Guia de Referência Rápida: Todos os Controles da ISO 27002

ISO/IEC 27002:2022 é a norma internacional que fornece diretrizes práticas para a implementação de controles de segurança da informação. Enquanto a ISO 27001 estabelece os requisitos do Sistema de Gestão de Segurança da Informação (SGSI) — definindo “o que” deve ser feito —, a ISO 27002 complementa essa estrutura ao detalhar “como” implementar cada controle de forma eficaz. A versão 2022 trouxe uma reestruturação significativa: os controles foram reorganizados em quatro categorias temáticas (Organizacionais, Pessoas, Físicos e Tecnológicos) e o total foi reduzido de 114 para 93 controles, tornando-os mais alinhados às necessidades atuais de cibersegurança, privacidade de dados e transformação digital. Este guia apresenta todos os controles de forma estruturada, facilitando consultas rápidas e o planejamento da implementação do seu SGSI.

Sobre a numeração dos controles: A ISO 27002:2022 simplificou a forma de referenciar os controles. Eles agora são identificados diretamente por sua numeração — como “5.1” (Políticas de Segurança da Informação), “8.15” (Log) ou “6.3” (Conscientização, Educação e Treinamento) —, abandonando o prefixo “A” utilizado nas versões de 2013. Essa mudança facilita a comunicação entre equipes e o mapeamento com o Anexo A da ISO 27001:2022, que adota a mesma nomenclatura. Na prática, ao implementar ou auditar controles, sempre utilize essa numeração direta para maior clareza e alinhamento com as versões atuais das normas.

 

Controles Organizacionais

Definem a governança e estrutura estratégica da segurança da informação na organização. Abrangem desde políticas corporativas, definição de papéis e responsabilidades, gestão de riscos e relacionamento com terceiros, até resposta a incidentes e continuidade de negócios. Estes controles estabelecem o alicerce administrativo para que a segurança permeie todos os processos organizacionais, garantindo conformidade legal e regulatória. São 37 controles:

  • 5.1 – Políticas de Segurança da Informação
  • 5.2 – Papéis e Responsabilidades pela Segurança da Informação
  • 5.3 – Segregação de Funções (SoD)
  • 5.4 – Responsabilidades da Direção
  • 5.5 – Contato com Autoridades
  • 5.6 – Contato com Grupos de Interesse Especial
  • 5.7 – Inteligência de Ameaças (Threat Intelligence)
  • 5.8 – Segurança da Informação no Gerenciamento de Projetos
  • 5.9 – Inventário de Informações e Outros Ativos Associados
  • 5.10 – Uso Aceitável de Informações e Outros Ativos Associados
  • 5.11 – Devolução de Ativos
  • 5.12 – Classificação das Informações
  • 5.13 – Rotulagem de Informações
  • 5.14 – Transferência de Informações
  • 5.15 – Controle de Acesso
  • 5.16 – Gestão de Identidade
  • 5.17 – Informações de Autenticação
  • 5.18 – Direitos de Acesso
  • 5.19 – Segurança da Informação nas Relações com Fornecedores
  • 5.20 – Segurança da Informação nos Contratos de Fornecedores
  • 5.21 – Gestão da Segurança da Informação na Cadeia de Tecnologia da Informação e Comunicação (TIC)
  • 5.22 – Monitoramento, Análise Crítica e Gestão de Mudanças dos Serviços de Fornecedores
  • 5.23 – Segurança da Informação para Uso de Serviços em Nuvem
  • 5.24 – Planejamento e Preparação da Gestão de Incidentes de Segurança da Informação
  • 5.25 – Avaliação e Decisão sobre Eventos de Segurança da Informação
  • 5.26 – Resposta a Incidentes de Segurança da Informação
  • 5.27 – Aprendizado com Incidentes de Segurança da Informação
  • 5.28 – Coleta de Evidências
  • 5.29 – Segurança da Informação Durante a Disrupção
  • 5.30 – Prontidão de Tecnologia da Informação e Comunicação (TIC) para Continuidade de Negócios
  • 5.31 – Requisitos Legais, Estatutários, Regulamentares e Contratuais
  • 5.32 – Direitos de Propriedade Intelectual
  • 5.33 – Proteção de Registros
  • 5.34 – Privacidade e Proteção de Dados Pessoais
  • 5.35 – Análise Crítica Independente da Segurança da Informação
  • 5.36 – Conformidade com Políticas, Regras e Normas para Segurança da Informação
  • 5.37 – Documentação dos Procedimentos de Operação

 

Controles de Pessoas

Focam no fator humano como elemento crítico da segurança da informação. Cobrem todo o ciclo de vida do colaborador — desde processos seletivos e integração, passando por conscientização e treinamento contínuo, até o desligamento e acordos de confidencialidade. Reconhecem que pessoas bem treinadas e conscientes são a primeira linha de defesa contra ameaças internas e ataques de engenharia social. São 8 controles:

  • 6.1 – Seleção
  • 6.2 – Termos e Condições de Contratação
  • 6.3 – Conscientização, Educação e Treinamento em Segurança da Informação
  • 6.4 – Processo Disciplinar
  • 6.5 – Responsabilidades Após Encerramento ou Mudança da Contratação
  • 6.6 – Acordos de Confidencialidade ou Não Divulgação (NDAs)
  • 6.7 – Trabalho Remoto
  • 6.8 – Relato de Eventos de Segurança da Informação

 

Controles Físicos

Protegem a infraestrutura física que sustenta os ativos de informação. Incluem segurança de perímetros, controle de acesso físico, proteção ambiental (incêndio, inundação, temperatura), vigilância e políticas como mesa limpa e tela limpa. Mesmo em ambientes cada vez mais digitais, a segurança física permanece essencial para prevenir acessos não autorizados, roubo de equipamentos e comprometimento da disponibilidade dos serviços. São 14 controles:

  • 7.1 – Perímetros de Segurança Física
  • 7.2 – Entrada Física
  • 7.3 – Segurança de Escritórios, Salas e Instalações
  • 7.4 – Monitoramento de Segurança Física
  • 7.5 – Proteção Contra Ameaças Físicas e Ambientais
  • 7.6 – Trabalho em Áreas Seguras
  • 7.7 – Mesa Limpa e Tela Limpa
  • 7.8 – Localização e Proteção de Equipamentos
  • 7.9 – Segurança de Ativos Fora das Instalações da Organização
  • 7.10 – Mídia de Armazenamento
  • 7.11 – Serviços de Infraestrutura
  • 7.12 – Segurança do Cabeamento
  • 7.13 – Manutenção de Equipamentos
  • 7.14 – Descarte Seguro ou Reutilização de Equipamentos

 

Controles Tecnológicos

Implementam proteções técnicas e lógicas para sistemas, redes e dados digitais. Englobam gestão de identidades e acessos, criptografia, proteção contra malware, gerenciamento de vulnerabilidades, segurança em desenvolvimento de software (DevSecOps), backup e monitoramento contínuo. São os controles mais diretamente associados à cibersegurança e defesa contra ataques cibernéticos, ransomware e vazamento de dados. São 34 controles:

  • 8.1 – Dispositivos Endpoint do Usuário
  • 8.2 – Direitos de Acessos Privilegiados
  • 8.3 – Restrição de Acesso à Informação
  • 8.4 – Acesso ao Código-fonte
  • 8.5 – Autenticação Segura
  • 8.6 – Gestão de Capacidade
  • 8.7 – Proteção Contra Malware
  • 8.8 – Gestão de Vulnerabilidades Técnicas
  • 8.9 – Gestão de Configuração
  • 8.10 – Exclusão de Informações
  • 8.11 – Mascaramento de Dados
  • 8.12 – Prevenção de Vazamento de Dados
  • 8.13 – Backup das Informações
  • 8.14 – Redundância dos Recursos de Tratamento de Informações
  • 8.15 – Log
  • 8.16 – Atividades de Monitoramento
  • 8.17 – Sincronização do Relógio
  • 8.18 – Uso de Programas Utilitários Privilegiados
  • 8.19 – Instalação de Software em Sistemas Operacionais
  • 8.20 – Segurança de Redes
  • 8.21 – Segurança dos Serviços de Rede
  • 8.22 – Segregação de Redes
  • 8.23 – Filtragem da Web
  • 8.24 – Uso de Criptografia
  • 8.25 – Ciclo de Vida de Desenvolvimento Seguro (SDLC)
  • 8.26 – Requisitos de Segurança da Aplicação
  • 8.27 – Princípios de Arquitetura e Engenharia de Sistemas Seguros
  • 8.28 – Codificação Segura no Desenvolvimento de Software
  • 8.29 – Testes de Segurança em Desenvolvimento e Aceitação
  • 8.30 – Desenvolvimento Terceirizado
  • 8.31 – Separação dos Ambientes de Desenvolvimento, Teste e Produção
  • 8.32 – Gestão de Mudanças (GMUD)
  • 8.33 – Informações de Teste
  • 8.34 – Proteção de Sistemas de Informação durante os Testes de Auditoria