ISO/IEC 27001:2022 – Anexo A:
Controles de Segurança da Informação
Este documento apresenta todos os controles do Anexo A da ISO/IEC 27001:2022, divididos
em 4 temas com 93 controles no total.
A.5 – Controles Organizacionais




















A.5.1 Políticas de segurança da informação
A.5.2 Funções e responsabilidades de segurança da informação
A.5.3 Separação de deveres
A.5.4 Coordenação de segurança da informação
A.5.5 Responsabilidades de segurança da informação para gestão terceirizada
A.5.6 Contacto com autoridades
A.5.7 Contacto com grupos de interesse especial
A.5.8 Segurança da informação na gestão de projetos
A.5.9 Inventário de informação e outros ativos associados
A.5.10 Uso aceitável de ativos
A.5.11 Retirada de ativos
A.5.12 Classificação da informação
A.5.13 Rotulagem da informação
A.5.14 Transferência de informação
A.5.15 Acesso à informação
A.5.16 Contratos de confidencialidade
A.5.17 Endereçamento da segurança da informação na gestão de relacionamentos com
fornecedores
A.5.18 Monitoramento, revisão e alteração dos serviços de fornecedores
A.5.19 Segurança da informação durante interrupções e mudanças
A.5.20 Acompanhamento e auditoria do sistema de gestão
A.6 – Controles de Pessoas






A.6.1 Triagem
A.6.2 Termos e condições de emprego
A.6.3 Conscientização, educação e treinamento em segurança da informação
A.6.4 Responsabilidades após a rescisão ou mudança de emprego
A.6.5 Ações disciplinares
A.6.6 Comunicação clara sobre as responsabilidades de segurança
A.7 – Controles Físicos







A.7.1 Perímetro de segurança física
A.7.2 Controle de entrada física
A.7.3 Segurança de escritórios, salas e instalações
A.7.4 Proteção contra ameaças físicas e ambientais
A.7.5 Trabalhando em áreas seguras
A.7.6 Segurança de equipamentos e ativos fora do local
A.7.7 Reutilização segura e descarte de equipamentos
A.8 – Controles Tecnológicos

























A.8.1 Gestão de capacidades
A.8.2 Proteção contra malware
A.8.3 Gestão de vulnerabilidades técnicas
A.8.4 Registro e monitoramento de eventos
A.8.5 Controle de acesso baseado em autenticação
A.8.6 Uso de autenticação forte
A.8.7 Registros de atividades dos usuários
A.8.8 Segurança de sistemas de rede
A.8.9 Segmentação de rede
A.8.10 Segurança de serviços em nuvem
A.8.11 Monitoramento de sistemas
A.8.12 Proteção de dados em trânsito
A.8.13 Proteção de dados em repouso
A.8.14 Proteção de dados em uso
A.8.15 Backup de informação
A.8.16 Sincronização de tempo
A.8.17 Instalação de software autorizada
A.8.18 Segurança do código
A.8.19 Testes de segurança
A.8.20 Gerenciamento da configuração de segurança
A.8.21 Eliminação segura de dados
A.8.22 Registro de incidentes de segurança da informação
A.8.23 Ações corretivas e preventivas
A.8.24 Resposta e recuperação de incidentes
A.8.25 Gestão da continuidade da segurança da informação