<\/p>\n\n\n\n
Recomendamos que leia o artigo caso esteja estudando para concursos espec\u00edficos da \u00e1rea de Tecnologia da Informa\u00e7\u00e3o (TI) ou concursos gerais que cobrem a disciplina de Seguran\u00e7a da Informa\u00e7\u00e3o no edital. Esperamos voc\u00ea nas pr\u00f3ximas se\u00e7\u00f5es!<\/p>\n\n\n\n
O artigo de hoje \u00e9 um pouquinho mais longo do que o normal. Afinal, como ainda n\u00e3o h\u00e1 muitos materiais de concursos dispon\u00edveis sobre a atualiza\u00e7\u00e3o da NBR ISO\/IEC 27001:2022, optamos por fazer algo mais completo para te ajudar bastante na prepara\u00e7\u00e3o. Vamos come\u00e7ar ent\u00e3o?<\/p>\n\n\n\n
<\/p>\n\n\n\n
Tempo de leitura aproximada: 15 a 20 minutos<\/mark><\/strong><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n A norma visa fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI), considerado estrat\u00e9gico para a organiza\u00e7\u00e3o.<\/p>\n\n\n\n Os crit\u00e9rios para a composi\u00e7\u00e3o do SGSI s\u00e3o influenciados pelos objetivos e necessidades organizacionais, requisitos de seguran\u00e7a, processos adotados, al\u00e9m do tamanho e estrutura. Adicionalmente, os crit\u00e9rios tendem a se modificar com o passar do tempo.<\/p>\n\n\n\n <\/p>\n\n\n\n Momento Curiosidade:<\/strong> As siglas ISO e IEC s\u00e3o internacionais, indicando que a norma \u00e9 um padr\u00e3o mundial. ISO significa International Organization for Standardization, enquanto IEC significa International Electrotechnical Commission.<\/p>\n\n\n\n <\/p>\n\n\n\n Mais Curiosidade:<\/strong> NBR \u00e9 abrevia\u00e7\u00e3o de norma brasileira. Ou seja, a NBR ISO\/IEC 27001:2022 \u00e9 a norma internacional ISO\/IEC 27001:2022 adaptada para o Brasil.<\/p>\n\n\n\n <\/p>\n\n\n\n A NBR ISO\/IEC 27001:2022 \u00e9 dividida em uma s\u00e9rie de cl\u00e1usulas e controles de Seguran\u00e7a da Informa\u00e7\u00e3o, assim como na vers\u00e3o anterior. A maior parte das mudan\u00e7as ocorreu nos controles. Vamos falar sobre esses t\u00f3picos nas pr\u00f3ximas se\u00e7\u00f5es. Continue com a gente!<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n As cl\u00e1usulas da NBR ISO\/IEC 27001:2022 est\u00e3o divididas em contexto da organiza\u00e7\u00e3o, lideran\u00e7a, planejamento, suporte, opera\u00e7\u00e3o, avalia\u00e7\u00e3o de performance e melhorias. Nesta se\u00e7\u00e3o, vamos abordar resumidamente cada uma delas:<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Contexto da Organiza\u00e7\u00e3o:<\/mark> <\/strong>a organiza\u00e7\u00e3o deve analisar problemas relevantes externos e internos, observando como eles afetam o alcance dos resultados do SGSI. Para a an\u00e1lise, \u00e9 importante entender as necessidades e expectativas das partes interessadas e determinar o escopo do SGSI.<\/p>\n\n\n\n Lideran\u00e7a:<\/mark> <\/strong>a alta c\u00fapula deve demonstrar lideran\u00e7a e compromisso com o SGSI, al\u00e9m de estabelecer uma Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o (PSI) e garantir que as responsabilidades e as autoridades relevantes para a Seguran\u00e7a da Informa\u00e7\u00e3o foram atribu\u00eddas e comunicadas na organiza\u00e7\u00e3o.<\/p>\n\n\n\n Planejamento:<\/mark> <\/strong>envolve a\u00e7\u00f5es para identificar, avaliar e tratar riscos e oportunidades, al\u00e9m de definir os objetivos de Seguran\u00e7a da Informa\u00e7\u00e3o e estrat\u00e9gias para alcan\u00e7\u00e1-los. Em caso de eventuais mudan\u00e7as necess\u00e1rias no curso do SGSI, estas devem ser encaradas de maneira planejada.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Suporte:<\/mark> <\/strong>abrange recursos; compet\u00eancias ligadas \u00e0 Seguran\u00e7a da Informa\u00e7\u00e3o; conhecimento, benef\u00edcios e implica\u00e7\u00f5es de sua n\u00e3o conformidade; comunica\u00e7\u00e3o interna e externa e informa\u00e7\u00e3o documentada para estabelecer, implementar, manter e continuamente melhorar o SGSI. <\/p>\n\n\n\n Opera\u00e7\u00e3o:<\/mark> <\/strong>a organiza\u00e7\u00e3o deve planejar, implementar e controlar os processos, produtos e servi\u00e7os necess\u00e1rios ao alcance dos requisitos de Seguran\u00e7a da Informa\u00e7\u00e3o, incluindo eventuais mudan\u00e7as relacionadas, al\u00e9m de prover a\u00e7\u00f5es destinadas \u00e0 avalia\u00e7\u00e3o e tratamento dos seus riscos.<\/p>\n\n\n\n <\/p>\n\n\n\n Voc\u00ea Sabia? <\/strong>Algumas caracter\u00edsticas do Suporte e da Opera\u00e7\u00e3o aparecem em outras cl\u00e1usulas, o que pode dificultar um pouco o entendimento. Pense que o Suporte s\u00e3o elementos diversos para apoiar o SGSI, enquanto a Opera\u00e7\u00e3o \u00e9 mais focada nos itens que j\u00e1 est\u00e3o em produ\u00e7\u00e3o no momento.<\/p>\n\n\n\n <\/p>\n\n\n\n Avalia\u00e7\u00e3o de Performance:<\/mark> <\/strong>consiste em atividades que envolvem o monitoramento, medi\u00e7\u00e3o, an\u00e1lise e avalia\u00e7\u00e3o do SGSI, bem como programas de auditoria interna em intervalos planejados e revis\u00f5es gerenciais para garantir sua adequa\u00e7\u00e3o e efic\u00e1cia cont\u00ednuas.<\/p>\n\n\n\n Melhorias:<\/mark> <\/strong>a organiza\u00e7\u00e3o deve continuamente melhorar a adequa\u00e7\u00e3o e a efic\u00e1cia do SGSI, por meio da identifica\u00e7\u00e3o de n\u00e3o conformidades, da avalia\u00e7\u00e3o da necessidade de a\u00e7\u00f5es para eliminar as suas causas, de forma que n\u00e3o se repitam, e da implementa\u00e7\u00e3o de medidas corretivas.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Chegou um dos momentos mais esperados da leitura. Se voc\u00ea j\u00e1 acompanha o nosso trabalho h\u00e1 algum tempo, ent\u00e3o sabe que geralmente fazemos uma revis\u00e3o no final do artigo. Por\u00e9m, resolvemos fazer algo diferente hoje: vamos liberar um mapa mental no meio da publica\u00e7\u00e3o.<\/p>\n\n\n\n Optamos por essa mudan\u00e7a porque a pr\u00f3xima se\u00e7\u00e3o j\u00e1 ser\u00e1 naturalmente esquematizada, pela pr\u00f3pria forma de apresentar as informa\u00e7\u00f5es. Ou seja, o artigo ficar\u00e1 bem din\u00e2mico. Esperamos que ele seja \u00fatil no seu aprendizado, porque tudo \u00e9 feito pensando em facilitar a sua vida.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Os controles s\u00e3o tradicionais nas publica\u00e7\u00f5es da NBR ISO\/IEC 27001. Na vers\u00e3o de 2013, eram 114 controles. Por outro lado, na vers\u00e3o de 2022, s\u00e3o apenas 93 controles. Observe que houve uma redu\u00e7\u00e3o.<\/p>\n\n\n\n Da mesma forma, as \u00e1reas em que os controles est\u00e3o agrupados tamb\u00e9m diminu\u00edram: passaram de 14 para somente 4. Vale ressaltar que n\u00e3o h\u00e1 hierarquia entre as \u00e1reas, tampouco entre os controles.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Ou seja, podemos sintetizar que a vers\u00e3o de 2022 foi levemente enxugada, quando comparada \u00e0 vers\u00e3o de 2013. Por\u00e9m, a nova vers\u00e3o passou pela atualiza\u00e7\u00e3o de conte\u00fado que uma d\u00e9cada exige. <\/p>\n\n\n\n Bom, vamos deixar voc\u00ea por alguns instantes com os benditos quadros dos controles. Fa\u00e7a uma primeira leitura atenta, sem desespero, porque teremos not\u00edcias boas l\u00e1 na frente para ajudar na memoriza\u00e7\u00e3o.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\nEscopo da NBR ISO\/IEC 27001:2022<\/h2>\n\n\n\n
Cl\u00e1usulas da NBR ISO\/IEC 27001:2022<\/h2>\n\n\n\n
Contexto da Organiza\u00e7\u00e3o, Lideran\u00e7a e Planejamento na NBR ISO\/IEC 27001:2002<\/span><\/h3>\n\n\n\n
\n\n\n\n
\n\n\n\nSuporte, Opera\u00e7\u00e3o, Avalia\u00e7\u00e3o de Performance e Melhorias na NBR ISO\/IEC 27001:2022<\/span><\/h3>\n\n\n\n
\n\n\n\n
\n\n\n\nMapa Mental das Cl\u00e1usulas<\/h2>\n\n\n\n
![\"Figura](\"https:\/\/dhg1h5j42swfq.cloudfront.net\/2023\/09\/07142729\/image-81.png\")
\u00c1reas e Controles de Seguran\u00e7a da Informa\u00e7\u00e3o<\/h2>\n\n\n\n
![\"Figura](\"https:\/\/dhg1h5j42swfq.cloudfront.net\/2023\/09\/07142915\/image-82.png\")
Controles Organizacionais na NBR ISO\/IEC 27001:2022<\/span><\/h3>\n\n\n\n
<\/th> Controles Organizacionais<\/th><\/tr><\/thead> 1<\/strong><\/td> Pol\u00edticas para Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 2<\/strong><\/td> Pap\u00e9is e Responsabilidades de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 3<\/strong><\/td> Segrega\u00e7\u00e3o de Fun\u00e7\u00f5es<\/td><\/tr> 4<\/strong><\/td> Responsabilidades de Gest\u00e3o<\/td><\/tr> 5<\/strong><\/td> Contato com Autoridades<\/td><\/tr> 6<\/strong><\/td> Contato com Grupos de Interesses Especiais<\/td><\/tr> 7<\/strong><\/td> Intelig\u00eancia contra Amea\u00e7as<\/td><\/tr> 8<\/strong><\/td> Seguran\u00e7a da Informa\u00e7\u00e3o no Gerenciamento de Projetos<\/td><\/tr> 9<\/strong><\/td> Invent\u00e1rio de Informa\u00e7\u00f5es e outros Ativos Associados<\/td><\/tr> 10<\/strong><\/td> Uso Aceit\u00e1vel da Informa\u00e7\u00e3o e outros Ativos Associados<\/td><\/tr> 11<\/strong><\/td> Devolu\u00e7\u00e3o de Ativos<\/td><\/tr> 12<\/strong><\/td> Classifica\u00e7\u00e3o das Informa\u00e7\u00f5es<\/td><\/tr> 13<\/strong><\/td> Rotulagem das Informa\u00e7\u00f5es<\/td><\/tr> 14<\/strong><\/td> Transfer\u00eancia das Informa\u00e7\u00f5es<\/td><\/tr> 15<\/strong><\/td> Controle de Acesso<\/td><\/tr> 16<\/strong><\/td> Gerenciamento de Identidade<\/td><\/tr> 17<\/strong><\/td> Informa\u00e7\u00f5es de Autentica\u00e7\u00e3o<\/td><\/tr> 18<\/strong><\/td> Direitos de Acesso<\/td><\/tr> 19<\/strong><\/td> Seguran\u00e7a da Informa\u00e7\u00e3o em Relacionamentos com Fornecedores<\/td><\/tr> 20<\/strong><\/td> Abordagem da Seguran\u00e7a da Informa\u00e7\u00e3o nos Contratos com Fornecedores<\/td><\/tr> 21<\/strong><\/td> Gerenciamento de Seguran\u00e7a da Informa\u00e7\u00e3o na Cadeia de Suprimentos de Tecnologia da Informa\u00e7\u00e3o e Comunica\u00e7\u00e3o (TIC)<\/td><\/tr> 22<\/strong><\/td> Monitoramento, Revis\u00e3o e Gerenciamento de Mudan\u00e7as de Servi\u00e7os de Fornecedores<\/td><\/tr> 23<\/strong><\/td> Seguran\u00e7a da Informa\u00e7\u00e3o para Uso de Servi\u00e7os em Nuvem<\/td><\/tr> 24<\/strong><\/td> Prepara\u00e7\u00e3o e Planejamento de Gerenciamento de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 25<\/strong><\/td> Avalia\u00e7\u00e3o e Decis\u00e3o sobre Eventos de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 26<\/strong><\/td> Resposta aos Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 27<\/strong><\/td> Aprendizado com Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 28<\/strong><\/td> Coleta de Evid\u00eancias<\/td><\/tr> 29<\/strong><\/td> Seguran\u00e7a da Informa\u00e7\u00e3o durante Interrup\u00e7\u00e3o<\/td><\/tr> 30<\/strong><\/td> Disponibilidade de TIC para a Continuidade do Neg\u00f3cio<\/td><\/tr> 31<\/strong><\/td> Requisitos Legais, Estatut\u00e1rios, Regulat\u00f3rios e Contratuais<\/td><\/tr> 32<\/strong><\/td> Direitos de Propriedade Intelectual<\/td><\/tr> 33<\/strong><\/td> Prote\u00e7\u00e3o de Registros<\/td><\/tr> 34<\/strong><\/td> Privacidade e Prote\u00e7\u00e3o de Informa\u00e7\u00f5es de Identifica\u00e7\u00e3o Pessoal (IIP)<\/td><\/tr> 35<\/td> Revis\u00e3o Independente de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 36<\/strong><\/td> Conformidade com Pol\u00edticas, Regras e Padr\u00f5es de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 37<\/strong><\/td> Procedimentos Operacionais Documentados<\/td><\/tr><\/tbody><\/table> Controles Pessoais e F\u00edsicos na NBR ISO\/IEC 27001:2022<\/span><\/h3>\n\n\n\n
<\/th> Controles Pessoais<\/th><\/tr><\/thead> 1<\/strong><\/td> Sele\u00e7\u00e3o<\/td><\/tr> 2<\/strong><\/td> Termos e Condi\u00e7\u00f5es de Contrata\u00e7\u00e3o<\/td><\/tr> 3<\/strong><\/td> Treinamento, Educa\u00e7\u00e3o e Conscientiza\u00e7\u00e3o em Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr> 4<\/strong><\/td> Processo Disciplinar<\/td><\/tr> 5<\/strong><\/td> Responsabilidades ap\u00f3s T\u00e9rmino ou Mudan\u00e7a de Contrata\u00e7\u00e3o<\/td><\/tr> 6<\/strong><\/td> Acordos de Confidencialidade ou N\u00e3o Divulga\u00e7\u00e3o<\/td><\/tr> 7<\/strong><\/td> Trabalho Remoto<\/td><\/tr> 8<\/strong><\/td> Relat\u00f3rios de Eventos de Seguran\u00e7a da Informa\u00e7\u00e3o<\/td><\/tr><\/tbody><\/table> <\/th> Controles F\u00edsicos<\/th><\/tr><\/thead> 1<\/strong><\/td> Per\u00edmetros de Seguran\u00e7a F\u00edsica<\/td><\/tr> 2<\/strong><\/td> Entrada F\u00edsica<\/td><\/tr> 3<\/strong><\/td> Prote\u00e7\u00e3o de Escrit\u00f3rios, Salas e Instala\u00e7\u00f5es<\/td><\/tr> 4<\/strong><\/td> Monitoramento de Seguran\u00e7a F\u00edsica<\/td><\/tr> 5<\/strong><\/td> Prote\u00e7\u00e3o contra Amea\u00e7as F\u00edsicas e Ambientais<\/td><\/tr> 6<\/strong><\/td> Trabalho em \u00c1reas Seguras<\/td><\/tr> 7<\/strong><\/td> Mesa e Tela Limpas<\/td><\/tr> 8<\/strong><\/td> Localiza\u00e7\u00e3o e Prote\u00e7\u00e3o de Equipamentos<\/td><\/tr> 9<\/strong><\/td> Seguran\u00e7a de Ativos Fora do Local<\/td><\/tr> 10<\/strong><\/td> M\u00eddia de Armazenamento<\/td><\/tr> 11<\/strong><\/td> Utilit\u00e1rios de Suporte<\/td><\/tr> 12<\/strong><\/td> Seguran\u00e7a de Cabeamento<\/td><\/tr> 13<\/strong><\/td> Manuten\u00e7\u00e3o de Equipamento<\/td><\/tr> 14<\/strong><\/td> Descarte ou Reutiliza\u00e7\u00e3o Segura de Equipamento<\/td><\/tr><\/tbody><\/table> Controles Tecnol\u00f3gicos na NBR ISO\/IEC 27001:2022<\/span><\/h3>\n\n\n\n