As normas ISO (Organization for Standardization) são regras, criadas pela empresa ISO, com o objetivo de realizar a normatização de condutas e processos em organizações e entidades públicas. Ela está relacionada, também, com a Associação Brasileira de Normas Técnicas (ABNT), que normatiza determinadas questões que devem ser seguidas por todas as instituições nacionais.
Segue abaixo um conjunto inicial de normas ISOs e NBRs. Essa lista não tem a pretensão de esgotar este assuntos.
NBRISO/IEC27001 de 11/2013
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — REQUISITOS
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
NBRISO/IEC27002 de 11/2013
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA CONTROLES DE SEGURANÇA DA INFORMAÇÃO
Fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Esta Norma é projetada para ser usada por organizações que pretendam: a) selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBRISO/IEC 27001[6]; b) implementar controles de segurança da informação comumente aceitos; c) desenvolver seus próprios princípios de gestão da segurança da informação. (Código anterior: NBRISO/IEC 17799)
NBRISO/IEC27003 de 04/2020
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — ORIENTAÇÕES
Este documento fornece explicações e orientações sobre a NBRISO/IEC27001:2013.
NBRISO/IEC27004 de 08/2017
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
Este documento fornece orientações que têm como objetivo auxiliar as organizações a avaliarem o desempenho da segurança da informação e a eficácia do SGSI a fim de atender aos requisitos da NBRISO/IEC27001:2013.
NBRISO/IEC27004 de 08/2017
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO — MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
Este documento fornece orientações que têm como objetivo auxiliar as organizações a avaliarem o desempenho da segurança da informação e a eficácia do SGSI a fim de atender aos requisitos da NBRISO/IEC27001:2013
NBRISO/IEC27005 de 10/2019
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
Este documento fornece diretrizes para o processo de gestão de riscos de segurança da informação.
NBRISO/IEC27007 de 05/2021
SEGURANÇA DA INFORMAÇÃO, SEGURANÇA CIBERNÉTICA E PROTEÇÃO DA PRIVACIDADE - DIRETRIZES PARA AUDITORIA DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Este documento fornece orientações sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI), como executar as auditorias e a competência dos auditores de SGSI, em complemento às orientações descritas na NBRISO19011.
NBRISO/IEC27014 de 09/2021
SEGURANÇA DA INFORMAÇÃO, SEGURANÇA CIBERNÉTICA E PROTEÇÃO DA PRIVACIDADE - GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
Este Documento fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização.
NBRISO/IEC27017 de 07/2016
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA CONTROLES DE SEGURANÇA DA INFORMAÇÃO COM BASE ABNT NBR ISO/IEC 27002 PARA SERVIÇOS EM NUVEM
Esta Recomendação Norma fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBRISO/IEC27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem.
NBRISO/IEC27018 de 03/2021
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA PROTEÇÃO DE DADOS PESSOAIS (DP) EM NUVENS PÚBLICAS QUE ATUAM COMO OPERADORES DE DP
Este documento estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBRISO/IEC29100, para o ambiente de computação em nuvem pública.
NBRISO/IEC27032 de 06/2015
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - DIRETRIZES PARA SEGURANÇA CIBERNÉTICA
Esta Norma fornece diretrizes para melhorar o estado de Segurança Cibernética, traçando os aspectos típicos desta atividade e suas ramificações em outros domínios de segurança.
NBRISO/IEC27035-3 de 07/2021
TECNOLOGIA DA INFORMAÇÃO - GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO - PARTE 3: DIRETRIZES PARA OPERAÇÕES DE RESPOSTA A INCIDENTES DE TIC
Este documento fornece diretrizes para resposta a incidentes de segurança da informação em operações de TIC. Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.
NBRISO/IEC27037 de 12/2013
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL
Esta Norma fornece diretrizes para atividades específicas no manuseio de evidências digitais que são a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valor probatório.
NBRISO/IEC27701 de 11/2019
TÉCNICAS DE SEGURANÇA — EXTENSÃO DA ABNT NBR ISO/IEC 27001 E ABNT NBR ISO/IEC 27002 PARA GESTÃO DA PRIVACIDADE DA INFORMAÇÃO — REQUISITOS E DIRETRIZES
Este documento especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das NBRISO/IEC27001 e NBRISO/IEC27002 para a gestão da privacidade dentro do contexto da organização
NBRISO/IEC29100 de 03/2020
TECNOLOGIA DA INFORMAÇÃO — TÉCNICAS DE SEGURANÇA — ESTRUTURA DE PRIVACIDADE
Esta Norma fornece uma estrutura de privacidade que: especifica uma terminologia comum de privacidade; especifica os atores e os seus papéis no tratamento de dados pessoais (DP); descreve considerações de salvaguarda de privacidade; e fornece referências para princípios conhecidos de privacidade para tecnologia da informação.
NBRISO/IEC29134 de 11/2020
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - AVALIAÇÃO DE IMPACTO DE PRIVACIDADE - DIRETRIZES
Este documento fornece diretrizes para: processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de PIA.
NBRISO/IEC29151 de 11/2020
TECNOLOGIA DA INFORMAÇÃO - TÉCNICAS DE SEGURANÇA - CÓDIGO DE PRÁTICA PARA PROTEÇÃO DE DADOS PESSOAIS
Esta Recomendação | Norma estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP).
NBRISO/IEC29184 de 06/2021
TECNOLOGIA DA INFORMAÇÃO - AVISOS DE PRIVACIDADE ON-LINE E CONSENTIMENTO
Este documento especifica os controles que formatam o conteúdo e a estrutura dos avisos de privacidade on-line, bem como o processo de solicitação de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP.
NBRISO/IEC38500 de 11/2018
TECNOLOGIA DA INFORMAÇÃO - GOVERNANÇA DA TI PARA A ORGANIZAÇÃO
Esta Norma fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia da informação (TI) dentro de suas organizações.
NBR12896 de 11/1993
TECNOLOGIA DE INFORMAÇÃO - GERÊNCIA DE SENHAS - PROCEDIMENTO
A segurança oferecida por um sistema de senhas serem mantidas secretas durante todo o tempo em que estiverem em uso. Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementando em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas.
NBR12964 de 09/1993
TECNOLOGIA DE INFORMAÇÃO - TÉCNICAS CRIPTOGRÁFICAS DE DADOS - MODOS DE OPERAÇÃO DE UM ALGORITMO DE CIFRAÇÃO DE BLOCOS PADRÃO - PADRONIZAÇÃO
Esta Norma descreve quatro modos de operação para um algoritmo de cifração de blocos que opere sobre blocos-em-claro de p bites, gerando blocos-cifrados de q bites, onde (p é menor ou igual a q), do tipo algoritmo de chave secreta.
NBR16167 de 12/2020
SEGURANÇA DA INFORMAÇÃO - DIRETRIZES PARA CLASSIFICAÇÃO, ROTULAÇÃO, TRATAMENTO E GESTÃO DA INFORMAÇÃO
Esta Norma estabelece as diretrizes para classificação, rotulação, tratamento e gestão da informação, de acordo com a sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção.
NBR16386 de 06/2015
TECNOLOGIA DA INFORMAÇÃO — DIRETRIZES PARA O PROCESSAMENTO DE INTERCEPTAÇÃO TELEMÁTICA JUDICIAL
Esta Norma estabelece orientações para a interceptação telemática oriunda de ordem judicial, considerando o relacionamento entre provedores de acessos, os responsáveis pela investigação e/ou responsáveis pela interceptação e o judiciário.