ISO

Gestão de Ativos.
(Responsabilidade pelos ativos).
•

Objetivo: Alcançar e manter a proteção adequada dos ativos da organização.

•

Inventário dos ativos: Todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido.

•

Proprietário dos ativos: Todas as informações e ativos associados com os recursos de processamento da informação dvem ter um “proprietario”³ designado por uma parte definida da organização.

•

Uso aceitável dos ativos: Devem ser identificados, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

Gestão de Ativos.
(Classificação da informação).
•

Objetivo: Assegurar que a informação receba um nível adequado de proteção.

•

Recomendações para classificação: A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

•

Rótulos e tratamento da informação: Um conjunto apropiado de procedimentos para rotular e tratar a informação deve ser definido e implementado de acordo com o esquema de classificação adotado pela organização.

Segurança em recursos humanos.
(Antes da contratação).
•

Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

•

Papéis e responsabilidades: Os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros devem ser definidos e documentos de acordo com a politica de segurança da informação da organização.

•

Seleção: Verificação de controle de todos os candidatos e emprego, fornecedores e terceiros devem ser realizadas de acordo com as leis relevantes, regulamentações e éticas, e proporcionalmente aos requisítos do negócio, à classificação das