ISO/IEC 27002

ISO/IEC 27002

CONTROLE DE ACCESO.
1. Responsabilidades de usuário.
  1. Política de posto de trabalho claro e tela limpa.
  2. Equipamento do usuário.
  3. Uso de senhas.
2. Laptops e tele trabalho.
  1. Tele trabalho.
  2. Laptops e comunicações móveis.
3. Controle de acesso à rede.
  1. Controle de conexão à rede.
  2. Separação das redes.
  3. Proteção dos portos de diagnóstico e configuração remotos.
  4. Identificação dos equipamentos na rede.
  5. Autenticação do usuário para conexões externas.
  6. Política de uso dos serviços em rede.
  7. Controle de encaminhamento (roteamento) da rede.
4. Controle de acesso ao sistema operacional.
  1. Uso dos recursos do sistema.
  2. Desconexão automática da sessão.
  3. Limitação do tempo de conexão.
  4. Sistema de gestão de senhas.
  5. Procedimentos seguros de início de sessão.
  6. Identificação e autenticação do usuário.
5. Controle de acesso às aplicações e à informação.
  1. Restrição de acesso à informação.
  2. Isolamento de sistemas sensíveis.
6. Requisitos de negócio para o controle de acesso
  1. Política de controle de acesso.
7. Gestão de acesso do usuário.
  1. Revisão dos direitos de acesso do usuário.
  2. Gestão de senhas do usuário.
  3. Gestão de privilégios.
  4. Registro do usuário.
GESTÃO DE COMUNICAÇÕES E OPERAÇÕES.
1. Responsabilidades e procedimentos de operação.
  1. Gestão de mudança.
  2. Segregação de tarefas.
  3. Separação dos recursos de desenvolvimento, testes e operação.
  4. Documentação dos procedimentos de operação.
2. Gestão da prestação de serviços por terceiros.
  1. Prestação de serviços.
  2. Supervisão e revisão dos serviços prestados por terceiros.
  3. Gestão de mudança nos serviços prestados por terceiros.
3. Planejamento e aceitação do sistema.
  1. Gestão de capacidades.
  2. Aceitação do sistema.
4. Proteção contra código malicioso e descarregamento.
  1. Controles contra o código malicioso.
  2. Controles contra o código descarregado no cliente
5. Cópias de segurança.
  1. Copias de segurança da informação.
6. Gestão de segurança das redes.
  1. Controles de rede.
  2. Segurança dos serviços de rede.
7. Manutenção do suporte.
  1. Gestão de suportes removíveis.
  2. Segurança da documentação do sistema.
  3. Procedimentos de manipulação da informação.
  4. Retirada de suportes.
8. Troca de informação.
  1. Sistemas de informação empresariais.
  2. Mensagem eletrônica.
  3. Suportes físicos em transações.
  4. Acordos de troca.
  5. Políticas e procedimentos de troca de informação.
9. Serviços de comércio eletrônico.
  1. Informação publicamente disponível.
  2. Transações em linha.
  3. Comércio eletrônico.
10. Supervisão.
  1. Sincronização do relógio.
  2. Registro de falhas.
  3. Registros de administração e operação.
  4. Proteção da informação dos registros.
  5. Supervisão do uso do sistema.
  6. Registros de auditoria.
SEGURANÇA FÍSICA E DO ENTORNO.
1. Áreas seguras.
  1. Perímetro de segurança física.
  2. Controles físicos de entrada.
  3. Segurança de oficinas, escritórios e instalação.
  4. Proteção contra as ameaças externas e de origem ambiental.
  5. Trabalho em áreas seguras.
  6. Áreas de acesso público e de carga e descarga.
2. Segurança dos equipamentos.
  1. Construção e equipamentos de proteção.
  2. Instalações de abastecimento.
  3. Segurança do cabeamento.
  4. Manutenção dos equipamentos.
  5. Segurança dos equipamentos fora das instalações
  6. Reutilização ou retirada segura dos equipamentos.
  7. Retirada de materiais de propriedade da empresa.
AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO.
1. Requisitos de segurança dos sistemas de informação.
  1. Análise e especificações dos requisitos de segurança.
2. Tratamento correto das aplicações.
  1. Validação dos dados de saída.
  2. Integridade das mensagens.
  3. Controle de processamento interno.
  4. Validação dos dados de entrada.
3. Controles criptográficos.
  1. Gestão de chaves.
  2. Política de uso dos controles criptográficos.
4. Segurança dos arquivos de sistema.
  1. Controle de acesso ao código fonte dos programas.
  2. Proteção dos dados de teste do sistema.
  3. Controle de software em exploração.
5. Segurança nos processos de desenvolvimento e suporte.
  1. Vazamentos de informação.
  2. Revisão técnica das aplicações após fazer alterações no S.O.
  3. Procedimentos de controle de mudança.
  4. Terceirização do desenvolvimento de software.
6. Gestão da vulnerabilidade técnica.
  1. Controle das vulnerabilidades técnicas.
ASPECTOS ORGANIZACIONAIS DA SEGURANÇA DA INFORMAÇÃO.
1. Organização interna
  1. Acordos de confidencialidade.
  2. Coordenação da Segurança da Informação.
  3. Contato com grupos de interesses especiais.
  4. Compromisso da direção com a segurança da informação.
  5. Contato com as autoridades.
  6. Processo de autorização de recursos para o tratamento da informação.
  7. Revisão independente da Segurança da Informação.
  8. Alocação de responsabilidades relativas à Segurança da Informação.
2. Terceiros
  1. Identificação dos riscos derivados do acesso de terceiros.
  2. Tratamento da Segurança em relação aos clientes.
  3. Tratamento da segurança em contratos com terceiros.
POLÍTICA DE SEGURANÇA
1. Política de segurança da informação.
  1. Documento de política de segurança da informação
  2. Revisão da política de segurança da informação.
GESTÃO DE ATIVOS
1. Classificação da Informação.
  1. Rotulagem e manipulação da informação.
  2. Diretrizes de classificação.
2. Responsabilidade sobre os ativos.
  1. Uso aceitável dos ativos.
  2. Propriedade dos ativos.
  3. Inventario de ativos.
SEGURANÇA LIGADA AOS RECURSOS HUMANOS.
1. Antes do emprego.
  1. Funções e responsabilidades.
  2. Investigação de antecedentes.
  3. Termos e condições de contratação.
2. Durante o emprego.
  1. Responsabilidades da Direção.
  2. Conscientização, formação e treinamento em Segurança da Informação.
  3. Processo disciplinar.
3. Rescisão de emprego ou mudança de emprego
  1. Responsabilidade da mudança ou termo.
  2. Devolução de ativos.
  3. Retirada dos direitos de acesso.
GESTÃO DA CONTINUIDADE DE NEGÓCIO.
1. Aspectos de segurança da informação na gestão da continuidade de negócio.
  1. Ponto de referência para o planejamento da cont. de negócio.
  2. Testes, manutenção e reavaliação dos planos de continuidade.
  3. Inclusão da segurança da informação no processo de gestão de continuidade de negócio.

Next up

Description

Resource summary

Similar

	Created by Jorge Monteiro over 7 years ago