ISO 27002 - Controles Flashcards
Dado um Objetivo de Controle da norma 27002, deve-se listar os controles associados.
Controles: 5.1 Política de segurança da informação
5.1.1 Documento da política de segurança da informação5.1.2 Análise crítica da política de segurança da informação
Controles: 6.1 Infra-estrutura da segurança da informação
6.1.1 Comprometimento da direção com a segurança da informação6.1.2 Coordenação da segurança da informação6.1.3 Atribuição de responsabilidades para a segurança da informação6.1.4 Processo de autorização para os recursos de processamento da informação6.1.5 Acordos de confidencialidade6.1.6 Contato com autoridades6.1.7 Contato com grupos especiais6.1.8 Análise crítica independente de segurança da informação
Controles: 6.2 Partes externas
6.2.1 Identificação dos riscos relacionados com partes externas6.2.2 Identificando a segurança da informação; quando tratando com os clientes6.2.3 Identificando segurança da informação nos acordos com terceiros
Controles: 7.1 Responsabilidade pelos ativos
7.1.1 Inventário dos ativos7.1.2 Proprietário dos ativos7.1.3 Uso aceitável dos ativos
Controles: 7.2 Classificação da informação
7.2.1 Recomendações para classificação7.2.2 Rótulos e tratamento da informação
Controles: 8.1 Antes da contratação
8.1.1 Papéis e responsabilidades8.1.2 Seleção8.1.3 Termos e condições de contratação
Controles: 8.2 Durante a contratação
8.2.1 Responsabilidades da direção8.2.2 Conscientização; educação e treinamento em segurança da informação8.2.3 Processo disciplinar
Controles: 8.3 Encerramento ou mudança da contratação
8.3.1 Encerramento de atividades8.3.2 Devolução de ativos8.3.3 Retirada de direitos de acesso
Controles: 9.1 Áreas seguras
9.1.1 Perímetro de segurança física9.1.2 Controles de entrada física9.1.3 Segurança em escritórios; salas e instalações9.1.4 Proteção contra ameaças externas e do meio ambiente9.1.5 Trabalhando em áreas seguras9.1.6 Acesso do público; áreas de entrega e de carregamento
Controles: 9.2 Segurança de equipamentos
9.2.1 Instalação e proteção do equipamento9.2.2 Utilidades9.2.3 Segurança do cabeamento9.2.4 Manutenção dos equipamentos9.2.5 Segurança de equipamentos fora das dependências da organização9.2.6 Reutilização e alienação segura de equipamentos9.2.7 Remoção de propriedade
Controles: 10.1 Procedimentos e responsabilidades operacionais
10.1.1 Documentação dos procedimentos de operação10.1.2 Gestão de mudanças10.1.3 Segregação de funções10.1.4 Separação dos recursos de desenvolvimento; teste e de produção
Controles: 10.2 Gerenciamento de serviços terceirizados
10.2.1 Entrega de serviços10.2.2 Monitoramento e análise crítica de serviços terceirizados10.2.3 Gerenciamento de mudanças para serviços terceirizados
Controles: 10.3 Planejamento e aceitação dos sistemas
10.3.1 Gestão de capacidade10.3.2 Aceitação de sistemas
Controles: 10.4 Proteção contra códigos maliciosos e códigos móveis
10.4.1 Controles contra códigos maliciosos10.4.2 Controles contra códigos móveis
Controles: 10.5 Cópias de segurança
10.5.1 Cópias de segurança das informações
Controles: 10.6 Gerenciamento da segurança em redes
10.6.1 Controles de redes10.6.2 Segurança dos serviços de rede
Controles: 10.7 Manuseio de mídias
10.7.1 Gerenciamento de mídias removíveis10.7.2 Descarte de mídias10.7.3 Procedimentos para tratamento de informação10.7.4 Segurança da documentação dos sistemas
Controles: 10.8 Troca de informações
10.8.1 Políticas e procedimentos para troca de informações10.8.2 Acordos para a troca de informações10.8.3 Mídias em trânsito10.8.4 Mensagens eletrônicas10.8.5 Sistemas de informações do negócio
Controles: 10.9 Serviços de comércio eletrônico
10.9.1 Comércio eletrônico10.9.2 Transações on-line10.9.3 Informações publicamente disponíveis
Controles: 10.10 Monitoramento
10.10.1 Registros de auditoria10.10.2 Monitoramento do uso do sistema10.10.3 Proteção das informações dos registros (log)10.10.4 Registros (log) de administrador e operador10.10.5 Registros (log) de falhas10.10.6 Sincronização dos relógios
Controles: 11.1 Requisitos de negócio para controle de acesso
11.1.1 Política de controle de acesso
Controles: 11.2 Gerenciamento de acesso do usuário
11.2.1 Registro de usuário11.2.2 Gerenciamento de privilégios11.2.3 Gerenciamento de senha do usuário11.2.4 Análise crítica dos direitos de acesso de usuário
Controles: 11.3 Responsabilidades dos usuários
11.3.1 Uso de senhas11.3.2 Equipamento de usuário sem monitoração11.3.3 Política de mesa limpa e tela limpa
Controles: 11.4 Controle de acesso à rede
11.4.1 Política de uso dos serviços de rede11.4.2 Autenticação para conexão externa do usuário11.4.3 Identificação de equipamento em redes11.4.4 Proteção e configuração de portas de diagnóstico remotas11.4.5 Segregação de redes11.4.6 Controle de conexão de rede11.4.7 Controle de roteamento de redes
Controles: 11.5 Controle de acesso ao sistema operacional
11.5.1 Procedimentos seguros de entrada no sistema (log-on)11.5.2 Identificação e autenticação de usuário11.5.3 Sistema de gerenciamento de senha11.5.4 Uso de utilitários de sistema11.5.5 Desconexão de terminal por inatividade11.5.6 Limitação de horário de conexão
Controles: 11.6 Controle de acesso à aplicação e à informação
11.6.1 Restrição de acesso à informação11.6.2 Isolamento de sistemas sensíveis
Controles: 11.7 Computação móvel e trabalho remoto
11.7.1 Computação e comunicação móvel11.7.2 Trabalho remoto
Controles: 12.1 Requisitos de segurança de sistemas de informação
12.1.1 Análise e especificação dos requisitos de segurança
Controles: 12.2 Processamento correto nas aplicações
12.2.1 Validação dos dados de entrada12.2.2 Controle do processamento interno12.2.3 Integridade de mensagens12.2.4 Validação de dados de saída
Controles: 12.3 Controles criptográficos
12.3.1 Política para o uso de controles criptográficos12.3.2 Gerenciamento de chaves
Controles: 12.4 Segurança dos arquivos do sistema
12.4.1 Controle de software operacional12.4.2 Proteção dos dados para teste de sistema12.4.3 Controle de acesso ao código-fonte de programa
Controles: 12.5 Segurança em processos de desenvolvimento e de suporte
12.5.1 Procedimentos para controle de mudanças12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional12.5.3 Restrições sobre mudanças em pacotes de software12.5.4 Vazamento de informações12.5.5 Desenvolvimento terceirizado de software
Controles: 12.6 Gestão de vulnerabilidades técnicas
12.6.1 Controle de vulnerabilidades técnicas
Controles: 13.1 Notificação de fragilidades e eventos de segurança da informação
13.1.1 Notificação de eventos de segurança da informação13.1.2 Notificando fragilidades de segurança da informação
Controles: 13.2 Gestão de incidentes de segurança da informação e melhorias
13.2.1 Responsabilidades e procedimentos13.2.2 Aprendendo com os incidentes de segurança da informação13.2.3 Coleta de evidências
Controles: 14.1 Aspectos da gestão da continuidade do negócio; relativos à segurança da informação
14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio14.1.2 Continuidade de negócios e análise/avaliação de riscos14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação14.1.4 Estrutura do plano de continuidade do negócio14.1.5 Testes; manutenção e reavaliação dos planos de continuidade do negócio
Controles: 15.1 Conformidade com requisitos legais
15.1.1 Identificação da legislação vigente15.1.2 Direitos de propriedade intelectual15.1.3 Proteção de registros organizacionais15.1.4 Proteção de dados e privacidade de informações pessoais15.1.5 Prevenção de mau uso de recursos de processamento da informação15.1.6 Regulamentação de controles de criptografia
Controles: 15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica
15.2.1 Conformidade com as políticas e normas de segurança da informação15.2.2 Verificação da conformidade técnica
Controles: 15.3 Considerações quanto à auditoria de sistemas de informação
15.3.1 Controles de auditoria de sistemas de informação15.3.2 Proteção de ferramentas de auditoria de sistemas de informação
