenciamento da segurança em red ...A.10.6.1 Controles de redesA.10.6.2 Segurança dos serviços de redeA.10.7 Manuseio de mídiasA.10.7.1 Gerenciamento de mídias removív ...A.10.7.2 Descarte de mídiasA.10.7.3 Procedimentos para tratamento d ...A.10.7.4 Segurança da documentação dos s ...A.10.8 Troca de informaçõesA.10.8.1 Políticas e procedimentos para ...A.10.8.2 Acordos para a troca de informa ...A.10.8.3 Mídias em trânsitoA.10.8.4 Mensagens eletrônicasA.10.8.5 Sistemas de informações do negó ...A.10.9 Serviços de comércio eletrônicoA.10.9.1 Comércio eletrônicoA.10.9.2 Transações on-lineA.10.9.3 Informações publicamente dispon ...A.10.10 MonitoramentoA.10.10.1 Registros de auditoriaA.10.10.2 Monitoramento do uso do sistem ...A.10.10.3 Proteção das informações dos r ...A.10.10.4 Registros (log) de administrad ...A.10.10.5 Registros (logs) de falhasA.10.10.6 Sincronização dos relógiosA.11 Controle de acessosA.11.1 Requisitos de negócio para contro ...A.11.1.1 Política de controle de acessoA.11.2 Gerenciamento de acesso do usuári ...A.11.2.1 Registro de usuárioA.11.2.2 Gerenciamento de privilégiosA.11.2.3 Gerenciamento de senha do usuár ...A.11.2.4 Análise crítica dos direitos de ...A.11.3 Responsabilidades dos usuáriosA.11.3.1 Uso de senhasA.11.3.2 Equipamento de usuário sem moni ...A.11.3.3 Política de mesa limpa e tela l ...A.11.4 Controle de acesso à redeA.11.4.1 Política de uso dos serviços de ...A.11.4.2 Autenticação para conexão exter ...A.11.4.3 Identificação de equipamento em ...A.11.4.4 Proteção e configuração de port ...A.11.4.5 Segregação de redesA.11.4.6 Controle de conexão de redeA.11.4.7 Controle de roteamento de redesA.11.5 Controle de acesso ao sistema ope ...A.11.5.1 Procedimentos seguros de entrad ...A.11.5.2 Identificação e autenticação de ...A.11.5.3 Sistema de gerenciamento de sen ...A.11.5.4 Uso de utilitários de sistemaA.11.5.5 Desconexão de terminal por inat ...A.11.5.6 Limitação de horário de conexãoA.11.6 Controle de acesso à aplicação e ...A.11.6.1 Restrição de acesso à informaçã ...A.11.6.2 Isolamento de sistemas sensívei ...A.11.7 Computação móvel e trabalho remot ...A.11.7.1 Computação e comunicação móvelA.11.7.2 Trabalho remotoA.12 Aquisição, desenvolvimento e manute ...A.12.1 Requisitos de segurança de sistem ...A.12.1.1 Análise e especificação dos req ...A.12.2 Processamento correto de aplicaçõ ...A.12.2.1 Validação dos dados de entradaA.12.2.2 Controle do processamento inter ...A.12.2.3 Integridade de mensagensA.12.2.4 Validação de dados de saídaA.12.3 Controles criptográficosA.12.3.1 Política para o uso de controle ...A.12.3.2 Gerenciamento de chavesA.12.4 Segurança dos arquivos do sistemaA.12.4.1 Controle de software operaciona ...A.12.4.2 Proteção dos dados para teste d ...A.12.4.3 Controle de acesso ao código- f ...A.12.5 Segurança em processos de desenvo ...A.12.5.1 Procedimentos para controle de ...A.12.5.2 Análise crítica técnica das apl ...A.12.5.3 Restrições sobre mudanças em pa ...A.12.5.4 Vazamento de informaçõesA.12.5.5 Desenvolvimento terceirizado de ...A.12.6 Gestão de vulnerabilidades técnic ...A.12.6.1 Controle de vulnerabilidades té ...A.13 Gestão de incidentes de segurança d ...A.13.1 Notificação de fragilidades e eve ...A.13.1.1 Notificação de eventos de segur ...A.13.1.2 Notificando fragilidades de seg ...A.13.2 Gestão de incidentes de segurança ...A.13.2.1 Responsabilidades e procediment ...A.13.2.2 Aprendendo com os incidentes de ...A.13.2.3 Coleta de evidênciasA.14 Gestão da continuidade do negócioA.14.1 Aspectos da gestão da continuidad ...A.14.1.1 Incluindo segurança da informaç ...A.14.1.2 Continuidade de negócios e anál ...A.14.1.3 Desenvolvimento e implementação ...A.14.1.4 Estrutura do plano de continuid ...A.14.1.5 Testes, manutenção e reavaliaçã ...A.15 ConformidadeA.15.1 Conformidade com requisitos legai ...A.15.1.1 Identificação da legislação vig ...A.15.1.2 Direitos de propriedade intelec ...A.15.1.3 Proteção de registros organizac ...A.15.1.4 Proteção de dados e privacidade ...A.15.1.5 Prevenção de mau uso de recurso ...A.15.1.6 Regulamentação de controles de ...A.15.2 Conformidade com normas e polític ...A.15.2.1 Conformidade com as políticas e ...A.15.2.2 Verificação da conformidade téc ...A.15.3 Considerações quanto à auditoria ...A.15.3.1 Controles de auditoria de siste ...A.15.3.2 Proteção de ferramentas de audi ...
hide

ISO/IEC 27002:2005

Objetivos de Controle e Controles

hide
A.5 Política de segurança da informação
hide
A.5.1 Política de segurança da informação
leaf
A.5.1.1 Documento da política de segurança da informação
leaf
A.5.1.2 Análise crítica da política de segurança da informação
hide
A.6 Organizando a segurança da informação
hide
A.6.1 Infraestrutura da segurança da informação
leaf
A.6.1.1 Comprometimento da direção com a segurança da informação
leaf
A.6.1.2 Coordenação da segurança da informação
leaf
A.6.1.3 Atribuição de responsabilidades para a segurança da informação
leaf
A.6.1.4 Processo de autorização para os recursos de processamento da informação
leaf
A.6.1.5 Acordos de confidencialidade
leaf
A.6.1.6 Contato com autoridades
leaf
A.6.1.7 Contato com grupos especiais
leaf
A.6.1.8 Análise crítica independente de segurança da informação
hide
A.6.2 Partes externas
leaf
A.6.2.1 Identificação dos riscos relacionados com partes externas
leaf
A.6.2.2 Identificando a segurança da informação quando tratando com os clientes
leaf
A.6.2.3 Identificando segurança da informação nos acordos com terceiros
hide
A.7 Gestão de ativos
hide
A.7.1 Responsabilidade pelos ativos
leaf
A.7.1.1 Inventário dos ativos
leaf
A.7.1.2 Proprietário dos ativos
leaf
A.7.1.3 Uso aceitável dos ativos
hide
A.7.2 Classificação da informação
leaf
A.7.2.1 Recomendações para classificação
leaf
A.7.2.2 Rótulos e tratamento da informação
hide
A.8 Segurança em recursos humanos
hide
A.8.1 Antes da contratação
leaf
A.8.1.1 Papéis e responsabilidades
leaf
A.8.1.2 Seleção
leaf
A.8.1.3 Termos e condições de contratação
hide
A.8.2 Durante a contratação
leaf
A.8.2.1 Responsabilidades da direção
leaf
A.8.2.2 Conscientização, educação e treinamento em segurança da informação
leaf
A.8.2.3 Processo disciplinar
hide
A.8.3 Encerramento ou mudança da contratação
leaf
A.8.3.1 Encerramento de atividades
leaf
A.8.3.2 Devolução de ativos
leaf
A.8.3.3 Retirada de direitos de acesso
hide
A.9 Segurança física e do ambiente
hide
A.9.1 Áreas seguras
leaf
A.9.1.1 Perímetro de segurança física
leaf
A.9.1.2 Controles de entrada física
leaf
A.9.1.3 Segurança em escritórios, salas e instalações
leaf
A.9.1.4 Proteção contra ameaças externas e do meio ambiente
leaf
A.9.1.5 Trabalhando em áreas seguras
leaf
A.9.1.6 Acesso do público, áreas de entrega e de carregamento
hide
A.9.2 Segurança de equipamentos
leaf
A.9.2.1 Instalação e proteção do equipamento
leaf
A.9.2.2 Utilidades
leaf
A.9.2.3 Segurança do cabeamento
leaf
A.9.2.4 Manutenção dos equipamentos
leaf
A.9.2.5 Segurança de equipamentos fora das dependências da organização
leaf
A.9.2.6 Reutilização e alienação segura de equipamentos
leaf
A.9.2.7 Remoção de propriedade
hide
A.10 Gerenciamento das operações e comunicações
hide
A.10.1 Procedimentos e responsabilidades operacionais
leaf
A.10.1.1 Documentação dos procedimentos de operação
leaf
A.10.1.2 Gestão de mudanças
leaf
A.10.1.3 Segregação de funções
leaf
A.10.1.4 Separação dos recursos de desenvolvimento, teste e de produção
hide
A.10.2 Gerenciamento de serviços terceirizados
leaf
A.10.2.1 Entrega de serviços
leaf
A.10.2.2 Monitoramento e análise crítica de serviços terceirizados
leaf
A.10.2.3 Gerenciamento de mudanças para serviços terceirizados
hide
A.10.3 Planejamento e aceitação dos sistemas
leaf
A.10.3.1 Gestão de capacidade
leaf
A.10.3.2 Aceitação de sistemas
hide
A.10.4 Proteção contra códigos maliciosos e códigos móveis
leaf
A.10.4.1 Controle contra códigos maliciosos
leaf
A.10.4.2 Controles contra códigos móveis
hide
A.10.5 Cópias de segurança
leaf
A.10.5.1 Cópias de segurança das informações
hide
A.10.6 Gerenciamento da segurança em redes
leaf
A.10.6.1 Controles de redes
leaf
A.10.6.2 Segurança dos serviços de rede
hide
A.10.7 Manuseio de mídias
leaf
A.10.7.1 Gerenciamento de mídias removíveis
leaf
A.10.7.2 Descarte de mídias
leaf
A.10.7.3 Procedimentos para tratamento de informação
leaf
A.10.7.4 Segurança da documentação dos sistemas
hide
A.10.8 Troca de informações
leaf
A.10.8.1 Políticas e procedimentos para troca de informações
leaf
A.10.8.2 Acordos para a troca de informações
leaf
A.10.8.3 Mídias em trânsito
leaf
A.10.8.4 Mensagens eletrônicas
leaf
A.10.8.5 Sistemas de informações do negócio
hide
A.10.9 Serviços de comércio eletrônico
leaf
A.10.9.1 Comércio eletrônico
leaf
A.10.9.2 Transações on-line
leaf
A.10.9.3 Informações publicamente disponíveis
hide
A.10.10 Monitoramento
leaf
A.10.10.1 Registros de auditoria
leaf
A.10.10.2 Monitoramento do uso do sistema
leaf
A.10.10.3 Proteção das informações dos registros (logs)
leaf
A.10.10.4 Registros (log) de administrador e operador
leaf
A.10.10.5 Registros (logs) de falhas
leaf
A.10.10.6 Sincronização dos relógios
hide
A.11 Controle de acessos
hide
A.11.1 Requisitos de negócio para controle de acesso
leaf
A.11.1.1 Política de controle de acesso
hide
A.11.2 Gerenciamento de acesso do usuário
leaf
A.11.2.1 Registro de usuário
leaf
A.11.2.2 Gerenciamento de privilégios
leaf
A.11.2.3 Gerenciamento de senha do usuário
leaf
A.11.2.4 Análise crítica dos direitos de acesso de usuário
hide
A.11.3 Responsabilidades dos usuários
leaf
A.11.3.1 Uso de senhas
leaf
A.11.3.2 Equipamento de usuário sem monitoração
leaf
A.11.3.3 Política de mesa limpa e tela limpa
hide
A.11.4 Controle de acesso à rede
leaf
A.11.4.1 Política de uso dos serviços de rede
leaf
A.11.4.2 Autenticação para conexão externa do usuário
leaf
A.11.4.3 Identificação de equipamento em redes
leaf
A.11.4.4 Proteção e configuração de portas de diagnóstico remotas
leaf
A.11.4.5 Segregação de redes
leaf
A.11.4.6 Controle de conexão de rede
leaf
A.11.4.7 Controle de roteamento de redes
hide
A.11.5 Controle de acesso ao sistema operacional
leaf
A.11.5.1 Procedimentos seguros de entrada no sistema (logon)
leaf
A.11.5.2 Identificação e autenticação de usuário
leaf
A.11.5.3 Sistema de gerenciamento de senha
leaf
A.11.5.4 Uso de utilitários de sistema
leaf
A.11.5.5 Desconexão de terminal por inatividade
leaf
A.11.5.6 Limitação de horário de conexão
hide
A.11.6 Controle de acesso à aplicação e à informação
leaf
A.11.6.1 Restrição de acesso à informação
leaf
A.11.6.2 Isolamento de sistemas sensíveis
hide
A.11.7 Computação móvel e trabalho remoto
leaf
A.11.7.1 Computação e comunicação móvel
leaf
A.11.7.2 Trabalho remoto
hide
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
hide
A.12.1 Requisitos de segurança de sistemas de informação
leaf
A.12.1.1 Análise e especificação dos requisitos de segurança
hide
A.12.2 Processamento correto de aplicações
leaf
A.12.2.1 Validação dos dados de entrada
leaf
A.12.2.2 Controle do processamento interno
leaf
A.12.2.3 Integridade de mensagens
leaf
A.12.2.4 Validação de dados de saída
hide
A.12.3 Controles criptográficos
leaf
A.12.3.1 Política para o uso de controles criptográficos
leaf
A.12.3.2 Gerenciamento de chaves
hide
A.12.4 Segurança dos arquivos do sistema
leaf
A.12.4.1 Controle de software operacional
leaf
A.12.4.2 Proteção dos dados para teste de sistema
leaf
A.12.4.3 Controle de acesso ao código- fonte de programa
hide
A.12.5 Segurança em processos de desenvolvimento e de suporte
leaf
A.12.5.1 Procedimentos para controle de mudanças
leaf
A.12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional
leaf
A.12.5.3 Restrições sobre mudanças em pacotes de software
leaf
A.12.5.4 Vazamento de informações
leaf
A.12.5.5 Desenvolvimento terceirizado de software
hide
A.12.6 Gestão de vulnerabilidades técnicas
leaf
A.12.6.1 Controle de vulnerabilidades técnicas
hide
A.13 Gestão de incidentes de segurança da informação
hide
A.13.1 Notificação de fragilidades e eventos de segurança da informação
leaf
A.13.1.1 Notificação de eventos de segurança da informação
leaf
A.13.1.2 Notificando fragilidades de segurança da informação
hide
A.13.2 Gestão de incidentes de segurança da informação e melhorias
leaf
A.13.2.1 Responsabilidades e procedimentos
leaf
A.13.2.2 Aprendendo com os incidentes de segurança da informação
leaf
A.13.2.3 Coleta de evidências
hide
A.14 Gestão da continuidade do negócio
hide
A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
leaf
A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio
leaf
A.14.1.2 Continuidade de negócios e análise/avaliação de risco
leaf
A.14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
leaf
A.14.1.4 Estrutura do plano de continuidade do negócio
leaf
A.14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio
hide
A.15 Conformidade
hide
A.15.1 Conformidade com requisitos legais
leaf
A.15.1.1 Identificação da legislação vigente
leaf
A.15.1.2 Direitos de propriedade intelectual
leaf
A.15.1.3 Proteção de registros organizacionais
leaf
A.15.1.4 Proteção de dados e privacidade da informação pessoal
leaf
A.15.1.5 Prevenção de mau uso de recursos de processamento da informação
leaf
A.15.1.6 Regulamentação de controles de criptografia
hide
A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica
leaf
A.15.2.1 Conformidade com as políticas e normas de segurança da informação
leaf
A.15.2.2 Verificação da conformidade técnica
hide
A.15.3 Considerações quanto à auditoria de sistemas de informação
leaf
A.15.3.1 Controles de auditoria de sistemas de informação
leaf
A.15.3.2 Proteção de ferramentas de auditoria de sistemas de informação