1. 10 Criptografia
1.1. 10.1 Controles criptográficos
1.1.1. 10.1.1 Política para o uso de controles criptográficos
1.1.2. 10.1.2 Gerenciamento de chaves
2. 11 Segurança física e do ambiente
2.1. 11.1 Áreas seguras
2.1.1. 11.1.1 Perímetro de segurança física
2.1.2. 11.1.2 Controles de entrada física
2.1.3. 11.1.3 Segurança em escritórios, salas e instalações
2.1.4. 11.1.4 Proteção contra ameaças externas e do meio-ambiente
2.1.5. 11.1.5 Trabalhando em áreas seguras
2.1.6. 11.1.6 Áreas de entrega e de carregamento
2.2. 11.2 Equipamentos
2.2.1. 11.2. 1 Escolha do local e proteção do equipamento
2.2.2. 11.2.2 Utilidades
2.2.3. 11.2.3 Segurança do cabeamento
2.2.4. 11.2.4 Manutenção dos equipamentos
2.2.5. 11.2.5 Remoção de ativos
2.2.6. 11.2.6 Segurança de equipamentos e ativos fora das dependências da organização
2.2.7. 11.2.7 Reutilização e alienação segura de equipamentos
2.2.8. 11.2.8 Equipamento de usuário sem monitoração
2.2.9. 11.2.9 Política de mesa limpa e tela limpa
3. 12 Segurança nas operações
3.1. 12.1 Responsabilidades e procedimentos operacionais
3.1.1. 12.1.1 Documentação dos procedimentos de operação
3.1.2. 12.1.2 Gestão de mudanças
3.1.3. 12.1.3 Gestão de capacidade
3.1.4. 12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção
3.2. 12.2 Proteção contra códigos maliciosos
3.2.1. 12.2.1 Controles contra códigos maliciosos
3.3. 12.3 Cópias de segurança
3.3.1. 12.3.1 Cópias de segurança das informações
3.4. 12.4 Registros e monitoramento
3.4.1. 12.4.1 Registros de eventos
3.4.2. 12.4.2 Proteção das informações dos registros de eventos (logs)
3.4.3. 12.4.3 Registros de eventos (log) de administrador e operador
3.4.4. 12.4.4 Sincronização dos relógios
3.5. 12.5 Controle de software operacional
3.5.1. 12.5.1 Instalação de software nos sistemas operacionais
3.6. 12.6 Gestão de vulnerabilidades técnicas
3.6.1. 12.6.1 Gestão de vulnerabilidades técnicas
3.6.2. 12.6.2 Restrições quanto à instalação de software
3.7. 12.7 Considerações quanto à auditoria de sistemas de informação
3.7.1. 12.7.1 Controles de auditoria de sistemas de informação
4. 13 Segurança nas comunicações
4.1. 13.1 Gerenciamento da segurança em redes
4.1.1. 13.1.1 Controles de redes
4.1.2. 13.1.2 Segurança dos serviços de rede
4.1.3. 13.1.3 Segregação de redes
4.2. 13.2 Transferência de informação
4.2.1. 13.2.1 Políticas e procedimentos para transferência de informações
4.2.2. 13.2.2 Acordos para transferência de informações
4.2.3. 13.2.3 Mensagens eletrônicas
4.2.4. 13.2.4 Acordos de confidencialidade e não divulgação
5. 14 Aquisição, desenvolvimento e manutenção de sistemas
5.1. 14.1 Requisitos de segurança de sistemas de informação
5.1.1. 14.1.1 Análise e especificação dos requisitos de segurança da informação
5.1.2. 14.1.2 Serviços de aplicação seguros em redes públicas
5.1.3. 14.1.3 Protegendo as transações nos aplicativos de serviços
5.2. 14.3 Dados para teste
5.2.1. 14.3.1 Proteção dos dados para teste
5.3. 14.2 Segurança em processos de desenvolvimento e de suporte
5.3.1. 14.2.1 Política de desenvolvimento seguro
5.3.2. 14.2.2 Procedimentos para controle de mudanças de sistemas
5.3.3. 14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
5.3.4. 14.2.4 Restrições sobre mudanças em pacotes de Software
5.3.5. 14.2.5 Princípios para projetar sistemas seguros
5.3.6. 14.2.6 Ambiente seguro para desenvolvimento
5.3.7. 14.2.7 Desenvolvimento terceirizado
5.3.8. 14.2.8 Teste de segurança do sistema
5.3.9. 14.2.9 Teste de aceitação de sistemas
6. 15 Relacionamento na cadeia de suprimento
6.1. 15.1 Segurança da informação na cadeia de suprimento.
6.1.1. 15.1.1 Política de segurança da informação no relacionamento com os fornecedores
6.1.2. 15.1.2 Identificando segurança da informação nos acordos com fornecedores
6.1.3. 15.1.3 Cadeia de suprimento na tecnologia da comunicação e informação
6.2. 15.2 Gerenciamento da entrega do serviço do fornecedor
6.2.1. 15.2.1 Monitoramento e análise crítica de serviços com fornecedores
6.2.2. 15.2.2 Gerenciamento de mudanças para serviços com fornecedores
7. 16 Gestão de incidentes de segurança da informação
7.1. 16.1 Gestão de incidentes de segurança da informação e melhorias
7.1.1. 16.1.1 Responsabilidades e procedimentos
7.1.2. 16.1.2 Notificação de eventos de segurança da informação
7.1.3. 16.1.3 Notificando fragilidades de segurança da informação
7.1.4. 16.1.4 Avaliação e decisão dos eventos de segurança da informação
7.1.5. 16.1.5 Resposta aos incidentes de segurança da informação
7.1.6. 16.1.6 Aprendendo com os incidentes de segurança da informação
7.1.7. 16.1.7 Coleta de evidências
8. 17 Aspectos da segurança da informação na gestão da continuidade do negócio
8.1. 17.1 Continuidade da segurança da informação
8.1.1. 17.1.1 Planejando a continuidade da segurança da informação
8.1.2. 17.1.2 Implementando a continuidade da segurança da informação
8.1.3. 17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação
8.2. 17.2 Redundâncias
8.2.1. 17.2.1 Disponibilidade dos recursos de processamento da informação
9. 18 Conformidade
9.1. 18.1 Conformidade com requisitos legais e contratuais
9.1.1. 18.1.1 Identificação da legislação aplicável e de requisitos contratuais
9.1.2. 18.1.2 Direitos de propriedade intelectual
9.1.3. 18.1.3 Proteção de registros
9.1.4. 18.1.4 Proteção e privacidade de informações de identificação pessoal
9.1.5. 18.1.5 Regulamentação de controles de criptografia
9.2. 18.2 Análise crítica da segurança da informação
9.2.1. 18.2.1 Análise crítica independente da segurança da informação
9.2.2. 18.2.2 Conformidade com as políticas e procedimentos de segurança da informação
9.2.3. 18.2.3 Análise crítica da conformidade técnica
10. 0 Introdução
10.1. 0.1 Contexto e histórico
10.2. 0.2 Requisitos de segurança da informação
10.3. 0.3 Seleção de controle
10.4. 0.4 Desenvolvendo suas próprias diretrizes
10.5. 0.5 Considerações sobre o ciclo de vida
10.6. 0.6 Normas relacionadas
11. 4 Estrutura desta Norma
11.1. 4.1 Seções
11.2. 4.2 Categorias de controles
12. 1 Escopo
13. 2 Referências normativas
14. 3 Termos e definições
15. 5 Políticas de segurança da informação
15.1. 5.1 Orientação da direção para segurança da informação
15.1.1. 5.1.1 Políticas para segurança da informação
15.1.2. 5.1.2 Análise crítica das políticas para segurança da informação
16. 6 Organização da segurança da informação
16.1. 6.1 Organização interna
16.1.1. 6.1.1 Responsabilidades e papéis pela segurança da informação
16.1.2. 6.1.2 Segregação de funções
16.1.3. 6.1.3 Contato com autoridades
16.1.4. 6.1.4 Contato com grupos especiais
16.1.5. 6.1.5 Segurança da informação no gerenciamento de projetos
16.2. 6.2 Dispositivos móveis e trabalho remoto
16.2.1. 6.2.1 Política para o uso de dispositivo móvel
16.2.2. 6.2.2 Trabalho remoto
17. 7 Segurança em recursos humanos
17.1. 7.1 Antes da contratação
17.1.1. 7.1.1 Seleção
17.1.2. 7.1.2 Termos e condições de contratação
17.1.3. 7.2 Durante a contratação
17.2. 7.2.1 Responsabilidades da direção
17.2.1. 7.2.2 Conscientização, educação e treinamento em segurança da informação
17.2.2. 7.2.3 Processo disciplinar
17.3. 7.3 Encerramento e mudança da contratação
17.3.1. 7.3.1 Responsabilidades pelo encerramento ou mudança da contratação
18. 8 Gestão de ativos
18.1. 8.1 Responsabilidade pelos ativos
18.1.1. 8.1.1 Inventário dos ativos
18.1.2. 8.1.2 Proprietário dos ativos
18.1.3. 8.1.3 Uso aceitável dos ativos
18.1.4. 8.1.4 Devolução de ativos
18.2. 8.2 Classificação da informação
18.2.1. 8.2.1 Classificação da informação
18.2.2. 8.2.2 Rótulos e tratamento da informação
18.2.3. 8.2.3 Tratamento dos ativos
18.3. 8.3 Tratamento de mídias
18.3.1. 8.3.1 Gerenciamento de mídias removíveis
18.3.2. 8.3.2 Descarte de mídias
18.3.3. 8.3.3 Transferência física de mídias
19. 9 Controle de acesso
19.1. 9.1 Requisitos do negócio para controle de acesso
19.1.1. 9.1.1 Política de controle de acesso
19.1.2. 9.1.2 Acesso às redes e aos serviços de rede
19.2. 9.2 Gerenciamento de acesso do usuário
19.2.1. 9.2.1 Registro e cancelamento de usuário
19.2.2. 9.2.2 Provisionamento para acesso de usuário
19.2.3. 9.2.3 Gerenciamento de direitos de acesso privilegiados
19.2.4. 9.2.4 Gerenciamento da informação de autenticação secreta de usuários
19.2.5. 9.2.5 Análise crítica dos direitos de acesso de usuário
19.2.6. 9.2.6 Retirada ou ajuste de direitos de acesso
19.3. 9.3 Responsabilidades dos usuários
19.3.1. 9.3.1 Uso da informação de autenticação secreta
19.4. 9.4 Controle de acesso ao sistema e à aplicação
19.4.1. 9.4.1 Restrição de acesso à informação