definir as atividades e tarefas necessárias para o estabelecimento do sistema.

definir os requisitos de um sistema e transformá-los em um produto efetivo.

planejar, executar e controlar o progresso de um sistema.

definir as regras de suporte e auditoria do sistema.

adquirir e fornecer produtos e serviços através de suporte e controle dos sistemas.

I e II.

I e III.

II.

II e III.

III e IV.

os procedimentos assegurem que apenas funcionários explicitamente identificados e autorizados estejam liberados para acessar sistemas e dados em produção.

as ações de emergência sejam relatadas para a direção e analisadas criticamente de maneira ordenada.

a integridade dos sistemas do negócio e seus controles sejam validados na maior brevidade.

o planejamento da continuidade de negócios considere a identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio e identificação da perda aceitável de informações e serviços.

os mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.

convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização. Os procedimentos para rotulação da informação precisam abranger tanto os ativos de informação no formato físico quanto no eletrônico.

o nível de proteção à informação é avaliado analisando-se exclusivamente a confidencialidade, a integridade e a disponibilidade da informação.

convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido para o caso da recuperação de um desastre. É conveniente que esse inventário duplique outros inventários para garantir que as informações estejam sempre disponíveis, mesmo que o conteúdo não esteja totalmente coerente.

a classificação dada à informação é uma maneira de determinar como esta informação será tratada, mas não como será protegida.

não é conveniente que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos, entretanto, convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados.

Aos terceiros que realizam serviços de suporte, convém que seja concedido acesso restrito às áreas seguras ou às instalações de processamento da informação sensível somente quando necessário; este acesso deve ser autorizado e monitorado.

Convém que o acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria.

É conveniente que seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível.

A data da entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas somente com instruções sobre procedimentos de emergência.

Convém que os direitos de acesso a áreas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessário.

Promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

Foi desenvolvida para organizações privadas e seus requisitos genéricos não são aplicáveis às organizações públicas ou privadas de pequeno porte.

Adota o modelo conhecido como “Plan-do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.

Específica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

Específica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

I, II, III e IV.

II e III, apenas.

I, III e IV, apenas.

I e IV, apenas.

I, II e III, apenas.

Risk acceptance.

Continual monitoring and reviewing of risks.

Implementation of risk treatment plan.

Maintain and improve the Information Security Risk Management Process.

Developing risk treatment plan.

seja apropriada à natureza, à escala e aos impactos ambientais de suas atividades, produtos e serviços.

seja assinada pela alta administração da organização.

inclua um comprometimento com a melhoria contínua e com a prevenção de poluição.

inclua um comprometimento em atender aos requisitos legais aplicáveis e outros requisitos subscritos pela organização que se relacionem a seus aspectos ambientais.

forneça uma estrutura para estabelecimento e análise dos objetivos e metas ambientais.

I e II

II e III

III e IV

I, II e IV

I, III e IV