1. Políticas de segurança da informação
1.1. Orientação da Direção para segurança da informação
1.1.1. Políticas para segurança da informação
1.1.2. Análise crítica das políticas para segurança da informação
2. Organização da segurança da informação
2.1. Organização interna
2.1.1. Responsabilidades e papéis da segurança da informação
2.1.2. Segregação de funções
2.1.3. Contato com autoridades
2.1.4. Contato com grupos especiais
2.1.5. Segurança da informação no gerenciamento de projeto
2.2. Dispositivos móveis e trabalho remoto
2.2.1. Política para o uso de dispositivo móvel
2.2.2. Trabalho remoto
3. Segurança em recursos humanos
3.1. Antes da contratação
3.1.1. Seleção
3.1.2. Termos e condições de contratação
3.2. Durante a contratação
3.2.1. Responsabilidades da Direção
3.2.2. Conscientização, educação e treinamento em segurança da informação
3.2.3. Processo disciplinar
3.3. Encerramento e mudança da contratação
3.3.1. Responsabilidades pelo encerramento ou mudança da contratação
4. Gestão de ativos
4.1. Responsabilidade pelos ativos
4.1.1. Inventário dos ativos
4.1.2. Proprietário dos ativos
4.1.3. Uso aceitável dos ativo
4.1.4. Devolução de ativos
4.2. Classificação da informação
4.2.1. Classificação da informação
4.2.2. Rótulos e tratamento da informação
4.2.3. Tratamento dos ativos
4.3. Tratamento de mídias
4.3.1. Gerenciamento de mídias removíveis
4.3.2. Descarte de mídias
4.3.3. Transferência física de mídias
5. Controle de acesso
5.1. Requisitos do negócio para controle de acesso
5.1.1. Política de controle de acesso
5.1.2. Acesso às redes e aos serviços de rede
5.2. Gerenciamento de acesso do usuário
5.2.1. Registro e cancelamento de usuário
5.2.2. Provisionamento para acesso de usuário
5.2.3. Gerenciamento de direitos de acesso privilegiado
5.2.4. Gerenciamento da informação de autenticação secreta de usuários
5.2.5. Análise crítica dos direitos de acesso do usuário
5.2.6. Retirada ou ajuste dos direitos de acesso
5.3. Responsabilidades dos usuários
5.3.1. Uso da informação de autenticação secreta
5.4. Controle de acesso ao sistema e à aplicação
5.4.1. Restrição de acesso à informação
5.4.2. Procedimentos seguros de entrada no sistema (log-on)
5.4.3. Sistema de gerenciamento de senha
5.4.4. Uso de programas utilitários privilegiados
5.4.5. Controle de acesso ao código-fonte de programa
6. Criptografia
6.1. Controles criptográficos
6.1.1. Política para o uso de controles criptográficos
6.1.2. Gerenciamento de chaves
7. Segurança física e do ambiente
7.1. Áreas seguras
7.1.1. Perímetro de segurança física
7.1.2. Controles de entrada física
7.1.3. Segurança em escritórios, salas e instalações
7.1.4. Proteção contra ameaças externas e do meio ambiente
7.1.5. Trabalhando em áreas seguras
7.1.6. Áreas de entrega e de carregamento
7.2. Equipamentos
7.2.1. Localização e proteção do equipamento
7.2.2. Utilidades
7.2.3. Segurança do cabeamento
7.2.4. Manutenção dos equipamentos
7.2.5. Remoção de ativos
7.2.6. Segurança de equipamentos e ativos fora das dependências da organização
7.2.7. Reutilização e ou descarte seguro de equipamentos
7.2.8. Equipamento de usuário sem monitoração
7.2.9. Política de mesa limpa e tela limpa
8. Segurança nas operações
8.1. Responsabilidades e procedimentos operacionais
8.1.1. Documentação dos procedimentos de operação
8.1.2. Gestão de mudanças
8.1.3. Gestão de capacidade
8.1.4. Separação dos ambientes de desenvolvimento, teste e de produção
8.2. Proteção contra malware
8.2.1. Controles contra malware
8.3. Cópias de segurança
8.3.1. Cópias de segurança das informações
8.4. Registros e monitoramento
8.4.1. Registros de eventos
8.4.2. Proteção das informações dos registros de eventos (logs)
8.4.3. Registros de eventos (log) de administrador e operador
8.4.4. Sincronização dos relógios
8.5. Controle de software operacional
8.5.1. Instalação de software nos sistemas operacionais
8.6. Gestão de vulnerabilidades técnicas
8.6.1. Gestão de vulnerabilidades técnicas
8.6.2. Restrições quanto à instalação de software
8.7. Considerações quanto à auditoria de sistemas de informação
8.7.1. Controles de auditoria de sistemas de informação
9. Segurança nas comunicações
9.1. Gerenciamento da segurança em redes
9.1.1. Controles de redes
9.1.2. Segurança dos serviços de rede
9.1.3. Segregação de redes
9.2. Transferência de informação
9.2.1. Políticas e procedimentos para transferência de informações
9.2.2. Acordos para transferência de informações
9.2.3. Mensagens eletrônicas
9.2.4. Acordos de confidencialidade e não divulgação
10. Aquisição, desenvolvimento e manutenção de sistemas
10.1. Requisitos de segurança de sistemas de informação
10.1.1. Análise e especificação dos requisitos de segurança da informação
10.1.2. Serviços de aplicação seguros sobre redes públicas
10.1.3. Protegendo as transações nos aplicativos de serviços
10.2. Segurança em processos de desenvolvimento e de suporte
10.2.1. Política de desenvolvimento seguro
10.2.2. Procedimentos para controle de mudanças de sistemas
10.2.3. Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
10.2.4. Restrições sobre mudanças em pacotes de software
10.2.5. Princípios para projetar sistemas seguros
10.2.6. Ambiente seguro para desenvolvimento
10.2.7. Desenvolvimento terceirizado
10.2.8. Teste de segurança do sistema
10.2.9. Teste de aceitação de sistemas
10.3. Dados para teste
10.3.1. Proteção dos dados para teste
11. Relacionamento na cadeia de suprimento
11.1. Segurança da informação na cadeia de suprimento
11.1.1. Política de segurança da informação no relacionamento com os fornecedores
11.1.2. Identificando segurança da informação nos acordos com fornecedores
11.1.3. Cadeia de suprimento na tecnologia da informação e comunicação
11.2. Gerenciamento da entrega do serviço do fornecedor
11.2.1. Monitoramento e análise crítica de serviços com fornecedores
11.2.2. Gerenciamento de mudanças para serviços com fornecedores
12. Gestão de incidentes de segurança da informação
12.1. Gestão de incidentes de segurança da informação e melhorias
12.1.1. Responsabilidades e procedimentos
12.1.2. Notificação de eventos de segurança da informação
12.1.3. Notificando fragilidades de segurança da informação
12.1.4. Avaliação e decisão dos eventos de segurança da informação
12.1.5. Resposta aos incidentes de segurança da informação
12.1.6. Aprendendo com os incidentes de segurança da informação
12.1.7. Coleta de evidências
13. Aspectos da segurança da informação na gestão da continuidade do negócio
13.1. Continuidade da segurança da informação
13.1.1. Planejando a continuidade da segurança da informação
13.1.2. Implementando a continuidade da segurança da informaçã
13.1.3. Verificação, análise crítica e avaliação da continuidade da segurança da informação
13.2. Redundâncias
13.2.1. Disponibilidade dos recursos de processamento da informação
14. Conformidade
14.1. Conformidade com requisitos legais e contratuais
14.1.1. Identificação da legislação aplicável e de requisitos contratuais
14.1.2. Direitos de propriedade intelectual
14.1.3. Proteção de registros
14.1.4. Proteção e privacidade de informações de identificação de pessoal
14.1.5. Regulamentação de controles de criptografia
14.2. Análise crítica da segurança da informação
14.2.1. Análise crítica independente da segurança da informação
14.2.2. Conformidade com as políticas e normas de segurança da informação
14.2.3. Análise crítica da conformidade técnica