• A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão
• da segurança da informação pelos seguintes meios:
• a) assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização;
• b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da organização;
• c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação estão disponíveis;
• d) comunicando a importância de uma gestão efi caz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação;
• e) assegurando que o sistema de gestão da segurança da informação alcança seus resultados pretendidos;
• f) orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança da informação;
• g) promovendo a melhoria contínua; e
• h) apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade.

• Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, devem ser explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
• Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com os direitos de propriedade intelectual, e sobre o uso de produtos de software proprietários.
• Registros devem ser protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.
• A privacidade e proteção das informações de identificação pessoal devem ser asseguradas conforme requerido por legislação e regulamentação pertinente, quando aplicável.
• Controles de criptografia devem ser usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.

• O enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, controles, objetivo dos controles, políticas, processos e procedimentos para a segurança da informação) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanças significativas.
• Os gestores devem analisar criticamente, a intervalos regulares, a conformidade dos procedimentos e do processamento da informação, dentro das suas áreas de responsabilidade, com as normas e políticas de segurança e quaisquer outros requisitos de segurança da informação.
• Os sistemas de informação devem ser analisados criticamente, a intervalos regulares, para verificar a conformidade com as normas e políticas de segurança da informação da organização.

• A organização deve determinar seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.
• A organização deve estabelecer, documentar, implementar e manter processos, procedimentos e controles para assegurar o nível requerido de continuidade para a segurança da informação, durante uma situação adversa.
• A organização deve verificar os controles de continuidade da segurança da informação, estabelecidos e implementados, á intervalos regulares, para garantir que eles são válidos e eficazes em situações adversas.
• Os recursos de processamento da informação devem ser implementados com redundância suficiente para atender aos requisitos de disponibilidade.

• Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.
• Uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, deve ser desenvolvida e implementada ao longo de todo o seu ciclo de vida.

• Os requisitos relacionados com segurança da informação devem ser incluídos nos requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes.
• As informações envolvidas nos serviços de aplicação que transitam sobre redes públicas devem ser protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas.
• Informações envolvidas em transações nos aplicativos de serviços devem ser protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.

• Regras para o desenvolvimento de sistemas e software devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização.
• Mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas utilizando procedimentos formais de controle de mudanças.
• Aplicações críticas de negócios devem ser analisadas criticamente e testadas quando plataformas operacionais são mudadas, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança.
• Modificações em pacotes de software devem ser desencorajadas e devem estar limitadas às mudanças necessárias, e todas as mudanças devem ser estritamente controladas.
• Princípios para projetar sistemas seguros devem ser estabelecidos, documentados, mantidos e aplicados para qualquer implementação de sistemas de informação.
• As organizações devem estabelecer e proteger adequadamente os ambientes seguros de desenvolvimento, para os esforços de integração e desenvolvimento de sistemas, que cubram todo o ciclo de vida de desenvolvimento de sistema
• A organização deve supervisionar e monitorar as atividades de desenvolvimento de sistemas terceirizado.
• Testes de funcionalidade de segurança devem ser realizados durante o desenvolvimento de sistemas.
• Programas de testes de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.

• Os dados de teste devem ser selecionados com cuidado, protegidos e controlados.

• Os ativos associados com informação e com os recursos e processamento da informação devem ser identificados e um inventário destes ativos deve ser estruturado e mantido.
• Os ativos mantidos no inventário devem ter um proprietário.
• Regras para o uso aceitável das informações, dos ativos associados com informação e os recursos de processamento da informação, devem ser identificados, documentados e implementados.
• Todos os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.
• A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.
• Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.
• Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização.
• Procedimentos devem ser implementados para o gerenciamento de mídias removíveis, de acordo com o esquema de classificação adotado pela organização.
• As mídias devem ser descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais.
• Mídias contendo informações devem ser protegidas contra acesso não autorizado, uso impróprio ou corrompida, durante o transporte.

• Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela direção, publicado e comunicado para os funcionários e partes externas relevantes.

• Todas as responsabilidades pela segurança da informação devem ser definidas e atribuídas.
• Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização.
• Contatos apropriados com autoridades relevantes devem ser mantidos.
• Contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação devem ser mantidos.
• Segurança da informação deve ser considerada no gerenciamento de projetos, independentemente do tipo do projeto.
• Uma política e medidas que apoiam a segurança da informação devem ser adotadas para gerenciar os riscos decorrentes do uso de dispositivos móveis.
• Uma política e medidas que apoiam a segurança da informação devem ser implementadas para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto.

• Verificações do histórico devem ser realizadas para todos os candidatos a emprego, de acordo com a ética, regulamentações e leis relevantes, e deve ser proporcional aos requisitos do negócio, aos riscos percebidos e à classificação das informações a serem acessadas.
• As obrigações contratuais com funcionários e partes externas devem declarar as suas responsabilidade e a da organização para a segurança da informação.

• A Direção deve requerer aos funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.
• Todos os funcionários da organização e, onde pertinente, partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
• Deve existir um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação.

• As responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação devem ser definidas, comunicadas aos funcionários ou partes externas e cumpridas.

• Uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseado nos requisitos de segurança da informação e dos negócios.
• Os usuários devem somente receber acesso às redes e aos serviços de rede que tenham sido especificamente autorizados a usar.
• Um processo formal de registro e cancelamento de usuário deve ser implementado para permitir atribuição de direitos de acesso.
• Um processo formal de provisionamento de acesso do usuário deve ser implementado para conceder ou revogar os direitos de acesso do usuário para todos os tipos de usuários em todos os tipos de sistemas e serviços.
• A concessão e uso de direitos e acesso privilegiado devem ser restritos e controlados.
• A concessão de informação de autenticação secreta deve ser controlada por meio de um processo de gerenciamento formal.
• Os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários, a intervalos regulares.
• Os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação devem ser retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades.
• Os usuários devem ser orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta.
• O acesso à informação e as funções dos sistemas de aplicações devem ser restrito de acordo com a política de controle de acesso.
• Onde aplicável pela política de controle de acesso, o acesso aos sistemas e aplicações devem ser controlados por um procedimento seguro de entrada no sistema (log-on).
• Sistemas para gerenciamento de senhas devem ser interativos e devem assegurar senhas de qualidade.
• O uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações deve ser restrito e estritamente controlado.
• O acesso ao código-fonte de programa deve ser restrito.

• Perímetros de segurança devem ser definidos e usados para proteger tanto as áreas que contenham as instalações de processamento da informação como as informações críticas ou sensíveis.
• As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido.
• Deve ser projetada e aplicada segurança física para escritórios, salas e instalações.
• Devem ser projetadas e aplicadas proteção física contra desastres naturais, ataques maliciosos ou acidentes.
• Deve ser projetada e aplicada procedimentos para o trabalho em áreas seguras.
• Pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, devem ser controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado.
• Os equipamentos devem ser colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio-ambiente, bem como as oportunidades de acesso não autorizado.
• Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.
• O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação, interferência ou danos.
• Os equipamentos devem ter uma manutenção correta para assegurar sua disponibilidade e integridade permanente.
• Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia.
• Devem ser tomadas medidas de segurança para ativos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.
• Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre-gravados com segurança.
• Os usuários devem assegurar que os equipamentos não monitorados tenham proteção adequada.
• Deve ser adotada uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação.

• As redes devem ser gerenciadas e controladas para proteger as informações nos sistemas e aplicações.
• Mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede, devem ser identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.
• Grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes.

• Políticas, procedimentos e controles de transferências formais, devem ser estabelecidos para proteger a transferência de informações por meio do uso de todos os tipos de recursos de comunicação.
• Devem ser estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.
• As informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas.
• Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados, analisados criticamente e documentados.

• Requisitos de segurança da informação para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organização devem ser acordados com o fornecedor e documentados.
• Todos os requisitos de segurança da informação relevantes devem ser estabelecidos e acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar, ou prover componentes de infraestrutura de TI para as informações da organização.
• Acordos com fornecedores devem incluir requisitos para comtemplar os riscos de segurança da informação associados com a cadeia de suprimento de produtos e serviços de tecnologia das comunicações e informação.

• A organização deve monitorar, analisar criticamente e auditar a intervalos regulares, a entrega dos serviços executados pelos fornecedores.
• Mudanças no provisionamento dos serviços pelos fornecedores, incluindo manutenção e melhoria das políticas de segurança da informação, dos procedimentos e controles existentes, devem ser gerenciadas, levando-se em conta a criticidade das informações do negócio, dos sistemas e processos envolvidos, e a reavaliação de riscos.

• Incidentes de segurança da informação devem ser reportados de acordo com procedimentos documentados.
• Os conhecimentos obtidos da análise e resolução dos incidentes de segurança da informação devem ser usados para reduzir a probabilidade ou o impacto de incidentes futuros.
• A organização deve definir e aplicar procedimentos para a identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.

XMind - Evaluation Version