ISO27001
ISO/IEC 27001:2022
Information Security Management Systems
International standard for establishing, implementing, maintaining, and continually improving an information security management system (ISMS).
Key Principles
Risk-based approach
PDCA cycle
Leadership commitment
Continual improvement
Benefits
Systematic risk management
Legal compliance
Business continuity
Customer trust
Competitive advantage
Sections
1
Context of the organization
2
Leadership
3
Planning
4
Support
5
Operation
6
Performance evaluation
7
Improvement
Total Requirements
21
defined requirements
Mapped Controls
44
control mappings
Overall Compliance
70.5%
31/44 controls compliant
Related Risks
13
9 critical · 3 high
Compliance by Framework
Qriar IAM Security Framework
44 mapped controls
Assessment: Assessment 2026 v0.10
31 Compliant
13 Partial
0 Non-Compliant
Compliance Trend
Requirements Coverage
A.5.2
Papéis e responsabilidades de segurança da informação
2 controls
A organização deve definir e alocar papéis e responsabilidades de segurança da informação.
| ID | Description | Reference |
|---|---|---|
| PAM-005 | 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... | A.5.2 |
| MON-005 | Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... | A.5.2 |
A.5.15
Controle de acesso
2 controls
Regras para controlar o acesso físico e lógico às informações e outros ativos associados devem ser estabelecidas e implementadas.
| ID | Description | Reference |
|---|---|---|
| AUTH-007 | Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. | A.5.15 |
| PAM-004 | Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... | A.5.15 |
A.5.16
Gestão de identidades
4 controls
O ciclo de vida completo das identidades deve ser gerenciado.
| ID | Description | Reference |
|---|---|---|
| AUTH-005 | Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... | A.5.16 |
| JML-001 | Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... | A.5.16 |
| JML-003 | Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... | A.5.16 |
| JML-005 | Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... | A.5.16 |
A.5.17
Informações de autenticação
2 controls
A alocação e gestão de informações de autenticação devem ser controladas por um processo de gestão.
| ID | Description | Reference |
|---|---|---|
| AUTH-004 | Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... | A.5.17 |
| AUTH-001 | Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... | A.5.17 |
A.5.18
Direitos de acesso
4 controls
Os direitos de acesso às informações e outros ativos associados devem ser provisionados, revisados, modificados e removidos de acordo com a política e regras de controle de acesso.
| ID | Description | Reference |
|---|---|---|
| JML-001 | Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... | A.5.18 |
| JML-002 | Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... | A.5.18 |
| JML-004 | Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... | A.5.18 |
| PAM-001 | Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... | A.5.18 |
A.5.19
Segurança da informação nas relações com fornecedores
1 controls
Processos e procedimentos devem ser definidos e implementados para gerenciar os riscos de segurança da informação associados ao uso de produtos ou serviços de fornecedores.
| ID | Description | Reference |
|---|---|---|
| JML-006 | Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... | A.5.19 |
A.5.21
Gestão de segurança da informação na cadeia de suprimentos de TIC
1 controls
Processos e procedimentos devem ser definidos e implementados para gerenciar os riscos de segurança da informação associados à cadeia de suprimentos de produtos e serviços de TIC.
| ID | Description | Reference |
|---|---|---|
| JML-006 | Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... | A.5.21 |
A.5.23
Segurança da informação para uso de serviços em nuvem
1 controls
Processos para aquisição, uso, gestão e saída de serviços em nuvem devem ser estabelecidos de acordo com os requisitos de segurança da informação da organização.
| ID | Description | Reference |
|---|---|---|
| MON-003 | Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... | A.5.23 |
A.5.33
Proteção de registros
1 controls
Registros devem ser protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada.
| ID | Description | Reference |
|---|---|---|
| MON-001 | Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... | A.5.33 |
A.6.3
Conscientização, educação e treinamento em segurança da informação
1 controls
O pessoal da organização e partes interessadas relevantes devem receber conscientização, educação e treinamento apropriados em segurança da informação.
| ID | Description | Reference |
|---|---|---|
| MON-006 | Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... | A.6.3 |
A.6.8
Relato de eventos de segurança da informação
2 controls
A organização deve fornecer um mecanismo para que o pessoal relate eventos de segurança da informação observados ou suspeitos através de canais apropriados de maneira oportuna.
| ID | Description | Reference |
|---|---|---|
| MON-004 | Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... | A.6.8 |
| MON-006 | Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... | A.6.8 |
A.8.1
Dispositivos de usuário final
2 controls
As informações armazenadas, processadas ou acessíveis através de dispositivos de usuário final devem ser protegidas.
| ID | Description | Reference |
|---|---|---|
| PAM-003 | Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. | A.8.1 |
| PAM-006 | Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... | A.8.1 |
A.8.2
Direitos de acesso privilegiado
6 controls
A alocação e uso de direitos de acesso privilegiado devem ser restritos e gerenciados.
| ID | Description | Reference |
|---|---|---|
| AUTH-005 | Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... | A.8.2 |
| PAM-001 | Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... | A.8.2 |
| PAM-002 | Separar contas: adm-user (sem email/web) para gestão e user para uso diário. | A.8.2 |
| PAM-003 | Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. | A.8.2 |
| PAM-005 | 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... | A.8.2 |
| MON-004 | Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... | A.8.2 |
A.8.3
Restrição de acesso à informação
1 controls
O acesso às informações e outros ativos associados deve ser restrito de acordo com a política de controle de acesso estabelecida.
| ID | Description | Reference |
|---|---|---|
| AUTH-003 | Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... | A.8.3 |
A.8.4
Acesso ao código-fonte
1 controls
O acesso de leitura e escrita ao código-fonte, ferramentas de desenvolvimento e bibliotecas de software deve ser gerenciado adequadamente.
| ID | Description | Reference |
|---|---|---|
| JML-002 | Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... | A.8.4 |
A.8.5
Autenticação segura
7 controls
Tecnologias e procedimentos de autenticação segura devem ser implementados com base em restrições de acesso à informação e na política de controle de acesso.
| ID | Description | Reference |
|---|---|---|
| AUTH-002 | Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. | A.8.5 |
| AUTH-003 | Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... | A.8.5 |
| AUTH-006 | Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independent... | A.8.5 |
| AUTH-007 | Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. | A.8.5 |
| JML-003 | Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... | A.8.5 |
| MON-002 | Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... | A.8.5 |
| AUTH-001 | Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... | A.8.5 |
A.8.11
Mascaramento de dados
1 controls
O mascaramento de dados deve ser usado de acordo com a política da organização sobre controle de acesso e outros requisitos relacionados.
| ID | Description | Reference |
|---|---|---|
| PAM-006 | Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... | A.8.11 |
A.8.12
Prevenção de vazamento de dados
1 controls
Medidas de prevenção de vazamento de dados devem ser aplicadas a sistemas, redes e outros dispositivos que processam, armazenam ou transmitem informações sensíveis.
| ID | Description | Reference |
|---|---|---|
| PAM-004 | Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... | A.8.12 |
A.8.15
Registro de log
1 controls
Logs que registram atividades, exceções, falhas e outros eventos relevantes devem ser produzidos, armazenados, protegidos e analisados.
| ID | Description | Reference |
|---|---|---|
| MON-001 | Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... | A.8.15 |
A.8.16
Atividades de monitoramento
2 controls
Redes, sistemas e aplicações devem ser monitorados para comportamento anômalo e ações apropriadas tomadas para avaliar potenciais incidentes de segurança da informação.
| ID | Description | Reference |
|---|---|---|
| MON-002 | Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... | A.8.16 |
| MON-005 | Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... | A.8.16 |
A.8.23
Filtragem web
1 controls
O acesso a sites externos deve ser gerenciado para reduzir a exposição a conteúdo malicioso.
| ID | Description | Reference |
|---|---|---|
| MON-003 | Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... | A.8.23 |
Risk Exposure
Risk Distribution
Educational Content
Standard Overview
International standard for establishing, implementing, maintaining, and continually improving an information security management system (ISMS).
Core Principles:
- Risk-based approach
- PDCA cycle
- Leadership commitment
- Continual improvement
How Compliance is Calculated
Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.
- Compliant: Maturity level 3 or above
- Partial: Maturity level 1-2
- Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
- Conduct a gap analysis to identify areas needing improvement
- Prioritize controls based on risk assessment results
- Establish clear ownership and accountability for each control
- Implement continuous monitoring and regular reviews
- Document evidence of compliance for audit readiness
- Train staff on security awareness and standard requirements