CONTROLES ISO 27001 2022 PDF
Document Details
Uploaded by DashingHeliotrope5850
Universidade Unic de Cuiabá
Tags
Summary
This document contains a detailed list of information security controls categorized according to ISO 27001-2022 standards. Each control describes its purpose, type, and identified aspects of cybersecurity. It includes various controls related to organizational policies, roles, responsibilities, and contact mechanisms.
Full Transcript
ISO 27001-2022 - ANEXO A - CONTROLES ISO 27001:2022 ISO 27001:2022 ISO 27001:2022 Propriedades Conceitos de...
ISO 27001-2022 - ANEXO A - CONTROLES ISO 27001:2022 ISO 27001:2022 ISO 27001:2022 Propriedades Conceitos de Tipo de Controle CONTROLES NOME DO CONTROLE DESCRIÇÃO DO CONTROLE de S.I. Seg. Cibernética Controle A política de segurança da informação e as políticas específicas por tema devem ser definidas, aprovadas #Confidencialidade 5 Controles 5.1 - Políticas de segurança da pela direção, publicadas, comunicadas e reconhecidas #Preventivo #Integridade #Identificar organizacionais informação pelo pessoal pertinente e pelas partes interessadas #Disponibilidade pertinentes, e analisadas criticamente em intervalos planejados e quando ocorrerem mudanças significativas. Controle #Confidencialidade 5 Controles 5.2 - Papéis e responsabilidades pela Papéis e responsabilidades pela segurança da informação #Preventivo #Integridade #Identificar organizacionais segurança da informação devem ser definidos e alocados de acordo com as #Disponibilidade necessidades da organização. Controle #Confidencialidade 5 Controles 5.3 - Segregação de funções Funções conflitantes e áreas de responsabilidade devem #Preventivo #Integridade #Proteger organizacionais ser segregadas. #Disponibilidade Controle A direção deve requerer que todo o pessoal aplique a #Confidencialidade 5 Controles segurança da informação de acordo com a política da 5.4 - Responsabilidades da direção #Preventivo #Integridade #Identificar organizacionais segurança da informação estabelecida, com as políticas #Disponibilidade específicas por tema e com os procedimentos da organização. #Identificar Controle #Confidencialidade 5 Controles #Preventivo #Proteger 5.5 - Contato com autoridades A organização deve estabelecer e manter contato com as #Integridade organizacionais #Corretivo #Responder autoridades relevantes. #Disponibilidade #Restaurar Controle #Confidencialidade #Proteger 5 Controles 5.6 - Contato com grupos de interesse A organização deve estabelecer e manter contato com #Preventivo #Integridade #Responder organizacionais especial grupos de interesse especial ou com outros fóruns de #Corretivo #Disponibilidade #Restaurar especialistas em segurança e associações profissionais. Controle #Preventivo #Confidencialidade #Identificar 5 Controles As informações relacionadas a ameaças à segurança 5.7 - Inteligência de ameaças #Detectivo #Integridade #Detectar organizacionais da informação devem ser coletadas e analisadas para #Corretivo #Disponibilidade #Responder produzir inteligência de ameaças. Controle #Confidencialidade 5 Controles 5.8 - Segurança da informação no #Identificar A segurança da informação deve ser integrada ao #Preventivo #Integridade organizacionais gerenciamento de projetos #Proteger gerenciamento de projetos. #Disponibilidade Controle #Confidencialidade 5 Controles 5.9 - Inventário de informações e outros Um inventário de informações e outros ativos associados, #Preventivo #Integridade #Identificar organizacionais ativos associados incluindo proprietários, deve ser desenvolvido e mantido. #Disponibilidade Controle #Confidencialidade 5 Controles 5.10 - Uso aceitável de informações e Regras para o uso aceitável e procedimentos para o #Preventivo #Integridade #Proteger organizacionais outros ativos associados manuseio de informações e outros ativos associados #Disponibilidade devem ser identificados, documentados e implementados. Controle O pessoal e outras partes interessadas, conforme #Confidencialidade 5 Controles 5.11 - Devolução de ativos apropriado, devem devolver todos os ativos da #Preventivo #Integridade #Proteger organizacionais organização em sua posse após a mudança ou o #Disponibilidade encerramento da contratação ou acordo. Controle As informações devem ser classificadas de acordo #Confidencialidade 5 Controles com as necessidades de segurança da informação da 5.12 - Classifcação das informações #Preventivo #Integridade #Identificar organizacionais organização, com base na confidencialidade, integridade, #Disponibilidade disponibilidade e requisitos das partes interessadas relevantes. Controle Um conjunto adequado de procedimentos para rotulagem #Confidencialidade 5 Controles 5.13 - Rotulagem de informações de informações deve ser desenvolvido e implementado de #Preventivo #Integridade #Proteger organizacionais acordo com o esquema de classificação de informações #Disponibilidade adotado pela organização. Controle Regras, procedimentos ou acordos de transferência de #Confidencialidade 5 Controles 5.14 - Transferência de informações informações devem ser implementados para todos os #Preventivo #Integridade #Proteger organizacionais tipos de recursos de transferência dentro da organização #Disponibilidade e entre a organização e outras partes. Controle Regras para controlar o acesso físico e lógico às #Confidencialidade 5 Controles 5.15 - Controle de acesso informações e a outros ativos associados devem ser #Preventivo #Integridade #Proteger organizacionais estabelecidas e implementadas com base nos requisitos #Disponibilidade de segurança da informação e de negócios. Controle #Confidencialidade 5 Controles 5.16 - Gestão de identidade O ciclo de vida completo das identidades deve ser #Preventivo #Integridade #Proteger organizacionais gerenciado. #Disponibilidade #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA. ISO 27001-2022 - ANEXO A - CONTROLES Controle A alocação e a gestão de informações de autenticação #Confidencialidade 5 Controles 5.17 - Informações de autenticação devem ser controladas por uma gestão de processo, #Preventivo #Integridade #Proteger organizacionais incluindo aconselhar o pessoal sobre o manuseio #Disponibilidade adequado de informações de autenticação. Controle Os direitos de acesso às informações e a outros ativos #Confidencialidade 5 Controles associados devem ser provisionados, analisados 5.18 - Direitos de acesso #Preventivo #Integridade #Proteger organizacionais criticamente, modificados e removidos de acordo #Disponibilidade com a política de tema específico e com as regras da organização para o controle de acesso. Controle Processos e procedimentos devem ser definidos e #Confidencialidade 5 Controles 5.19 - Segurança da informação nas implementados para gerenciar a segurança da informação #Preventivo #Integridade #Identificar organizacionais relações com fornecedores e os riscos associados com o uso dos produtos ou #Disponibilidade serviços dos fornecedores. Controle 5.20 - Abordagem da segurança da #Confidencialidade 5 Controles Requisitos relevantes de segurança da informação devem informação nos contratos de #Preventivo #Integridade #Identificar organizacionais ser estabelecidos e acordados com cada fornecedor, com fornecedores #Disponibilidade base no tipo de relacionamento com o fornecedor. Controle 5.21 - Gestão da segurança da Processos e procedimentos devem ser definidos e #Confidencialidade 5 Controles informação na cadeia de fornecimento implementados para gerenciar os riscos da segurança #Preventivo #Integridade #Identificar organizacionais de TIC da informação associados à cadeia de fornecimento de #Disponibilidade produtos e serviços de TIC. Controle 5.22 - Monitoramento, análise crítica e A organização deve monitorar, analisar criticamente, #Confidencialidade 5 Controles gestão de mudanças dos serviços de avaliar e gerenciar regularmente a mudança nas práticas #Preventivo #Integridade #Identificar organizacionais fornecedores da segurança da informação dos fornecedores e na #Disponibilidade prestação de serviços. Controle Os processos de aquisição, uso, gestão e saída de #Confidencialidade 5 Controles 5.23 - Segurança da informação para serviços em nuvem devem ser estabelecidos de acordo #Preventivo #Integridade #Proteger organizacionais uso de serviços em nuvem com os requisitos da segurança da informação da #Disponibilidade organização. Controle A organização deve planejar e se preparar para gerenciar 5.24 - Planejamento e preparação da #Confidencialidade 5 Controles incidentes da segurança da informação, definindo, #Responder gestão de incidentes da segurança da #Corretivo #Integridade organizacionais estabelecendo e comunicando processos, papéis e #Restaurar informação #Disponibilidade responsabilidades de gestão de incidentes da segurança da informação. Controle #Confidencialidade 5 Controles 5.25 - Avaliação e decisão sobre A organização deve avaliar os eventos da segurança da #Detectar #Detectivo #Integridade organizacionais eventos da segurança da informação informação e decidir se categoriza como incidentes da #Responder #Disponibilidade segurança da informação. Controle #Confidencialidade 5 Controles 5.26 - Resposta a incidentes da Os incidentes da segurança da informação devem #Responder #Corretivo #Integridade organizacionais segurança da informação ser respondidos de acordo com os procedimentos #Restaurar #Disponibilidade documentados. Controle #Confidencialidade 5 Controles 5.27 - Aprendizado com incidentes de O conhecimento adquirido com incidentes de segurança #Identificar #Preventivo #Integridade organizacionais segurança da informação da informação deve ser usado para fortalecer e melhorar #Proteger #Disponibilidade os controles da segurança da informação. Controle A organização deve estabelecer e implementar #Confidencialidade 5 Controles #Detectar 5.28 - Coleta de evidências procedimentos para identificação, coleta, aquisição e #Corretivo #Integridade organizacionais #Responder preservação de evidências relacionadas a eventos da #Disponibilidade segurança da informação. Controle #Confidencialidade 5 Controles 5.29 - Segurança da informação durante #Preventivo #Proteger A organização deve planejar como manter a segurança da #Integridade organizacionais a disrupção #Corretivo #Responder informação em um nível apropriado durante a disrupção. #Disponibilidade Controle 5 Controles 5.30 - Prontidão de TIC para A prontidão de TIC deve ser planejada, implementada, #Corretivo #Disponibilidade #Responder organizacionais continuidade de negócios mantida e testada com base nos objetivos de continuidade de negócios e nos requisitos de continuidade da TIC. Controle Os requisitos legais, estatutários, regulamentares e #Confidencialidade 5 Controles 5.31 - Requisitos legais, estatutários, contratuais pertinentes à segurança da informação e #Preventivo #Integridade #Identificar organizacionais regulamentares e contratuais à abordagem da organização para atender a esses #Disponibilidade requisitos devem ser identificados, documentados e atualizados. Controle #Confidencialidade 5 Controles 5.32 - Direitos de propriedade A organização deve implementar procedimentos #Preventivo #Integridade #Identificar organizacionais intelectual adequados para proteger os direitos de propriedade #Disponibilidade intelectual. #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA. ISO 27001-2022 - ANEXO A - CONTROLES Controle #Confidencialidade 5 Controles Os registros devem ser protegidos contra perdas, #Identificar 5.33 - Proteção de registros #Preventivo #Integridade organizacionais destruição, falsificação, acesso não autorizado e liberação #Proteger #Disponibilidade não autorizada. Controle A organização deve identificar e atender aos requisitos #Confidencialidade 5 Controles #Identificar 5.34 - Privacidade e proteção de DP relativos à preservação da privacidade e à proteção de #Preventivo #Integridade organizacionais #Proteger DP, de acordo com as leis e os regulamentos aplicáveis e #Disponibilidade requisitos contratuais. Controle A abordagem da organização para gerenciar a segurança #Confidencialidade 5 Controles 5.35 - Análise crítica independente da da informação e sua implementação, incluindo pessoas, #Preventivo #Identificar #Integridade organizacionais segurança da informação processos e tecnologias, deve ser analisada criticamente, #Corretivo #Proteger #Disponibilidade de forma independente, a intervalos planejados ou quando ocorrerem mudanças significativas. Controle 5.36 - Compliance com políticas, regras O compliance da política de segurança da informação #Confidencialidade 5 Controles #Identificar e normas para segurança da da organização, políticas, regras e normas de temas #Preventivo #Integridade organizacionais #Proteger informação específicos deve ser analisado criticamente a intervalos #Disponibilidade regulares. Controle #Confidencialidade 5 Controles 5.37 - Documentação dos Os procedimentos de operação dos recursos de #Preventivo #Proteger #Integridade organizacionais procedimentos de operação tratamento da informação devem ser documentados e #Corretivo #Restaurar #Disponibilidade disponibilizados para o pessoal que necessite deles. Controle Verificações de antecedentes de todos os candidatos a serem contratados devem ser realizadas antes de #Confidencialidade 6 Controles de ingressarem na organização e de modo contínuo, de 6.1 - Seleção #Preventivo #Integridade #Proteger pessoas acordo com as leis, os regulamentos e a ética aplicáveis, #Disponibilidade e devem ser proporcionais aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos. Controle #Confidencialidade 6 Controles de 6.2 - Termos e condições de Os contratos trabalhistas devem declarar as #Preventivo #Integridade #Proteger pessoas contratação responsabilidades do pessoal e da organização para a #Disponibilidade segurança da informação. Controle O pessoal da organização e partes interessadas 6.3 - Conscientização, educação e relevantes devem receber treinamento, educação e #Confidencialidade 6 Controles de treinamento em segurança da conscientização em segurança da informação apropriados #Preventivo #Integridade #Proteger pessoas informação e atualizações regulares da política de segurança da #Disponibilidade informação da organização, políticas e procedimentos específicas por tema, pertinentes para as suas funções. Controle Um processo disciplinar deve ser formalizado e #Confidencialidade 6 Controles de #Preventivo #Proteger 6.4 - Processo disciplinar comunicado, para tomar ações contra pessoal e outras #Integridade pessoas #Corretivo #Responder partes interessadas relevantes que tenham cometido uma #Disponibilidade violação da política da segurança da informação. Controle As responsabilidades e funções de segurança 6.5 - Responsabilidades após #Confidencialidade 6 Controles de da informação que permaneçam válidas após o encerramento ou mudança da #Preventivo #Integridade #Proteger pessoas encerramento ou a mudança da contratação devem ser contratação #Disponibilidade definidas, aplicadas e comunicadas ao pessoal e a outras partes interessadas pertinentes. Controle Acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização para a proteção 6 Controles de 6.6 - Acordos de confidencialidade das informações devem ser identificados, documentados, #Preventivo #Confidencialidade #Proteger pessoas ou não divulgação analisados criticamente em intervalos regulares e assinados pelo pessoal e por outras partes interessadas pertinentes. #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA. ISO 27001-2022 - ANEXO A - CONTROLES Controle Medidas de segurança devem ser implementadas #Confidencialidade 6 Controles de 6.7 - Trabalho remoto quando as pessoas estiverem trabalhando remotamente #Preventivo #Integridade #Proteger pessoas para proteger as informações acessadas, tratadas ou #Disponibilidade armazenadas fora das instalações da organização. Controle A organização deve fornecer um mecanismo para que as #Confidencialidade 6 Controles de 6.8 - Relato de eventos de pessoas relatem eventos da segurança da informação #Detectivo #Integridade #Detectar pessoas segurança da informação observados ou suspeitos por meio de canais apropriados #Disponibilidade em tempo hábil. Controle #Confidencialidade Perímetros de segurança devem ser definidos e usados 7 Controles físicos 7.1 - Perímetros de segurança física #Preventivo #Integridade #Proteger para proteger áreas que contenham informações e outros #Disponibilidade ativos associados. Controle #Confidencialidade 7 Controles físicos 7.2 - Entrada física As áreas seguras devem ser protegidas por controles de #Preventivo #Integridade #Proteger entrada e pontos de acesso apropriados. #Disponibilidade Controle #Confidencialidade 7.3 - Segurança de escritórios, salas 7 Controles físicos Segurança física para escritórios, salas e instalações deve #Preventivo #Integridade #Proteger e instalações ser projetada e implementada. #Disponibilidade Controle #Confidencialidade 7.4 - Monitoramento de segurança #Preventivo #Proteger 7 Controles físicos As instalações devem ser monitoradas continuamente #Integridade física #Detectivo #Detectar para acesso físico não autorizado. #Disponibilidade Controle Proteção contra ameaças físicas e ambientais, como #Confidencialidade 7.5 - Proteção contra ameaças 7 Controles físicos desastres naturais e outras ameaças físicas intencionais #Preventivo #Integridade #Proteger físicas e ambientais ou não intencionais à infraestrutura, deve ser projetada e #Disponibilidade implementada. Controle #Confidencialidade 7 Controles físicos 7.6 - Trabalho em áreas seguras Medidas de segurança para trabalhar em áreas seguras #Preventivo #Integridade #Proteger devem ser projetadas e implementadas. #Disponibilidade Controle Regras de mesa limpa para documentos impressos e 7 Controles físicos 7.7 - Mesa limpa e tela limpa mídia de armazenamento removível e regras de tela limpa #Preventivo #Confidencialidade #Proteger para os recursos de tratamento das informações devem ser definidas e adequadamente aplicadas. Controle #Confidencialidade 7.8 - Localização e proteção de 7 Controles físicos Os equipamentos devem ser posicionados com segurança #Preventivo #Integridade #Proteger equipamentos e proteção. #Disponibilidade Controle #Confidencialidade 7.9 - Segurança de ativos fora das 7 Controles físicos Os ativos fora das instalações da organização devem ser #Preventivo #Integridade #Proteger instalações da organização protegidos. #Disponibilidade Controle As mídias de armazenamento devem ser gerenciadas por #Confidencialidade 7 Controles físicos 7.10 - Mídia de armazenamento seu ciclo de vida de aquisição, uso, transporte e descarte, #Preventivo #Integridade #Proteger de acordo com o esquema de classificação e com os #Disponibilidade requisitos de manuseio da organização. Controle As instalações de tratamento de informações devem ser #Preventivo #Integridade #Proteger 7 Controles físicos 7.11 - Serviços de infraestrutura protegidas contra falhas de energia e outras disrupções #Detectivo #Disponibilidade #Detectar causadas por falhas nos serviços de infraestrutura. #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA. ISO 27001-2022 - ANEXO A - CONTROLES Controle Os cabos que transportam energia ou dados, ou que #Confidencialidade 7 Controles físicos 7.12 - Segurança do cabeamento #Preventivo #Proteger sustentam serviços de informação, devem ser protegidos #Disponibilidade contra interceptação, interferência ou danos. Controle #Confidencialidade 7.13 - Manutenção de Os equipamentos devem ser mantidos corretamente 7 Controles físicos #Preventivo #Integridade #Proteger equipamentos para assegurar a disponibilidade, integridade e #Disponibilidade confidencialidade da informação. Controle Os itens dos equipamentos que contenham mídia de 7.14 - Descarte seguro ou armazenamento devem ser verificados para assegurar 7 Controles físicos #Preventivo #Confidencialidade #Proteger reutilização de equipamentos que quaisquer dados confidenciais e software licenciado tenham sido removidos ou substituídos com segurança antes do descarte ou reutilização. Controle #Confidencialidade 8 Controles 8.1 - Dispositivos endpoint do As informações armazenadas, tratadas ou acessíveis #Preventivo #Integridade #Proteger tecnológicos usuário por meio de dispositivos endpoint do usuário devem ser #Disponibilidade protegidas. Controle #Confidencialidade 8 Controles 8.2 - Direitos de acessos A atribuição e o uso de direitos de acessos privilegiados #Preventivo #Integridade #Proteger tecnológicos privilegiados devem ser restritos e gerenciados #Disponibilidade Controle #Confidencialidade 8 Controles 8.3 - Restrição de acesso à O acesso às informações e a outros ativos associados #Preventivo #Integridade #Proteger tecnológicos informação deve ser restrito de acordo com a política específica por #Disponibilidade tema sobre controle de acesso. Controle #Confidencialidade 8 Controles Os acessos de leitura e escrita ao código-fonte, 8.4 - Acesso ao código-fonte #Preventivo #Integridade #Proteger tecnológicos ferramentas de desenvolvimento e bibliotecas de software #Disponibilidade devem ser adequadamente gerenciados. Controle Tecnologias e procedimentos de autenticação seguros #Confidencialidade 8 Controles 8.5 - Autenticação segura devem ser implementados, com base em restrições de #Preventivo #Integridade #Proteger tecnológicos acesso à informação e à política específica por tema de #Disponibilidade controle de acesso. Controle #Identificar 8 Controles O uso dos recursos deve ser monitorado e ajustado #Preventivo #Integridade 8.6 - Gestão de capacidade #Proteger tecnológicos de acordo com os requisitos atuais e esperados de #Detectivo #Disponibilidade #Detectar capacidade. Controle #Preventivo #Confidencialidade 8 Controles #Proteger 8.7 - Proteção contra malware Proteção contra malware deve ser implementada e #Detectivo #Integridade tecnológicos #Detectar apoiada pela conscientização adequada do usuário. #Corretivo #Disponibilidade Controle Informações sobre vulnerabilidades técnicas dos sistemas #Confidencialidade 8 Controles 8.8 - Gestão de vulnerabilidades #Identificar de informação em uso devem ser obtidas; a exposição da #Preventivo #Integridade tecnológicos técnicas #Proteger organização a tais vulnerabilidades deve ser avaliada e #Disponibilidade medidas apropriadas devem ser tomadas. Controle As configurações, incluindo configurações de segurança, #Confidencialidade 8 Controles 8.9 - Gestão de configuração de hardware, software, serviços e redes, devem #Preventivo #Integridade #Proteger tecnológicos ser estabelecidas, documentadas, implementadas, #Disponibilidade monitoradas e analisadas criticamente. Controle As informações armazenadas em sistemas de 8 Controles 8.10 - Exclusão de informações informação, dispositivos ou em qualquer outra mídia de #Preventivo #Confidencialidade #Proteger tecnológicos armazenamento devem ser excluídas quando não forem mais necessárias. #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA. ISO 27001-2022 - ANEXO A - CONTROLES Controle O mascaramento de dados deve ser usado de acordo 8 Controles com a política específica por tema da organização sobre 8.11 - Mascaramento de dados #Preventivo #Confidencialidade #Proteger tecnológicos o controle de acesso e outros requisitos específicos por tema relacionados e requisitos de negócios, levando em consideração a legislação aplicável. Controle As medidas de prevenção de vazamento de dados 8 Controles 8.12 - Prevenção de vazamento de #Preventivo #Proteger devem ser aplicadas a sistemas, redes e quaisquer #Confidencialidade tecnológicos dados #Detectivo #Detectar outros dispositivos que tratem, armazenem ou transmitam informações sensíveis. Controle Cópias de backup de informações, software e sistemas 8 Controles #Integridade 8.13 - Backup das informações devem ser mantidas e testadas regularmente de acordo #Corretivo #Restaurar tecnológicos #Disponibilidade com a política específica por tema acordada sobre backup. Controle 8 Controles 8.14 - Redundância dos recursos de Os recursos de tratamento de informações devem ser #Preventivo #Disponibilidade #Proteger tecnológicos tratamento de informações implementados com redundância suficiente para atender aos requisitos de disponibilidade. Controle #Confidencialidade 8 Controles Logs que registrem atividades, exceções, falhas e outros 8.15 - Log #Detectivo #Integridade #Detectar tecnológicos eventos relevantes devem ser produzidos, armazenados, #Disponibilidade protegidos e analisados. Controle As redes, sistemas e aplicações devem ser monitorados #Confidencialidade 8 Controles #Detectivo #Detectar 8.16 - Atividades de monitoramento por comportamentos anômalos e por ações apropriadas, #Integridade tecnológicos #Corretivo #Responder tomadas para avaliar possíveis incidentes de segurança #Disponibilidade da informação. Controle 8 Controles Os relógios dos sistemas de tratamento de informações #Proteger 8.17 - Sincronização do relógio #Detectivo #Integridade tecnológicos utilizados pela organização devem ser sincronizados com #Detectar fontes de tempo aprovadas. Controle #Confidencialidade 8 Controles 8.18 - Uso de programas utilitários O uso de programas utilitários que possam ser capazes #Preventivo #Integridade #Proteger tecnológicos privilegiados de substituir os controles de sistema e as aplicações deve #Disponibilidade ser restrito e rigorosamente controlado. Controle #Confidencialidade 8 Controles 8.19 - Instalação de software em Procedimentos e medidas devem ser implementados para #Preventivo #Integridade #Proteger tecnológicos sistemas operacionais gerenciar com segurança a instalação de software em #Disponibilidade sistemas operacionais. Controle #Confidencialidade 8 Controles Redes e dispositivos de rede devem ser protegidos, #Preventivo #Proteger 8.20 - Segurança de redes #Integridade tecnológicos gerenciados e controlados para proteger as informações #Detectivo #Detectar #Disponibilidade em sistemas e aplicações. Controle #Confidencialidade 8 Controles 8.21 - Segurança dos serviços de Mecanismos de segurança, níveis de serviço e #Preventivo #Integridade #Proteger tecnológicos rede requisitos de serviços de rede devem ser identificados, #Disponibilidade implementados e monitorados. Controle #Confidencialidade 8 Controles Grupos de serviços de informação, usuários e sistemas 8.22 - Segregação de redes #Preventivo #Integridade #Proteger tecnológicos de informação devem ser segregados nas redes da #Disponibilidade organização. #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA. ISO 27001-2022 - ANEXO A - CONTROLES Controle #Confidencialidade 8 Controles 8.23 - Filtragem da web O acesso a sites externos deve ser gerenciado para #Preventivo #Integridade #Proteger tecnológicos reduzir a exposição a conteúdo malicioso. #Disponibilidade Controle #Confidencialidade 8 Controles Regras para o uso efetivo da criptografia, incluindo 8.24 - Uso de criptografia #Preventivo #Integridade #Proteger tecnológicos o gerenciamento de chaves criptográfica devem ser #Disponibilidade definidas e implementadas. Controle #Confidencialidade 8 Controles 8.25 - Ciclo de vida de Regras para o desenvolvimento seguro de software e #Preventivo #Integridade #Proteger tecnológicos desenvolvimento seguro sistemas devem ser estabelecidas e aplicadas. #Disponibilidade Controle #Confidencialidade 8 Controles 8.26 - Requisitos de segurança da Requisitos de segurança da informação devem ser #Preventivo #Integridade #Proteger tecnológicos aplicação identificados, especificados e aprovados ao desenvolver #Disponibilidade ou adquirir aplicações. Controle #Confidencialidade 8 Controles 8.27 - Princípios de arquitetura e Princípios de engenharia de sistemas seguros devem ser #Preventivo #Integridade #Proteger tecnológicos engenharia de sistemas seguros estabelecidos, documentados, mantidos e aplicados a #Disponibilidade qualquer atividade de desenvolvimento de sistemas. Controle #Confidencialidade 8 Controles 8.28 - Codificação segura Princípios de codificação segura devem ser aplicados ao #Preventivo #Integridade #Proteger tecnológicos desenvolvimento de software. #Disponibilidade Controle #Confidencialidade 8 Controles 8.29 - Testes de segurança em Processos de teste de segurança devem ser definidos e #Preventivo #Integridade #Identificar tecnológicos desenvolvimento e aceitação implementados no ciclo de vida do desenvolvimento. #Disponibilidade Controle #Confidencialidade #Identificar 8 Controles A organização deve dirigir, monitorar e analisar #Preventivo 8.30 - Desenvolvimento terceirizado #Integridade #Proteger tecnológicos criticamente as atividades relacionadas à terceirização de #Detectivo #Disponibilidade #Detectar desenvolvimento de sistemas. Controle #Confidencialidade 8 Controles 8.31 - Separação dos ambientes de Ambientes de desenvolvimento, testes e produção devem #Preventivo #Integridade #Proteger tecnológicos desenvolvimento, teste e produção ser separados e protegidos. #Disponibilidade Controle #Confidencialidade 8 Controles Mudanças nos recursos de tratamento de informações 8.32 - Gestão de mudanças #Preventivo #Integridade #Proteger tecnológicos e sistemas de informação devem estar sujeitas a #Disponibilidade procedimentos de gestão de mudanças. Controle 8 Controles #Confidencialidade 8.33 - Informações de teste Informações de teste devem ser adequadamente #Preventivo #Proteger tecnológicos #Integridade selecionadas, protegidas e gerenciadas. Controle 8.34 - Proteção de sistemas de Testes de auditoria e outras atividades de garantia #Confidencialidade 8 Controles informação durante os testes de envolvendo a avaliação de sistemas operacionais devem #Preventivo #Integridade #Proteger tecnológicos auditoria ser planejados e acordados entre o testador e a gestão #Disponibilidade apropriada. #***Este documento está clasificado como PUBLICO por TELEFÓNICA. ***This document is classified as PUBLIC by TELEFÓNICA.
