Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27001 (Anexo) (Segurança nas operações (Responsabilidades e…
ISO 27001 (Anexo)
Segurança nas operações
Responsabilidades e procedimentos operacionais
Documentação dos procedimentos de operação
Gestão de mudanças
Gestão de capacidade
Separação dos ambientes de desenvolvimento, teste e de produção
Proteção contra malware
Controles contra malware
Cópias de segurança
Cópias de segurança das informações
Registros e monitoramento
Registros de eventos
Proteção das informações dos registros de eventos (logs)
Registros de eventos (log) de Administrador e Operador
Sincronização dos relógios
Controle de software operacional
Instalação de software nos sistemas operacionais
Gestão de vulnerabilidades técnicas
Gestão de vulnerabilidades técnicas
Restrições quanto à instalação de software
Considerações quanto à auditoria de sistemas de informação
Controles de auditoria de sistemas de informação
Controle de acesso
Requisitos do negócio para controle de acesso
Política de controle de acesso
Acesso às redes e aos serviços de rede
Gerenciamento de acesso do usuário
Registro e cancelamento de usuário
Provisionamento para acesso de usuário
Gerenciamento de direitos de acesso privilégiados
Gerenciamento da informação de autenticação secreta de usuários
Análise crítica dos direitos de acesso de usuário
Retirada ou ajuste de direitos de acesso
Responsabilidades dos usuários
Uso da informação de autenticação secreta
Controle de acesso ao sistema e à aplicação
Restrição de acesso à informação
Procedimentos seguros de entrada no sistema (log-on)
Sistema de gerenciamento de senha
Uso de programas utilitários privilegiados
Controle de acesso ao código-fonte de programas
Segurança em recursos humanos
Antes da contratação
Seleção
Termos e condições de contratação
Durante a contratação
Responsabilidades da direção
Conscientização, educação e treinamento em segurança da informação
Processo disciplinar
Encerramento e mudança da contratação
Responsabilidades pelo encerramento ou mudança da contratação
Gestão de ativos
Responsabilidade pelos ativos
Inventário dos ativos
Proprietário dos ativos
Uso aceitável dos ativos
Devolução de ativos
Classificação da informação
Classificação da informação
Rótulos e tratamento da informação
Tratamento dos ativos
Tratamento de mídias
Gerenciamento de mídias removíveis
Descarte de mídias
Transferência física de mídias
Aquisição, desenvolvimento e manutenção de sistemas
Requisitos de segurança de sistemas de informação
Análise e especificação dos requisitos de segurança da informação
Serviços de aplicação seguros sobre redes públicas
Protegendo as transações nos aplicativos de serviços
Segurança em processos de desenvolvimento e de suporte
Política de desenvolvimento seguro
Procedimentos para controle de mudanças de sistemas
Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
Restrições sobre mudanças em pacotes de software
Princípios para projetar sistemas seguros
Ambiente seguro para desenvolvimento
Desenvolvimento terceirizado
Teste de segurança do sistema
Teste de aceitação de sistemas
Dados para teste
Proteção dos dados para teste
Organização da segurança da informação
Organização interna
Responsabilidades e papéis pela segurança da informação
Segregação de funções
Contato com autoridades
Contato com grupos especiais
Segurança da informação no gerenciamento de projetos
Dispositivos móveis e trabalho remoto
Política para o uso de dispositivo móvel
Trabalho remoto
Segurança física e do ambiente
Áreas seguras
Perímetro de segurança física
Controles de entrada física
Segurança em escritórios, salas e instalações
Proteção contra ameaças externas e do meio-ambiente
Trabalhando em áreas seguras
Áreas de entrega e de carregamento
Equipamentos
Escolha de local e proteção do equipamento
Utilidades
Segurança do cabeamento
Manutenção dos equipamentos
Remoção de ativos
Segurança de equipamentos e ativos fora das dependências da organização
Reutilização e alienação seguras de equipamentos
Equipamento de usuário sem monitoração
Política de mesa limpa e tela limpa
Segurança nas comunicações
Gerenciamento da segurança em redes
Controles de redes
Segurança dos serviços de rede
Segregação de redes
Transferência de informação
Políticas e procedimentos para transferência de informações
Acordos para transferência de informações
Mensagens eletrônicas
Acordos de confidencialidade e não divulgação
Relacionamento na cadeia de suprimento
Segurança da informação na cadeia de suprimento
Política de segurança da informação no relacionamento com os fornecedores
Identificando segurança da informação nos acordos com fornecedores
Cadeia de suprimento na tecnologia da comunicação e informação
Gerenciamento da entrega do serviço do fornecedor
Monitoramento e análise crítica de serviços com fornecedores
Gerenciamento de mudanças para serviços com fornecedores
Aspectos da segurança da informação na gestão da continuidade do negócio
Continuidade da segurança da informação
Planejando a continuidade da segurança da informação
Implementando a continuidade da segurança da informação
Verificação, análise crítica e avaliação da continuidade da segurança da informação
Redundâncias
Disponibilidade dos recursos de processamento da informação
Conformidade
Conformidade com requisitos legais e contratuais
Identificação da legislação aplicável e de requisitos contratuais
Direitos de propriedade intelectual
Proteção de registros
Proteção e privacidade de informações de identificação de pessoal
Regulamentação de controles de criptografia
Análise crítica da segurança da informação
Análise crítica independente da segurança da informação
Conformidade com as políticas e normas de segurança da informação
Análise crítica da conformidade técnica
Políticas de segurança da informação
Orientação da direção para segurança da informação
Políticas para segurança da informação
Análise crítica das políticas para segurança da informação
Criptografia
Controles criptográficos
Política para o uso de controles criptográficos
Gerenciamento de chaves
Gestão de incidentes de segurança da informação
Gestão de incidentes de segurança da informação e melhorias
Responsabilidades e procedimentos
Notificação de eventos de segurança da informação
Notificando fragilidades de segurança da informação
Avaliação e decisão dos eventos de segurança da informação
Resposta aos incidentes de segurança da informação
Aprendendo com os incidentes de segurança da informação
Coleta de evidências