Superintendência Estadual de Tecnologia da Informação e Comunicação
Plataforma de documentação operacional e gerencial da SETIC
Ferramentas do usuário
start:docs:politicas:seguranca
Diferenças
Aqui você vê as diferenças entre duas revisões dessa página.
| Ambos lados da revisão anterior Revisão anterior Próxima revisão | Revisão anterior | ||
|
start:docs:politicas:seguranca [2019/08/02 17:08] Eduardo Zimmer [Art. 18º. - Cópias de segurança] |
start:docs:politicas:seguranca [2022/01/25 15:26] (atual) |
||
|---|---|---|---|
| Linha 432: | Linha 432: | ||
| Objetivo: Registrar eventos e gerar evidências. | Objetivo: Registrar eventos e gerar evidências. | ||
| - | Registros de eventos | + | § 1 - Registros de eventos |
| - | Proteção das informações dos registros de eventos (logs) | + | |
| - | Registros de eventos (log) de administrador e operador | + | § 2 - Proteção das informações dos registros de eventos (logs) |
| - | Sincronização dos relógios | + | |
| + | § 3 - Registros de eventos (log) de administrador e operador | ||
| + | |||
| + | § 4 - Sincronização dos relógios | ||
| ===== Art. 20º. - Controle de software operacional ===== | ===== Art. 20º. - Controle de software operacional ===== | ||
| Linha 441: | Linha 444: | ||
| Objetivo: Assegurar a integridade dos sistemas operacionais. | Objetivo: Assegurar a integridade dos sistemas operacionais. | ||
| - | Instalação de software nos sistemas operacionais | + | § único - Instalação de software nos sistemas operacionais |
| ===== Art. 21º. - Gestão de vulnerabilidades técnicas ===== | ===== Art. 21º. - Gestão de vulnerabilidades técnicas ===== | ||
| Linha 447: | Linha 450: | ||
| Objetivo: Prevenir a exploração de vulnerabilidades técnicas. | Objetivo: Prevenir a exploração de vulnerabilidades técnicas. | ||
| - | Gestão de vulnerabilidades técnicas | + | § 1 - Gestão de vulnerabilidades técnicas |
| - | Restrições quanto à instalação de software | + | |
| + | § 2 - Restrições quanto à instalação de software | ||
| ===== Art. 22º. - Considerações quanto à auditoria de sistemas de informação ===== | ===== Art. 22º. - Considerações quanto à auditoria de sistemas de informação ===== | ||
| Linha 454: | Linha 458: | ||
| Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais. | Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais. | ||
| - | Controles de auditoria de sistemas de informação | + | § único - Controles de auditoria de sistemas de informação |
| ---- | ---- | ||
| Linha 464: | Linha 468: | ||
| Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam. | Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam. | ||
| - | Controles de redes \\ | + | § 1 - Controles de redes |
| - | Segurança dos serviços de rede \\ | + | |
| - | Segregação de redes | + | § 2 - Segurança dos serviços de rede |
| + | |||
| + | § 3 - Segregação de redes | ||
| ===== Art. 24º. - Transferência de informação ===== | ===== Art. 24º. - Transferência de informação ===== | ||
| Linha 472: | Linha 478: | ||
| Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas. | Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas. | ||
| - | Políticas e procedimentos para transferência de informações | + | § 1 - Políticas e procedimentos para transferência de informações |
| - | Acordos para transferência de informações | + | |
| - | Mensagens eletrônicas | + | § 2 - Acordos para transferência de informações |
| - | Acordos de confidencialidade e não divulgação | + | |
| + | § 3 - Mensagens eletrônicas | ||
| + | |||
| + | § 4 - Acordos de confidencialidade e não divulgação | ||
| ---- | ---- | ||
| Linha 485: | Linha 494: | ||
| Objetivo: Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas. | Objetivo: Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas. | ||
| - | Análise e especificação dos requisitos de segurança da informação | + | § 1 - Análise e especificação dos requisitos de segurança da informação |
| - | Serviços de aplicação seguros em redes públicas | + | |
| - | Protegendo as transações nos aplicativos de serviços | + | § 2 - Serviços de aplicação seguros em redes públicas |
| + | |||
| + | § 3 - Protegendo as transações nos aplicativos de serviços | ||
| ===== Art. 26º. - Segurança em processos de desenvolvimento e de suporte ===== | ===== Art. 26º. - Segurança em processos de desenvolvimento e de suporte ===== | ||
| Linha 493: | Linha 504: | ||
| Objetivo: Garantir que a segurança da informação está projetada e implementada no desenvolvimento do ciclo de vida dos sistemas de informação. | Objetivo: Garantir que a segurança da informação está projetada e implementada no desenvolvimento do ciclo de vida dos sistemas de informação. | ||
| - | Política de desenvolvimento seguro | + | § 1 - Política de desenvolvimento seguro |
| - | Procedimentos para controle de mudanças de sistemas | + | |
| - | Análise crítica técnica das aplicações após mudanças nas plataformas operacionais | + | § 2 - Procedimentos para controle de mudanças de sistemas |
| - | Restrições sobre mudanças em pacotes de Software | + | |
| - | Princípios para projetar sistemas seguros | + | § 3 - Análise crítica técnica das aplicações após mudanças nas plataformas operacionais |
| - | Ambiente seguro para desenvolvimento | + | |
| - | Desenvolvimento terceirizado | + | § 4 - Restrições sobre mudanças em pacotes de Software |
| - | Teste de segurança do sistema | + | |
| - | Teste de aceitação de sistemas | + | § 5 - Princípios para projetar sistemas seguros |
| + | |||
| + | § 6 - Ambiente seguro para desenvolvimento | ||
| + | |||
| + | § 7 - Desenvolvimento terceirizado | ||
| + | |||
| + | § 8 - Teste de segurança do sistema | ||
| + | |||
| + | § 9 - Teste de aceitação de sistemas | ||
| ===== Art. 27º. - Dados para teste ===== | ===== Art. 27º. - Dados para teste ===== | ||
| Linha 507: | Linha 526: | ||
| Objetivo: Assegurar a proteção dos dados usados para teste. | Objetivo: Assegurar a proteção dos dados usados para teste. | ||
| - | Proteção dos dados para teste | + | § único - Proteção dos dados para teste |
| ---- | ---- | ||
| Linha 517: | Linha 536: | ||
| Objetivo: Garantir a proteção dos ativos da organização que são acessíveis pelos fornecedores. | Objetivo: Garantir a proteção dos ativos da organização que são acessíveis pelos fornecedores. | ||
| - | Política de segurança da informação no relacionamento com os fornecedores | + | § 1 - Política de segurança da informação no relacionamento com os fornecedores |
| - | Identificando segurança da informação nos acordos com fornecedores | + | |
| - | Cadeia de suprimento na tecnologia da comunicação e informação | + | § 2 - Identificando segurança da informação nos acordos com fornecedores |
| + | |||
| + | § 3 - Cadeia de suprimento na tecnologia da comunicação e informação | ||
| ===== Art. 29º. - Gerenciamento da entrega do serviço do fornecedor ===== | ===== Art. 29º. - Gerenciamento da entrega do serviço do fornecedor ===== | ||
| Linha 525: | Linha 546: | ||
| Objetivo: Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores. | Objetivo: Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores. | ||
| - | Monitoramento e análise crítica de serviços com fornecedores | + | § 1 - Monitoramento e análise crítica de serviços com fornecedores |
| - | Gerenciamento de mudanças para serviços com fornecedores | + | |
| + | § 2 - Gerenciamento de mudanças para serviços com fornecedores | ||
| ---- | ---- | ||
| Linha 536: | Linha 558: | ||
| Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, | Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, | ||
| - | Responsabilidades e procedimentos | + | § 1 - Responsabilidades e procedimentos |
| - | Notificação de eventos de segurança da informação | + | |
| - | Notificando fragilidades de segurança da informação | + | § 2 - Notificação de eventos de segurança da informação |
| - | Avaliação e decisão dos eventos de segurança da informação | + | |
| - | Resposta aos incidentes de segurança da informação | + | § 3 - Notificando fragilidades de segurança da informação |
| - | Aprendendo com os incidentes de segurança da informação | + | |
| - | Coleta de evidências | + | § 4 - Avaliação e decisão dos eventos de segurança da informação |
| + | |||
| + | § 5 - Resposta aos incidentes de segurança da informação | ||
| + | |||
| + | § 6 - Aprendendo com os incidentes de segurança da informação | ||
| + | |||
| + | § 7 - Coleta de evidências | ||
| ---- | ---- | ||
| Linha 552: | Linha 580: | ||
| Objetivo: É recomendado que a continuidade da segurança da informação seja considerada nos sistemas de gestão da continuidade do negócio da organização. | Objetivo: É recomendado que a continuidade da segurança da informação seja considerada nos sistemas de gestão da continuidade do negócio da organização. | ||
| - | Planejando a continuidade da segurança da informação | + | § 1 - Planejando a continuidade da segurança da informação |
| - | Implementando a continuidade da segurança da informação | + | |
| - | Verificação, | + | § 2 - Implementando a continuidade da segurança da informação |
| + | |||
| + | § 3 - Verificação, | ||
| ===== Art. 32º. - Redundâncias ===== | ===== Art. 32º. - Redundâncias ===== | ||
| Linha 560: | Linha 590: | ||
| Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação. | Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação. | ||
| - | Disponibilidade dos recursos de processamento da informação | + | § único - Disponibilidade dos recursos de processamento da informação |
| ---- | ---- | ||
| Linha 570: | Linha 600: | ||
| Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias, | Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias, | ||
| - | Identificação da legislação aplicável e de requisitos contratuais | + | § 1 - Identificação da legislação aplicável e de requisitos contratuais |
| - | Direitos de propriedade intelectual | + | |
| - | Proteção de registros | + | § 2 - Direitos de propriedade intelectual |
| - | Proteção e privacidade de informações de identificação pessoal | + | |
| - | Regulamentação de controles de criptografia | + | § 3 - Proteção de registros |
| + | |||
| + | § 4 - Proteção e privacidade de informações de identificação pessoal | ||
| + | |||
| + | § 5 - Regulamentação de controles de criptografia | ||
| ===== Art. 34º. - Análise crítica da segurança da informação ===== | ===== Art. 34º. - Análise crítica da segurança da informação ===== | ||
| Linha 580: | Linha 614: | ||
| Objetivo: Garantir que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos da organização. | Objetivo: Garantir que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos da organização. | ||
| - | Análise crítica independente da segurança da informação | + | § 1 - Análise crítica independente da segurança da informação |
| - | Conformidade com as políticas e procedimentos de segurança da informação | + | |
| - | Análise crítica da conformidade técnica | + | § 2 - Conformidade com as políticas e procedimentos de segurança da informação |
| + | |||
| + | § 3 - Análise crítica da conformidade técnica | ||
| ---- | ---- | ||
start/docs/politicas/seguranca.1564765682.txt.gz · Última modificação: 2022/01/25 15:26 (edição externa)
Ferramentas da página
Exceto onde for informado ao contrário, o conteúdo neste wiki está sob a seguinte licença: CC Attribution-Share Alike 4.0 International
