Numeração Título do
controle Objetivo Controles obrigatórios
5.3.3.4.1.1 Aspectos da gestão de continuidade do negócio, relativos à segurança da informação.
Não permitir a interrupção das atividades de negócio, proteger os processos críticos e assegurar a rápida retomada do negócio.
- ISO 27001:2005 item A.14.1 - ISO 27002:2005 item 14.1 5.3.3.4.1.2 Gerenciamento da continuidade dos serviços de TI. Gerenciar os serviços de TI de forma a garantir sua continuidade.
- ITIL Service Design – IT Service Continuity Management
5.3.3.4.1.3 Gerenciamento de performance e capacidade.
Gerenciar performance e capacidade dos recursos de TI.
- COBIT DS3 Manage Performance and Capacity 5.3.3.4.1.4 Continuidade Estabelecer e manter - CMMI SVC – Service Continuity
Numeração Título do
controle Objetivo Controles obrigatórios
dos serviços. planos para assegurar a continuidade dos serviços. 5.3.3.4.1.5 Análise de
Impacto. Identificar e analisar os impactos referentes aos sistemas.
- SSECMM PA02 – Assess Impact 5.3.3.4.1.6 Processo detalhado de gestão de continuidade de negócios.
Estabelecer e gerir uma gestão de continuidade de negócios eficaz.
- NBR 15999-1
5.3.3.4.1.7 Gestão de
problemas. Gerenciar todas as atividades necessárias para controle dos problemas ocorridos nos ativos críticos de TI.
- ITIL Service Operation – Problem Management
5.3.3.5 Nível de maturidade 04
5.3.3.5.1 Plano de continuidade de negócios e recuperação de desastres
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.3.5.1.1 Aspectos da gestão de continuidade do negócio, relativos à segurança da informação.
Não permitir a interrupção das atividades de negócio, proteger os processos críticos e assegurar a rápida retomada do negócio.
- ISO 27001:2005 item A.14.1 - ISO 27002:2005 item 14.1 5.3.3.5.1.2 Gerenciamento da continuidade dos serviços de TI. Gerenciar os serviços de TI de forma a garantir sua continuidade.
- ITIL Service Design – IT Service Continuity Management
5.3.3.5.1.3 Continuidade dos serviços.
Estabelecer e manter planos para assegurar a continuidade dos serviços.
- CMMI SVC – Service Continuity 5.3.3.5.1.4 Análise de
Impacto. Identificar e analisar os impactos referentes aos sistemas.
- SSECMM PA02 – Assess Impact 5.3.3.5.1.5 Processo detalhado de gestão de continuidade de negócios.
Estabelecer e gerir uma gestão de continuidade de negócios eficaz.
- NBR 15999-1
5.3.3.5.1.6 Gestão de
problemas. Gerenciar todas as atividades necessárias para controle dos problemas ocorridos nos ativos críticos de TI.
- ITIL Service Operation – Problem Management
5.3.3.6 Nível de maturidade 03
5.3.3.6.1 Plano de continuidade de negócios e recuperação de desastres
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.3.6.1.1 Aspectos da gestão de continuidade do negócio, relativos à segurança da informação.
Não permitir a interrupção das atividades de negócio, proteger os processos críticos e assegurar a rápida retomada do negócio.
- ISO 27001:2005 item A.14.1 - ISO 27002:2005 item 14.1 5.3.3.6.1.2 Gerenciamento da continuidade dos serviços de TI. Gerenciar os serviços de TI de forma a garantir sua continuidade.
- ITIL Service Design – IT Service Continuity Management
5.3.3.6.1.3 Análise de
Impacto. Identificar e analisar os impactos referentes aos sistemas.
- SSECMM PA02 – Assess Impact 5.3.3.6.1.4 Processo detalhado de gestão de continuidade de negócios.
Estabelecer e gerir uma gestão de continuidade de negócios eficaz.
- NBR 15999-1
5.3.3.7 Nível de maturidade 02
5.3.3.7.1 Plano de continuidade de negócios e recuperação de desastres
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.3.7.1.1 Aspectos da gestão de continuidade do negócio, relativos à segurança da informação.
Não permitir a interrupção das atividades de negócio, proteger os processos críticos e assegurar a rápida retomada do negócio.
- ISO 27001:2005 item A.14.1 - ISO 27002:2005 item 14.1
5.3.3.8 Nível de maturidade 01
5.3.3.8.1 Plano de continuidade de negócios e recuperação de desastres
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.3.7.1.2 Aspectos da gestão de continuidade do negócio, relativos à segurança da informação.
Não permitir a interrupção das atividades de negócio, proteger os processos críticos e assegurar a rápida retomada do negócio.
- ISO 27001:2005 item A.14.1.3 - ISO 27002:2005 item 14.1.3
5.3.4 Classificação da informação e criptografia
5.3.4.1 Objetivo
Assegurar que a informação receba o nível adequado de proteção definido pelo negócio da corporação.
5.3.4.2 Escopo
Proteger qualquer tipo de informação que necessite de proteção, independente do tipo de armazenamento.
5.3.4.3 Princípios da segurança da informação
As informações podem ser classificadas quanto a necessidade de nível de confidencialidade, integridade, autenticidade, não-repúdio e disponibilidade. Porém, o foco maior deste domínio é proteger a informação quanto a sua confidencialidade. 5.3.4.4 Nível de maturidade 05
5.3.4.4.1 Classificação da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.4.1.1 Recomendaçõe s para a classificação.
Classificar a informação segundo seu valor, requisitos legais,
sensibilidade e criticidade.
- ISO 27001:2005 item A.7.2.1. - ISO 27002:2005 item 7.2.1. - COBIT - PO2.3 Data Classification Scheme. - COBIT - PO4.9 Data and System Ownership. 5.3.4.4.1.2 Rótulos e
tratamento da informação.
Definir procedimentos para rotulação e tratamento da informação de acordo com o esquema de classificação da informação adotado pela organização.
- ISO 27001:2005 item A.7.2.2. - ISO 27002:2005 item 7.2.2.
5.3.4.4.2 Criptografia
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.4.2.1 Controles
criptográficos. Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.
- ISO 27001:2005 item A.12.3. - ISO 27002:2005 item 12.3. - COBIT - DS5.8 Cryptographic Key Management.
- ISO 15408-2. 10 Class FCS: Cryptographic support.
5.3.4.5 Nível de maturidade 04 5.3.4.5.1 Classificação da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.5.1.1 Recomendaçõe s para a classificação.
Classificar a informação segundo seu valor, requisitos legais,
sensibilidade e criticidade.
- ISO 27001:2005 item A.7.2.1. - ISO 27002:2005 item 7.2.1. - COBIT - PO2.3 Data Classification Scheme. - COBIT - PO4.9 Data and System Ownership. 5.3.4.5.1.2 Rótulos e
tratamento da informação.
Definir procedimentos para rotulação e tratamento da informação de acordo com o esquema de classificação da informação adotado pela organização.
- ISO 27001:2005 item A.7.2.2. - ISO 27002:2005 item 7.2.2.
5.3.4.5.2 Criptografia
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.5.2.1 Controles
criptográficos. Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.
- ISO 27001:2005 item A.12.3. - ISO 27002:2005 item 12.3. - ISO 15408-2. 10 Class FCS: Cryptographic support. 5.3.4.6 Nível de maturidade 03 5.3.4.6.1 Classificação da informação Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.6.1.1 Recomendaçõe s para a classificação.
Classificar a informação segundo seu valor, requisitos legais,
sensibilidade e criticidade.
- ISO 27001:2005 item A.7.2.1. - ISO 27002:2005 item 7.2.1. - COBIT - PO2.3 Data Classification Scheme. 5.3.4.6.1.2 Rótulos e
tratamento da informação.
Definir procedimentos para rotulação e tratamento da informação de acordo com o esquema de classificação da informação adotado pela organização.
- ISO 27001:2005 item A.7.2.2. - ISO 27002:2005 item 7.2.2.
5.3.4.6.2 Criptografia
Numeração Título do
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.6.2.1 Controles
criptográficos. Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.
- ISO 27001:2005 item A.12.3. - ISO 27002:2005 item 12.3.
5.3.4.7 Nível de maturidade 02 5.3.4.7.1 Classificação da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.7.1.1 Recomendaçõe s para a classificação.
Classificar a informação segundo seu valor, requisitos legais,
sensibilidade e criticidade.
- ISO 27001:2005 item A.7.2.1. - ISO 27002:2005 item 7.2.1. 5.3.4.7.1.2 Rótulos e
tratamento da informação.
Definir procedimentos para rotulação e tratamento da informação de acordo com o esquema de classificação da informação adotado pela organização.
- ISO 27001:2005 item A.7.2.2. - ISO 27002:2005 item 7.2.2.
5.3.4.7.2 Criptografia
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.7.2.1 Controles
criptográficos. Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.
- ISO 27001:2005 item A.12.3.1 - ISO 27002:2005 item 12.3.1
5.3.4.8 Nível de maturidade 01 5.3.4.8.1 Classificação da informação
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.8.1.1 Recomendaçõe s para a classificação.
Classificar a informação segundo seu valor, requisitos legais,
sensibilidade e criticidade.
- ISO 27001:2005 item A.7.2.1. - ISO 27002:2005 item 7.2.1.
5.3.4.8.2 Criptografia
Numeração Título do
controle Objetivo Controles obrigatórios
5.3.4.8.2.1 Controles
criptográficos. Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.
- ISO 27001:2005 item A.12.3.1 - ISO 27002:2005 item 12.3.1
5.3.5 Processos, política de segurança da informação e gestão de riscos