Guia de Normas ISO e NBR para Segurança da Informação
As normas da Organização Internacional para Padronização (ISO), em conjunto com a Associação Brasileira de Normas Técnicas (ABNT), estabelecem diretrizes globais e nacionais para padronizar processos e condutas em organizações públicas e privadas. Essas normas promovem boas práticas em segurança da informação, privacidade e governança de TI, garantindo proteção de dados, conformidade regulatória e resiliência organizacional.
Apresentamos uma lista de normas ISO, com explicações sobre seus objetivos e aplicações, destinada a orientar a comunidade acadêmica, parceiros e visitantes do site do Comitê de Segurança da Informação.
NBR ISO/IEC 27001:2013 - Sistema de Gestão da Segurança da Informação (SGSI)
Define requisitos para criar, implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI). Direcionada para avaliação e tratamento de riscos adaptados às necessidades da organização, garantindo proteção de dados e conformidade com objetivos estratégicos.
NBR ISO/IEC 27002:2013 - Código de Prática para Controles de Segurança
Fornece diretrizes práticas para selecionar, implementar e gerenciar controles de segurança da informação, com base nos riscos identificados. Serve como referência para implementar a NBR ISO/IEC 27001 ou buscam adotar controles amplamente aceitos.
NBR ISO/IEC 27003:2020 - Orientações para Implementação do SGSI
Oferece explicações detalhadas e orientações práticas para implementar os requisitos da NBR ISO/IEC 27001.
NBR ISO/IEC 27004:2017 - Monitoramento e Avaliação do SGSI
Apresenta diretrizes para monitorar, medir, analisar e avaliar o desempenho e a eficácia de um SGSI, garantindo que ele atenda aos requisitos da NBR ISO/IEC 27001 e melhore continuamente.
NBR ISO/IEC 27005:2019 - Gestão de Riscos de Segurança da Informação
Fornece um framework para gerenciar riscos de segurança da informação, incluindo identificação, análise, avaliação e tratamento de riscos, alinhado ao SGSI.
NBR ISO/IEC 27007:2021 - Auditoria de Sistemas de Gestão da Segurança da Informação
Estabelece diretrizes para planejar e conduzir auditorias de SGSI, complementando a NBR ISO 19011, com foco na competência de auditores e na eficácia do processo de auditoria.
NBR ISO/IEC 27014:2021 - Governança da Segurança da Informação
Define conceitos e processos para governança da segurança da informação, permitindo avaliar, direcionar e monitorar atividades relacionadas à proteção de dados.
NBR ISO/IEC 27017:2016 - Segurança em Serviços de Computação em Nuvem
Fornece diretrizes para controles de segurança aplicáveis a serviços em nuvem, complementando a NBR ISO/IEC 27002, com foco em proteção de dados em ambientes de computação em nuvem.
NBR ISO/IEC 27018:2021 - Proteção de Dados Pessoais em Nuvens Públicas
Estabelece controles e diretrizes para proteger dados pessoais em nuvens públicas, alinhados aos princípios de privacidade da NBR ISO/IEC 29100, voltados para operadores de dados.
NBR ISO/IEC 27032:2015 - Diretrizes para Segurança Cibernética
Oferece orientações para melhorar a segurança cibernética, abordando interações entre diferentes domínios de segurança, como redes, aplicações e usuários.
NBR ISO/IEC 27035-3:2021 - Gestão de Incidentes em Operações de TIC
Fornece diretrizes operacionais para responder a incidentes de segurança em TIC, cobrindo detecção, triagem, análise, contenção, erradicação e recuperação.
NBR ISO/IEC 27037:2013 - Preservação de Evidências Digitais
Define diretrizes para identificar, coletar, adquirir e preservar evidências digitais com valor probatório, úteis em investigações forenses.
NBR ISO/IEC 27701:2019 - Gestão de Privacidade da Informação
Estende os requisitos da NBR ISO/IEC 27001 e 27002 para incluir a gestão de privacidade, especificando diretrizes para proteger dados pessoais em um Sistema de Gestão de Privacidade da Informação (SGPI).
NBR ISO/IEC 29100:2020 - Estrutura de Privacidade
Fornece uma estrutura para privacidade, definindo terminologia, papéis, salvaguardas e princípios de privacidade para o tratamento de dados pessoais.
NBR ISO/IEC 29134:2020 - Avaliação de Impacto de Privacidade
Estabelece diretrizes para conduzir avaliações de impacto de privacidade (PIA), incluindo processos e estrutura de relatórios, para proteger dados pessoais.
NBR ISO/IEC 29151:2020 - Proteção de Dados Pessoais
Define controles e diretrizes para proteger dados pessoais, com base em avaliações de risco e impacto, alinhados aos princípios de privacidade.
NBR ISO/IEC 29184:2021 - Avisos de Privacidade e Consentimento Online
Especifica controles para estruturar avisos de privacidade online e processos de obtenção de consentimento para coleta e tratamento de dados pessoais.
NBR ISO/IEC 38500:2018 - Governança de Tecnologia da Informação
Fornece princípios para a governança de TI, orientando líderes sobre o uso eficiente, eficaz e ético da tecnologia nas organizações.
NBR 12896:1993 - Gerência de Senhas
Define procedimentos para proteger senhas em sistemas de autenticação, minimizando vulnerabilidades durante seu uso, armazenamento e distribuição.
NBR 12964:1993 - Técnicas Criptográficas de Dados
Descreve modos de operação para algoritmos de cifração de blocos, padronizando técnicas de criptografia com chaves secretas.
NBR 16167:2020 - Classificação e Gestão da Informação
Estabelece diretrizes para classificar, rotular, tratar e gerenciar informações com base em sua sensibilidade, garantindo níveis adequados de proteção.
NBR 16386:2015 - Interceptação Telemática Judicial
Fornece orientações para interceptações telemáticas ordenadas judicialmente, regulando interações entre provedores, investigadores e o judiciário.
NBR ISO/IEC 27006:2020 - Requisitos para Organismos de Certificação de SGSI
Define requisitos para organismos que certificam sistemas de gestão da segurança da informação, garantindo auditorias consistentes e confiáveis.
NBR ISO/IEC 27031:2011 - Continuidade de Negócios em TIC
Estabelece diretrizes para garantir a continuidade de operações de TIC, integrando estratégias de recuperação de desastres ao SGSI.
28. NBR ISO/IEC 27033-1:2015 - Segurança de Redes
Fornece uma visão geral e conceitos para segurança de redes, orientando a proteção de comunicações em ambientes de TI.
NBR ISO/IEC 27034-1:2014 - Segurança de Aplicações
Descrição: Define um framework para integrar segurança no desenvolvimento e manutenção de aplicativos, garantindo proteção contra ameaças.
NBR ISO/IEC 27035-1:2023 - Gestão de Incidentes de Segurança
Fornece princípios para gerenciar incidentes de segurança da informação, incluindo planejamento, detecção e resposta.
NBR ISO/IEC 27036-1:2021 - Gestão de Segurança em Relacionamentos com Fornecedores
Define diretrizes para gerenciar riscos de segurança em relacionamentos com fornecedores, garantindo proteção de dados compartilhados.
NBR ISO/IEC 27040:2016 - Segurança de Armazenamento de Dados
Fornece orientações para proteger dados armazenados, incluindo mídias físicas e digitais, contra acessos não autorizados.
NBR ISO/IEC 27050-1:2019 - Descoberta Eletrônica (e-Discovery)
Define processos para identificar, coletar e preservar informações digitais em investigações legais ou forenses.
NBR ISO/IEC 29147:2018 - Divulgação de Vulnerabilidades
Estabelece diretrizes para divulgar vulnerabilidades de segurança de forma responsável, promovendo colaboração com fornecedores.
NBR ISO/IEC 30111:2019 - Tratamento de Vulnerabilidades
Fornece processos para gerenciar e corrigir vulnerabilidades em sistemas, reduzindo riscos de exploração.
NBR ISO 31000:2018 - Gestão de Riscos
Define princípios e diretrizes gerais para gerenciar riscos em qualquer organização, incluindo riscos de segurança da informação.
NBR ISO/IEC 27010:2015 - Gestão de Segurança em Comunicações Interorganizacionais
Orienta a segurança da informação em comunicações entre organizações, garantindo proteção de dados compartilhados.
NBR ISO/IEC 27013:2021 - Integração de SGSI com Gestão de Serviços de TI
Fornece diretrizes para integrar a NBR ISO/IEC 27001 com a ISO/IEC 20000-1, alinhando segurança e gestão de serviços de TI.
NBR ISO/IEC 27035-2:2023 - Planejamento e Preparação para Incidentes
Detalha o planejamento e a preparação para gerenciar incidentes de segurança, incluindo treinamentos e simulações.
NBR ISO/IEC 27039:2017 - Seleção de Controles de Segurança
Fornece diretrizes para selecionar, implementar e gerenciar controles de segurança baseados em riscos específicos.
NBR ISO/IEC 27043:2015 - Investigação de Incidentes de Segurança
Define processos para investigar incidentes de segurança digital, incluindo coleta e análise de evidências.
NBR ISO/IEC 29146:2016 - Gestão de Acesso Privilegiado
Define práticas para gerenciar contas com acesso privilegiado, minimizando riscos de uso indevido.
NBR ISO/IEC 29147:2018 - Gestão de Divulgação de Vulnerabilidades
Estabelece processos para divulgar vulnerabilidades de forma ética e coordenada com fornecedores e partes interessadas.
NBR ISO/IEC 29190:2015 - Avaliação de Capacidade de Privacidade
Fornece um framework para avaliar a capacidade de uma organização em proteger dados pessoais.
NBR ISO/IEC 30105-1:2016 - Gestão de Serviços de TI Terceirizados
Define diretrizes para gerenciar riscos de segurança em serviços de TI terceirizados, garantindo conformidade.
NBR ISO/IEC 38505-1:2017 - Governança de Dados
Fornece princípios para a governança de dados, garantindo seu uso ético, seguro e eficiente nas organizações.
NBR ISO/IEC 27016:2014 - Economia da Segurança da Informação
Orienta a avaliação econômica de investimentos em segurança da informação, equilibrando custos e benefícios.
NBR ISO/IEC 27021:2017 - Competência de Profissionais de SGSI
Define requisitos de competência para profissionais que gerenciam ou implementam sistemas de gestão da segurança da informação.
NBR ISO/IEC 27022:2021 - Gestão de Processos de Segurança
Fornece diretrizes para alinhar processos de segurança da informação com objetivos organizacionais.
NBR ISO/IEC 27023:2015 - Mapeamento entre ISO/IEC 27001:2005 e 2013
Facilita a transição entre versões da NBR ISO/IEC 27001, mapeando requisitos antigos e novos.
NBR ISO/IEC 27028:2020 - Atributos de Segurança em Nuvem
Define atributos adicionais para segurança em ambientes de computação em nuvem, complementando a NBR ISO/IEC 27017.
NBR ISO/IEC 27030:2020 - Segurança em IoT
Fornece diretrizes para proteger dispositivos de Internet das Coisas (IoT), abordando riscos específicos.
NBR ISO/IEC 27033-2:2012 - Planejamento de Segurança de Redes
Descrição: Orienta o planejamento e design de redes seguras, minimizando vulnerabilidades em comunicações.
NBR ISO/IEC 27033-3:2010 - Gestão de Riscos de Rede
Define processos para gerenciar riscos específicos de redes, incluindo ameaças externas e internas.
NBR ISO/IEC 27033-4:2014 - Segurança em Conexões de Rede
Fornece diretrizes para proteger conexões de rede, como VPNs, contra interceptações e ataques.
NBR ISO/IEC 27033-5:2013 - Segurança em Protocolos de Rede
Estabelece controles para proteger protocolos de rede, garantindo comunicações seguras.
NBR ISO/IEC 27033-6:2016 - Segurança em Redes Sem Fio
Define práticas para proteger redes sem fio, como Wi-Fi, contra acessos não autorizados.
NBR ISO/IEC 27034-2:2015 - Organização de Segurança de Aplicações
Fornece um framework organizacional para gerenciar a segurança de aplicativos em toda a empresa.
NBR ISO/IEC 27036-2:2014 - Requisitos de Segurança para Fornecedores
Define requisitos de segurança para fornecedores, garantindo proteção em contratos de terceirização.
NBR ISO/IEC 27036-3:2013 - Gestão de Riscos com Fornecedores
Fornece diretrizes para avaliar e mitigar riscos de segurança em relacionamentos com fornecedores.
NBR ISO/IEC 27036-4:2016 - Conformidade com Fornecedores
Orienta a validação da conformidade de fornecedores com requisitos de segurança da informação.
NBR ISO/IEC 27038:2014 - Redação Segura de Documentos Digitais
Define práticas para redigir documentos digitais de forma segura, protegendo informações sensíveis.
NBR ISO/IEC 27041:2016 - Análise de Evidências em Investigações
Descrição: Fornece diretrizes para analisar evidências digitais em investigações de incidentes de segurança.
NBR ISO/IEC 27042:2016 - Avaliação de Evidências Digitais
Define métodos para avaliar a validade e confiabilidade de evidências digitais em investigações.
NBR ISO/IEC 27050-2:2018 - Planejamento de e-Discovery
Orienta o planejamento de processos de descoberta eletrônica, garantindo conformidade em investigações legais.
NBR ISO/IEC 27050-3:2020 - Práticas de e-Discovery
Define boas práticas para conduzir descoberta eletrônica, incluindo coleta e preservação de dados.
NBR ISO/IEC 29101:2018 - Arquitetura de Privacidade
Fornece uma arquitetura para projetar sistemas que protejam a privacidade de dados pessoais.
NBR ISO/IEC 29115:2013 - Autenticação de Identidade
Define níveis de garantia para autenticação de identidades, garantindo confiança em transações digitais.
NBR ISO/IEC 29128:2011 - Verificação de Criptografia
Estabelece métodos para verificar a eficácia de algoritmos e sistemas criptográficos.
NBR ISO/IEC 29187-1:2013 - Gestão de Identidades
Define práticas para gerenciar identidades digitais, garantindo segurança e privacidade.
NBR ISO/IEC 29191:2012 - Requisitos de Criptografia Parcial
Especifica requisitos para criptografia parcial, usada em cenários específicos de proteção de dados.
NBR ISO/IEC 30104:2015 - Segurança em Sistemas Físicos
Fornece diretrizes para proteger sistemas físicos, como dispositivos IoT, contra ameaças físicas e cibernéticas.
NBR ISO/IEC 30141:2018 - Segurança em IoT
Define um framework para proteger dispositivos de Internet das Coisas, abordando riscos específicos.
NBR ISO/IEC 38507:2022 - Impacto da IA na Governança de TI
Orienta a governança de TI considerando os impactos da inteligência artificial, incluindo segurança e ética.
NBR ISO/IEC 38504:2016 - Gestão de Benefícios de TI
Fornece diretrizes para maximizar os benefícios da TI, alinhando segurança e governança.
NBR ISO/IEC 38506:2020 - Avaliação de Riscos em Governança de TI
Descrição: Define métodos para avaliar riscos na governança de TI, incluindo impactos na segurança.
NBR ISO/IEC 29110-4-1:2018 - Segurança em Engenharia de Software
Fornece diretrizes para integrar segurança em processos de engenharia de software.
NBR ISO/IEC 29148:2018 - Especificação de Requisitos de Segurança
Define práticas para especificar requisitos de segurança em projetos de sistemas e softwares.