ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Visão geral do Anexo A da ISO 27001:2013

O Anexo A da ISO 27001 é provavelmente o mais famoso anexo de todas as normas ISO – isto porque ele prove uma ferramenta essencial para gerir a segurança: uma lista de controles de segurança (ou salvaguardas) para serem utilizadas para melhorar a segurança da informação.

Quantos controles existem na ISO 27001?

blogpost-banner-consultants-pt

Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão estruturados e o propósito de cada uma das 14 seções do Anexo A:

  • A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas
  • A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto
  • A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação
  • A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias
  • A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
  • A.10 Criptografia – controles relacionados a gestão de chaves criptográficas
  • A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.
  • A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc.
  • A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.
  • A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte
  • A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores
  • A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências
  • A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI
  • A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação

Um dos grandes mitos sobre a ISO 27001 é de que ela é focada em TI – como você pôde observar nas seções anteriores, isto não é bem verdade: embora a TI seja certamente importante, a TI sozinha não pode proteger a informação, Segurança física, proteção legal, gestão de recursos humanos, assuntos organizacionais – todos estes aspectos são necessários para proteger a informação.

A melhor forma de entender o Anexo A é pensar nele como um catálogo de controles de segurança que você pode selecionar – dos 114 controles que estão listados no Anexo A, você pode escolher aqueles que são aplicáveis a sua organização.

Relação com a parte principal da ISO 27001

Bem, nem todos estes 114 controles são obrigatórios – uma organização pode escolher por si mesma quais controles ela identifica como aplicáveis e então deve implementá-los (em muitos casos, até 90% dos controles são aplicáveis); o demais são declarados não aplicáveis. Por exemplo, o controle A.14.2.7 Desenvolvimento terceirizado pode ser marcado como não aplicável caso uma organização não terceirize o desenvolvimento de software. O principal critério para a seleção de controles é o uso do levantamento de riscos, o qual é definido nas cláusulas 6 e 8 da parte principal da ISO 27001. Saiba mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Adicionalmente, a cláusula 5 da parte principal da ISO 27001 requer que você defina responsabilidades para a gestão destes controles, e a cláusula 9 requer que você meça se os controles estão cumprindo seu propósito. Finalmente, a cláusula 10 requer que você repare qualquer coisa que esteja errada com estes controles, e assegure que você tenha conseguido atingir os objetivos de segurança da informação com estes controles.

Relação com a ISO 27002

A verdade é que o Anexo A da ISO 27001 não fornece muitos detalhes sobre cada controle. Geralmente existe uma sentença para cada controle, o que dá a você uma ideia sobre o que você precisa atingir, mas não como fazê-lo. Este é o propósito da ISO 27002 – ela possui exatamente a mesma estrutura do Anexo A da ISO 27001: cada controle do Anexo A existe na ISO 27002, juntamente com uma explicação mais detalhada sobre como implementá-lo. Mas não caia na armadilha de utilizar apenas a ISO 27002 para gerenciar sua segurança da informação – ela não dá a você pistas sobre como selecionar quais controles implementar, como medi-los, como designar responsabilidades, etc. Saiba mais aqui: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

Usabilidade do Anexo A

Existem algumas coisas que gosto sobre o Anexo A – ele dá uma visão geral perfeita de quais controles você pode aplicar, de forma que você não esqueça algum que poderia ser importante, e ela dá flexibilidade para você escolher apenas aqueles que identifica como aplicáveis a sua organização, de forma a não desperdiçar recursos em controles que não sejam relevantes a você.

É verdade que o Anexo A não lhe dá muito detalhe sobre implementação, mas é onde a ISO 27002 entra em cena; também é verdade que algumas organizações podem abusar da flexibilidade da ISO 27001 e mirar apenas para os controles mínimos com o objetivo de obter a certificação, mas este é um tópico para um outro post.

Para saber mais sobre os controles de segurança, participe deste treinamento on-line gratuito: ISO 27001 Foundations Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
How to integrate GDPR with ISO 27001
Wednesday – September 25, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.