Legislação sobre Segurança da Informação
A legislação de segurança da informação é dividida em níveis, indo da definição de estratégias (definição de normas), passando pelo tático (definição de procedimentos), pelo operacional (definição de instruções) e registros (geração de evidências)
 |
Leis e Decretos
-
Informações gerais
A legislação da Segurança da Informação e Tecnologias de Informação é bastante ampla. Segue abaixo um conjunto inicial de leis, decretos e normativas federais. Essa lista não tem a pretensão de esgotar este assuntos.
-
Segurança da informação
Decreto nº 10.748, de 16 de julho de 2021 - Institui a Rede Federal de Gestão de Incidentes Cibernéticos.
Decreto nº 10.641, de 2 de março de 2021 - Altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o , que regulamenta o disposto no art. 24, caput , inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional.
Decreto nº 10.569, de 9 de dezembro de 2020 - Aprova a Estratégia Nacional de Segurança de Infraestruturas Críticas.
Decreto nº 10.222, de 5 de fevereiro de 2020 - Aprova a Estratégia Nacional de Segurança Cibernética.
Lei 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências.
Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências.
Decreto nº 9.832, de 12 de junho de 2019- Altera o Decreto nº 9.637, de 26 de dezembro de 2018, e o Decreto nº 7.845, de 14 de novembro de 2012, para dispor sobre o Comitê Gestor da Segurança da Informação.
Decreto nº 9.637, de 26 de dezembro de 2018 - Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput , inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Alterado pelo Decreto nº 9.832, de 12 de junho de 2019. Alterado pelo Decreto nº 10.641, de 2 de março de 2021.
Decreto nº 9.573, de 22 de novembro de 2018 - Aprova a Política Nacional de Segurança de Infraestruturas Críticas.
Decreto nº 7.845, de 14 de novembro de 2012 - Regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.
Instrução Normativa GSI nº 3, de 28 de maio de 2021 - Dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal.
Instrução Normativa GSI nº 1, de 13 de junho de 2008 - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.
Portaria GSI nº 93, de 18 de outubro de 2021 - Aprova o Glossário de Segurança da Informação.
Portaria GSI nº 40, de 8 de outubro de 2014 - Homologa a Norma Complementar nº 21/IN01/DSIC/GSIPR - Estabelece Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.
Portaria GSI nº 57, de 23 de agosto de 2010 - Homologa a Norma Complementar nº 08/IN01/DSIC/GSIPR - Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais - Gestão de ETIR,nos órgãos e entidades da Administração Pública Federal.
Portaria GSI nº 38, de 14 de agosto de 2009 - Homologa a Norma Complementar nº 05/IN01/DSIC/GSIPR - Disciplina a criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal.
outros atos legislativos e normativos sobre segurança da informação - página de autoria do Gabinete de Segurança Institucional (GSI/PR).
-
Gabinete de Segurança Institucional
Instrução Normativa GSI Nº 1 , de 13 de junho de 2008. Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.
Norma Complementar nº 05/IN01/DSIC/GSIPR , e seu Anexo, Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da Administração Pública Federal
Norma Complementar nº 08/IN01/DSIC/GSIPR , Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal.
Norma Complementar nº 21/IN01/DSIC/GSIPR , Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.
-
Proteção de dados pessoais
Medida Provisória nº 1.124, de 13 de junho de 2022 - Altera a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e transforma cargos em comissão..
Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais.
Lei nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet - Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Decreto nº 8.771, de 11 de maio de 2016 - Regulamenta a Lei nº 12.965, de 23 de abril de 2014, para tratar das hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indicar procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela administração pública e estabelecer parâmetros para fiscalização e apuração de infrações.
Instrução Normativa SGD nº 117, de 19 de novembro de 2020 - Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.
outros atos legislativos e normativos e demais publicações sobre proteção de dados pessoais - página de autoria da Autoridade Nacional de Proteção de Dados (ANPD).
-
Classificação da informação
Lei nº 9.610, de 19 de fevereiro de 1998. Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências.
Decreto nº 7.724, de 16 de maio de 2012. Regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição.
Lei nº 8.112, de 11 de dezembro de 1990. Dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais.
Lei nº 9.279, de 14 de maio de 1996. Regula direitos e obrigações relativos à propriedade industrial.
Lei nº 9.609, de 19 de fevereiro de 1998. Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências.
Lei nº 10.180, de 6 de fevereiro de 2001. Organiza e disciplina os Sistemas de Planejamento e de Orçamento Federal, de Administração Financeira Federal, de Contabilidade Federal e de Controle Interno do Poder Executivo Federal, e dá outras providências.
Lei nº 9.610, de 19 de fevereiro de 1998. Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências.
Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil.
Lei Complementar nº 105, de 10 de janeiro de 2001. Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências.
Lei nº 9.279, de 14 de maio de 1996. Regula direitos e obrigações relativos à propriedade industrial.
Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil.
Decreto-lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal.
Lei nº 9.472, de 16 de julho de 1997. Dispõe sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador e outros aspectos institucionais, nos termos da Emenda Constitucional nº 8, de 1995.
-
Outras fontes
Legislação sobre segurança da Informação - Gabinete de Segurança Institucional
Legislação sobre segurança da informação - Governo Digital
ISO
As normas ISO (Organization for Standardization) são regras, criadas pela empresa ISO, com o objetivo de realizar a normatização de condutas e processos em organizações e entidades públicas. Ela está relacionada, também, com a Associação Brasileira de Normas Técnicas (ABNT), que normatiza determinadas questões que devem ser seguidas por todas as instituições nacionais.
Segue abaixo um conjunto inicial de normas ISOs e NBRs. Essa lista não tem a pretensão de esgotar este assuntos.
NBRISO/IEC27001 de 11/2013
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — REQUISITOS
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
NBRISO/IEC27002 de 11/2013
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA CONTROLES DE SEGURANÇA DA INFORMAÇÃO
Fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Esta Norma é projetada para ser usada por organizações que pretendam: a) selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBRISO/IEC 27001[6]; b) implementar controles de segurança da informação comumente aceitos; c) desenvolver seus próprios princípios de gestão da segurança da informação. (Código anterior: NBRISO/IEC 17799)
NBRISO/IEC27003 de 04/2020
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — ORIENTAÇÕES
Este documento fornece explicações e orientações sobre a NBRISO/IEC27001:2013.
NBRISO/IEC27004 de 08/2017
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
Este documento fornece orientações que têm como objetivo auxiliar as organizações a avaliarem o desempenho da segurança da informação e a eficácia do SGSI a fim de atender aos requisitos da NBRISO/IEC27001:2013.
NBRISO/IEC27004 de 08/2017
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
Este documento fornece orientações que têm como objetivo auxiliar as organizações a avaliarem o desempenho da segurança da informação e a eficácia do SGSI a fim de atender aos requisitos da NBRISO/IEC27001:2013
NBRISO/IEC27005 de 10/2019
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
Este documento fornece diretrizes para o processo de gestão de riscos de segurança da informação.
NBRISO/IEC27007 de 05/2021
SEGURANÇA DA INFORMAÇÃO, SEGURANÇA CIBERNÉTICA E PROTEÇÃO DA PRIVACIDADE - DIRETRIZES PARA AUDITORIA DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Este documento fornece orientações sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI), como executar as auditorias e a competência dos auditores de SGSI, em complemento às orientações descritas na NBRISO19011.
NBRISO/IEC27014 de 09/2021
SEGURANÇA DA INFORMAÇÃO, SEGURANÇA CIBERNÉTICA E PROTEÇÃO DA PRIVACIDADE - GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
Este Documento fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização.
NBRISO/IEC27017 de 07/2016
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA CONTROLES DE SEGURANÇA DA INFORMAÇÃO COM BASE ABNT NBR ISO/IEC 27002 PARA SERVIÇOS EM NUVEM
Esta Recomendação Norma fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBRISO/IEC27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem.
NBRISO/IEC27018 de 03/2021
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA PROTEÇÃO DE DADOS PESSOAIS (DP) EM NUVENS PÚBLICAS QUE ATUAM COMO OPERADORES DE DP
Este documento estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBRISO/IEC29100, para o ambiente de computação em nuvem pública.
NBRISO/IEC27032 de 06/2015
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - DIRETRIZES PARA SEGURANÇA CIBERNÉTICA
Esta Norma fornece diretrizes para melhorar o estado de Segurança Cibernética, traçando os aspectos típicos desta atividade e suas ramificações em outros domínios de segurança.
NBRISO/IEC27035-3 de 07/2021
TECNOLOGIA DA INFORMAÇÃO - GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO - PARTE 3: DIRETRIZES PARA OPERAÇÕES DE RESPOSTA A INCIDENTES DE TIC
Este documento fornece diretrizes para resposta a incidentes de segurança da informação em operações de TIC. Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.
NBRISO/IEC27037 de 12/2013
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL
Esta Norma fornece diretrizes para atividades específicas no manuseio de evidências digitais que são a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valor probatório.
NBRISO/IEC27701 de 11/2019
TÉCNICAS DE SEGURANÇA — EXTENSÃO DA ABNT NBR ISO/IEC 27001 E ABNT NBR ISO/IEC 27002 PARA GESTÃO DA PRIVACIDADE DA INFORMAÇÃO — REQUISITOS E DIRETRIZES
Este documento especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das NBRISO/IEC27001 e NBRISO/IEC27002 para a gestão da privacidade dentro do contexto da organização
NBRISO/IEC29100 de 03/2020
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — ESTRUTURA DE PRIVACIDADE
Esta Norma fornece uma estrutura de privacidade que: especifica uma terminologia comum de privacidade; especifica os atores e os seus papéis no tratamento de dados pessoais (DP); descreve considerações de salvaguarda de privacidade; e fornece referências para princípios conhecidos de privacidade para tecnologia da informação.
NBRISO/IEC29134 de 11/2020
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - AVALIAÇÃO DE IMPACTO DE PRIVACIDADE - DIRETRIZES
Este documento fornece diretrizes para: processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de PIA.
NBRISO/IEC29151 de 11/2020
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA PROTEÇÃO DE DADOS PESSOAIS
Esta Recomendação | Norma estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP).
NBRISO/IEC29184 de 06/2021
TECNOLOGIA DA INFORMAÇÃO - AVISOS DE PRIVACIDADE ON-LINE E CONSENTIMENTO
Este documento especifica os controles que formatam o conteúdo e a estrutura dos avisos de privacidade on-line, bem como o processo de solicitação de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP.
NBRISO/IEC38500 de 11/2018
TECNOLOGIA DA INFORMAÇÃO - GOVERNANÇA DA TI PARA A ORGANIZAÇÃO
Esta Norma fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia da informação (TI) dentro de suas organizações.
NBR12896 de 11/1993
TECNOLOGIA DE INFORMAÇÃO - GERÊNCIA DE SENHAS - PROCEDIMENTO
A segurança oferecida por um sistema de senhas serem mantidas secretas durante todo o tempo em que estiverem em uso. Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementando em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas.
NBR12964 de 09/1993
TECNOLOGIA DE INFORMAÇÃO - TÉCNICAS CRIPTOGRÁFICAS DE DADOS - MODOS DE OPERAÇÃO DE UM ALGORITMO DE CIFRAÇÃO DE BLOCOS PADRÃO - PADRONIZAÇÃO
Esta Norma descreve quatro modos de operação para um algoritmo de cifração de blocos que opere sobre blocos-em-claro de p bites, gerando blocos-cifrados de q bites, onde (p é menor ou igual a q), do tipo algoritmo de chave secreta.
NBR16167 de 12/2020
SEGURANÇA DA INFORMAÇÃO - DIRETRIZES PARA CLASSIFICAÇÃO, ROTULAÇÃO, TRATAMENTO E GESTÃO DA INFORMAÇÃO
Esta Norma estabelece as diretrizes para classificação, rotulação, tratamento e gestão da informação, de acordo com a sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção.
NBR16386 de 06/2015
TECNOLOGIA DA INFORMAÇÃO — DIRETRIZES PARA O PROCESSAMENTO DE INTERCEPTAÇÃO TELEMÁTICA JUDICIAL
Esta Norma estabelece orientações para a interceptação telemática oriunda de ordem judicial, considerando o relacionamento entre provedores de acessos, os responsáveis pela investigação e/ou responsáveis pela interceptação e o judiciário.
Políticas
Diretrizes que devem ser seguidas. Responde ao "porque" de realizar a Segurança da Informação, definindo diretrizes do que deve ser realizado pela organização para alcançar a Segurança da Informação
Políticas vigentes:
Política Nacional de Segurança da Informação.
Decreto nº 9.637, de 26 de dezembro de 2018
Política de Segurança da Informação - FURG
Resolução CONSUN/FURG Nº 5, de 20 DE maio de 2022
Artigo: Entenda Segurança da Informação
Política de Classificação da Informação quanto à confidencialidade no âmbito da FURG
Resolução CONSUN/FURG Nº 17 de 9 de dezembro de 2022
Política Arquivística da FURG.
Resolução CONSUN/FURG N° 16, de 22 de setembro de 2023
Política de Proteção de Dados Pessoais e Privacidade
Resolução CONSUN/FURG N° 27 de 22 de dezembro de 2023
Normas
Regras básicas de como deve ser implementado o controle ou conjunto de controles, que foram definidos nas políticas. Responde "O que" fazer para se alcançar as diretrizes definidas na política de segurança
Backups
INSTRUÇÃO NORMATIVA PROITI/FURG N° 1, DE 10 DE JULHO DE 2023: Dispõe sobre os procedimentos de execução dos Backups, testes e recuperações dos dados armazenados pelo Centro de Gestão de Tecnologia da Informação. Leia aqui
Rascunhos
INSTRUÇÃO NORMATIVA Nº 003/202 - PRÓ-REITORIA DE PLANEJAMENTO E ADMINISTRAÇÃO1: Resolve que a forma de realização da eliminação de documentos considerados rascunhos de documentos arquivísticos dar-se-á de acordo com as regras estabelecidas nesta Instrução Normativa. Leia aqui
Eliminação de documentos
A eliminação de documentos nos órgãos da FURG ocorrerá após concluído o processo de avaliação conduzido pela Comissão Permanente de Avaliação de Documentos da FURG – CPAD/FURG e será efetivada quando cumpridos os procedimentos estabelecidos na Resolução CONARQ nº 40, de 9 de dezembro de 2014. (Art. 1º). Importante é salientar que todo e qualquer documento produzido e/ou acumulado no decorrer das atividades desempenhadas no âmbito da FURG é considerado documento de arquivo e não poderá ser eliminado sem aprovação da CPAD/FURG. Leia aqui ...
Inventário Computacional
Portaria 409/2018: Visando estabelecer a padronização e os procedimentos de inventário eletrônico de computadores e softwares no âmbito da FURG, e considerando entre vários fatos a necessidade de manter as informações sobre os computadores e seus softwares em uso na instituição, de forma a propiciar análise e diagnósticos que fundamentem a tomada de decisão de novas aquisições, realocações de computadores, melhorias contínuas, auditoria e licenciamento de software resolve implantar solução computacional de inventário eletrônico de computadores e softwares em toda a instituição. Leia aqui...
Sistema de Arquivos da FURG (SIARQ/FURG)
Resolução COEPEA/FURG N° 106/2023. Institui o Sistema de Arquivos da FURG (SIARQ/FURG) como o conjunto de órgãos arquivísticos inter-relacionados com vistas a promover a gestão continuada dos documentos de arquivo visando assegurar a gestão, o acesso e a preservação pela Instituição. Leia aqui...
Procedimentos
Atividades detalhadas de como deve ser implementado o controle ou conjunto de controles. Responde "como" fazer cada item definido nas normas específicas e suas políticas.
Instruções
Descrição de uma operação ou conjunto de operações para a execução de implementação de controle de segurança da informação.
Evidências
Mecanismos adotados para premitir a coleta e comprovação da aplicação dos controles de segurança da informação, sua eficácia e eficiência. Permitirá a rastreadbilidade e uso auditoriais.