4.1 A organização deve determinar as questões externas e internas que sejam pertinentes para o seu propósito e que afetem sua capacidade de alcançar o(s) resultado(s) pretendido(s) do seu SGSI (Sistema de Gestão de Segurança da Informação).
4.2.1 Ao estabelecer o SGSI, a organização deve determinar: a) as partes interessadas que sejam pertinentes para o SGSI;
4.2.2 Ao estabelecer o SGSI, a organização deve determinar: b) os requisitos pertinentes dessas partes interessadas.
4.2.3 Ao estabelecer o SGSI, a organização deve determinar: c) quais desses requisitos serão atendidos pelo SGSI
4.3.1 A organização deve determinar os limites e a aplicabilidade do SGSI para estabelecer o seu escopo.
4.3.2 Ao determinar o escopo, a organização deve considerar: a) as questões externas e internas referidas em 4.1;
4.3.3 Ao determinar o escopo, a organização deve considerar: b) os requisitos referidos em 4.2;
4.3.4 Ao determinar o escopo, a organização deve considerar: c) interfaces e dependências entre as atividades realizadas pela organização e aquelas realizadas por outras organizações.
4.3.5 O escopo deve estar disponível como informação documentada.
4.4.1 A organização deve estabelecer, implementar, manter e aprimorar continuamente o SGSI, incluindo os processos necessários e as suas interações, de acordo com os requisitos deste documento.
5.1.1 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: a) assegurando que a política e os objetivos de segurança da informação sejam estabelecidos e compatíveis com o direcionamento estratégico da organização;
5.1.2 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: b) assegurando a integração dos requisitos do SGSI nos processos de negócio da organização;
5.1.3 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: c) assegurando que os recursos necessários para o SGSI estejam disponíveis;
5.1.4 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: d) comunicando a importância de uma gestão de segurança da informação eficaz e que esteja conforme com os requisitos do SGSI;
5.1.5 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: e) assegurando que o SGSI alcance os resultados pretendidos;
5.1.6 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: f) dirigindo e apoiando pessoas a contribuir para eficácia do SGSI;
5.1.7 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: g) promovendo a melhoria contínua;
5.1.8 A Alta Direção deve demonstrar liderança e comprometimento com respeito ao SGSI: h) apoiando outros papéis pertinentes da gestão a demonstrar como a sua liderança e comprometimento se aplicam às suas áreas sob sua responsabilidade.
5.2.1 A Alta Direção deve estabelecer uma política de segurança da informação que: a) seja apropriada ao propósito da organização;
5.2.2 A Alta Direção deve estabelecer uma política de segurança da informação que: b) forneça uma estrutura para o estabelecimento de objetivos de segurança da informação;
5.2.3 A Alta Direção deve estabelecer uma política de segurança da informação que: c) inclua um comprometimento em satisfazer os requisitos aplicáveis de segurança da informação;
5.2.4 A Alta Direção deve estabelecer uma política de segurança da informação que: d) inclua um comprometimento com a melhoria contínua do SGSI.
5.2.5 A política de segurança da informaçao deve: a) estar disponível como informação documentada;
5.2.6 A política de segurança da informaçaodeve: b) ser comunicada na organização;
5.2.7 A política de segurança da informaçao deve: c) estar disponível para partes interessadas, como apropriado.
5.3.1 A Alta Direção direção deve assegurar que papéis, responsabilidades e autoridades pertinentes sejam atribuídos e comunicados na organização.
5.3.2 A Alta Direção direção deve atribuir a responsabilidade e autoridade para: a) assegurar que o SGSI esteja conforme com os requisitos deste documento;
5.3.3 A Alta Direção direção deve atribuir a responsabilidade e autoridade para: b) relatar o desempenho do SGSI para a Alta Direção.
6.1.1 Ao planejar o SGSI, a organização deve considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e as oportunidades que precisam ser abordados para: a) assegurar que o SGSI possa alcançar os resultados pretendidos;
6.1.2 Ao planejar o SGSI, a organização deve considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e as oportunidades que precisam ser abordados para: b) prevenir, ou reduzir, efeitos indesejados;
6.1.3 Ao planejar o SGSI, a organização deve considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e as oportunidades que precisam ser abordados para: c) alcançar a melhoria contínua.
6.1.4 A organização deve planejar: a) ações para abordar esses riscos e oportunidades;
6.1.5 A organização deve planejar: b) ações para abordar esses riscos e oportunidades, como: 1) integrar e implementar as ações ao processo do seu SGSI;
6.1.6 A organização deve planejar: b) ações para abordar esses riscos e oportunidades, como: 2) avaliar a eficácia dessas ações.
6.1.7 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: a)estabelece e mantém critérios de risco de segurança da informação que incluem: 1) os critérios de aceitação de riscos
6.1.8 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: a) estabelece e mantém critérios de risco de segurança da informação que incluem: 2) critérios para a realização de avaliações de risco à segurança da informação
6.1.9 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: b) garante que as repetidas avaliações de risco à segurança da informação produzam resultados consistentes, válidos e comparáveis;
6.1.10 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: c) identifica os riscos de segurança da informação: 1) aplicar o processo de avaliação de riscos de segurança da informação para identificar os riscos associados à perda de confidencialidade, integridade e disponibilidade das informações dentro do escopo do sistema de gerenciamento de segurança da informação;
6.1.11 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: c) identifica os riscos de segurança da informação: 2) identificar os donos dos riscos (risk owners)
6.1.12 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: d) analisa os riscos de segurança da informação: 1) avaliar as possíveis consequências que resultariam se os riscos identificados em 6.1.2 c) 1) se concretizassem;
6.1.13 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: d) analisa os riscos de segurança da informação: 2) avaliar a probabilidade realista da ocorrência dos riscos identificados em 6.1.2
6.1.14 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: d) analisa os riscos de segurança da informação: 3) determinar os níveis de risco;
6.1.15 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: e) avalia os riscos de segurança da informação: 1) comparar os resultados da análise de risco com os critérios de risco estabelecidos em 6.1.2
6.1.16 A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: e) avalia os riscos de segurança da informação: 2) priorizar os riscos analisados para tratamento de riscos.
6.1.17 A organização deve manter informações documentadas sobre o processo de avaliação de riscos à segurança da informação.
6.1.18 A organização deve definir e aplicar um processo de tratamento de riscos à segurança da informação para: a) selecionar opções adequadas de tratamento de riscos à segurança da informação, levando em conta os resultados da avaliação de riscos;
6.1.19 A organização deve definir e aplicar um processo de tratamento de riscos à segurança da informação para: b) determinar todos os controles necessários para implementar a(s) opção(ões) de tratamento de riscos à segurança da informação escolhida(s);
6.1.20 A organização deve definir e aplicar um processo de tratamento de riscos à segurança da informação para: c) compare os controles determinados no item 6.1.3 b) acima com os do Anexo A e verifique se nenhum controle necessário foi omitido;
6.1.21 "A organização deve definir e aplicar um processo de tratamento de riscos à segurança da informação para: d) produzir uma Declaração de Aplicabilidade que contenha: - os controles necessários (consulte 6.1.3 b) e c)); - justificativa para sua inclusão; - se os controles necessários estão implementados ou não; e - a justificativa para a exclusão de qualquer um dos controles do Anexo A."
6.1.22 A organização deve definir e aplicar um processo de tratamento de riscos à segurança da informação para: e) formular um plano de tratamento de riscos à segurança da informação; e
6.1.23 A organização deve definir e aplicar um processo de tratamento de riscos à segurança da informação para: f) obter a aprovação dos proprietários de riscos do plano de tratamento de riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação.
6.1.24 A organização deve manter informações documentadas sobre o processo de tratamento de riscos à segurança da informação.
6.2.1 A organização deve estabelecer os objetivos de segurança da informação nas funções e níveis pertinentes.
6.2.2 Os objetivos de segurança da informação devem: a) ser coerentes com a política de segurança da informação;
6.2.3 Os objetivos de segurança da informação devem: b) ser mensuráveis (se praticável);
6.2.4 Os objetivos de segurança da informação devem: c) levar em conta os requisitos de segurança da informação aplicáveis e os resultados da avaliação e do tratamento de riscos;
6.2.5 Os objetivos de segurança da informação devem: d) ser monitorados;
6.2.6 Os objetivos de segurança da informação devem: e) ser comunicados;
6.2.7 Os objetivos de segurança da informação devem: f) ser atualizados, como apropriado.
6.2.8 Os objetivos de segurança da informação devem: g) ser disponiveis como informação documentada.
6.2.9 A organização deve manter informações documentadas sobre os objetivos de segurança da informação.
6.2.10 Ao planejar como alcançar os objetivos de segurança da informação, a organização deve determinar: a) o que será feito;
6.2.11 Ao planejar como alcançar os objetivos de segurança da informação, a organização deve determinar: b) quais recursos serão requeridos;
6.2.12 Ao planejar como alcançar os objetivos de segurança da informação, a organização deve determinar: c) quem será responsável;
6.2.13 Ao planejar como alcançar os objetivos de segurança da informação, a organização deve determinar: d) quando será concluído;
6.2.14 Ao planejar como alcançar os objetivos de segurança da informação, a organização deve determinar: e) como os resultados serão avaliados;
6.3.1 Planejando mudanças no sistema de gestão de continuidade
7.1 A organização deve determinar e fornecer os recursos necessários para o estabelecimento, implantação, manutenção e melhoria contínua do SGSI.
7.2.1 A organização deve: a) determinar as competências necessárias das pessoas que realizem trabalho sob o seu controle e que afetem o seu desempenho de segurança da informação;
7.2.2 A organização deve: b) assegurar que essas pessoas sejam competentes com base em educação, treinamento ou experiência apropriados;
7.2.3 A organização deve: c) onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas;
7.2.4 A organização deve: d) reter informação documentada apropriada como evidência da competência.
7.3.1 Pessoas que realizam trabalhos sob o controle da organização devem estar conscientes: a) da política de segurança da informação;
7.3.2 Pessoas que realizam trabalhos sob o controle da organização devem estar conscientes: b) da sua contribuição para a eficácia do SGSI, incluindo os benefícios do desempenho da política de segurança da informação melhorado;
7.3.3 Pessoas que realizam trabalhos sob o controle da organização devem estar conscientes: c) da implicação de não estar conforme com os requisitos do SGSI;
7.4.1 A organização deve determinar as comunicações internas e externas pertinentes para o SGSI, incluindo: a) sobre o que ela irá comunicar;
7.4.2 A organização deve determinar as comunicações internas e externas pertinentes para o SGSI, incluindo: b) quando comunicar;
7.4.3 A organização deve determinar as comunicações internas e externas pertinentes para o SGSI, incluindo: c) com quem comunicar;
7.4.4 A organização deve determinar as comunicações internas e externas pertinentes para o SGSI, incluindo: d) como comunicar;
7.5.1 A organização do SGSI deve incluir: a) informação documentada requerida por este documento;
7.5.2 A organização do SGSI deve incluir: b) informação documentada determinada pela organização como sendo necessária para a eficácia do SGSI.
7.5.3 Ao criar e atualizar informação documentada, a organização deve assegurar apropriados(as): a) identificação e descrição (por exemplo, título, data, autor ou número de referência);
7.5.4 Ao criar e atualizar informação documentada, a organização deve assegurar apropriados(as): b) formato (por exemplo, linguagem, versão do software, gráficos) e meio (por exemplo, papel, eletrônico);
7.5.5 Ao criar e atualizar informação documentada, a organização deve assegurar apropriados(as): c) análise crítica e aprovação quanto à aptidão e adequação;
7.5.6 A informação documentada requerida pelo SGSI e por este documento deve ser controlada para assegurar que: a) ela esteja disponível e apropriada para uso, onde e quando ela for necessária;
7.5.7 A informação documentada requerida pelo SGSI e por este documento deve ser controlada para assegurar que: b) ela esteja protegida suficientemente (por exemplo: perda de confidencialidade, uso impróprio ou perda de integridade).
7.5.8 Para o controle da informação documentada, a organização deve abordar as seguintes atividades, como aplicável: a) distribuição, acesso, recuperação e uso;
7.5.9 Para o controle da informação documentada, a organização deve abordar as seguintes atividades, como aplicável: b) armazenamento e preservação, incluindo a preservação da legibilidade;
7.5.10 Para o controle da informação documentada, a organização deve abordar as seguintes atividades, como aplicável: c) controle de alterações (por exemplo, controle de versão);
7.5.11 Para o controle da informação documentada, a organização deve abordar as seguintes atividades, como aplicável: d) retenção e disposição;
7.5.12 Informação documentada de origem externa, determinada pela organização como necessária para o planejamento e operação do SGSI, deve ser identificada, como apropriado, e controlada;
8.1.1 A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e para implementar as ações determinadas em 6: a) estabelecendo critérios para os processos;
8.1.2 A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e para implementar as ações determinadas em 6: b) implementando o controle de processos de acordo com critérios;
8.1.3 As informações documentadas devem estar disponíveis na medida necessária para que se tenha certeza de que os processos foram executados conforme planejado.
8.1.4 A organização deve controlar as mudanças planejadas e analisar as consequências de mudanças não intencionais, tomando medidas para mitigar quaisquer efeitos adversos, conforme necessário.
8.1.5 A organização deve assegurar que os processos, produtos ou serviços fornecidos externamente que sejam relevantes para o sistema de gestão da segurança da informação sejam controlados.
8.2.1 A organização deve realizar avaliações de risco à segurança da informação em intervalos planejados ou quando mudanças significativas forem propostas ou ocorrerem, levando em conta os critérios estabelecidos em 6.1.2 a).A organização deve realizar avaliações de risco à segurança da informação em intervalos planejados ou quando mudanças significativas forem propostas ou ocorrerem, levando em conta os critérios estabelecidos em 6.1.2 a).
8.2.2 A organização deve reter informações documentadas sobre os resultados das avaliações de risco à segurança da informação.
8.3.1 A organização deve implementar o plano de tratamento de riscos de segurança da informação
8.3.2 A organização deve reter informações documentadas sobre os resultados do tratamento de riscos à segurança da informação.
9.1.1 A organização deve determinar: a) o que precisa ser monitorado e medido, incluindo processos e controles de segurança da informação;
9.1.2 A organização deve determinar: b) os métodos para monitoramento, medição, análise e avaliação, como aplicável, para assegurar resultados válidos;
9.1.3 A organização deve determinar: c) quando o monitoramento e a medição devem ser realizados;
9.1.4 A organização deve determinar: d) por quem os resultados do monitoramento e medição devem ser analisados e avaliados.
9.1.5 A organização deve determinar: e) quando os resultados do monitoramento e da medição devem ser analisados e avaliados
9.1.6 A organização deve determinar: f) quem deve analisar e avaliar esses resultados.
9.1.7 A organização deve reter informação documentada apropriada como evidência dos resultados.
9.1.8 A organização deve avaliar o desempenho da segurança da informação e a eficácia do SGSI.
9.2.1 A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre se o SGSI: a) está conforme com: 1) os requisitos da própria organização para o seu SGSI;
9.2.2 A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre se o SGSI: a) está conforme com: 2) os requsitos deste documento;
9.2.3 A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre se o SGSI: b) está implementado e mantido eficazmente.
9.2.4 A organização deve planejar, estabelecer, implementar e manter um ou mais programas de auditoria, incluindo a frequência, os métodos, as responsabilidades, os requisitos de planejamento e os relatórios;
9.2.5 Ao estabelecer o(s) programa(s) de auditoria interna, a organização deve considerar a importância de os processos em questão e os resultados de auditorias anteriores;
9.2.6 A organização deve: a) definir os critérios de auditoria e escopo para cada auditoria;
9.2.7 A organização deve: b) selecionar auditores e conduzir auditorias que assegurem a objetividade e a imparcialidade do processo de auditoria;
9.2.8 A organização deve: c) assegurar que os resultados das auditorias sejam relatados para os gestores pertinentes;
9.2.9 Informações documentadas devem estar disponíveis como evidência da implementação do(s) programa(s) de auditoria e dos resultados da auditoria
9.3.1 A Alta Direção deve analisar criticamente o SGSI da organização, a intervalos planejados, para assegurar sua contínua propriedade, suficiência e eficácia.
9.3.2 A análise crítica pela direção deve incluir consideração de: a) situação (status) de ações provenientes de análises críticas pela direção anteriores;
9.3.4 A análise crítica pela direção deve incluir consideração de: c) mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o sistema de gerenciamento da segurança da informação;
9.3.5 A análise crítica pela direção deve incluir consideração de: d) informação sobre o desempenho do SGSI, inclusive tendências de: 1) não conformidades e ações corretivas;
9.3.6 A análise crítica pela direção deve incluir consideração de: d) informação sobre o desempenho do SGSI, inclusive tendências de: 2) resultados da avaliação de monitoramento e medição;
9.3.7 A análise crítica pela direção deve incluir consideração de: d) informação sobre o desempenho do SGSI, inclusive tendências de: 3) resultados de auditoria;
9.3.8 A análise crítica pela direção deve incluir consideração de: d) informação sobre o desempenho do SGSI, inclusive tendências de: 4) cumprimento dos objetivos de segurança da informação;
9.3.9 A análise crítica pela direção deve incluir consideração de: e) feedback das partes interessadas;
9.3.10 A análise crítica pela direção deve incluir consideração de: f) resultado das análises de riscos e situação (status) do(s) plano(s) de tratamento do(s) risco(s);
9.3.11 A análise crítica pela direção deve incluir consideração de: g) oportunidades para melhoria contínua
9.3.12 Os resultados da análise pela gerência devem incluir decisões relacionadas a oportunidades de melhoria contínua e quaisquer necessidades de alterações no sistema de gerenciamento da segurança da informação.
9.3.13 Informações documentadas devem estar disponíveis como evidência dos resultados das análises gerenciais.
10.1 A organização deve aprimorar continuamente a adequação, a suficiência e a eficácia do SGSI.
10.2.1 Ao ocorrer uma não conformidade, a organização deve: a) reagir à não conformidade e, como aplicável: 1) tomar ação para controlá-la e corrigi-la;
10.2.2 Ao ocorrer uma não conformidade, a organização deve: b) reagir à não conformidade e, como aplicável: 2) lidar com as consequências;
10.2.3 Ao ocorrer uma não conformidade, a organização deve: b) avaliar a necessidade de uma ação para eliminar a(s) causa(s) de não conformidade(s), a fim de que não se repita ou ocorra em outro lugar: 1) analisando criticamente a não conformidade;
10.2.4 Ao ocorrer uma não conformidade, a organização deve: b) avaliar a necessidade de uma ação para eliminar a(s) causa(s) de não conformidade(s), a fim de que não se repita ou ocorra em outro lugar: 2) determinando as causas da não conformidade;
10.2.5 Ao ocorrer uma não conformidade, a organização deve: b) avaliar a necessidade de uma ação para eliminar a(s) causa(s) de não conformidade(s), a fim de que não se repita ou ocorra em outro lugar: 3) determinando se não conformidades similares existem ou se poderiam potencialmente ocorrer;
10.2.6 Ao ocorrer uma não conformidade, a organização deve: c) implementar qualquer ação necessária;
10.2.7 Ao ocorrer uma não conformidade, a organização deve: d) analisar criticamente a eficácia de qualquer ação corretiva tomada;
10.2.8 Ao ocorrer uma não conformidade, a organização deve: e) realizar mudanças no SGSI, se necessário.
10.2.9 Ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
10.2.10 A organização deve reter informação documentada como evidência: a) da natureza das não conformidades e quaisquer ações subsequentes tomadas;
10.2.11 A organização deve reter informação documentada como evidência: b) dos resultados de qualquer ação corretiva.
